@CCC
38C3 - Der Thüring-Test für Wahlsoftware
https://media.ccc.de/v/38c3-der-thring-test-fr-wahlsoftware
(Alleine schon der Titel. 😉)

#38c3 #votegroup #wahlsoftware #ccc

Transparente #Wahlsoftware ist essenziell für faire Wahlen. Intransparente Strukturen gefährden unsere #Demokratie. Wir müssen sicherstellen, dass unsere Stimmen korrekt gezählt werden.

#Wahlsoftware:

Alle Wege führen nach Aachen

Bei der #Wahlsoftware gibt es in Deutschland einen relevanten Hersteller: die #votegroup GmbH. Ihre Eigentümerstruktur offenbart ein Geflecht aus Kommunen, kommunalen Beteiligungen und regionalen IT-Dienstleistern.

https://netzpolitik.org/2025/wahlsoftware-alle-wege-fuehren-nach-aachen/#netzpolitik-pw

Wahlsoftware: Alle Wege führen nach Aachen

Dieser Artikel stammt von Netzpolitik.org.

Wahlsoftware: Alle Wege führen nach Aachen

Bei der Wahlsoftware gibt es in Deutschland einen relevanten Hersteller: die votegroup GmbH. Ihre Eigentümerstruktur offenbart ein Geflecht aus Kommunen, kommunalen Beteiligungen und regionalen IT-Dienstleistern.

Deutschland wählt analog. Das gilt auch für die Bundestagswahl am 23. Februar. Doch neben Stift, Papier und Briefumschlägen kommt in Deutschland auch Software zum Einsatz. Am Wahltag selbst werden damit etwa sogenannte Schnellmeldungen erstellt, diese bilden die Basis des vorläufigen Ergebnisses für einzelne Wahlkreise, Bundesländer und die Bundesrepublik als Ganzes.

Doch wem gehören diese Softwareprodukte eigentlich? Warum ist der Quellcode nicht öffentlich? Und was hat das alles mit Aachen zu tun?

Qualitätsmängel und Fehler in der Vergangenheit

An den eingesetzten Software-Produkten gibt es immer wieder Kritik. Im September berechnete die Wahlsoftware in Sachsen die Sitzverteilung des vorläufigen Ergebnisses zunächst falsch. Dadurch sah es so aus, als würde die AfD eine Sperrminorität im Landtag bekommen. Das musste später korrigiert werden. Auch wenn die Korrektheit des eigentlichen Wahlergebnisses dadurch nie gefährdet war: Demokratiefeinde nutzten die Panne für Verschwörungserzählungen.

Sicherheitsforschende innerhalb und außerhalb des CCC fanden zudem immer wieder Sicherheitsmängel. Zuletzt zeigten Linus Neumann und Thorsten Schröder auf dem 38. Chaos Communication Congress, dass auch eine aktuelle Wahlsoftware-Anwendung Qualitätslücken hat. Der zentrale Vorwurf: Die Software signiere die übermittelten Ergebnisse nicht nach gängigen und etablierten BSI-Anforderungen.

Wer stellt die Wahlsoftware her?

Der Hersteller der kritisierten Wahlsoftware, die votegroup GmbH, schreibt dazu auf Anfrage von netzpolitik.org: Die im Vortrag dargestellte Software habe keinerlei Bezüge zur Bundestagswahl. „Dieses Softwaremodul wird ausschließlich in Rheinland-Pfalz zu den Kommunalwahlen verwendet, um die Stimmen einzelner Stimmzettel zu erfassen. Die angesprochene Signierung der Konfiguration, Transportmedien und Ergebnisse können verbessert werden. Auch könnten sicherere (digitale) Transportwege eingerichtet werden.“ Dies scheitere aber oft an dem Nichtvorhandensein einer dafür notwendigen Infrastruktur und sicherer Netzanbindungen.

Die votegroup GmbH ist nicht nur Herstellerin dieser einen Software. Sie ist der Platzhirsch unter den Wahlsoftware-Herstellern in Deutschland. Seinen Sitz hat das Unternehmen in Aachen, entwickelt wird an den Standorten in Berlin und Gütersloh. Die votegroup GmbH ist der Nachfolger der vote iT GmbH. Nach den Angaben von Geschäftsführer Dieter Rehfeld setzen über 90 Prozent der Kommunen Wahlsoftware der votegroup ein, ebenso die Bundeswahlleiterin und sieben Landeswahlleitungen.

