Bundestagswahl 2017: CCC liefert selbst Update für löchrige Wahl-Software

Andreas Frischholz 45 Kommentare
Bundestagswahl 2017: CCC liefert selbst Update für löchrige Wahl-Software
Bild: SPD Schleswig-Holstein | CC BY 2.0

Seit der Chaos Computer Club (CCC) die Sicherheitslücken in der Auswertungssoftware PC-Wahl enthüllt hat, versucht der Hersteller, die Schwachstellen zu beheben. Mit den Resultaten ist der Hacker-Verein allerdings nicht zufrieden und bietet kurz vor der Bundestagswahl nun selbst ein Update.

Offenkundig ist der Frust in den Reihen der Hacker mittlerweile so groß, dass sie nun ein als „Open-Source-Spende“ deklariertes Update anbieten, um „die gröbsten Löcher“ zu beseitigen. Konkret geht es um den Einbau einer digitale Signatur, die automatisch prüft, ob sowohl die Updates für das Programm als auch die Dateien mit den Wahldaten authentisch sind.

Kritik: Trotz Updates lässt sich immer noch Code einschleusen

Denn eines der zentralen Probleme bei der ursprünglichen Version von PC-Wahl war: Die Gemeinden müssen zwar regelmäßig Updates installieren, um etwa die aktuellen Wahllisten zu erhalten. Die Software prüfte aber nicht, ob es sich dabei um authentischen Code handelt. So bestand die Möglichkeit, dass Angreifer eine manipulierte Version einschleusen.

Der Hersteller hat am 13. September zwar selbst eine digitale Signatur implementiert, doch die Umsetzung ist mangelhaft, so der CCC. So müssten die Nutzer etwa manuell prüfen, ob ein Update signiert ist. Und obendrein existieren immer noch Schwachstellen, durch die der Prozess immer noch angreifbar ist. Den Hackern ist es eigenen Angaben nach schon wenige Stunden nach dem Update gelungen, erneut eigenen Code per Software-Update einzuschleusen. Demonstriert wird das in einem Video.

Die Konsequenz ist nun ein eigener Patch. So erklärt CCC-Sprecher Linus Neumann: „Resigniert stellen wir nun fest, dass es dem Hersteller nicht nur am Willen, sondern an Kompetenz und inzwischen auch an der notwendigen Zeit fehlt, seine Probleme nachhaltig in den Griff zu bekommen.

Außerdem hat der CCC noch den technischen Bericht (PDF) aktualisiert, in dem auch die neuen Fehler dokumentiert werden. An den Empfehlungen der Hacker hat sich derweil nichts geändert, die bleiben die gleichen wie bei der ursprünglichen Version.

Reformen für nächste Legislaturperiode angekündigt

Verwendet wird PC-Wahl bei der Auszählung und Übermittelung der Stimmergebnisse. Es ist zwar nicht die einzige Software dieser Art, die bei der Bundestagswahl zum Einsatz kommt. Aber laut Herstellerangaben diejenige, die am weitesten verbreitet ist. Angesichts der Berichte haben die Landeswahlleiter mittlerweile reagiert. So sollen Wahllokale etwa doppelt und per Hand prüfen, ob die übermittelten Ergebnisse mit den echten übereinstimmen.

Mit Blick auf die aktuelle Entwicklung ist es umso bemerkenswerter, dass Behörden schon länger von den Sicherheitslücken in PC-Wahl wussten, wie am Wochenende bekannt wurde. So hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon im März einige Maßnahmen empfohlen, um das „Sicherheitsniveau bei der Übermittlung vorläufiger Wahlergebnisse“ zu verbessern.

Rechtlich ist der Spielraum der Behörde aber beschränkt. Sie kann nur Empfehlungen aussprechen, für die eigentliche Kontrolle sind die Landeswahlleiter zuständig. Doch bei denen fehlt schlicht die technische Expertise, um ein Programm auf Software-Fehler hin überprüfen zu können.

Für die nächste Legislaturperiode fordert BSI-Präsident Arne Schönbohm daher Reformen. So soll nur noch Software zum Einsatz kommen, die vom BSI zertifiziert wurde. Änderungen wünscht sich auch der Chaos Computer Club, geht aber noch ein Stück weiter. Nötig wäre demnach ein komplettes Umdenken: „Von öffentlicher Hand bezahlte Software soll künftig auch öffentlich einsehbar und überprüfbar sein – insbesondere bei der Wahlauswertung, aber auch darüber hinaus.

Verwiesen wird dabei auf die Initiative „Public Money? Public Code!“. Bei dieser fordern mehrere Organisationen, in öffentlichen Einrichtungen künftig nur noch Software einzusetzen, die unter einer Open-Source- oder Freie-Software-Lizenz läuft.