Bundestagswahlen. Aber sicher?

Dr. Aleksandra Sowa

Desinformationskampagnen, Linksextremismus oder Hack and Leak dominieren die Schlagzeilen, wenn es um die Sicherheit der Bundestagswahl 2021 geht. Im Schatten dieser großen Themen bleibt aber noch immer genug Raum für das Praktische: für die Sicherheit – oder eben die Unsicherheit – der in den Wahlen und im Wahlkampf eingesetzten Technik oder den Schutz der Daten der Wahlkämpfer und der Kandidaten. Oder ihren Verlust. Klar ist: Der Wettkampf zwischen Codemakern und Codebreakern macht nicht vor der Bundestagwahl Halt. Alle vier Jahre wieder.    

Der Abend des 27. September 1998 bescherte Deutschland zweierlei: den seit Jahren ersten Sieg der Sozialdemokraten in den Bundestagswahlen und einen neuen Kanzler, Gerhard Schröder. Beides wurde ausgiebig in der Wahlkampfzentrale der SPD in Bonn gefeiert. Gefeiert hat auch das mobile Wahlkampfteam des Kanzlerkandidaten: An dem Abend waren die Server der SPD die einzigen, die der Flut der Webseitenanfragen durch die Fans des jungen deutschen Internets standgehalten haben. An diesem Abend war die Website der SPD die einzige unter den Websites der Parteien, die online blieb und den ganzen Wahlabend über live berichtete. Die Server in der Parteizentrale nutzten schließlich auch einige Journalisten, um ihre Liveberichte aus Bonn an die Redaktionen abzuliefern. Denn anderswo lief nicht mal die E-Mail.

Begr(e)if(f)liches

Cybersicherheit war im Wahljahr 1998 gewiss noch gar kein Begriff. Auch die Begriffe „Informationssicherheit“ oder „Netzsicherheit“ haben sich langsam und eher im technischen Hintergrund des bunten World Wide Web, den die Parteien in Deutschland nach dem Vorbild des erfolgreichen Wahlkampfs des US-Präsidenten Bill Clinton für ihre Arbeit entdeckten, etabliert. In der 9. Ausgabe des Webster’s New World Computer Dictionary aus dem Jahr 2001 sucht man vergeblich den Begriff „information security“. Es gab noch keine wesentliche Unterscheidung zwischen der Sicherheit in den Computernetzen oder der Computersicherheit – und einfach der Sicherheit als solchen. Diese wurde rudimentär definiert als: „The protection of valuable assets stored on computer systems or transmitted via computer networks.“ Das technische Team der SPD-Parteizentrale hat sich auf das Szenario eines potenziellen Nutzeransturms am Wahlabend vorbereitet und die Netzkapazitäten angemessen skaliert. Heute würde ein solches Szenario möglicherweise auch als Denial of Service Attacke (DoS) qualifiziert. An dem Septemberabend 1998 hat die Technik standgehalten. Von Sicherheit sprach niemand.

Dies hat sich im Wahlkampf 2013 geändert.

Fast schon mit Nostalgie erinnert man sich an die Zeit, als der Onlinewahlkampf der Parteien noch nicht so unglaublich professionell war, so durchtrainiert, einstimmig, von Werbeagenturen dressiert. Beispielsweise an die vorzeitige Ablösung des Experten für den Onlinewahlkampf im Kompetenzteam des Kanzlerkandidaten der SPD, Peer Steinbrück, im Jahr 2013. Oder an die Aufregung rund um die Website peerblog, die bereits nach wenigen Tagen des Betriebs mit einem medialen Paukenschlag vom Netz ging. Als Grund hierfür nannte die den Blog betreibende Agentur steinkuehler-com.de „fortwährende Cyber-Attacken auf den Server der Webseite peerblog.de“. Als Verursacher der Attacken gilt die sich als „T3AM M3DUSA“ bezeichnende Hackergruppe. Die Attacken hätten zu dauerhaften Ausfällen der Website geführt. Die Agentur zog daraus Konsequenzen und schaltete die Website ganz und endgültig ab, informierte sie in einer Pressemitteilung.

