Unsichere Software bei der Bundestagswahl Passwort: test

IT-Spezialisten haben gravierende Sicherheitslücken in einer Wahl-Software gefunden. Einer der Analysten erklärt, was das für die Bundestagswahl und die Zeit danach bedeutet.

Wähler in Hannover (Archivbild)
picture alliance / dpa

Wähler in Hannover (Archivbild)

Ein Gastbeitrag von Thorsten Schröder


Ich bin wirklich überrascht. Wie oft hieß es in den vergangenen Monaten, man fürchte sich vor russischen Hackern, die angeblich demokratische Wahlen auf der ganzen Welt manipulieren könnten. Da sollte man doch meinen, unsere Behörden nähmen den Schutz vor Manipulationen bei unserem wichtigsten demokratischen Großereignis im September sehr ernst.

Zur Person
  • Thorsten Schröder
    Thorsten Schröder, Jahrgang 1977, arbeitet als IT-Sicherheitsberater für große und mittelständische Unternehmen. Als "bezahlter Hacker" greift er im Auftrag Software- und Hardwareprodukte an, um deren Sicherheit zu testen. Diesmal hat er sich mit Kollegen des Chaos Computer Clubs (CCC) eine Wahlsoftware angesehen.

Nun aber durfte ich gemeinsam mit anderen Spezialisten eine Software zur Wahlauswertung begutachten, deren Kommunikation mit der Zentrale in Hessen zum Beispiel über das simple Passwort "test" gesichert worden sein soll. Das wirft Fragen auf.

Die "Zeit" hatte den Chaos Computer Club (CCC) darum gebeten, die Software PC-Wahl anzusehen. Diese wird unter anderem bei der Bundestagswahl 2017 eingesetzt. Vorläufige Wahlergebnisse aus den Wahlkreisen werden damit digital an die jeweils höheren Ebenen transportiert. Der Informatiker Martin Tschirsich hatte Zweifel an der Sicherheit des Programmes angemeldet, stieß aber bei Behörden und dem Hersteller offenbar zunächst auf taube Ohren.

Also haben wir beim CCC uns die Software angesehen. Und wir haben viel Bedenkliches gefunden.

Grundlegende Sicherheitsregeln missachtet

Als Sicherheitsforscher ist man einiges gewohnt. Fehler in Software wiederholen sich, viele technische Fehler sind schwer auszuschließen. Daher ist es zunächst einmal nicht schlimm, dass auch in einer Wahl-Software wie PC-Wahl Sicherheitslücken enthalten sind. Allerdings hat uns die schiere Menge an Problemen dann doch überrascht.

Die genauen Hintergründe zu technischen und organisatorischen Schwachstellen der Software haben wir in einem technischen Bericht (PDF) detailliert beschrieben.

Kurz zusammengefasst: Es wurden grundlegende Sicherheitsregeln missachtet. Wir stießen auf schwache Passwörter, selbst ausgedachte Kryptografie und den Versuch, Sicherheit durch Geheimhaltung von Algorithmen herzustellen. Alles Themen, die man in der IT als Anfängerfehler bezeichnen könnte.

Hintergrund zur Wahl-Software

Kann man nun also die Bundestagswahl manipulieren?

Technisch wäre eine Manipulation zwar auf mehreren Wegen möglich, doch es ist unwahrscheinlich, dass die Manipulation unentdeckt bleiben würde. Durch die Recherche und Veröffentlichung durch Journalisten und den CCC dürfte außerdem eine Sensibilisierung bei den Wahlverantwortlichen stattgefunden haben, die zu größerer Sorgfalt bei der analogen Überprüfung führt.

Allerdings wird durch Software dieser Qualität in jedem Fall Zweifel an der Vertrauenswürdigkeit des Wahlprozederes geschürt. Die Software PC-Wahl ist dabei lediglich eine von vielen, die bei der Wahl zum Einsatz kommen. Die anderen Programme konnten wir bislang bloß noch nicht ansehen - obwohl der CCC etwa im Falle von IVU.elect öffentlich darum gebeten hat.

Diese SPIEGEL-Karte gibt einen ersten Überblick über den Einsatz unterschiedlicher Wahl-Software - klicken Sie für Informationen zu Ihrem Bundesland direkt in die Karte:



Wir brauchen mehr Transparenz

Die Geheimniskrämerei von Herstellern, Behörden und Politik ist bei so einem sensiblen Thema hochproblematisch. Selbst auf die Klage eines Politikers in Rheinland-Pfalz, den Quellcode der PC-Wahl-Software einsehen zu dürfen, reagierten die Behörden mit Ablehnung aus Sicherheitsgründen.

Dabei sorgt Geheimhaltung in diesem Bereich nicht für mehr Sicherheit. Anders als bei Strategie-Papieren von Behörden, die unter Verschluss gehalten werden müssen, um etwa die öffentliche Ordnung nicht zu gefährden, ist der Verschluss von Software oder kryptografischen Algorithmen kontraproduktiv für das Sicherheitsniveau. Die Lücken verschwinden ja nicht, weil sie geheim gehalten werden. Und die Sicherheit einer Software darf von einer Veröffentlichung nicht beeinträchtigt werden.

Der Wahlkampf der Bundestagswahl 2017 dreht sich in vielen Bereichen wieder stark um den IT-Standort Deutschland - es wird viel gefordert und getrommelt. Es ist die Rede von "Sicherheit made in Germany", von einer "Industrie 4.0-Nation" und anderen Schlagworten. Die FDP wirbt auf Wahlplakaten gar für mehr Risikofreude im Digitalen, damit wir den technologischen Anschluss nicht verlieren.