Wir haben alle Landeswahlleiter:innen angefragt, welche Software sie verwenden und welche die Kommunen in ihrem Land. Das Ergebnis: Entweder verwenden sie selbst-entwickelte Lösungen – oder Produkte der votegroup. Keine einzige Landeswahlleitung nannte Produkte eines anderen Herstellers. Eine Online-Übersicht der votegroup nennt alleine für die Software „votemanager“ 3.161 Gemeinden, Städte und Verwaltungsgemeinschaften.

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„Verwendete Software der Landeswahlleitungen“ direkt öffnen

Diese marktbeherrschende Stellung hat sich die heutige votegroup in den letzten Jahren durch mehrere Übernahmen erarbeitet. Ihr Mutterkonzern kaufte 2016 den Hersteller von PC-Wahl. 2020 übernahm die votegroup (damals noch vote iT) IVU.elect. Auch die WRS Softwareentwicklung GmbH ist seit Dezember 2019 vollständig im Besitz der votegroup, das zeigen Dokumente aus dem Handelsregister.

Diese Unternehmensgeschichte erklärt auch, warum so viele unterschiedliche Softwareprodukte in Deutschland eingesetzt werden, obwohl sie zum gleichen Hersteller gehören. Auf netzpolitik.org-Anfrage erklärt die votegroup, dass „elect“, „Elect-WAS“, „IVU-elect“, „votemanager“, „Wahlabwicklungssystem (WAS)“ und „Wahlmanager“ eigenständige Produkte sind. Aktuell bestehe das Produktportfolio aus den Softwareprodukten votemanager und elect, schreibt die votegroup.

Wem gehört die votegroup GmbH?

Die votegroup ist vollständig in der Hand kommunaler IT-Dienstleister. 70 Prozent der Anteile hält die regio iT, ein kommunaler IT-Dienstleister für Aachen und die Region. Die Anstalt für Kommunale Datenverarbeitung Bayern (AKDB) hält weitere 20 Prozent der Anteile. Der Rest verteilt sich auf unterschiedliche kommunale IT-Dienstleister sowie den Wahlsoftware-Anwender-Verein.

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„Gesellschafter der votegroup GmbH“ direkt öffnen

Die kommunalen IT-Dienstleister wiederum sind mehr oder weniger direkt in der Hand der Kommunen. So ist das auch im Gesellschaftsvertrag der votegroup vorgesehen.

Dabei ist die Beteiligung der Kommunen durchaus unterschiedlich ausgeprägt. An der Regio iT ist beispielsweise die Stadt Aachen stark beteiligt, mit mindestens 47 Prozent. 10 Prozent der Anteile hält sie direkt, den Rest über die Energieversorgungs- und Verkehrsgesellschaft, welcher der Stadt zu 99,99 Prozent gehört.

Die AKDB wiederum wird getragen von den vier kommunalen Spitzenverbänden in Bayern, also den Interessenvertretungen der Kommunen.

Sind dann die Kunden nicht auch gleichzeitig die Eigentümer?

Dass die Kunden mittelbar auch gleichzeitig die Eigentümer der votegroup sind, ist auch im Gesellschaftervertrag geregelt. In diesem heißt es in §3: „Abnehmer der Leistungen können ausschließlich Gesellschafter bzw. die Mitglieder von Gesellschaftern sein. [..]“

Zum Teil kaufen die Kommunen die Software selbst, zum Teil kaufen zuerst die IT-Dienstleister die Software – um sie dann an Kommunen weiterzuverkaufen. Die AKDB beispielsweise bezeichnet sich als „Vertriebspartner“ der votegroup für Bayern. Sie sieht in dieser Doppelrolle keinen Interessenskonflikt. Es ermögliche der AKDB „vielmehr im Sinne ihrer Rolle für die bayerischen Kommunen auch deren Anforderungen an das Wahlprodukt mit in den Entwicklungsprozess einfließen lassen zu können.“

Auch die votegroup sieht in dieser Doppelrolle ihrer Gesellschafter/Kunden keinen Widerspruch: „Im Rahmen der interkommunalen Zusammenarbeit haben sich Kommunen und kommunale Unternehmen zusammengeschlossen, um Wahlsoftware in öffentlicher Hand sicher zu entwickeln und zu betreiben.“

