BundestagswahlDas Kreuz mit der Wahlsoftware

Gewählt wird in Deutschland mit Papier und Stift – doch auch Software spielt am Wahltag eine wichtige Rolle. Viele Details dazu werden geheimgehalten. Angesichts von Sicherheitsmängeln und Pannen in der Vergangenheit plädiert nicht nur der CCC für mehr Transparenz.

Tabelle mit Wahlergebnissen als Overlay über Hand, die einen Zettel in eine Box steckt.
Welche Software für die Übermittlung vorläufiger Wahlergebnisse genutzt wird, ist teilweise sehr intransparent. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Wahlurne: Element5 Digital, Tabelle: Bundeswahlleiterin

Die Bundestagswahl in Deutschland findet schneller statt als gedacht, am 23. Februar wird nun gewählt. Knapp drei Monate Zeit haben nun also Bundeswahlleiterin und andere, um alles vorzubereiten. Als die Ampel-Koalition zusammenbrach und etwa die Union auf eine sofortige Vertrauensfrage drängte, hatte die Bundeswahlleiterin Ruth Brand vor zu schnellen Neuwahlen gewarnt. Laut ihrem Brief (SZ €) brauche es auch „die Bereitstellung der notwendigen IT-Infrastruktur auf Ebene der Kommunen, der Länder und des Bundes“.

Anlass genug, der Frage nachzugehen: Wie ist Deutschland Software-technisch auf die nächste Bundestagswahl vorbereitet? Dazu hat netzpolitik.org nachgefragt, bei der Bundeswahlleiterin, dem BSI, einer Landeswahlleiterin und Wahlexperten.

Gewählt wird in Deutschland mit Papier und Stift, dennoch kommt an einigen Stellen Software zum Einsatz. Vom Wahlbezirk bis zur Bundeswahlleiterin können Wahlorgane ihre Auszählungsergebnisse mithilfe von Software erfassen, veröffentlichen und an die nächst-höheren Stellen weitergeben. Diese „Schnellmeldungen“ spielen vor allem für das vorläufige Wahlergebnis eine Rolle, also noch bevor das amtliche Endergebnis feststeht. Kommt es dabei zu Fehlern, gefährdet das zwar nicht die Korrektheit des endgültigen Ergebnisses – es beschädigt jedoch das Vertrauen in den wichtigen demokratischen Prozess.

Wahlsoftware wird dezentral eingesetzt – eine Übersicht fehlt

Wie viele Software-Produkte verwendet werden, ist nicht bekannt, denn der Wahlablauf ist in Deutschland dezentral organisiert, wie die Bundeswahlleiterin erklärt. „Das heißt, jede Gemeinde und jedes Wahlorgan entscheidet in eigener Zuständigkeit, ob (und welche) Hard- und Software hierfür verwendet wird.“ Das müssten diese Stellen der Bundeswahlleiterin auch nicht mitteilen.

In Baden-Württemberg verwenden fast 90 Prozent der Kommunen den „Wahlmanager“. Die Stadt Münster (NRW) verwendet zwar den „Vote-Manager“ für Erfassung und Publikation ihrer Ergebnisse, gibt die Ergebnisse aber nach eigenen Angaben telefonisch an die Landeswahlleitung weiter.

Durch die fehlende Übersicht lässt sich auch schwer sagen, ob die eingesetzte Software sicher ist. Neben der Dezentralität liegt das auch an der Geheimhaltung des Quellcodes. Manche Behörden, wie etwa die sächsische Landeswahlleitung, verschweigen sogar Namen und Hersteller der verwendeten Wahlsoftware.

Gefährliche Sicherheitslücken in der Vergangenheit

Aktuell gibt es zwar keine Hinweise auf gefährliche Sicherheitslücken, allerdings gibt die Vergangenheit durchaus Grund zur Sorge. 2017 hatte der Chaos Computer Club (CCC) die Software „PC-Wahl“ untersucht, damals laut Aussage des Herstellers das „meistgenutzte Wahlorganisationssystem in deutschen Verwaltungen“. Die Analyse des CCC ergab gravierende Sicherheitslücken. Unter anderem konnten manipulierte Update-Pakete über einen unzureichend gesicherten Server eingeschleust werden.