Kurz vor den Hackerangriffen, die zur Abschaltung der Website geführt haben sollen, ist peerblog.de allerdings aus einem anderen Grund in die Kritik geraten. Eine Diskussion entflammte nach den Äußerungen Peer Steinbrücks zur Finanzierung des Angebots nach dem Abgeordnetengesetz. Letztendlich ist der Blog nicht der öffentlichen Kritik gewichen, sondern den DDoS-Attacken von Hacktivisten. Bis heute bleibt es ein Rätsel, was die eigentliche Motivation der Hacker war. Manchmal verfolgen Hacktivisten ein übergeordnetes Ziel, eine einfache Vorstellung von Gerechtigkeit, oder es geht auch schlicht um Spaß – „(…) there is some LULZ factor in it“, wie es bei Anonymous heißt. Hacktivismus wird häufig als eine neuartige Form politischer Partizipation gewertet. Bei dem Angriff sollten keine brisanten oder vertraulichen Inhalte abhandengekommen sein. Ob nun die „Affäre Peerblog“ eine der wenig erfolgreichen „Späße“ der Hacktivisten war oder nur ein aufwendig inszenierter Abgang eines öffentlich dekonstruierten Informationsangebots, bleibt ein Geheimnis.

Reale Bedrohungen

Was blieb: die Internetsicherheit – bzw. das Fehlen dieser. Plötzlich war nicht nur von der Sicherheit der Kandidaten für den Bundestag auf der Roadtour, dem Bomben-Suchhunde-Kommando, Bodyguards und der Polizei die Rede. Auch im Internet konnte man angegriffen werden. Und das konnte hässlich werden. Deswegen packen das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesinnenministerium (BMI), der Bundeswahlleiter und sogar der Verfassungsschutz (BfV) im Wahlkampfjahr 2021 das Problem an der Wurzel. Das Thema ist ernst, denn: Die Bedrohung der Cyberangriffe ist real. Ob im Weltraum, den nun ein Weltraumkommando der Bundeswehr beobachten und überwachen sollte, oder auf der Erde, wo die Bundestagswahlen vor dem Einfluss fremder Mächte geschützt werden müssen. Die Sicherheit der Wahlen soll auf mehreren Ebenen gewährleistet werden: Es geht um Verteidigung gegen Desinformation und Fake News (hauptsächlich aus dem Ausland, aber auch Meinungsmache aus dem Inland sei schon beobachtet worden), Fitmachen der Politiker und Abgeordneten für den Wahlkampf mit Unterrichtungen und Leitfäden, Tipps und Empfehlungen des BSI – und um die Sicherheit des Wahlverfahrens als solchem.

Zwei erste Aspekte: Desinformation und Awareness-Training für Bundestagsabgeordnete sowie Parteien beschäftigen schwerpunktmäßig das BSI und den Bundeswahlleiter. Der beschwerliche Aspekt der Sicherheit des Wahlverfahrens bzw. der bei den Bundestagswahlen eingesetzten Auswertungssoftware beschäftigt dagegen schwerpunktmäßig den Chaos Computer Club (CCC), der kurz vor der letzten Bundestagswahl, im September 2017, einen Bericht veröffentlichte, in dem zahlreiche Lücken und Sicherheitsmängel in der Software „PC-Wahl“ aufgedeckt und gleich auch die praktikablen Angriffsszenarien mitgeliefert wurden. Diese würden die Manipulation von Wahlergebnissen auch über die Grenzen von Wahlkreisen und Bundesländern hinweg ermöglichen, teilte CCC in einer Pressemitteilung mit.