Doch was die Sicherheit und Vertraulichkeit von Softwaresystemen und Daten angeht, haben wir an manchen Stellen offenbar den Anschluss längst verloren. Natürlich muss unsere Wirtschaft in Sachen Fortschritt auch das ein oder andere Risiko in Kauf nehmen. Allerdings nicht, ohne diese Risiken in eine Kalkulation mit aufzunehmen und durch weitere Maßnahmen auf ein erträgliches Minimum zu senken. Vor allem müssen Politiker und Behörden ein Verständnis für die Gefahren im Digitalen entwickeln und lernen, Risiken durch einen Softwareeinsatz richtig einzuschätzen.

Für künftige Wahlen muss sich einiges ändern

Wenn wir Software bei unseren demokratischen Wahlen einsetzen, müssen wir es anders angehen:

  • Wir brauchen Programmierer und Politiker, die in der Lage sind, ihre Kenntnisse realistisch einzuschätzen. Die kein Problem damit haben, unabhängige Experten zu Rate zu ziehen, wenn es um risikominimierende Maßnahmen geht.
  • Schwerwiegende Probleme dürfen nicht durch verordnete Intransparenz unter den Teppich gekehrt werden. Wir benötigen unabhängige Sicherheits-Audits der Software, die mittels Steuergelder eingekauft und genutzt werden.
  • Vor allem brauchen wir ordentliche, zeitgemäße Software. Für ein so wichtiges Thema wie eine transparente Wahl sollte es eine ebenso transparente Software zur Unterstützung bei der Wahlauswertung geben. Das heißt: Sie sollte im Quellcode verfügbar sein, also Open Source.

Ich wünsche mir von einer neuen Regierung, dass sie in ein solches gemeinnütziges Projekt investiert. Das würde nicht nur Deutschland helfen: Das Land könnte nur mit leuchtendem Beispiel vorangehen, während seine Open-Source-Software auch in anderen Ländern für demokratische Wahlen genutzt werden könnte.



insgesamt 21 Beiträge
Alle Kommentare öffnen
Seite 1
grommeck 07.09.2017
1. Das Passwort paßt....
zu unserer Regierung. Leider geht der "Test" weiter. Eine Katastrophe.
Echt jetzt 07.09.2017
2. Vergesst die russischen Hacker
Am wahrscheinlichsten ist die Ausnutzung von Sicherheitslücken doch durch diejenigen, die die Software geschrieben bzw. in Auftrag gegeben haben. Die entscheidende Frage lautet also: Hat die Bundesregierung sich bewusst Sicherheitslücken in der Wahlsoftware offen gelassen, um das Ergebnis nötigenfalls in ihrem Sinne manipulieren zu können?
mystyhax 07.09.2017
3. Willkommen im #Neuland
Die digitale Kompetenz bei unseren Politikern ist erschütternd. Das ist absolut wohlstandsgefährdend. Ausbau der digitalen Infrastruktur: Fehlanzeige! Es ist nur noch erbärmlich. Wenn das so weitergeht sind wir in 10-20 Jahren digital abgehängt. Bezüglich des Glasfaser Netzausbaus respektive Mobilfunk sind wir jetzt schon Schlusslicht in Europa. Ausnahme sind die Anschlusspreise! Da sind wir Spitze! Die Gründe sind hausgemacht. Die Beteiligung an der Telekom und die jahrelange Unterstützung einer Monopolstellung in der Netzstruktur sprechen Bände. Dasselbe gilt für das Vectoring. Anstatt einen klaren Rahmen vorzugeben zementiert man weiter das Monopol auf der letzten Meile. Ich frage mich warum es bis heute keinen Zukunftsfond für den digitalen Netzausbau gibt. Hier zahlen sowohl der Staat, die Telekommunikationsfirmen und die Wirtschaft ein. Ziel: Mobilfunk und Glasfaserausbau in einem festgelegten Zeitraum inkl. der weniger rentablen Orten. Zusätzlich muss man die Gemeinden mit einbeziehen. Wie oft sehe ich städtischen Tiefbau in Strassen ohne das Verlegen von Leerrohren für den Glasfaserausbau. Wir verbrennen Möglichkeiten und Geld.
kain1 07.09.2017
4. Security by obscurity seit langem gescheitert
Vielen Dank für den Artikel. Die Wahl ist ein viel wesentlicher Bestandtil unserer Demokratie, die Risiken durch unprofessionelle oder unzeitgemäße Software sind seit Jahren bekannt. Wie kann auch nur ein Mensch, der einen Eid auf unsere Verfassung geschworen hat, hier mauscheln und Security by obscurity betreiben - das Konzept gilt lange schon als überholt.
erwachsener 07.09.2017
5.
Das Ausmaß der digitalen Inkompetenz in der Deutschen Politik und Wirtschaft wird möglicherweise deutlich angezeigt durch den Umstand, daß Zeitungen wie die FAZ es für notwendig halten, alle Begrifflichkeiten des Internet in Artikeln des Politik- und Wirtschaftsressorts durch eingedeutschte Varianten und in "einfacher Sprache" (da finden sich dann Formulierungen wie "die Datenwolke Cloud") zu erläutern - in der Redaktion geht man anscheinend davon aus, daß die Zielgruppe den Artikel sonst nicht versteht. Nicht immer zeugen die Erläuterungen davon, daß die Redaktion selber es versteht.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.