Wahlcomputer, Hacks und Pannen: So unsicher sind die US-Wahlen

Unsichere Wahlcomputer ohne Papierbeleg, übers Internet erreichbare Wählerregister, renitente Bundesstaaten: Die US-Wahl-Infrastruktur ist ein gefundenes Fressen für Angreifer jeder Art. Sie verschärfen die schon existenten zahlreichen legalen Bedrohungen des politischen Systems der USA.

Der Einsatz von Wahlmaschinen und Wahlcomputern ist in der USA an der Tagesordnung. (Symbolbild) Gemeinfrei Pete Souza – White House

Traditionell markiert der erste Montag im September, der Labor Day, den inoffiziellen Wahlkampfbeginn in den USA – für die in etwas über einem Jahr stattfindenen und mit Spannung erwarteten Präsidentschafts- und Kongresswahlen. Eine letzte Verschnaufpause noch im verlängerten Wochenende, bevor es für die Kandidaten – und die Öffentlichkeit – in die erste heiße Phase im Herbst geht.

Dieses Jahr ist die erste heiße Phase schon vorbei. Nach mehreren TV-Diskussionsrunden ist das Kandidatenfeld schon sichtbar ausgedünnter, für die kommende Runde haben sich bloß zehn Kandidatinnen und Kandidaten qualifiziert. Wer letztlich den Amtsinhaber, den Republikaner Donald Trump, herausfordern wird, entscheidet sich in den kommenden Monaten.

Eines lässt sich jetzt schon sagen: Gute Teile der Wahl werden auf unsicheren IT-Infrastrukturen stattfinden, die anfällig für Angriffe und Manipulationen sind. An Warnungen mangelt es nicht, zeigte doch das Jahr 2016, wie durchlässig das politische US-System ist. Doch obwohl sich die US-Öffentlichkeit weiterhin an den letzten Präsidentschaftswahlen abarbeitet, die von einer so beispiellosen wie vielschichtigen Manipulationskampagne dominiert war, scheinen die meisten Warnungen vor einer Wiederholung ohne Konsequenzen zu verpuffen.

E-Voting ohne Papierbeleg

So werden eine ganze Reihe an Wahlkreisen in insgesamt acht US-Bundesstaaten vollständig papierlose Wahlcomputer einsetzen, schätzt das Brennan Center for Justice in einer jüngst veröffentlichten Untersuchung. Rund 16 Millionen Wähler in Louisiana, New Jersey, Texas, Tennessee, Kentucky, Indiana, Kansas, und Mississippi – die meisten davon Südstaaten – werden demnach ihre Stimme IT-Systemen anvertrauen müssen, die keine unabhängige Überprüfung zulassen, etwa durch manuelles Nachzählen auf Papier ausgedruckter Bestätigungen.

Immerhin ging im Vergleich zur letzten Präsidentschaftswahl vor drei Jahren der Anteil solcher Stimmen zurück. Damals waren es laut Brennan Center noch fast 28 Millionen rein elektronisch abgegebene Wahlzettel. Das ist eine erfreuliche Entwicklung, aber immer noch zu wenig: Wahlcomputer lassen sich in der Regel genauso leicht hacken wie jedes andere IT-System auch.

Auf IT-Sicherheitskonferenzen wie der DefCon demonstrieren Wettbewerbe regelmäßig, dass derart zustande gekommenen Wahlergebnissen nur bedingt zu trauen ist. Im Vorjahr brauchte beispielsweise eine elfjährige Nachwuchs-Hackerin weniger als zehn Minuten, um das amtliche Endergebnis einer simulierten Wahl zu verfälschen.

Datenbanken mit Wählerregistern hängen im Internet

Das Ziel des Angriffs, eine Datenbank und kein Wahlcomputer, legt freilich offen, dass potenziell unsichere Wahlcomputer nur einen kleinen Teil des Problems ausmachen. Erfolgreiche Angriffe auf solche Geräte setzen nicht nur ein enormes Vorwissen über die zersplitterte Wahllandschaft voraus: Beispielsweise verwenden selbst benachbarte Landkreise oft unterschiedliche Hard- und Software, was den Aufwand für eine großflächige Manipulation deutlich nach oben schnellen lässt. Und sie benötigen in aller Regel auch physischen Zugriff auf die Hardware: echte Kisten in echten, abgesperrten Räumen.