Die Konstruktion mit den IT-Dienstleistern hat für die Kommunen weitere Vorteile: Laut dem Wissenschaftlichen Institut für Infrastruktur und Kommunikationsdienste können die IT-Dienstleister in der Regel „Inhouse-Geschäfte“ mit den Kommunen, die Träger, Mitglieder oder Gesellschafter der Unternehmen sind, abschließen. „Das bedeutet, dass die Kommunen Aufträge an sie direkt vergeben können. Die Aufträge sind mehrwertsteuerfrei und verursachen einen geringeren organisatorischen Aufwand, da keine Vergabeverfahren durchgeführt werden muss.“ Das betrifft nicht nur Wahlsoftware, sondern alle möglichen Arten von Software.

Trotz der Tatsache, dass die (End-)Kunden zumindest zum Teil gleichzeitig die Eigentümer sind, ist das Geschäft der votegroup profitabel. Laut ihren Jahresabschlussberichten erzielte die votegroup GmbH (damals noch unter dem Namen „vote iT“) in den Jahren 2021 und 2022 zusammengerechnet einen Gewinn von etwa 2 Millionen Euro.

Was passiert mit dem Gewinn?

Die votegroup schreibt dazu auf Anfrage: „Die votegroup GmbH muss für die sichere Weiterentwicklung der Software, für die wirtschaftliche Stabilität der Gesellschaft und für das Investment (Zinsen und Tilgung) ihrer Gesellschafter eine auskömmliche Rendite erwirtschaften.“

Wie die votegroup auf Anfrage bestätigt, floss der Gewinn in der Vergangenheit an die Gesellschafter zurück. In wie vielen Jahren das geschah und um welche Summen es insgesamt geht, ist unklar. Allerdings bleibt das Geld nicht nur bei den IT-Dienstleistern, also vor allem der regio iT und der AKDB. Die regio iT schüttet Ihren Gewinn zum Teil auch an ihre Gesellschafter aus.

So steht im Haushaltsplan der Stadt Aachen (2024, S. 3666), dass die Stadt „für Ihren direkten Anteil für das Geschäftsjahr 2022“ eine Nettogewinnausschüttung von 713.000 Euro erhielt. Im Vergleich zur Gesamtgröße des Haushaltsplans ist das ein sehr geringer Posten. Der Haushalt der Stadt Aachen umfasst zwischen 1,2 und 1,3 Milliarden Euro. Auf eine Anfrage von netzpolitik.org reagierte die Stadt Aachen nicht.

Die AKDB wiederum teilt mit, dass sie „als sogenannte ‚Selbsthilfeeinrichtung der Kommunen‘ und als Anstalt des öffentlichen Rechts“ nicht gewinnorientiert arbeite. „Alle Erlöse bleiben im Unternehmen und dienen nicht nur zur Deckung des laufenden Aufwands, sondern insbesondere auch der Neu- und Weiterentwicklung unserer Lösungsangebote.“

Unabhängig der konkreten Gewinnsummen bleibt die Frage: Wie sinnvoll ist die aktuelle Struktur, bei der eine Gesellschaft mit großem Aachener Anteil fast alle Kommunen in Deutschland mit Wahlsoftware beliefert?

Public Money – Secret Code?

So ist fraglich, warum die von der Öffentlichkeit bezahlte und im Besitz staatlicher Unternehmen befindliche Software nicht auch der Öffentlichkeit zur Verfügung steht – getreu dem Grundsatz: „Public Money – Public Code“. Jutta Horstmann, Geschäftsführerin des Zentrums für Digitale Souveränität in der öffentlichen Verwaltung (ZenDis), erklärt auf Anfrage, es gehe um mehr „Public Money – Public Code“. „Bei allen kritischen Systemen muss der Staat höchste Anforderungen an Digitale Souveränität und Transparenz anlegen.“

Im Fall von Wahlsoftware komme verschärfend hinzu, dass eine Wahl nicht einfach ein administrativer Prozess ist, sondern „konstituierend für die Demokratie“. Bürger:innen müssen den Wahlen und den Wahlergebnissen vertrauen. „Das geht nur, wenn der Code der verwendeten Software quelloffen und damit transparent ist“, bekräftigt Horstmann.