Auch beim „Wahlmanager“ hatten zwei Sicherheitsforscher 2021 Manipulationsmöglichkeiten gefunden, wie die Stuttgarter Zeitung berichtete, wenn auch vergleichsweise weniger gravierende als in der PC-Wahl-Analyse. Ein Sprecher des Herstellers „vote-it“ teilte der Zeitung damals mit, sie hätten die Hinweise der IT-Forscher „dankbar aufgenommen und entsprechende Optimierungen vorgenommen“.

Wie das BSI den Wahlvorgang absichert

In Bezug auf Software-Sicherheit verweist die Bundeswahlleiterin auf die Hilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieses unterstütze die Bundes- und Landeswahlleitungen.

Im Auftrag der Bundeswahlleiterin hat das BSI, wie es netzpolitk.org mitteilt, „zwei Penetrationstest der im Einsatz befindlichen Wahlsysteme“ durchgeführt. Um welche Wahlsysteme es sich handelte, schreibt das BSI nicht. „Bei IS-Penetrationstests werden vorrangig Schnittstellen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. Hierbei werden Konfigurationsfehler sowie noch nicht behobene Schwachstellen identifiziert.“

Zudem wurde der Sicherheitsstand von Behördenseiten im Internet untersucht. Im seinem letzten Lagebericht erwähnte das BSI außerdem ein „IT-Grundschutz-Profil Schnellmeldungen“. Auf den Schnellmeldungen basieren die vorläufigen Wahlergebnisse. Das Profil „macht entsprechende Vorgaben zur technischen Absicherung der Schnellmeldungen bei bundesweiten parlamentarischen Wahlen in der kommunalen Praxis“, schreibt das BSI. Die Umsetzung sei aber freiwillig.

Falsche Berechnung durch Software-Fehler

Doch nicht nur Sicherheitslücken können zum Problem werden – auch Softwarefehler können das vorläufige Wahlergebnis verfälschen. Das ist etwa bei der Landtagswahl in Sachsen geschehen, dort musste der Landeswahlleiter das vorläufige Ergebnis korrigieren. Als Grund für die falsche Berechnung, nach der die AfD zunächst eine Sperrminorität im Landtag erreicht hätte, gab die Landeswahlleitung einen „Software-Fehler“ an.

Drohen solche Software-Fehler auch bei der Bundestagswahl? Schließlich gab es nicht nur in Sachsen vor der Wahl Änderungen am Wahlgesetz, auch auf Bundesebene veränderte sich das Wahlrecht durch die Reform der Ampel. Nach der Reform ziehen maximal 630 Abgeordnete in den neuen Bundestag ein, wer künftig in einem Wahlkreis die meisten Erststimmen holt, ist außerdem nicht automatisch im neuen Parlament vertreten.

Nach einem Urteil des Bundesverfassungsgericht gilt die sogenannte Grundmandatsklausel weiter. Parteien ziehen also in der Stärke ihres Zweitstimmenergebnisses in den Bundestag ein, wenn sie in mindestens drei Wahlkreise per Erststimme gewinnen. Wurde alle Software an die Änderungen des Wahlrechts angepasst?

Dass sich ein Berechnungsfehler wie in Sachsen auf Bundesebene wiederholt, sieht Martin Fehndrich als ziemlich unwahrscheinlich an. Er ist einer der drei Betreiber des Blogs wahlrecht.de, der sich intensiv mit Fragen des Wahlrechts auseinandersetzt. „Die Gefahr würde ich als nicht so groß sehen, weil einfach mehr geändert wurde.“ Zudem wurde das Wahlrecht, zumindest für die Verteilung der Stimmen, in gewisser Weise vereinfacht. Die Zahl der Abgeordneten ist fest, Überhangs- und Ausgleichsmandate fallen weg. Ausschließen könne man natürlich trotzdem nicht, dass die Wahlleitungen eine alte Software verwenden, so Fehndrich weiter.