Angriffswege über das Internet bieten deswegen ein besseres Kosten-Nutzen-Verhältnis. Besonders im Visier stehen von den Bundesstaaten betriebene Datenbanken, die das jeweilige Wählerregister vorhalten. Je nach Motiv könnten Angreifer eine bestimmte Partei bevorzugen und dem Gegner zugeordnete Registrierungen löschen. An Chaos interessierte Angreifer könnten einfach alles deaktivieren. Und Kriminelle werden zunehmend fündig bei finanziell ausgehungerten lokalen Verwaltungen, die ihre IT-Infrastruktur nicht ausreichend sichern.

Spätestens, seit dem US-Geheimdienst NSA vor einigen Jahren seine Hack-Werkzeuge entfleucht und für alle nutzbar im Internet aufgetaucht sind, häufen sich die erfolgreichen Angriffe. So war beispielsweise die IT der Stadt Baltimore monatelang lahmgelegt, ähnliche Fälle gab es auch in Texas oder Georgia zu verzeichnen.

WannaCry-Nachwehen

Die Attacken verlaufen dabei nach dem gleichen Muster: Mit sogenannter Ransomwareware brechen Angreifer in ein System ein, verschlüsseln es und geben es erst nach Zahlung einer Geldsumme wieder frei. Manche Kommunen beziehungsweise Unternehmen knicken ein und zahlen, manche tauschen mühselig ihre gesamte IT aus.

Doch während es sich Kommunen möglicherweise leisten können, über einen gewissen Zeitraum nur eingeschränkt handlungsfähig zu sein, steigt bei einem Wahlgang das Risiko, sich erpressbar zu machen. Nicht bezahlte Wasserrechnungen sind eine Sache, ins Wasser gefallene Wahlen eine andere.

Inzwischen ist das Problem so drängend geworden, dass die Bundesbehörde Cybersecurity Infrastructure Security Agency (CISA) bald eine entsprechende Initiative vorstellen und den Staaten unter die Arme greifen will. Diese IT-Systeme seien ein „hohes Risiko“, sagte ein Beamter gegenüber der Agentur Reuters, weil sie zu den wenigen Teilen des digitalen Wahlsystems zählten, die üblicherweise mit dem Internet verbunden sind.

Ober-Blockierer Mitch McConnell

Ob die Bundesstaaten die Hilfe annehmen werden, bleibt jedoch offen. Vor allem republikanische Administrationen verbitten sich jegliche Einmischung von Bundesbehörden in ihre Angelegenheiten und nehmen lieber unsichere Wahlen in Kauf, als „dem Staat“ den kleinen Finger zu reichen.

Beschränkt auf lokale Verwaltungen ist diese Haltung nicht, sie durchzieht die gesamte republikanische Partei. So blockiert etwa der Mehrheitsführer im US-Senat, der Republikaner Mitch McConnell, seit 2016 jeden Versuch, das politische System der USA gegen illegale Einflußnahme und Manipulation zu wappnen.

Im damaligen Wahlkampf war es zu groß angelegten Cyberangriffen auf Parteistrukturen und Einzelpersonen gekommen. Gehackt wurde, vielleicht mit Ausnahme des privaten Mailservers von Hillary Clinton, fast alles. Vermutlich russische Hacker im Staatsdienst hatten Schadsoftware im internen Netzwerk des Democratic National Committee (DNC) eingeschleust und dabei massenhaft Dokumente und E-Mails abgezogen. Später drangen sie in den privaten Mail-Account von John Podesta ein, dem Wahlkampfmanager der demokratischen Kandidatin Hillary Clinton.

