2297370

Software zur Bundestagswahl kann gehackt werden

07.09.2017 | 14:40 Uhr |

Ein IT-Experte beweist bei seinen Tests, dass die bei der Bundestagswahl 2017 verwendete Software unsicher ist.

In Deutschland sind elektronische Stimmzettel, bei denen das Kreuz zur Bundestagswahl an einem PC-Bildschirm gemacht wird, zwar verboten, ganz ohne Software geht es jedoch auch hierzulande nicht. Am Abend des 24. September werden die Wahlhelfer die Stimmzettel auszählen und die Ergebnisse auf einen Zettel schreiben. Im Anschluss werden die Zahlen in elektronischer Form über das Programm PC-Wahl weitergeleitet.

Der 29-jährige Informatiker Martin Tschirsich hat sich die Software zusammen mit dem Zeit-Redakteur Kai Biermann angeschaut und kam zu einem erschreckenden Ergebnis . Indem er die Abläufe des „meistgenutzten Wahlorganisationssystems in deutschen Verwaltungen“ analysierte, konnte er feststellen, ob PC-Wahl manipuliert werden kann. Das Ergebnis: Ja, PC-Wahl kann gehackt werden. Die Sicherheit der deutschen Bundestagswahl 2017 ist damit fraglich.

Die Software PC-Wahl gibt es bereits seit 30 Jahren. Um das Tool vor Angriffen zu schützen, werden Lizenzen nur an Kommunen, nicht aber an Privatpersonen vergeben. Tschirnisch startet seinen Sicherheitstest am Beispiel des Bundeslandes Hessen. Zuerst benötigt er Zugriff auf den Quellcode von PC-Wahl. Dafür hackt er sich in die Website des Entwicklers – mit Hilfe eines Passworts, das versehentlich von einem PC-Wahl-Vertriebspartner veröffentlicht wurde. Nach dem Download des Quellcodes zerlegt Tschirnisch diesen auf der Suche nach Schwachstellen.

Im Kern ist PC-Wahl ein Tabellenkalkulationsprogramm. Die Stimmen für die Kandidaten werden summiert und in eine neue Datei geschrieben. Diese ist jedoch in keinster Weise gesichert. Sie lässt sich laut Tschirnisch einfach manipulieren und die gefälschten Ergebnisse könnten dann ohne zusätzliche Prüfung an den zuständigen Wahlleiter geschickt werden. Laut Tschirnisch der Beweis, dass die Bundestagswahl sehr wohl manipuliert werden könnte. Falsche Ergebnisse könnten Hacker über ein Update für PC-Wahl den Kommunen unterjubeln. Für den Sicherheitsexperten kein Problem, denn das Passwort für den Update-Bereich auf der Hersteller-Website ist ebenfalls im Internet zu finden. Hacker könnten ihre falschen Wahlergebnisse also einfach über ein fingiertes PC-Wahl-Update verbreiten.

Ein drittes Sicherheitsproblem findet sich in einem zusätzlichen Sicherheitsmechanismus. Am Wahlabend werden die Ergebnisse in Hessen über ein geheimes internes Netzwerk weitergeleitet. Dessen Zugangsdaten sind in PC-Wahl jedoch bereits hinterlegt. Für Tschirner war es ein leichtes, das zugehörige Passwort herauszufinden. Es lautet „test“. Offenbar haben die Zuständigen nicht unseren Ratgeber für sichere Passwörter gelesen. Der Chaos Computer Club hat PC-Wahl ebenfalls unter die Lupe genommen und kommt zu dem selben Ergebnis wie Tschirnisch. Laut dem CCC ignoriere PC-Wal „grundlegende Prinzipien von Sicherheit und Verschlüsselung“. Das BSI zeigte sich ebenfalls alarmiert und ließ alle Wahlhelfer darauf hinweisen, dass alle übermittelten Wahlergebnisse am Abend des 24. September noch einmal überprüft werden müssten.  

0 Kommentare zu diesem Artikel
2297370