Im Wahlprüfungsausschuss bejahte die Bundeswahlleiterin Ruth Brand die Frage, ob das neue Wahlrecht implementiert sei. Allerdings müsse man nochmal beim Zusammenspiel „mit einzelnen Landesteilen“ gucken, „weil nicht alles beim gleichen IT-Dienstleister ist“. Auf die schriftliche Anfrage von netzpolitik.org schreibt die Bundeswahlleiterin: „Die in der in der Wahlnacht bei der Bundeswahlleiterin eingesetzte Software erfüllt die aktuellen Vorgaben und Anforderungen des Bundeswahlgesetzes und der Bundeswahlordnung und wurde mit mehreren Prüfverfahren getestet.“

Für Baden-Württemberg erklärt der staatliche IT-Dienstleister Komm.One: „Die Änderungen des Wahlrechts haben keine Auswirkungen auf die ‚Wahlmanager‘-Software“. Gleiches gilt laut Landeswahlleiterin Cornelia Nesch für die selbst entwickelte Software, die die Landeswahlleitung einsetzt. „Die Änderungen betreffen nur das Sitzzuteilungsverfahren, das bei der Bundeswahlleitung durchgeführt wird.“

Öffentlicher Quellcode für mehr Transparenz und Sicherheit

Doch um Fehler zu vermeiden, könnten die Wahlleitungen Software-seitig noch mehr tun, meint Wilko Zicht, Fehndrichs Kollege bei wahlrecht.de. „Sicher kann man der Bundeswahlleiterin vorwerfen, dass sie die Software auch nicht offenlegt. Das gehört zu einer transparenten Vorgehensweise und die Wahl ist der wichtigste Prozess, wie wir in diesem Land Macht übertragen.“

Mit dieser Forderung ist Zicht nicht alleine. Sowohl die Sicherheitsforscher bei der Untersuchung des „Wahlmanagers“ als auch der CCC im Zuge der PC-Wahl-Analyse plädierten für einen öffentlichen Quellcode. „Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen beteiligt ist, darf geheim gehalten werden“, forderte der CCC 2017. Auch Berichte über die Software-Überprüfungen müssten öffentlich sein.

Politik und Verwaltung stellen sich gegen diese Forderungen. Der oben erwähnte sächsische Wahlleiter verweigerte die Nennung der Software „aus Gründen der Informationssicherheit“. Auch die Bundeswahlleiterin schreibt auf unsere Anfrage, dass die Berichte zu den Software-Überprüfungen als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft seien. „Eine Veröffentlichung der Berichte würde gegen die Einstufung verstoßen und ein hohes Sicherheitsrisiko darstellen.“ Die baden-württembergische Landeswahlleiterin Nesch sagt zu der Frage, sie befürworte „den Einsatz quelloffener Software im Allgemeinen, wenngleich dies auch nicht frei von Risiken ist“.

„Veröffentlichung des Quellcodes weder gesetzlich noch vertraglich vorgesehen“

Neben dem vermeintlichen Sicherheitsargument spielen wohl auch die privatwirtschaftlichen Interessen der Software-Hersteller eine Rolle. So schreibt die Bundeswahlleiterin: „Die Entwicklung von Software im Auftrag der Bundeswahlleiterin erfolgt durch privatwirtschaftliche Softwarehersteller nach öffentlicher Ausschreibung. Eine Veröffentlichung des Quellcodes ist bisher weder gesetzlich noch vertraglich vorgesehen.“

Das kritisiert Linus Neumann, einer der Sprecher des CCC, gegenüber netzpolitik.org: Mehr unabhängige Überprüfungen würden helfen. „Dies wird aber nicht zuletzt durch die Hersteller der proprietären Software erschwert, wenn nicht gar vollständig verhindert. Die wenigen Hersteller konsolidieren sich zu einer marktbeherrschenden Stellung, was zu einer entsprechenden langfristigen Abhängigkeit und entsprechend wenig Druck führt, Dinge zu verbessern“, beklagt Neumann. Aus seiner Sicht ist es deshalb auch nicht unvorstellbar, dass sich ein Softwarefehler wie in Sachsen wiederholt.

