Vereinigtes KönigreichHack von Wahlregister schürt Sorgen vor Manipulation

Die Daten von 40 Millionen britischen Wähler:innen sind nun in den Händen von Unbekannten. Sie wurden bereits vor mehr als einem Jahr gehackt, die Öffentlichkeit erfährt erst jetzt davon. Experten warnen, böswillige Akteur:innen könnten die Daten für gezielte Manipulationskampagnen missbrauchen.

Ain schwarzer Kasten mit unterschiedlichen Symbolen zur Auswahl, im Hintergrund die britische Flagge
Die Wahlen im Vereinigten Köngireich seien sicher, weil sie überwiegend auf Papier basieren, sagt der Chef der Wahlkommission CC public domain a digital voting box, union jack in the background, numbers running down a screen, in the style of the movie matrix

Unbekannte haben die IT der Wahlkommission des Vereinigten Königreiches gehackt und die Daten von Millionen britischen Wähler:innen erbeutet. Das teilte die Behörde Mitte der Woche der Öffentlichkeit mit. Demzufolge konnte ein „feindlicher Akteur“ bereits vor etwa 14 Monaten unbemerkt die Systeme der Wahlkommission infiltrieren, bevor die „verdächtigen Aktivitäten“ im Oktober 2022 bemerkt wurden.

Anders als in Deutschland müssen Menschen, die im Vereinigten Königreich wählen wollen, sich hierfür zunächst bei der staatlichen Wahlkommission registrieren. Potenziell von dem Hack betroffen sind laut der Behörde die Namen und Adressen aller, die zwischen den Jahren 2014 und 2022 als Wähler:innen registriert waren, dazu zählten auch Wähler:innen im Ausland. Auch das Mailsystem der Wahlkommission war von dem Hack betroffen und konnte von den bislang unbekannten Angreifer:innen eingesehen werden. So bekamen sie möglicherweise auch E-Mail-Adressen der Wähler:innen zu greifen, die in dieser Zeit die Wahlkommission kontaktiert hatten.

Die Wahlregister werden von regionalen Behörden gepflegt und sind laut Guardian grundsätzlich öffentlich zugänglich. Jede Person kann dort Einblick nehmen. Das betont nun auch die Wahlkommission, die nach Bekanntgabe des Hacks schrieb, ein „Großteil der Daten“ sei ohnehin schon öffentlich. Der Einblick kann allerdings nur bei einem persönlichen Besuch der lokalen Wahlbehörde erfolgen, bei dem ausschließlich handschriftliche Notizen gemacht werden dürfen.

Vorsitzender der Wahlkommission noch im Amt

“Wir bedauern, dass die notwendigen Sicherheitsmaßnahmen nicht in Kraft waren, um die Cyber-Attacke zu verhindern“, heißt es in einem Statement vom Vorsitzenden der Wahlkommission, Shaun McNally. Inzwischen habe man die notwendigen Schritte eingeleitet, um die Sicherheit der IT-System zu gewährleisten. Man könne heute zwar sagen, auf welche Systeme die Angreifer Zugriff hatten, nicht jedoch mit Sicherheit bestimmen, welche Daten sie tatsächlich abgegriffen hätten.

Der Kommissionsvorsitzende ist bislang nicht zurückgetreten und ist in seinem Statement merklich bemüht, die Bedeutung des Vorfalls herunterzuspielen. „Obwohl die Daten in den Wahlregistern begrenzt sind und viel davon ohnehin bereits öffentlich ist, verstehen wir, dass Bedenken entstanden sein könnten, weil jemand möglicherweise auf die Register zugegriffen habe.“ Die Wahlkommission habe den Vorfall schnellstmöglich der britischen Datenschutzbehörde gemeldet, diese untersuche den Fall derzeit.