Mehrere Landeswahlleiter:innen verweisen darauf, dass das amtliche Endergebnis nicht von Software, sondern den gedruckten Stimmzetteln abhängt. „Alle Wahlunterlagen können und werden im Falle ihrer Entscheidungserheblichkeit bei Anfechtungs- und Wahlprüfungsverfahren auch zur Überprüfung herangezogen“, sagt etwa die Landeswahlleiterin des Saarlands.

Gegen die Veröffentlichung von Wahlsoftware führen Teile der Verwaltung Sicherheitsbedenken an. „Eine Veröffentlichung des Quellcode erfolgt insbesondere nicht, um die Sicherheit des Verfahrens zu gewährleisten“, schreibt etwa die Landeswahlleitung aus Rheinland-Pfalz, die gemeinsam mit Hessen eine Eigenentwicklung nutzt. Der CCC und andere argumentieren hingegen: Sicherheit durch Geheimhaltung funktioniere nicht, stattdessen würden Schwachstellen durch eine Offenlegung schneller bekannt – und die Software somit sicherer.

Wer steht in der Verantwortung?

Aus Sicht der Geschäftsführerin von ZenDis zeigt sich in der Debatte um Wahlsoftware auch ein generelles Problem: „Wir brauchen endlich einen Vorrang für Open-Source-Software im Vergaberecht. Verbunden mit dem klaren Ziel, die Beschaffung bis 2035 vollständig auf Open-Source-Software umzustellen und bis dahin einen schrittweise steigenden Open-Source-Mindestanteil bei Beschaffungsvorgängen und in Rahmenverträgen verpflichtend zu machen“, sagt Horstmann.

Auch viele Wahlleiter:innen aus Bund und Ländern verweisen auf eine fehlende Rechtsgrundlage und sehen keine Notwendigkeit einer Veröffentlichung.

Zudem schreibt uns die Landeswahlleiterin des Saarlands: „Eine Veröffentlichung des Quellcodes einer (Wahl)Software bedürfte der Einwilligung des jeweiligen Softwareherstellers.“ Die votegroup wiederum spielt den Ball zu den Kunden zurück: „Die Software kann nur in Abstimmung mit den jeweiligen Kunden veröffentlicht werden.“

Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel

Author: Leonhard Pitz

#aachen #fuhren #wahlsoftware

Wie sicher ist die #Wahlsoftware?

"Die #Votegroup selbst äußert sich nicht zur Kritik des #CCC.

Aber warum ist überhaupt die #Bundeswahlleitung für die IT-Sicherheit zuständig, wenn es eine Behörde gibt in Deutschland, die sich damit speziell auskennt?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hätte die fachlichen Kompetenzen, zu beurteilen, ob die Software sicher genug ist..."

Süddeutsche Zeitung Dossier - Platz der Republik:

https://www.sz-dossier.de/newsletters/platz-der-republik/2025-01-22-wie-sicher-ist-die-wahlsoftware

@bsi Technische Richtline zu #WahlSoftware, wann?

Der Einsatz unsicherer #Wahlsoftware bedroht die Integrität unserer demokratischen Prozesse.

#38C3 #ePa VW-Leck #Wahlsoftware etc etc

@linuzifer und @timpritlove bringen es mal wieder auf den Punkt. #LogbuchNetzpolik

https://logbuch-netzpolitik.de/lnp511-stand-der-technik-des-letzten-jahrhunderts

Ich hab mich als #Wahlhelfer angemeldet um mal diese #Wahlsoftware persönlich zu sehen. und ihr so?

Empfehlung vom #38C3:
Der Thüring-Test für #Wahlsoftware – Wie sieht es mit der Sicherheit der Wahlsoftware für die #BTW2025 aus?
– @linuzifer u. @ths
https://media.ccc.de/v/38c3-der-thring-test-fr-wahlsoftware

@linuzifer @ths Ist die in eurem Talk auf dem #38c3 kritisierte Signaturfunktion der #Wahlsoftware nicht ein klassischer HMAC und damit durchaus ernst zu nehmen?

Klar, Eigenimplementierung ist ne schlechte Idee (und danach sieht es ja aus), und wenn man bei der Erstellung zweistellige Kennziffern auswählt auch sinnlos. Aber es muss ja nicht immer alle asymmetrisch sein.

