Wer die Wahl hat …

Die IT bietet grundsätzlich zwei Wege der Einflussnahme bei Wahlen: durch direkte Manipulation von Wahlergebnissen in der Wahl-IT und durch die Beeinflussung der Wählermeinung innerhalb sozialer Netzwerke. In diesem Beitrag soll es um erstere gehen.

Inform_Awareness_Fotolia_60478671_XXL_blau_minus_Artikel.jpg

Inform Awareness Bildmotiv Artikel

Als Land der unbegrenzten Möglichkeiten geht Amerika schon lange konsequent den Weg der Digitalisierung. Schon seit 2000 sind sog. Wahlmaschinen – Wahlcomputer – in Gebrauch. Diese sind immer wieder Gegenstand von Pressemeldungen und Diskussionen, weil häufig Missbräuche hierüber bekannt werden. Seit weite Teile der US-Wahl-Infrastruktur vernetzt und z.T. über das Internet erreichbar sind, wird diese oder Teile davon immer häufiger Ziel von Hacker-Angriffen. Nachgewiesenermaßen erfolgreich waren solche Hacks z.B. 2016 bei der Wahl, in der Donald Trump zum US-Präsidenten gewählt wurde. Interessanterweise sind es gerade die Republikaner, die bislang eine Härtung der Wahl-Infrastruktur mit Erfolg im US-Senat blockieren. Im Jahr 2018 gab es z.B. bei den Zwischenwahlen in Florida eine Differenz von 3.000 Stimmen zwischen der ersten und der zweiten Auszählung. Diese große Lücke übersteigt signifikant die durch falsche Auszählung übliche Fehlermenge und ist nur durch direkte Wahlmanipulation erklärbar.

Die Amerikaner gehen jedoch noch einen Schritt weiter. Seit 2018 sind im Bundesstaat West Virginia die Senats-Wahlen per App über das Smartphone möglich. Das US Bundes-Wahlgremium prüft derzeit, ob dies auch für die bundesweiten Präsidenten-Wahlen machbar ist. Die Möglichkeiten, die sich Hacker, welcher Couleur auch immer, hierdurch bieten, möchte man sich gar nicht ausmalen.

In Deutschland hat das Bundesverfassungsgericht 2009 ein Urteil gefällt, das den Akt des Wählens über Wahlmaschinen bzw. über IT generell verbietet. Nicht verboten ist hierzulande jedoch das IT-gestützte Auszählen, Aggregieren und Übermitteln von Wahlergebnissen. Und auch hierbei sind Manipulationen möglich. Als normative Instanz beim Aufdecken solcher Schwachstellen hat sich hier der Chaos Computer Club (CCC) hervorgetan. So z.B. in 2017, als der CCC bei PC-Wahl, einer von vielen Kommunen in Deutschland genutzten Software, katastrophale Mängel festgestellt hatte. Manipulationen von Wahlergebnissen waren hier entweder direkt im System oder auf dem Transportweg sehr leicht möglich.

Auch in 2020 hat der CCC bei der auf Kommunalebene in Bayern eingesetzten Software OK-Vote eklatante Mängel festgestellt. U.a. könne man über eine CSRF[1]-Schwachstelle direkt falsche Wahldaten in das System einspeisen, ohne dass ein Administrator Kenntnis davon erhält.

Die erstaunliche Gemeinsamkeit bei den vorgenannten IT-Systemen ist, dass es keine spektakulären Bugs sind, die Manipulationen möglich machen, sondern schlicht der Mangel an grundlegenden sicherheitsrelevanten Konfigurationen wie das Nutzen einfacher CSRF-Tokens im verwendeten HTML-Code.

Aus diesem Grund wurde in Hessen das neue zentrale Wahl Erfassungs-System WahlenWeb in sog. Penetration-Tests auf Herz und Nieren geprüft. Hiermit wird sichergestellt, dass zumindest in dieser Komponente des Wahlprozesses in Hessen keine bösen Überraschungen lauern.

[1] Cross Site Request Forgery: spezieller Angriff im Rahmen eines Hacks

Hessen-Suche