Anmerkung: Dieses Posting erschien (leider) zuerst auf Facebook
Am vergangenen Donnerstag hat der Chaos Computer Club Schlagzeilen mit der Nachricht gemacht, dass durch schwerwiegende Schwachstellen der bei der Bundestagswahl in vielen Wahldienststellen eingesetzten Software “PC-Wahl 10” prinzipiell eine Manipulation der Bundestagswahl nicht ausgeschlossen scheint.
Ich versuche im Folgenden eine vorsichtige Bewertung für politisch interessierte Menschen, die sich mit einer Einordnung der vom CCC veröffentlichten technischen Details schwer tun. Ich berufe mich hierbei auf meine Erfahrung als Wahlhelfer (bei knapp 10 Wahlen in zwei Bundesländern innerhalb der vergangenen 13 Jahre, knapp die Hälfte davon als Vorsteher des jeweiligen Wahlvorstandes), mein abgeschlossenes Informatikstudium, sowie meine berufliche Praxis als Network Engineer und den dabei entstehenden Berühungspunkten mit IT-Security. IT-Security ist keineswegs mein Schwerpunkt, ich meine aber sämtliche vom CCC benannten Sicherheitslücken konzeptionell verstanden zu haben und einigermaßen bewerten zu können.
Für meine grundsätzliche Einschätzung muss ich unbedingt differenzieren, denn während ich der Meinung bin, dass man guten Gewissens sagen kann, dass die Integrität unserer Bundestagswahl und der korrekten Auszählung der Stimmen grundsätzlich nicht gefährdet ist, so ist der Befund des CCC schwerwiegend und alarmierend und stellt die Sicherheit der Zusammenführung der Ergebnisse in Frage. Vor allem angesichts des Ausmaßes an Nachlässigkeit und Unprofessionalität, die in dem untersuchten System stecken, vor dem Hintergrund des potentiellen Schadens eines großen Vertrauensverlusts in unsere Demokratie, sollten wir ernsthaft besorgt sein. Dennoch ist einer fatalistischen “Der Staat betrügt uns doch sowieso”-Stimmung dringend entgegen zu treten.
Was ist nun das Problem? Ein Team des CCC hat in den vergangenen Wochen die Software PC-Wahl 10 untersucht, mit der auf kommunaler oder auch darüber liegenden Ebenen die Wahlergebnisse einzelner Wahlbezirke (konkret also Wahllokale) erfasst, zusammengeführt und auf verschiedene Weise exportiert werden können. Darunter fallen Exporte für Online-Darstellungen auf kommunalen oder Webseiten der Landeswahlleiter oder Exporte für die Schnellmeldungen an höhere Stelle.
Die Software PC-Wahl litt dabei neben ihrer anachronistisch anmutenden Darstellung und Struktur – es handelt sich offenbar um ein recht altes Produkt – unter mehreren schwerwiegenden, konzeptionellen Problemen. Darunter die ungesicherte Übertragung von Ergebnissen an zentrale Server ohne verifizierbare Signaturen, der Einsatz von konzeptionell falsch gewählten Verschlüsselungstechnologien, ein produktives Setup betrieben durch einen kommunalen Dienstleister, bei dem leicht zu erratende und unsichere Passwörter zum Einsatz kamen, die darüber hinaus aus der Software heraus extrahiert werden konnten, sowie ein Schutz gegen manipulierte Software-Updates, der konzeptionell auch völlig unwirksam ist.
Besonders schwerwiegend ist, dass das Design der Software PC-Wahl an vielen Stellen nicht nur gegen grundlegende Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) verstößt, sondern dass tatsächlich grundlegende Sicherheitsregeln, die einem jeden bekannt sein sollten, missachtet wurden (katastrophale Standard-Passwörter). Zudem wurde Backend-Infrastruktur für einige Kunden sehr unprofessionell auf billigen Sharehosts und nicht auf dedizierten, gesicherten Systemen betrieben, was grundsätzliche Zweifel in die Befähigung des dort agierenden IT-Dienstleisters aufkommen lässt, die Bedeutung korrekter Wahlergebnisse tatsächlich ernst zu nehmen. Dementsprechend sind auch die in letzter Zeit erschienenen (und teilweise auch vom Bundeswahlleiter erwähnten) Updates der Software nur mehr Flickschusterei und beheben die konzeptionellen Probleme nicht ausreichend. PC-Wahl muss nach den Maßstäben, die sich die Bundesrepublik selbst in Bezug auf IT-Sicherheit gibt, als Totalausfall gelten.
PC-Wahl wird in vielen Kommunen und Bundesländern eingesetzt, wie viele tatsächlich betroffen sind, ist unklar, die Auswahl möglicher Alternativprodukte jedoch nicht groß und bei mindestens einem dieser Produkte wurden in der Vergangenheit ebenso schwerwiegende konzeptionelle Probleme festgestellt.
Eine Manipulation von durch PC-Wahl erfassten Wahlergebnissen und deren Weitergabe an höhere Stellen wäre also durch einen auch nur halbwegs entschlossenen und auch nur im Ansatz kompetenten Angreifer (beispielsweise einen ausländischen Geheimdienst) prinzipiell möglich gewesen und ist unter Umständen vielleicht sogar immer noch möglich. Das zeigen die vom Team des CCCs veröffentlichten Analysen(PDF) und Beispielcode, der die rudimentären Sicherungsmaßnahmen außerdem als wirkungslos belegt. Dies sollte jeden, der in die Organisation der Bundestagswahl von Verwaltungsseite oder ehrenamtlich involviert ist, aufmerksam werden lassen.