Gut aufgestellt

„Die Vorbereitung der Wahl und die Durchführung der Wahl sind sicher“, betonte deswegen Bundesinnenminister Horst Seehofer bei der Pressekonferenz zur Sicherheit der Bundestagswahl am 14. Juli 2021. Auf seiner Sonderseite zum Erkennen und Bekämpfen von Desinformation räumt der Bundeswahlleiter schon mal mit einigen der gängigsten Fake News zur Bundestagswahl in den sozialen Medien auf: „Wahlurnen seien nicht sicher. Versiegelte Wahlurnen könne man auf der Rückseite aufhebeln, ohne dass Siegel beschädigt und die widerrechtliche Öffnung bemerkt würde“ (Falschinformation). Oder diese (ebenfalls Falschinformation): „Die Briefwahl sei unsicher, sie sei leichter manipulierbar.“ Dem gegenüber stellte man Fakten zur Cybersicherheit der Wahlen unter „richtig ist …“ zusammen. So sollten die Anforderungen, die vom BSI übermittelt wurden, ein „durchgängig hohes Sicherheitsniveau nach dem Stand der Technik bei der Übermittlung der vorläufigen Ergebnisse am Wahlabend sicherstellen“, gab der Bundeswahlleiter bekannt. Offenbar ein Wink in Richtung des anno 2017 veröffentlichten CCC-Berichts. Es werden bspw. keine Wahlgeräte in Bundestagswahlen (und Europawahlen) eingesetzt. Und da die Stimmabgabe ausschließlich in Papierform erfolgt, so der Bundeswahlleiter, sei sie nicht „von der IT-Sicherheit abhängig und nicht manipulationsanfällig“. Das Analoge und Unvernetzte bzw. Entnetzte als Garant der Sicherheit der Bundestagswahl.

Ähnliches trifft auf die Briefwahl zu, betonte der Bundeswahlleiter Peter Thiel auf der Pressekonferenz im Juli. Auch dieses 1957 eingeführtes Verfahren zur Stimmabgabe sei – entgegen anderslautenden Falschmeldungen – sicher. Jedenfalls hatte man keine „Anhaltspunkte für Unregelmäßigkeiten in einem Ausmaß, dass sie das Wahlergebnis beeinflussen könnten“ gefunden.

Hack and Leak

Das BSI stellte Leitfaden und Informationsmaterial zur Selbststudie für Parteien zusammen; das BMI kündigte an, alle zu Bundestagswahl zugelassenen Parteien anlassbezogen unterrichten zu wollen. Das BfV steht „in intensivem Kontakt mit den im Bundestag vertretenen Parteien und Fraktionen“, informiert über die Gefahren. Das Angebot sollte auch für alle weiteren zu Bundestagswahlen zugelassenen Parteien gelten. BfV-Präsident Thomas Haldenwang erwartet darüber hinaus „vermehrt extremistische Straftaten“, die sich schwerpunktmäßig auf „Sachbeschädigungen an Wahlplakaten oder Einrichtungen der Parteien“ beziehen könnten. Gegebenenfalls sollte es „auch weiter Attacken gegen Wahlstände und Wahlveranstaltungen geben“. Im Wahlkampf würde auch der Linksextremismus eine Rolle spielen, so Haldenwang, hier komme es u. a. zu schwerer Gewalt gegen die politischen Gegner. Im Cyberraum wurden bisher solche Szenarien in Betracht gezogen, wie Phishing, zwecks u. a. Diebstahl persönlicher Informationen vom Politiker und Abgeordneten und evtl. spätere Verwendung zwecks Diffamierung oder Verbreitung von Falschinformationen, Hack and Leak oder Hack and Publish, Desinformationskampagnen aus dem Ausland und Inland.

Praktisch ist es aber oft auch so, dass nicht die Desinformation oder fremde Mächte die Parteien und Politiker sabotieren, sondern die Parteien sich selbst. Beispielsweise dann, wenn sie zur Unterstützung des Wahlkampfs Produkte und Verfahren einsetzen, die den datenschutzrechtlichen oder sicherheitstechnischen Anforderungen nicht genügen. So geschah es mit der Wahlkampf-App der CDU, die von der Sicherheitsforscherin, Lilith Wittmann, untersucht wurde. Die App „CDU Connect“ wird seit dem Bundestagswahlkampf 2017 eingesetzt, um Helfer bei Haustürgesprächen etc. zu unterstützen. „Auf dem ersten Blick ist mir dabei aufgefallen, dass die App gängige Security Practices wie Zertifikatsspinning nicht umsetzt und dass es somit supereinfach war, auf die Programmierschnittstelle zuzugreifen“, schrieb sie in ihrem Blog. Und sie fand allerlei: detaillierte Informationen zu jedem in der App erfassten Besuch, Inhalte der geführten Gespräche, persönliche Daten von 18.500 Wahlkampfhelfern inkl. E-Mail-Adresse, Fotos oder Facebook-Tokens sowie persönliche Daten von 1.350 Unterstützern, inkl. Adressen, Geburtsdaten und Interessen. „Fragen, warum ich einfach so bei denen vorbeikomme und die vollquatsche wegen der CDU“ soll eine „20-Jährige aus Königs Wusterhausen“ den Wahlhelfern gesagt haben. Lilith Wittmann hat den Eintrag in der App zwischen vielen anderen gefunden und dokumentiert – und informierte über die eklatanten Sicherheitsmängel den CERT-Bund, die Berliner Beauftragte für Datenschutz, später auch den Datenschutzbeauftragten der CDU. Die gleiche Sicherheitslücke hatte sie auch in den Apps der CSU und der Volkspartei gefunden.

