Ach wie gut, dass niemand weiß, dass Sven Gerich eigentlich Sven Alfred Horst Gerich heißt. Der Oberbürgermeister von Wiesbaden hielt seinen Namen im Internet bisher kurz. Vielleicht passte das besser zum dynamischen Profil des Sozialdemokraten, vielleicht war es ihm einfach nicht wichtig. Wie dem auch sei, er sollte selbst entscheiden können, wie er genannt wird, und bisher klappte das auch. Nicht einmal sein Wikipedia-Eintrag nennt den vollen Namen des Politikers.
Bis jetzt. In Wiesbaden stehen die Wahlen für das Rathaus an. Sven Gerich will sich wählen lassen, Sven Alfred Horst Gerich ist selbst Wähler und kann seit einigen Tagen seine Briefwahldokumente online anfordern. Und genau da liegt das Problem: Der Chaos Computer Club (CCC) Mainz hat herausgefunden, wie man automatisiert die Adressdaten jedes einzelnen Wiesbadener Wählers aus dem Wahlregister ziehen kann. Unter anderem die von Sven Alfred Horst Gerich.
Nicht einmal der Schutz grundlegendster Daten ist gewährleistet.
Aber warum sind der volle Name eines Oberbürgermeisters und die Adressen einiger lokaler Wähler so wichtig? Weil der Fall des abrufbaren Wählerregisters zeigt, wie die digitale Bürokratie in Deutschland schon im Kleinen hinterherhinkt. Das Vertrauen der Deutschen in die IT-Fähikgeiten des Staats ist ohnehin nicht besonders hoch: Eine neue Infratest-Dimap-Studie zeigt, dass weniger als 24 Prozent sich darüber informieren, wie die Regierung mit ihren Daten umgeht. Nur 19 Prozent vertrauen dem Staat im Umgang mit persönlichen Informationen. Pannen wie in Wiesbaden zeigen, dass nicht einmal einfachster und grundlegendster Schutz gewährleistet ist. Das Vertrauen in eine digitale Bürokratie werden sie jedenfalls nicht gerade steigern.
„Adressdaten mögen auf den ersten Blick nicht besonders problematisch klingen. Aber eine Liste mit Namen, Anschrift und Geburtsdatum sämtlicher Wiesbadener Wahlberechtiger birgt großes Potenzial für Missbrauch“, schreibt der CCC Mainz in einem Blogeintrag. Die Hacker brauchten nur Namen und Geburtsdatum und erhielten so Zugriff auf eine PDF-Datei mit dem passenden Auszug aus dem Wählerverzeichnis. „Nach kurzem Gegentest bei anderen Mitgliedern war klar, dass es sich hier um einen fahrlässigen Fehler handelt“, schreiben sie. Es sei auch möglich gewesen, mehrere Anfragen von der gleichen IP-Adressen zu senden. Anti-Bot-Technologie wie CAPTCHA, die einen User als Menschen identifiziert, habe es nicht gegeben.
Sven Alfred Horst Gerich diente den Hackern als Proof of Concept. Es bleibt zu hoffen, dass solche Sicherheitslücken bei zukünftigen Wahlen auch auf Landes- und Bundesebene geschlossen werden. Schließlich steht im Grundgesetz: Sie sollen frei, gleich, unabhängig, allgemein, unmittelbar und vor allem geheim sein.