Denn prinzipiell ist eine Komponente wie PC-Wahl in der Vielzahl der Prozesse, die die Ermittlung des Gesamtergebnisses der Bundestagswahl ausmachen für sich genommen noch kein kritisches System. Die in den einzelnen Wahllokalen festgestellten Ergebnisse sind ohne Computerhilfe zustande gekommen und durch gewissenhafte Wahlhelfer auch als sicher anzusehen. Das Bundesverfassungsgericht trägt hieran einen großen Anteil, denn es hat mit seinem Urteil aus dem Jahr 2009 gegen den Einsatz von Wahlcomputern bei der Bundestagswahl 2005 grundlegende Kriterien aufgestellt, die zu erfüllen seien. Eine wesentliche Rolle dabei spielt die Feststellung, “dass die wesentlichen Schritte der Wahlhandlung und der Ergebnisermittlung vom Bürger zuverlässig und ohne besondere Sachkenntnis” überprüfbar sein müssen. Für die Wahlhandlung und die Auszählung der Stimmen im Wahllokal ist dies grundsätzlich gewährleistet. Das dabei für diesen Wahlbezirk ermittelte Ergebnis ist im Wahllokal nach Abschluss der Zählung durch den Wahlvorstand zu verkünden. Dies ist alles öffentlich!
Dieses öffentlich verkündete Ergebnis kann nicht nur später durch die jeweiligen Wahlprüfungsausschüsse und eventuelle Nachzählungen verifiziert werden, dieses öffentliche Ergebnis wiederum ist auch der Schlüssel dazu, die Ergebnisse einer unsicheren Komponente, wie die Software PC-Wahl, weiter zu verifizieren. Alle an der Organisation der Wahl Beteiligten – und diejenigen die sie beobachten (sollten), im Grunde also jeder – ist dabei aufgerufen, die von den Kreis-, Landes- und Bundeswahlleitern die im Nachgang der Wahl veröffentlichten Ergebnisse aufmerksam zu studieren und mit den im Wahlbezirk verkündeten Ergebnissen zu vergleichen. Für alle bei der Zusammenführung der Wahlergebnisse beteiligten Personen wäre es wichtig, die weitergegebenen Zahlen unabhängig der von PC-Wahl berechneten Exporte zu verifizieren.
All das ist viel Arbeit, die kaum jemand freiwillig machen möchte. Im Sinne unserer Demokratie wäre es dennoch wichtig dieses Augenmerk auf die Ermittlung des Wahlergebnisses zu werfen. Wir haben uns in Deutschland nämlich trotz der Erfahrungen in der DDR vor allem an eines gewöhnt: dass die Verwaltungsapparate in unserem Staat gut funktionieren und es ausreichend aufrichtige Menschen dort gibt, die ihre Arbeit so gewissenhaft erledigen, dass die vom Bundeswahlleiter festgestellten amtlichen Endergebnisse – mit Ausnahme kleinerer Korrekturen durch entdeckte Fehler – sehr vertrauenswürdig sind. Das Problem bei dieser Annahme liegt jedoch dort, wo diese Gewissenhaftigkeit der Berechnung der Ergebnisse abgelöst wird durch die gewissenhafte Eingabe in eine Software, deren Ergebnis nicht verifiziert wird, und von der niemand wissen kann, ob sie nicht doch manipuliert wurde. Die Wahl ist prinzipiell ohne Computer verifizierbar, sie müsste aber auch so verifiziert werden! Die Alternative einer verifizierbaren Open-Source-Software-Lösung, die kryptografisch signierte Wahlbezirksergebnisse als Eingabe annimmt und ein mit dem veröffentlichten amtlichen Endergebnis übereinstimmende Daten als Ausgabe produziert, steht nämlich nicht zur Verfügung. Die vom CCC dafür erhobenen Forderungen (siehe Veröffentlichung des CCC unten) unterstütze ich voll und ganz.
Abschließend muss eine bestimmte Gefahr nämlich als durchaus relevant bewertet werden und das Team des CCC weist darauf besonders und zurecht hin: Selbst wenn ein manipuliertes Ergebnis durch eine nachträgliche Verifikation entdeckt werden kann, so ist die Wahrscheinlichkeit relativ hoch, dass ein solches falsches Ergebnis zunächst in eine Schnellmeldung und vorher noch in eine Online-Veröffentlichung der Ergebnisse mit einfließt. Das verlorene Vertrauen in unsere demokratischen Prozesse, das allein durch das später nötig werdende Eingeständnis einer notwendigen Korrektur durch eine potentiell manipulierte Version einer Verwaltungssoftware bei der Zusammenführung der Wahlergebnisse entstünde, wäre nämlich enorm. Dies steht nämlich tatsächlich auf dem Spiel, wenn die reißerische Rede von “potentiellem Hacking der Bundestagswahl”, womöglich auch noch durch ausländische Geheimdienste, in der Öffentlichkeit die Rede ist.
Daher meine Bitte an jeden: nehmt die Sicherheit der IT-Systeme in unserer Verwaltung ernst, kämpft politisch für Freie und Open-Source-Software für solche kritische Infrastrukturen und beobachtet und verifiziert die Bundestags- und jede andere Wahl!
Weitere Links:
- Podcast “Logbuch Netzpolitik” Episode 228 – Sonderfolge zum Thema
- Meldung bei Heise Security
- Stellungnahme des Bundeswahlleiters und
- Reaktion auf Twitter von CCC-Sprecher Linus Neumann zu zwischenzeitlich veröffentlichten Updates