Update: Wenige Tage vor der Bundestag hat der Software-Entwickler die Sicherheitslücken noch nicht geschlossen. Ein CCC-Sprecher sagte ZEIT Online: Durch Updates des Herstellers sei "das größte Einfallstor für Angreifer nicht wirksam beseitigt." Der Club habe nun selbst die unsicheren Programmteile neu geschrieben und dem Hersteller überlassen. Den Code haben die Programmierer hier veröffentlicht.
Das nach eigenen Angaben meistgenutzte Tool zur Stimmenauszählung in Deutschland, PC-Wahl, ist unsicher. Sicherheitsexperten haben der Software schwere Sicherheitslücken nachgewiesen: Sie lässt sich an mehreren Punkten manipulieren, etwa beim Update der Software oder bei der Übermittlung von Ergebnissen. Wie die ZEIT berichtet, hat das Bundesamt für Sicherheit in der Informationstechnik bereits die Wahlleiter gewarnt.
Ein Informatiker aus Darmstadt, Martin Tschirsich, hatte sich über das Internet ohne größere Probleme eine Vollversion von PC-Wahl beschaffen können. Neben ins Netz gesickerten Versionen der eigentlich nur für Behörden erhältlichen Software lassen sich auch Zugangsdaten und Passwörter für das Programm offen auf Webseiten von Partnern finden. Nachdem Tschirsich die Software und ihre Vorgänge analysiert hatte, fand er die Angriffsmöglichkeiten und wendete sich an den Chaos Computer Club (CCC) und die ZEIT: Die Aktualisierung über das Netz ist kaum geschützt und auch die Übermittlung der Daten leicht manipulierbar.
Selbst die internen Passwörter von PC-Wahl konnten Mitglieder des CCC problemlos knacken. Der Entwickler rechtfertigte, es habe nie große Anforderungen von Kundenseite gegeben.
Die mangelnde Vorsicht bei der eingesetzten Software stößt auf Verwunderung: Im vergangenen Bericht des Verfassungsschutzes hatte es eigentlich noch geheißen, Cyberangriffe könnten darauf abzielen, Wahlergebnisse zu manipulieren oder deren Übermittlung technisch zu unterbinden. Anzweifelbare Resultate könnten zudem der Legitimation einer künftigen Regierung schaden – selbst wenn es keine eigentlichen Manipulationen gab.
Die erste Reaktion des BSI auf die Bedrohung ist die Einrichtung von Melde- und Kontrollketten zwischen den Wahlbüros, Wahlleitern und den zentralen Stellen. Für die nächsten Bundestagswahlen soll PC-Wahl zudem aktualisiert werden. Dieses Update allerdings ist in Analysen von Tschirsich und dem CCC ebenfalls schon durch den Sicherheitscheck gefallen.
