In der Software PC-Wahl, die zur Auswertung der Daten der kommenden Bundestagswahl eingesetzt wird, wurden laut einer Untersuchung des Chaos Computer Clubs (CCC) in Zusammenarbeit mit Zeit Online schwere Sicherheitslücken entdeckt, die Angriffe und Manipulationen ermöglicht hätten.

Die Software ist eigentlich nicht öffentlich zugänglich, doch ein Partner des Herstellers hatte auf seiner Webseite eine Anleitung veröffentlicht, die Zugangsdaten für den FTP-Server enthielt - mit dem Nutzernamen »service« und dem Passwort »pcwkunde«.

Keine Signatur, keine Verschlüsselung

Die Untersuchung der Software ergab dann unter anderem, dass die von PC-Wahl errechneten Ergebnisse ohne Signatur und ohne Verschlüsselung an den Wahlleiter verschickt werden und damit problemlos fälschbar wären.

Das Programm wird bei neuen Wahlen auch aktualisiert, doch auch hier wurde das Passwort »ftp,wahl« für die Updates auf dem Server im Web entdeckt. Damit ließe sich die Software also direkt manipulieren, auf die Update-Server laden und dann an alle Gemeinden verteilen, die PC-Wahl einsetzen. Eine flächendeckende Manipulation wäre dann denkbar.

Integrierte Server mit Passwort »test"

Andere Probleme sind, dass das Programm bereits intern Server kennt, auf die beispielsweise in Hessen die Wahlergebnisse hochgeladen werden sollen. Diese Angaben sollten eigentlich geheim sein, doch anscheinend wurden sie integriert, um die Arbeit am Wahlabend leichter zu machen. Dass das Passwort für den Einwahlpunkt in Hessen »test« lautete, macht die Prozedur dann noch unsicherer. Laut CCC ist PC-Wahl sogar so unsicher, dass man es nie hätte einsetzen dürfen, da es grundlegende Prinzipien bei Sicherheit und Verschlüsselung missachte.

Damit die Bundestagswahl 2017 nun doch sicher durchgeführt werden kann, hat es inzwischen mehrere Updates für die Software gegeben, aber auch gute alte »Meldeketten«, bei denen die Ergebnisse unter anderem wieder analog und persönlich weitergegeben werden, sind nun für die Wahl geplant. Die Ergebnisse lassen sich auch per Hand überprüfen, da in Deutschland keine Wahlcomputer auf Bundesebene eingesetzt werden. Außerdem soll PC-Wahl demnächst durch andere Software ersetzt werden. Die ist allerdings laut CCC auch noch nicht sicher.