zum Hauptinhalt
Erster Tag der Briefwahl in einem Wahllokal im Stadtteil Charlottenburg-Wilmersdorf.

© Gregor Fischer/dpa

Wahlen im September: Die Bundestagswahl kann manipuliert werden

Die Software der Bundestagwahl ist unsicher, Ergebnisse können gefälscht werden. Das haben Fachleute demonstriert.

An einem schwülwarmen Donnerstagabend im Juli stellt sich Martin Tschirsich eine Frage, die für die Zukunft Deutschlands entscheidend ist: Kann die Bundestagswahl manipuliert werden? Die Wahlen sind sicher, heißt es, weil die Bürger ihr Kreuz auf einem Zettel machen. Aber den 29-jährigen Informatiker, der gerade seinen Master an der Uni Darmstadt macht, überzeugt das nicht. Tschirsich ist ein leiser Mensch, der schnell denkt und spricht. Abends sitzt er gern an dem Computer in seiner Dachgeschosswohnung und knobelt an Problemen herum.

Tschirsich googelt. So erfährt er, dass aus den Kreuzen auf den Stimmzetteln aus Papier im nächsten Schritt digitale Daten werden. Zwar sind Computer, bei denen das Kreuz an einem Bildschirm eingegeben wird, in Deutschland verboten. Aber das heißt nicht, dass Rechner bei Wahlen keine Rolle spielen. In den rund 70.000 Wahllokalen des Landes werden Wahlhelfer am Abend des 24. September von Hand die Stimmen auszählen und ihre Ergebnisse auf Zettel schreiben. Alles weitere jedoch läuft über Computer.

Tschirsich stößt bei seiner Suche im Internet schnell auf die Software, mit der die Wahldaten gesammelt und weitergeleitet werden. Es handelt sich um ein Programm namens PC-Wahl, nach Angaben des Herstellers "das meistgenutzte Wahlorganisationssystem in deutschen Verwaltungen". Tschirsich zerlegt es, testet die Abläufe – und er erkennt, dass er sie manipulieren kann. Er ist überzeugt: "Die Wahl ist nicht sicher. Sie kann gehackt werden."

Die Demokratie an sich steht auf dem Spiel

Wenn in drei Wochen abgestimmt wird, dann geht es nicht nur um die Frage, wie der nächste Bundeskanzler oder die nächste Bundeskanzlerin heißen wird. Die Demokratie an sich steht auf dem Spiel. Die Bürgerinnen und Bürger bestimmen die Politik der kommenden vier Jahre, sie legitimieren das staatliche Gefüge des Landes. Schon der Verdacht, jemand könne Einfluss auf das Wahlergebnis nehmen, muss ausgeschlossen werden. Wahlen in Deutschland ließen sich nicht hacken, sagte der Bundeswahlleiter noch im Januar. Man habe die Bundestagswahl technisch so abgesichert, "dass sie gegen alle Manipulationsversuche geschützt ist". Aber was ist, wenn das deutsche Wahlsystem doch Fehler hat? Wenn Martin Tschirsich Recht behält?

Selten zuvor haben die westlichen Demokratien so unter Druck gestanden wie derzeit – nicht nur von innen. Auch die Bundesregierung fürchtet Manipulationsversuche. Immerhin ist der russische Geheimdienst bereits in den Bundestag eingebrochen. Man sei darauf eingestellt, dass Gruppen aus anderen Ländern wie Russland versuchen könnten, sich einzumischen, sagte Bundesinnenminister Thomas de Maizière (CDU) unlängst bei der Vorstellung des Verfassungsschutzberichts. Und in einem internen Papier des Bundesinnenministeriums steht, es müsse "von einem Interesse insbesondere ausländischer staatlicher als auch nichtstaatlicher Akteure ausgegangen werden, Ablauf und Ergebnis in ihrem Sinne zu beeinflussen". Und weiter: "Cyberangriffe könnten darauf abzielen, Wahlergebnisse auf dem Übertragungsweg zu manipulieren, falsche Wahlergebnisse einzuschleusen oder die Übermittlung der vorläufigen Wahlergebnisse technisch zu unterbinden."

"Ich hatte ein komisches Gefühl dabei"

Eine manipulierte Wahl – für die Demokratie wäre das ein Desaster. Das findet auch Tschirsich, der erst aus Neugierde und dann aus Besorgnis die Wahlsoftware unter die Lupe nimmt. "Ich hatte ein komisches Gefühl dabei", sagt Tschirsich. Das Ganze erschien ihm nicht ganz so sicher, wie alle Beteiligten es versprechen.