Bist. Du. Deppert. O.o
#Wahlsoftware

https://media.ccc.de/v/38c3-der-thring-test-fr-wahlsoftware/audio

#Bundestagswahlen: #Wahlsoftware immer noch unsicher

"Seit Jahren fordert der #CCC eine transparente Wahlsoftware. Wie sinnvoll das wäre, zeigt die Analyse eines weit verbreiteten Tools."

#38c3
https://www.golem.de/news/bundestagswahlen-wahlsoftware-immer-noch-unsicher-2412-192004.amp.html

#Wahlsoftware immernoch unsicher und das bei der aktuellen hybriden Bedrohung durch Russland und China! Das ist eine Gefahr für die Demokratie in Deutschland. Mit #PIRATEN wäre das nicht passiert! Putin freut's. Bringt uns auf den Wahlzettel: www.volksvernetzer.de #38c3

@kaiserkiwi Hi, danke, das hatte ich noch auf meiner TODO, jetzt nicht mehr 😅

Ich finde ja eine ePA generell eine gute Sache. Aber ich möchte die Kontrolle über meine Daten selbst haben. Solange da Nichts #Opensource und das ein typisch deutsches Digitalprojekt ist, wo sich am Ende nur wieder irgendwelche unfähigen Kackfirmen eine goldende Nase daran verdienen wird das nichts.

Siehe auch #Wahlsoftware.

@ths, @linuzifer und @bsi: Der Vortrag beim #38C3 ist ja einfach nur haarsträubend... was sind denn die Hürden, eine #OpenSource-#Wahlsoftware zu entwickeln und zu etablieren, die alle Kriterien des BSI erfüllt, einfach zu benutzen und natürlich sicher ist?

Den Schrott, der da jetzt gezeigt wurde, können wir doch alle besser!

Die aktuelle #Wahlsoftware zum Übermitteln der Ergebnisse entspricht leider nicht den Anforderungen des BSI und die 2017 beschriebenen Sicherheitsprobleme wurden nicht behoben.
#38C3 wünscht stets eine gute Wahl!
#ThüringTest @linuzifer

Beim #38C3 zeigen @ths und @linuzifer wie kontinuierliche Verbesserung bei #Wahlsoftware funktioniert. Von komplett Rot im Jahr 2017 zu zwei gelben Feldern im Jahr 2024. Bis alles grün ist, ist es quasi nur eine Sache von Sekunden oder Minuten …

Bundestagswahl: Das Kreuz mit der Wahlsoftware

Dieser Artikel stammt von Netzpolitik.org.

Bundestagswahl: Das Kreuz mit der Wahlsoftware

Gewählt wird in Deutschland mit Papier und Stift – doch auch Software spielt am Wahltag eine wichtige Rolle. Viele Details dazu werden geheimgehalten. Angesichts von Sicherheitsmängeln und Pannen in der Vergangenheit plädiert nicht nur der CCC für mehr Transparenz.

Die Bundestagswahl in Deutschland findet schneller statt als gedacht, am 23. Februar wird nun gewählt. Knapp drei Monate Zeit haben nun also Bundeswahlleiterin und andere, um alles vorzubereiten. Als die Ampel-Koalition zusammenbrach und etwa die Union auf eine sofortige Vertrauensfrage drängte, hatte die Bundeswahlleiterin Ruth Brand vor zu schnellen Neuwahlen gewarnt. Laut ihrem Brief (SZ €) brauche es auch „die Bereitstellung der notwendigen IT-Infrastruktur auf Ebene der Kommunen, der Länder und des Bundes“.

Anlass genug, der Frage nachzugehen: Wie ist Deutschland Software-technisch auf die nächste Bundestagswahl vorbereitet? Dazu hat netzpolitik.org nachgefragt, bei der Bundeswahlleiterin, dem BSI, einer Landeswahlleiterin und Wahlexperten.

Gewählt wird in Deutschland mit Papier und Stift, dennoch kommt an einigen Stellen Software zum Einsatz. Vom Wahlbezirk bis zur Bundeswahlleiterin können Wahlorgane ihre Auszählungsergebnisse mithilfe von Software erfassen, veröffentlichen und an die nächst-höheren Stellen weitergeben. Diese „Schnellmeldungen“ spielen vor allem für das vorläufige Wahlergebnis eine Rolle, also noch bevor das amtliche Endergebnis feststeht. Kommt es dabei zu Fehlern, gefährdet das zwar nicht die Korrektheit des endgültigen Ergebnisses – es beschädigt jedoch das Vertrauen in den wichtigen demokratischen Prozess.

