Unsichere Software in Bayern »Wir haben keine gesetzlichen Vorgaben, dass eine Wahlsoftware sicher sein muss«

Bei der bayerischen Kommunalwahl kam eine Software zum Einsatz, die offenbar gravierende Schwachstellen hatte. Laut IT-Sicherheitsexperten wären die Schutzvorkehrungen leicht zu überlisten gewesen.
Ein Interview von Patrick Beuth
Wahlhelfer in München: IT-Unterstützung, um das Zählen zu vereinfachen

Wahlhelfer in München: IT-Unterstützung, um das Zählen zu vereinfachen

Foto: Sven Hoppe/ dpa

Tobias Madl und Dr. Johannes Obermaier sind seit Jahren Wahlhelfer in Bayern. Beide arbeiten als IT-Sicherheitsforscher am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit  (AISEC). Am ersten Tag des virtuellen Hackerkongresses des Chaos Computer Clubs (CCC) demonstrierten sie, was passiert, wenn sie ihre Interessen kombinieren: Madl, 27, und Obermaier, 30, haben in ihrer Freizeit eine bei der bayerischen Kommunalwahl im März 2020 eingesetzte Software zum Zusammenzählen der Stimmen analysiert und darin mehrere gravierende Schwachstellen gefunden. Ihr Vortrag trug den Titel »Hacking German Elections«.

Im Interview sprechen sie über ihre brisanten Forschungsergebnisse.

SPIEGEL: Sie haben eine Software analysiert, die bei der bayerischen Kommunalwahl zum Einsatz kam. Wieso wird dort überhaupt Software eingesetzt, es wird doch auf Papier gewählt?

Johannes Obermaier: Die Stimmzettel selbst sind aus Papier. Allerdings können die bei Hunderten Kandidaten ganz schön groß werden, in unserem Fall waren sie etwa einen Meter breit und 50 Zentimeter lang. Die Wählerinnen und Wähler hatten 70 Stimmen für den Kreistag, und sie konnten bis zu drei Stimmen pro Kandidat vergeben oder auch Kandidaten streichen. Das Ding ist enorm komplex, beim Wählen und beim Auszählen. Deshalb gibt es IT-Unterstützung in den Wahllokalen, um das Zählen zu vereinfachen. Dabei wird jeder Stimmzettel digitalisiert und in die Software eingegeben, dabei schauen immer mindestens zwei oder drei Wahlhelfer drauf. Die Software verarbeitet das und spuckt dann ein Endergebnis aus.

SPIEGEL: Die Software heißt OK.VOTE , wurde von der vote.IT GmbH entwickelt und von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertrieben . Welche Schwächen hat sie?

Tobias Madl: Zum einen konnte jeder normale Nutzer tun, was eigentlich Administratoren vorbehalten sein sollte. Zum anderen waren verschiedene Sicherheitsmechanismen nicht richtig implementiert. Hätte ein Angreifer einen Wahlhelfer auf eine manipulierte Website gelockt, zum Beispiel wenn der gerade eine Pause macht, aber am Computer sitzen bleibt, dann hätte diese Website vorbereitete Anfragen an die Wahlsoftware stellen können.

SPIEGEL: Und damit wäre eine Wahlfälschung aus der Ferne möglich gewesen?

Madl: Ja. Angreifer hätten so die Wahlergebnisse manipulieren können. Außerdem hätte jeder, der sich im gleichen Netzwerk befand wie ein Wahllokal, auf alle Komponenten der Software zugreifen können. Die Schutzvorkehrungen wie Benutzername und Passwort hätten sich leicht umgehen lassen, indem man als Täter seinem Computer einen Namen gibt, den das System erwartet. Dann hätte es gar keinen Log-in mehr gebraucht, um auf die Wahldaten zuzugreifen und sie zu überschreiben.

»In Bayern haben wir keine gesetzlichen Vorgaben, dass eine Wahlsoftware sicher sein muss«

Johannes Obermaier

SPIEGEL: Sie beide haben die Software im Herbst untersucht, den Hersteller über ihre Funde informiert, und der hat schnell darauf reagiert. Aber wie kann es sein, dass solche Schwachstellen nicht früher entdeckt werden?

Obermaier: Ganz einfach: Es war bisher nicht notwendig, die Software zu testen. Wir haben in Bayern keine gesetzlichen Vorgaben, dass eine Wahlsoftware getestet oder sicher sein muss.

SPIEGEL: Ist Bayern ein Sonderfall?

Madl: Es ist umgekehrt eher die Ausnahme, dass ein Bundesland rechtliche Vorgaben für die Software hat oder Zertifizierungen verlangt. Das ist das erschreckende daran: Wir haben in der Software gesehen, dass sie offenbar in mehreren Bundesländern eingesetzt werden soll oder vielleicht schon eingesetzt wurde.

Obermaier: Für uns stellt sich die Frage, ob ein derartiger IT-Einsatz bei einer Wahl überhaupt sinnvoll, zulässig und tolerierbar ist, was die Transparenzanforderungen an eine Wahl angeht.

SPIEGEL: Und wie lautet Ihre Antwort?

Madl: Die Software sollte in ihrem aktuellen Zustand nicht eingesetzt werden. Eigentlich müsste jeder Bürger einsehen können, wie viele Stimmzettel abgegeben wurden und zu welchem Ergebnis das geführt hat. Das ist hier aber nicht gegeben.

SPIEGEL: Um den Wahlausgang zu ändern, hätte man aber mehrere Computer in verschiedenen Wahllokalen hacken müssen - wie realistisch wäre so ein Angriff?

Madl: Wenn ich es schaffe, den Link auf meine bösartige Website an alle Wahllokale zu verteilen, etwa in einer E-Mail mit dem Betreff »Update für die Anleitung zur Wahlsoftware«, und alle klicken darauf, hätte ich potenziell schon sehr viele Wahllokale erfolgreich angegriffen. Wie viele Wahlhelfer den Link wirklich anklicken müssten, damit ich das Ergebnis für einen Wahlkreis beeinflussen kann, hängt von dessen Größe ab.

Obermaier: Es reicht vielleicht schon, dort zu manipulieren, wo das Ergebnis knapp ist. Denn je mehr ich verändere, desto höher ist schließlich die Wahrscheinlichkeit, dass ich auffliege.

Hinweis: Die von Obermaier und Madl analysierte Software OK.VOTE wurde anders als zunächst von uns dargestellt nicht von der AKDB entwickelt, sondern nur vertrieben, und sie kam nicht in ganz Bayern zum Einsatz, wie andere Wahlhelfer uns mitgeteilt haben.

Der Vortrag von Obermaier und Madl ist hier als Video verfügbar .

Bild aus dem Vortrag »Hacking German Elections«: Johannes Obermaier (li.) und Tobias Madl

Bild aus dem Vortrag »Hacking German Elections«: Johannes Obermaier (li.) und Tobias Madl

Foto: Johannes Obermaier / Tobias Madl