Die E-Mails landeten auf Wikileaks und waren ein gefundenes Fressen für Trump, seine Parteikollegen und das rechte Medien-Ökosystem. Vertrauliche, interne Bemerkungen aus dem Vorwahlkampf der Demokraten wurden zu großen Staatsaffären aufgeblasen, Risotto-Rezepte zu angeblichen Kindesmord-Ritualen. Während sich letzteres zunächst zur „Pizzagate„- und später zur „QAnon“-Verschwörungstheorie entwickelte, ohne jeglichen Realitätsbezug, hinterließ ersteres bei so manchen Parteigängern einen fahlen Nachgeschmack.

Umgehend gehackte Telekonferenz-Systeme

Um Vorwürfe mangelnder innerparteilicher Demokratie zu entkräften, sollten deshalb sogenannte Caucuses, in einzelnen Bundesstaaten wie dem wichtigen Iowa übliche Vorwahlverfahren, mit Hilfe von Technik zugänglicher werden: virtuelle statt physische Versammlungen vor Ort sollten sowohl die Transparenz wie auch die Partizipation steigern. Doch das eingesetzte Telekonferenz-System war augenscheinlich so unsicher, dass die Demokraten kürzlich die Reißleine zogen und den Ansatz bis auf Weiteres beerdigten.

Alles in allem sind dies keine guten Vorzeichen für den Wahlgang in einem politischen System, das den überraschenden Sieg von Donald Trump im Jahr 2016 noch lange nicht verdaut hat. Der Unternehmer offenbar auch nicht: Trotz seines Erfolges verbreitet er weiterhin, wie schon vor der damaligen Wahl, Verschwörungstheorien angeblich massenhaft illegal abgegebener Stimmen. Einmischung von Außen, etwa seitens Russland, habe es hingegen nicht gegeben. In einem derart aufgeheizten Klima wird nur der kleinste Verdacht von Unregelmäßigkeiten ausreichen, um die Legitimität der Wahl noch stärker in Zweifel zu ziehen als ohnehin zu erwarten ist.

Demokratie auf dem Rückzug

Dabei humpelt das politische System der USA schon seit einiger Zeit gewaltig, mit unübersehbar rechter Schieflage. Und spätestens seit ihrem überwältigenden Sieg bei den Zwischenwahlen im Jahr 2010 arbeiten die Republikaner zielstrebig darauf hin, die eigene Macht – und vor allem das politische Gewicht der eigenen, weißen und relativ schrumpfenden Bevölkerungsgruppe – zu zementieren.

Aggressiv und bei Bedarf auch illegal zeichneten sie Wahlkreise neu, um trotz weniger Stimmenanteile realistische Chancen auf eine Sitzmehrheit im Repräsentantenhaus zu haben. Auch im Senat sind entvölkerte Landstriche, in denen meist republikanische Stammwähler wohnen, ähnlich überrepräsentiert – ein Problem, das sich in den kommenden Jahren nur verschlimmern wird.

Der ebenfalls konservativ dominierte Oberste Gerichtshof wiederum sieht nicht nur praktisch unbegrenzte (Schwarz-)Geldflüsse als legitime „politische Sprache“ an. Zudem hat der sogenannte Roberts-Court vor wenigen Jahren für Minderheiten essenzielle Schutzbestimmungen in mehreren US-Südstaaten aufgehoben – mit der Begründung, die USA hätten ihren Rassismus überwunden, weswegen dieser Schutz nicht mehr notwendig sei.

Die Folgen überraschten kaum jemanden: Besonders in von Minderheiten bewohnten Gebieten wurden hunderte Wahllokale geschlossen; Millionen von Wählern wurden aus den Registern gestrichen, was überwiegend Minderheiten trifft; auch sogenannte Voter-ID-Gesetze schließen vorrangig Nicht-Weiße von der Wahl aus.

Das US-amerikanische Wahlsystem ist fragil genug. Dass unsichere Wahlcomputer die bereits angeknackste Legitimität noch weiter unterhöhlen, dürfte nur die wenigsten freuen. Die dafür aber richtig.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.