Entscheidend ist, dass es eine solche nicht öffentliche Vorwarnung gibt. Im Bereich der IT-Sicherheit heißt das responsible disclosure – verantwortungsvolle Offenlegung. Wer Sicherheitslücken findet, informiert den Hersteller und gibt ihm Zeit, sie zu beheben. Erst danach geht er an die Öffentlichkeit.

Manchmal entscheiden sich die Entdecker von Schwachstellen für die schärfere Variante – full disclosure genannt. Sie wenden sich sofort an Medien und damit die Öffentlichkeit und zwingen das Unternehmen zum schnellen Handeln im Sinne der Kunden.

Alternativ verzichten sie auf eine Veröffentlichung und kassieren dafür eine Belohnung vom Hersteller, bug bounty genannt. Viele Technikunternehmen bieten so etwas an, wobei die Belohnung aus einer lobenden Erwähnung auf der Website bestehen kann oder aus mehreren Hunderttausend Dollar.

Auch nach den Updates waren nicht alle Schwächen beseitigt

Technik, die bei Wahlen eingesetzt wird, sollte in dieser Hinsicht transparent sein. Vertrauen in sie entsteht nicht durch Geheimhaltung des Quellcodes, das klammheimliche Beseitigen von Schwächen oder dadurch, sie nur zu kaschieren, sondern durch überprüfbare Verbesserungen. Security by obscurity, Sicherheit durch Verschleierung, ist kein zeitgemäßes Konzept.

Wie wichtig Transparenz im aktuellen Fall ist, beschreibt der CCC in seinem Untersuchungsbericht. Zwar seien die Schwachstellen auf Servern beseitigt und neue organisatorische Sicherheitsmaßnahmen für den Wahlabend vorgeschrieben worden. Aber "sämtliche durch mehrere Updates vorgenommenen technischen Gegenmaßnahmen in der Software selbst erwiesen sich bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen". Wenn der CCC also die entsprechenden Werkzeuge zur Verfügung stellt, können technische versierte Anwender selbst überprüfen, ob der Hersteller angemessen reagiert hat.

Natürlich profitieren Hacker und Medien von der Aufmerksamkeit, die sie für ihre Funde und Berichte erhalten. Den größeren Nutzen aber hat die informierte Öffentlichkeit.