Die Bundestagswahl ist im föderalen Deutschland dezentral organisiert. Die Ergebnisse werden vom Wahlbezirk zum Wahlkreis, dann an den Landeswahlleiter und von dort schließlich an den Bundeswahlleiter übermittelt. Die Verantwortung liegt bei den Ländern und sogar noch weiter unten: bei den Kommunen. Sie haben unterschiedliche Wahlsoftware angeschafft, mit der sie die Ergebnisse verwalten. Aber kein Programm ist so verbreitet wie PC-Wahl.

Tschirsich spielt den Wahlablauf am Beispiel Hessen durch, wo er lebt. Mit Google findet er Teile der Wahlsoftware, die nie hätten öffentlich werden sollen. Das Programm PC-Wahl, das es mittlerweile seit 30 Jahren gibt, wird normalerweise nicht an Privatpersonen verkauft, sondern nur an Kommunen. Die restriktive Vergabe soll das Programm vor Angriffen schützen.

Ingo Höft von der Piratenpartei in Rheinland-Pfalz klagte im Jahr 2009 sogar dagegen. Er wollte den Quellcode von PC-Wahl sehen, um verstehen zu können, wie das Programm Ergebnisse berechnet. Jeder Wähler, jede Wählerin sollte nachvollziehen können, wie die Mehrheitsverhältnisse zustandegekommen sind. Doch trotz dieses Transparenzgebotes habe nie eine offizielle Stelle den Quellcode von PC-Wahl gesehen oder gar zertifiziert, argumentierte Höft. Aber das Verwaltungsgericht Neustadt entschied, der Landeswahlleiter habe das ordnungsgemäße Funktionieren der Software geprüft, das genüge. Tatsächlich haben die Wahlleiter landauf, landab nur überprüft, ob die Software die Stimmen korrekt addiert. Niemand interessierte sich bislang dafür, ob das Programm an sich angreifbar ist. Bis Tschirsich kam.

Das Passwort stand im Internet

Auf der Website der Herstellerfirma ist der Service-Bereich mit einem Passwort geschützt. Doch Tschirsich findet das Passwort im Internet, denn ein anderes Unternehmen, das PC-Wahl vertreibt, hat es versehentlich veröffentlicht. Die Firma ekom21 ist ein kommunaler IT-Dienstleister in Hessen, der als Vertriebspartner PC-Wahl verkauft. Auf der Webseite der ekom21 entdeckt Tschirsich eine Bedienungsanleitung für das Programm. Und in dieser Bedienungsanleitung stehen auch die Zugangsdaten zum internen Servicebereich des Herstellers von PC-Wahl: "Nutzername: service", "Kennwort: pcwkunde". Damit lädt sich Tschirsich wichtige Teile der Software runter. Nun kann der Informatiker wie ein Chirurg den Code der Software sezieren. Und entdeckt den nächsten gravierenden Fehler.

PC-Wahl ist im Kern eine Art Tabellenkalkulationsprogramm. Die Stimmen für jeden Kandidaten werden in Zeilen und Spalten summiert und die Ergebnisse in eine neue Datei geschrieben. Tschirsich analysiert die Struktur dieser Datei, die die Wählerstimmen enthält. Sie ist zu seiner Überraschung nicht eigens gesichert. Wenn PC-Wahl diese Datei an die Wahlleiter verschickt, gibt es keine Authentifizierung, keine Signatur, keinen einzigartigen Schlüssel. Es gibt kein System, das beweist, dass die korrekten Wahldaten der richtigen Gemeinde beim Wahlleiter ankommen. Somit ist es problemlos möglich, diese Wahldateien zu fälschen.

Gemeinden infizierte Software unterschieben

Tschirsichs nächste Entdeckung ist nicht weniger  frappierend. Gemeinden, die das Programm nutzen, müssen es aktualisieren, beispielsweise, um die korrekten Vorlagen für die Bundestagswahl zu erhalten. Die neuen Programmversionen stehen bei der Herstellerfirma auf einer speziellen Seite, wieder ist sie durch ein Passwort geschützt. Und wieder findet Tschirsich dieses Passwort im Netz. Es lautet "ftp,wahl". Damit könnte er auf dieser Seite eine gehackte Version von PC-Wahl verstecken und Gemeinden würden sich diese dann, ohne es zu bemerken, beim Aktualisieren herunterladen. Das wäre kein Angriff auf die Wahlergebnisse eines einzelnen Wahlkreises mehr, es wäre ein Flächenbrand. Hacker könnten den Kommunen bundesweit falsche Ergebnisse unterjubeln.

Und das ist noch nicht das Ende der Probleme. In der Software sind die Vorgaben zur Übertragung der jeweiligen Auszählungen aus den Wahllokalen bereits vorinstalliert. Am Wahlabend werden die Stimmergebnisse in Hessen aus Sicherheitsgründen nicht über das Internet übertragen, sondern über ein internes Netzwerk, das eine Firma den Gemeinden zur Verfügung stellt. Doch der Einwahlpunkt in dieses Netzwerk, das eigentlich niemand kennen soll, ist in PC-Wahl bereits voreingestellt, damit die Beamten am Wahlabend weniger Arbeit haben. Es ist zwar durch ein Passwort geschützt, aber das Passwort für Hessen ist nicht sonderlich schwer zu erraten. Es lautet: "test".