Wahlsoftware wird dezentral eingesetzt – eine Übersicht fehlt

Wie viele Software-Produkte verwendet werden, ist nicht bekannt, denn der Wahlablauf ist in Deutschland dezentral organisiert, wie die Bundeswahlleiterin erklärt. „Das heißt, jede Gemeinde und jedes Wahlorgan entscheidet in eigener Zuständigkeit, ob (und welche) Hard- und Software hierfür verwendet wird.“ Das müssten diese Stellen der Bundeswahlleiterin auch nicht mitteilen.

In Baden-Württemberg verwenden fast 90 Prozent der Kommunen den „Wahlmanager“. Die Stadt Münster (NRW) verwendet zwar den „Vote-Manager“ für Erfassung und Publikation ihrer Ergebnisse, gibt die Ergebnisse aber nach eigenen Angaben telefonisch an die Landeswahlleitung weiter.

Durch die fehlende Übersicht lässt sich auch schwer sagen, ob die eingesetzte Software sicher ist. Neben der Dezentralität liegt das auch an der Geheimhaltung des Quellcodes. Manche Behörden, wie etwa die sächsische Landeswahlleitung, verschweigen sogar Namen und Hersteller der verwendeten Wahlsoftware.

Gefährliche Sicherheitslücken in der Vergangenheit

Aktuell gibt es zwar keine Hinweise auf gefährliche Sicherheitslücken, allerdings gibt die Vergangenheit durchaus Grund zur Sorge. 2017 hatte der Chaos Computer Club (CCC) die Software „PC-Wahl“ untersucht, damals laut Aussage des Herstellers das „meistgenutzte Wahlorganisationssystem in deutschen Verwaltungen“. Die Analyse des CCC ergab gravierende Sicherheitslücken. Unter anderem konnten manipulierte Update-Pakete über einen unzureichend gesicherten Server eingeschleust werden.

Auch beim „Wahlmanager“ hatten zwei Sicherheitsforscher 2021 Manipulationsmöglichkeiten gefunden, wie die Stuttgarter Zeitung berichtete, wenn auch vergleichsweise weniger gravierende als in der PC-Wahl-Analyse. Ein Sprecher des Herstellers „vote-it“ teilte der Zeitung damals mit, sie hätten die Hinweise der IT-Forscher „dankbar aufgenommen und entsprechende Optimierungen vorgenommen“.

Wie das BSI den Wahlvorgang absichert

In Bezug auf Software-Sicherheit verweist die Bundeswahlleiterin auf die Hilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieses unterstütze die Bundes- und Landeswahlleitungen.

Im Auftrag der Bundeswahlleiterin hat das BSI, wie es netzpolitk.org mitteilt, „zwei Penetrationstest der im Einsatz befindlichen Wahlsysteme“ durchgeführt. Um welche Wahlsysteme es sich handelte, schreibt das BSI nicht. „Bei IS-Penetrationstests werden vorrangig Schnittstellen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. Hierbei werden Konfigurationsfehler sowie noch nicht behobene Schwachstellen identifiziert.“

Zudem wurde der Sicherheitsstand von Behördenseiten im Internet untersucht. Im seinem letzten Lagebericht erwähnte das BSI außerdem ein „IT-Grundschutz-Profil Schnellmeldungen“. Auf den Schnellmeldungen basieren die vorläufigen Wahlergebnisse. Das Profil „macht entsprechende Vorgaben zur technischen Absicherung der Schnellmeldungen bei bundesweiten parlamentarischen Wahlen in der kommunalen Praxis“, schreibt das BSI. Die Umsetzung sei aber freiwillig.

Falsche Berechnung durch Software-Fehler

Doch nicht nur Sicherheitslücken können zum Problem werden – auch Softwarefehler können das vorläufige Wahlergebnis verfälschen. Das ist etwa bei der Landtagswahl in Sachsen geschehen, dort musste der Landeswahlleiter das vorläufige Ergebnis korrigieren. Als Grund für die falsche Berechnung, nach der die AfD zunächst eine Sperrminorität im Landtag erreicht hätte, gab die Landeswahlleitung einen „Software-Fehler“ an.