Grundsätzlich seien die demokratischen Prozesse im Vereinigten Königreich so weit verästelt und in wesentlichen Aspekten weiter auf Papier beruhend, dass keine Gefährdung von dem Vorfall ausgehe. „Das bedeutet, dass es sehr schwer wäre, die Prozesse mit einem Cyber-Angriff zu beeinflussen.“

Gefahren für die Demokratie

Kritiker:innen sehen das anders. „Das größte Problem ist der Reputationsverlust der Wahlkommission und der Vertrauensverlust der Menschen in den demokratischen Prozess“, so etwa Professor Alan Woodward von der Universität Surrey im Guardian. Die Angreifer:innen seien tief in die System der Wahlkommission eingedrungen und seien dort für eine lange Zeit unbemerkt geblieben, kritisiert der IT-Sicherheitsexperte. „Unser Wahlsystem ist vollständig auf Vertrauen aufgebaut.“ Dieses Vertrauen werde unter dem Vorfall leiden.

Eine weitere Gefahr benennt der IT-Rechtler Michael Veale vom University College London. Er weist darauf hin, dass die erbeuteten Daten von böswilligen Akteur:innen für gezielte Manipulationskampagnen genutzt werden könnten. Veale erinnerte an einen Vorfall aus dem Jahr 2011 in Kanada. Hier hatte ein Mitarbeiter der konservativen Partei Wähler:innendaten genutzt, um Menschen an der Wahl zu hindern. Bürger:innen erhielten automatisierte Anrufe von vermeintlichen Regierungsbeamten, die sie davon überzeugen sollten, dass ihre Wahllokale verlegt worden seien.

Wenn man die Daten aus den britischen Wahlregistern mit anderen geleakten Daten kombiniere, ergebe sich ein großes Potenzial für ähnliche Desinformation in Großbritannien. Anwendungen generativer Künstlicher Intelligenz wie etwa ChatGPT könnten dazu genutzt werden, in großen Stil Desinformation aufzusetzen, die an die Wähler:innen adressiert ist.

Kein zentrales Wahlverzeichnis in Deutschland

Auch Julian Jaursch vom Berliner Think Tank Stiftung Neue Verantwortung warnt: „Gerade falls Wahlverzeichnisdaten mit anderen Daten, etwa zu Onlineverhalten, verknüpft werden, besteht ein erhöhtes Risiko, das Profile von Menschen erstellt werden. Darauf basierend wären theoretisch gezielte Ansprachen möglich, ohne dass Leute davon wissen oder dem zugestimmt haben.“

Der Hack aus Großbritannien könnte in Deutschland allerdings so nicht passieren. Deutsche Wähler:innen müssen sich nicht vorab für die Wahl registrieren. Die Wählerverzeichnisse der einzelnen Gemeinden werden hier automatisch erstellt. Eingetragen werden dort alle, die am Wahltag wahlberechtigt sind und ihren Hauptwohnsitz in der Gemeinde haben, die Daten kommen aus dem Melderegister. Eine zentrale Datenbank, in der alle Wähler:innendaten zu finden sind, gibt es in Deutschland also nicht.

2 Ergänzungen

  1. Die Möglichkeiten, die Personendaten zu missbrauchen, schätze ich als eher gering ein. Das abschnorcheln des gesamten E-Mail-Verkehrs der Behörde dürfte mehr Gefahrenpotential enthalten. Das wirkliche Problem an dem Vorfall ist der Umfang damit: Erstens, der Einbruch wurde im Oktober des Vorjahres entdeckt, aber erst jetzt publik gemacht – neun Monate später! Zweitens, laut der forensischen Analysen waren die Angreifer bereits seit August 2021 im System, konnten sich also 14 Monate lang ungehindert austoben!
    Übrigens lohnt auch noch ein Blick darauf, wie die Angreifer ins System eindringen konnten: über M$ Exchange. Was mich wieder in meiner These bestärkt: So lange die Behörden auf proprietäre SW und Geräte (in Potsdam war es Citrix) setzen, bekommen sie von mir nur die unbedingt erforderlichen Angaben, und auch die nur mit Bauchschmerzen. Verwaltung und Behörden müssen auf FOSS umstellen, so wie etwa Dänemark oder Estland. https://www.pc-fluesterer.info/wordpress/2023/02/11/wollt-ihr-die-totale-pkz-so-nicht/

  2. Eine elektronische Wahl lehne ich grundsätzlich ab.
    Das ist (für mich) kein gesichertes Wahlverfahren für eine demokratische Wahl.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.