Tschirsich weiß jetzt, wie die Software arbeitet und wie sie die Dateien erstellt, mit denen die Stimmverhältnisse weitergeleitet werden. Er kennt das interne Netzwerk, über welches diese Dateien in Hessen weitergeschickt werden. Und er hat einen Weg gefunden, viele Gemeinden mit einer infizierten Version der Software zu bestücken. Ihm genügt das als Beweis, dass das System gefährliche Lecks hat. Er kontaktiert Gerhard Bennemann.

Bennemann ist Gemeindewahlleiter der kleinen Stadt Büdingen im Wetteraukreis in Hessen, ein Mann mit kurzgeschnittenen, grauen Haaren, randloser Brille und aufmerksamen Augen, die derzeit etwas erschrocken blicken. Denn Tschirsich hat ihm an seinem Rechner vorgeführt, dass er die Wahlergebnisse von Büdingen verändern könnte, ohne dass Bennemann es beim Verschicken der Wahldaten merken würde.

"Es gibt bessere Passworte als 'test'"

Zögerlich räumt Bennemann die Fehler ein. "Es gibt bessere Passworte als 'test'", sagt er. "Das ist unangemessen." Und die Manipulation der Software sei "zumindest störend". Aber die Wahlergebnisse könnten jederzeit nachgeprüft werden, sie stünden letztlich noch immer auf Zetteln. "Das Endergebnis ist nichtsdestotrotz gesichert."

Das sagt auch Volker Berninger, der Entwickler von PC-Wahl. "Bei dem schlimmsten Szenario würde jemand damit Verwirrung stiften. Dann würden zwar irgendwelche falschen Ergebnisse im Internet stehen, aber auf dem Papier wären noch immer die richtigen vorhanden. Das gibt Ärger und Verwirrung, hat aber keine Relevanz."

Um das Vertrauen der Bürger in eine demokratische Wahl zu erschüttern, muss jedoch nicht unbedingt das Endergebnis gefälscht werden. Zweifel genügen. Angreifer könnten beispielsweise die verfälschten Ergebnisse übertragen und zugleich die Übertragung der richtigen Ergebnisse blockieren. Was würde etwa passieren, wenn mit dem vorläufigen Ergebnis am Wahlabend verkündet würde, die AfD sei an der Fünfprozenthürde gescheitert – dieses Ergebnis dann aber später korrigiert werden müsste, weil die AfD tatsächlich sieben Prozent der Stimmen bekommen hat? Wie verliefe dann die Diskussion in Deutschland? "Das wäre wahrscheinlich verhängnisvoll", sagt Bennemann, der Gemeindewahlleiter.

ZEIT ONLINE und DIE ZEIT haben Experten vom Chaos Computer Club (CCC) gebeten, die Qualität von PC-Wahl zu prüfen. Das Programm sei so schlecht, dass es "nie hätte eingesetzt werden dürfen", sagt Linus Neumann, einer der Sprecher des CCC. Neumann hat zusammen mit seinem Kollegen Thorsten Schröder das Programm begutachtet. PC-Wahl ignoriere grundlegende Prinzipien von Sicherheit und Verschlüsselung, urteilen sie.

Bundeswahlleiter und BSI sind alarmiert

PC-Wahl habe nicht nur die Zielserver für die Übermittlung der Ergebnisse am Wahlabend voreingestellt. Auch das Passwort, das benötigt wird, um sich auf dem Server der nächsten Ebene einzuloggen, liefere es gleich mit. Damit niemand Unbefugtes an diese Passwörter kommt, sind sie in PC-Wahl verschlüsselt gespeichert. "Ein normaler Mensch kann die nicht auslesen, denn ich habe einen eigenen Kompressionsalgorithmus gebaut, da braucht es schon viel Gehirnschmalz, um den zu knacken", sagt PC-Wahl-Entwickler Berninger. Dem CCC gelang dies mühelos. Berninger hatte nicht damit gerechnet, dass die Hacker eine Vollversion seines Programms finden würden.

"Das ist keine richtige Verschlüsselung, sondern nur eine Maskierung", sagt Linus Neumann vom CCC. Außerdem sei die Formel, nach der die Passwörter maskiert würden, ebenfalls in PC-Wahl enthalten. Jeder, der Zugriff auf das Programm habe und die Verschlüsselung brechen könne, bekomme damit auch Zugriff auf die Passwörter und könnte so manipulierte Wahldaten weiterschicken.