Drohen solche Software-Fehler auch bei der Bundestagswahl? Schließlich gab es nicht nur in Sachsen vor der Wahl Änderungen am Wahlgesetz, auch auf Bundesebene veränderte sich das Wahlrecht durch die Reform der Ampel. Nach der Reform ziehen maximal 630 Abgeordnete in den neuen Bundestag ein, wer künftig in einem Wahlkreis die meisten Erststimmen holt, ist außerdem nicht automatisch im neuen Parlament vertreten.

Nach einem Urteil des Bundesverfassungsgericht gilt die sogenannte Grundmandatsklausel weiter. Parteien ziehen also in der Stärke ihres Zweitstimmenergebnisses in den Bundestag ein, wenn sie in mindestens drei Wahlkreise per Erststimme gewinnen. Wurde alle Software an die Änderungen des Wahlrechts angepasst?

Dass sich ein Berechnungsfehler wie in Sachsen auf Bundesebene wiederholt, sieht Martin Fehndrich als ziemlich unwahrscheinlich an. Er ist einer der drei Betreiber des Blogs wahlrecht.de, der sich intensiv mit Fragen des Wahlrechts auseinandersetzt. „Die Gefahr würde ich als nicht so groß sehen, weil einfach mehr geändert wurde.“ Zudem wurde das Wahlrecht, zumindest für die Verteilung der Stimmen, in gewisser Weise vereinfacht. Die Zahl der Abgeordneten ist fest, Überhangs- und Ausgleichsmandate fallen weg. Ausschließen könne man natürlich trotzdem nicht, dass die Wahlleitungen eine alte Software verwenden, so Fehndrich weiter.

Im Wahlprüfungsausschuss bejahte die Bundeswahlleiterin Ruth Brand die Frage, ob das neue Wahlrecht implementiert sei. Allerdings müsse man nochmal beim Zusammenspiel „mit einzelnen Landesteilen“ gucken, „weil nicht alles beim gleichen IT-Dienstleister ist“. Auf die schriftliche Anfrage von netzpolitik.org schreibt die Bundeswahlleiterin: „Die in der in der Wahlnacht bei der Bundeswahlleiterin eingesetzte Software erfüllt die aktuellen Vorgaben und Anforderungen des Bundeswahlgesetzes und der Bundeswahlordnung und wurde mit mehreren Prüfverfahren getestet.“

Für Baden-Württemberg erklärt der staatliche IT-Dienstleister Komm.One: „Die Änderungen des Wahlrechts haben keine Auswirkungen auf die ‚Wahlmanager‘-Software“. Gleiches gilt laut Landeswahlleiterin Cornelia Nesch für die selbst entwickelte Software, die die Landeswahlleitung einsetzt. „Die Änderungen betreffen nur das Sitzzuteilungsverfahren, das bei der Bundeswahlleitung durchgeführt wird.“

Öffentlicher Quellcode für mehr Transparenz und Sicherheit

Doch um Fehler zu vermeiden, könnten die Wahlleitungen Software-seitig noch mehr tun, meint Wilko Zicht, Fehndrichs Kollege bei wahlrecht.de. „Sicher kann man der Bundeswahlleiterin vorwerfen, dass sie die Software auch nicht offenlegt. Das gehört zu einer transparenten Vorgehensweise und die Wahl ist der wichtigste Prozess, wie wir in diesem Land Macht übertragen.“

Mit dieser Forderung ist Zicht nicht alleine. Sowohl die Sicherheitsforscher bei der Untersuchung des „Wahlmanagers“ als auch der CCC im Zuge der PC-Wahl-Analyse plädierten für einen öffentlichen Quellcode. „Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen beteiligt ist, darf geheim gehalten werden“, forderte der CCC 2017. Auch Berichte über die Software-Überprüfungen müssten öffentlich sein.

Politik und Verwaltung stellen sich gegen diese Forderungen. Der oben erwähnte sächsische Wahlleiter verweigerte die Nennung der Software „aus Gründen der Informationssicherheit“. Auch die Bundeswahlleiterin schreibt auf unsere Anfrage, dass die Berichte zu den Software-Überprüfungen als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft seien. „Eine Veröffentlichung der Berichte würde gegen die Einstufung verstoßen und ein hohes Sicherheitsrisiko darstellen.“ Die baden-württembergische Landeswahlleiterin Nesch sagt zu der Frage, sie befürworte „den Einsatz quelloffener Software im Allgemeinen, wenngleich dies auch nicht frei von Risiken ist“.

