29-jähriger Masterstudent zerlegt Wahl-Software

Cybersicherheit: Wahlsoftware von Student geknackt

Foto von Benjamin Krämer

von Benjamin Krämer -

IT-Sicherheit war schon häufiger ein Problem deutscher Behörden. Nun hat ein Informatikstudent das Programm 'PC-Wahl' auf Herz und Nieren geprüft und eklatante Sicherheitsmängel festgestellt, die an der Verlässlichkeit der Wahlergebnisse in zwei Wochen zweifeln lassen.

Denken wir an Wahlfälschungen, dann doch eher in Dritte-Welt-Ländern oder unter diktatorischen Regimen. Doch auch bei uns in Deutschland scheint es um die Cybersicherheit nicht besonders gut bestellt zu sein, was nicht zuletzt der wiederholt erfolgreiche Hackerangriff auf den Bundestag im März gezeigt hat. Das könnte am 24. September zum Problem werden, wenn 61,5 Millionen Wahlberechtigte an die Urnen gehen. Sie machen ihre Kreuze zwar noch immer auf Papier, allerdings werden die Ergebnisse in Datensätze übertragen, die dann über das Programm 'PC-Wahl' verarbeitet und weitergeleitet werden. Der Informatikstudent Martin Tschirsich von der Uni Darmstadt hat sich den Quellcode jetzt genauer angeschaut und ohne größere Anstrengungen Möglichkeiten zur Fälschung offengelegt.

Quellcode gefunden - per Google-Recherche

Die Zugangsdaten zur Wahlsoftware stehen frei zugänglich im Netz und der Quellcode gleich mit.

Das ist besorgniserregend, da besonders der kommenden Bundestagswahl mit Sorge entgegengeblickt wird. Nach den wahrscheinlichen Einmischungen Russlands in die US-Wahl 2016, gehackten Wahlcomputern und durch Hacker gestohlenen Daten, sind die Behörden alarmiert wie noch nie. Sie fürchten ähnliche Angriffe und Pannen wie in den USA. Wie ernst die Sicherheitslücke ist, die Tschirsich identifiziert hat, zeigt er an einem Beispiel: Per Google-Recherche findet er Teile der Wahlsoftware, die eigentlich nur an Kommunen verkauft werden darf, öffentlich zugänglich im Internet. Der Quellcode der Software wurde nie geprüft und von offiziellen Stellen untersucht, wogegen die Piratenpartei 2009 geklagt hatte. Die einzige Prüfung, die von den Landeswahlleitern jemals durchgeführt worden war, beinhaltete den Test, ob alle Zahlen auch ordnungsgemäß addiert werden.

Keine Sicherheitsstandards, Zugangsdaten öffentlich einsehbar

Doch es kommt noch schlimmer: Tschirsich findet auf der Website des Herstellers den passwortgeschützten Servicebereich - und das nötige Passwort gleich mit. Ein Kunde hatte nämlich eine Bedienungsanleitung für das Programm hochgeladen und die Zugangsdaten praktischerweise gleich mit. Mit dem Nutzernamen "Service" und dem Passwort "pcwkunde", ist diese Hürde auch schon überwunden. Der Student lädt sich die Software herunter, zerlegt den Quellcode und findet heraus, dass es sich um eine einfache Tabellenkalkulation handelt - mit keinerlei Authentifizierzungsverfahren oder Signaturen, wie es zum Beispiel bei Emailverkehr vorausgesetzt wird. Außerdem war es ihm problemlos möglich, eine gefälschte Programmversion inklusive gefälschter Daten im ftp-Backend des Herstellers zu hinterlegen. Auch der Chaos Computer Club schaltete sich nun ein und warnte, dass 'PC-Wahl' "niemals hätte eingesetzt werden dürfen".

Immerhin: Der Bundeswahlleiter ist auf das Problem aufmerksam geworden und hat seine Landeswahlleiter angewiesen, alle elektronisch übermittelten Endergebnisse mit den handgeschriebenen Originallisten abzugleichen.

Verwandte Themen
Sag uns deine Meinung!