Neumann vergleicht die Logik des Programms mit einem Mietshaus, in dem alle Wohnungen das gleiche Schloss hätten. Die Wohnungen seien zwar abgeschlossen, aber da jeder Schlüssel in alle Schlösser passe, sei das nicht wirklich sicher. 

Wahlhelfer sollen Ergebnisse von Hand prüfen

Und noch eine Schwachstelle hat der CCC entdeckt: PC-Wahl kann Dateien mit Wahlergebnissen für jedes Bundesland erzeugen, weil es in fast jedem Land irgendwo im Einsatz ist. Dadurch konnten die CCC-Analytiker ermitteln, wie die Dateien mit den Ergebnissen in den einzelnen Bundesländern aussehen müssen, um akzeptiert zu werden. Zusammen mit Tschirsichs Erkenntnissen ergibt sich daraus, dass Angreifer auch dort Wahlergebnisse fälschen könnten, wo PC-Wahl gar nicht im Einsatz ist – indem man die zu übermittelnden Dateien einfach imitiert.

Der Landeswahlleiter von Hessen hat, aufgescheucht durch Tschirsichs Recherche, eine Anordnung an alle Wahlhelfer erlassen. Sie sollen am 24. September sämtliche mit PC-Wahl übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, wo sie aufgelistet werden. Die Helfer sind angehalten, einen Ausdruck zu machen und diesen mit ihren Werten abzugleichen. Bei jeder Auffälligkeit sollen sich die Wahlhelfer telefonisch zu melden.

Auch auf Bundesebene sind die Behörden mittlerweile alarmiert. Am 28. Juli warnte das zuständige Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Bundeswahlleiter. Der informierte alle Landeswahlleiter. "Die Verhinderung von Manipulationsmöglichkeiten der Schnellmeldungen und damit des vorläufigen Wahlergebnisses hat für den Bundeswahlleiter höchste Priorität", so ein Sprecher. 

CCC hält Gegenmaßnahmen für wirkungslos

Berninger, der Erfinder von PC-Wahl, sagt, es werde in den nächsten Tagen eine aktualisierte Version des Programms geben. Die enthalte neue Sicherungsmechanismen. Der CCC hat auch diese neuen Sicherungen bereits analysiert. Sie ließen sich problemlos umgehen, heißt es in der schriftlichen Analyse des Clubs (Analyse einer Wahlsoftware, PDF). Angreifern würden sich bei der neuen Version beispielsweise "drei unabhängige triviale Wege" bieten, die nun installierte Verschlüsselung auszuhebeln. Das Fazit der CCC-Autoren: Sämtliche der nun hastig ergriffenen Gegenmaßnahmen "erwiesen sich bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen".

Auf die Frage, warum Sicherungsmechanismen nicht schon vor Jahren in die Software eingebaut worden sind, sagt Berninger, dafür sei von seinen Kunden "bisher kein Bedarf angemeldet worden". Auch eine umfassende Analyse und Zertifizierung des Programms habe es nie gegeben, räumt er ein.

Deutschland ist das Thema Wahlen bislang mit einer bemerkenswerten Unschuld angegangen. Die Stimmauszählung erschien als handwerkliches Problem, kein sicherheitstechnisches, und schon gar kein politisches. Aber die Zwischenfälle in den USA und Frankreich, wo im Wahlkampf gehackte interne Dokumente von Hillary Clinton und Emmanuel Macron auftauchten, zeigen, welche Angriffspunkte die digitale Welt bietet. In den Amtsstuben von Gemeinden wie Büdingen hat daran bislang kaum jemand gedacht. Wenn aber Martin Tschirsich und die Hacker vom CCC in der Lage sind, die in Deutschland eingesetzte Wahlsoftware zu knacken – dann können es Angreifer aus Russland ebenso.

Am Abend des 24. September wird Deutschland wohl wieder etwas analoger werden: Die Wahlleiter von Bund und Ländern haben sich vorsichtshalber auf "Meldeketten" verständigt, um die Ergebnisse persönlich übermitteln zu können. "Auf diese Meldeketten kann zurückgegriffen werden, wenn wider Erwarten die Probleme mit PC-Wahl nicht behoben werden können", heißt es beim Bundeswahlleiter. Meldeketten bedeuten: das gute, alte Telefon. Für den Technologiestandort Deutschland eine Blamage.

Demnächst soll PC-Wahl ausrangiert werden. Allerdings werden Computer damit nicht verbannt, die Software wird nur ersetzt. Tschirsich und die CCC-Hacker haben sich das Nachfolgeprogramm bereits angeschaut. Sie sind sich sicher, darin jede Menge Sicherheitsprobleme entdeckt zu haben.

Dieser Text erschien zuerst auf Zeit Online.

Zur Startseite