„Veröffentlichung des Quellcodes weder gesetzlich noch vertraglich vorgesehen“

Neben dem vermeintlichen Sicherheitsargument spielen wohl auch die privatwirtschaftlichen Interessen der Software-Hersteller eine Rolle. So schreibt die Bundeswahlleiterin: „Die Entwicklung von Software im Auftrag der Bundeswahlleiterin erfolgt durch privatwirtschaftliche Softwarehersteller nach öffentlicher Ausschreibung. Eine Veröffentlichung des Quellcodes ist bisher weder gesetzlich noch vertraglich vorgesehen.“

Das kritisiert Linus Neumann, einer der Sprecher des CCC, gegenüber netzpolitik.org: Mehr unabhängige Überprüfungen würden helfen. „Dies wird aber nicht zuletzt durch die Hersteller der proprietären Software erschwert, wenn nicht gar vollständig verhindert. Die wenigen Hersteller konsolidieren sich zu einer marktbeherrschenden Stellung, was zu einer entsprechenden langfristigen Abhängigkeit und entsprechend wenig Druck führt, Dinge zu verbessern“, beklagt Neumann. Aus seiner Sicht ist es deshalb auch nicht unvorstellbar, dass sich ein Softwarefehler wie in Sachsen wiederholt.

Ohne eine Übersicht über alle eingesetzten Wahlsoftware-Anwendungen ist die Frage nach der Marktkonzentration schwer zu beantworten. Allerdings stammen sowohl „PC-Wahl“ als auch die Programme „Vote-manager“ und „Wahlmanager“ alle von der gleichen Firma – vote-it.

Warum die Software-Frage trotz Stift und Papier wichtig ist

Sowohl Zicht und Fehndrich von wahlrecht.de als auch die Wahlleiterinnen betonen allerdings, dass der Wahlauszählungsmechanismus bekannt sei und alles auch immer von anderen Menschen nachgerechnet werde. Zudem müsse man sich klar machen, dass das vorläufige Wahlergebnis nicht rechtlich bindend sei, erklärt Zicht. „Das vorläufige Wahlergebnis ist ‚quick & dirty‘, es beruht teilweise auf Schätzungen.“ Zu den Schätzungen komme es etwa, wenn bis zum späten Abend aus einem Wahllokal keine Ergebnismeldung vorliege und die Wahlhelfer:innen für die Wahlleitung auch nicht mehr erreichbar seien.

Auch die Bundeswahlleiterin sagt auf Anfrage von netzpolitik.org: „Das endgültige Wahlergebnis wird anhand der Niederschriften der Wahlorgane ermittelt und basiert letztendlich auf Papier.“ Die Bundeswahlordnung schreibt vor, dass Gemeinden die Stimmzettel auch nach der Zählung aufbewahren müssen, in der Regel bis 60 Tage vor der nächsten Bundestagswahl. Das erleichtert bei Zweifeln Nachzählungen.

Ungefährlich sind Fehler beim vorläufigen Wahlergebnis trotzdem nicht – egal, ob durch Software-Fehler oder Manipulationen in Folge von Sicherheitslücken. Rechtspopulist:innen und Demokratiefeinde nutzen solche Fehler, um Misstrauen zu säen und Wahlen als eine der wichtigsten demokratischen Institutionen zu diskreditieren. Das hat das Beispiel Sachsen gezeigt, wie der „Volksverpetzer“ anhand von Posts der AfD und rechten Influencer:innen nachzeichnet.

Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel

Author: Leonhard Pitz

#bundestagswahl #kreuz #wahlsoftware

@netzpolitik_feed die Argumentation gegen die Öffnung von #Wahlsoftware zeigt das Unwissen oder noch schlimmer wie schädlich die Argumentation ist da es um die Vertretung privater Interessen geht. Eine freie Wahlsoftware wäre auch europaweit interessant. #publiccode
Öffentliche Software sollte offen sein und auch immer in offener Hand sein so das private Interessen die Frucht öffentlicher Mittel nicht für sich behalten können. #copyleft