Ohne eine Übersicht über alle eingesetzten Wahlsoftware-Anwendungen ist die Frage nach der Marktkonzentration schwer zu beantworten. Allerdings stammen sowohl „PC-Wahl“ als auch die Programme „Vote-manager“ und „Wahlmanager“ alle von der gleichen Firma – vote-it.

Warum die Software-Frage trotz Stift und Papier wichtig ist

Sowohl Zicht und Fehndrich von wahlrecht.de als auch die Wahlleiterinnen betonen allerdings, dass der Wahlauszählungsmechanismus bekannt sei und alles auch immer von anderen Menschen nachgerechnet werde. Zudem müsse man sich klar machen, dass das vorläufige Wahlergebnis nicht rechtlich bindend sei, erklärt Zicht. „Das vorläufige Wahlergebnis ist ‚quick & dirty‘, es beruht teilweise auf Schätzungen.“ Zu den Schätzungen komme es etwa, wenn bis zum späten Abend aus einem Wahllokal keine Ergebnismeldung vorliege und die Wahlhelfer:innen für die Wahlleitung auch nicht mehr erreichbar seien.

Auch die Bundeswahlleiterin sagt auf Anfrage von netzpolitik.org: „Das endgültige Wahlergebnis wird anhand der Niederschriften der Wahlorgane ermittelt und basiert letztendlich auf Papier.“ Die Bundeswahlordnung schreibt vor, dass Gemeinden die Stimmzettel auch nach der Zählung aufbewahren müssen, in der Regel bis 60 Tage vor der nächsten Bundestagswahl. Das erleichtert bei Zweifeln Nachzählungen.

Ungefährlich sind Fehler beim vorläufigen Wahlergebnis trotzdem nicht – egal, ob durch Software-Fehler oder Manipulationen in Folge von Sicherheitslücken. Rechtspopulist:innen und Demokratiefeinde nutzen solche Fehler, um Misstrauen zu säen und Wahlen als eine der wichtigsten demokratischen Institutionen zu diskreditieren. Das hat das Beispiel Sachsen gezeigt, wie der „Volksverpetzer“ anhand von Posts der AfD und rechten Influencer:innen nachzeichnet.

5 Ergänzungen

  1. In diesem Beitrag wurde ein Hype nicht berücksichtigt, die Auszählung durch eine sogenannte „KI“. Denn nur mit der sogenannten „KI“ Zählung werden Fehler vermieden.

  2. Alle Wahlarten sind in einer Weise manipulierbar, doch wo sind die Hürden größer?

    Klar ist die digitale Version ist die anfälligste bzw. Masse im großen Style und auch aus der Ferne von der Planung dann Produktion bis zur Wahlauswertung:
    Manipulierte Chipsets
    Produktionsfehler
    Betriebssystemfehler
    Updatefehler
    Bedienfehler
    Auswertungsfehler
    Garantie, Support, Verfallsdatum
    Lagerung der Geräte bis zur nächsten Wahl

    Nicht zu vergessen, dass ältere Menschen eine Scheue haben, so dass sie bei einem Automat eher nicht zur Wahl gehen.

  3. Also eigentlich… kann unverschlüsselt gesendet werden / wo lang und warum. Ist das innerhalb eines VPNs, womit ich im Internet nicht viel anfangen könnte, oder kann ich auch mein Handy als Hotspot etablieren?

    Klar, einige Fragen werden schon vorab berücksichtigt worden sein, aber wie wäre es, wenn das ganze auf Sicherheitsprobleme hin formal verifiziert würde? Der ganze Prozess, und zwar mit allen Schnittstellen dran, menschlich wie Kabel und Übergabe an Software, Sockets, sonst was.

    Klar ist, dass „kann unverschlüsselt“ auswählen, oder „kann ins Internet“ schon mal ziemliche red flags sind. Das kann sogar einem übermüdeten Top-Admin passieren, wenn er gerade hauptsächlich Mobilspiele zockt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.