Obwohl das Team der CDU Connect angab, dass die App in der Regel keine personenbezogenen Daten erfassen würde, vermutet Wittmann, dass die Sicherheitslücke seit Jahren bestehen musste, ohne dass man den Umfang des möglichen Datenabflusses jetzt noch richtig quantifizieren kann. Die explizit personenbezogenen Daten, die von der App gespeichert werden, sind nur ein Teil des Problems. Weitere Möglichkeiten der Wählermanipulation oder Einflussnahme ergeben sich aus den nicht personenbezogenen Daten, die durch Verknüpfung oder Matching mit Daten aus anderen Quellen rückwirkend eindeutige Identifizierung einer Person (und u. a. ihrer Meinung zur CDU) ermöglichen. Insbesondere auf Straßen mit wenigen Hausnummern wären die Daten hinreichend, so Wittmann.

Gut aufgestellt 2.0

Doch zurück zu der Pressekonferenz zur Sicherheit der Bundestagswahl und zu aktuellen Cyberbedrohungen. Man nehme „das Interesse bestimmter Staaten zur Kenntnis, auf die Bundestagswahl Einfluss zu nehmen“, sagte der BfV-Präsident. „Unsere Sicherheitsbehörden haben das im Blick, sie sind gut vorbereitet“, ergänzte Bundesinnenminister Horst Seehofer. Man zeigt oft auf Länder wie Russland oder China, von dort erwartet man vermehrt Versuche der Wahlmanipulation mittels Desinformation. Aber auch „intensive Angriffsaktivitäten eines Cyberakteurs in Deutschland“ werden vom BfV beobachtet. „Nach bisheriger Erkenntnislage ist ein nachrichtendienstlicher Hintergrund wahrscheinlich“, so der BfV-Präsident.

Im James-Bond-Film „Golden Eye“ wird eine Radaranlage zerstört und dabei eine fortgeschrittene Technologie entwendet. Der für die Untersuchung zuständige General Ourumov berichtet in einer Szene dem Verteidigungsminister Mishkin von den Ergebnissen und verkündet, das Verbrechen sei das Werk des sibirischen Separatisten gewesen. Mishkin ist skeptisch: Was sei aus den beiden seit dem Vorfall vermissten Technikern geworden, möchte er wissen. Und ergänzt mit einem Satz, der die Problematik der Attribution, d. h. einer eindeutigen Zuordnung von Cyberattacken zu einem bestimmten Urheber, gut wiedergibt: Es wäre politisch unklug, die Schuld an diesem Vorfall sibirischen Separatisten anzulasten, bevor man wüsste, was mit den vermissten Leuten passiert ist.

In Erwartung großer Desinformationskampagnen oder gar Bedrohungen aus dem Weltall ist es dennoch ganz wichtig, die Wahlkampf-Apps verantwortungsbewusst zu entwickeln und Mindestanforderungen an Informationssicherheit und Datenschutz beim Betrieb der Wahlsoftware, Websites, Blogs oder Social Media Accounts zu berücksichtigen oder einfach auch die E-Mail-Verschlüsselung bei Abgeordneten oder in den Parteizentralen per default vorzuinstallieren. Informationssicherheit ist oft harte und mühselige Arbeit, jenseits von Glamour und Blitzlichtern der Wahlkampfveranstaltungen. Demokratie auch. Spätestens in vier Jahren werden wir wieder über beide reden müssen.

Dr. Aleksandra Sowa ist Autorin, Spezialistin für Informationssicherheit, technischen Datenschutz und Datenschutzaudit/-revision. Sie ist Mitglied der Grundwertekommission der SPD und Sachverständige für IT-Sicherheit im Innenausschuss. Dr. Sowa gründete und leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Sie ist Autorin diverser Bücher und Fachpublikationen zum Thema Datenschutz, IT-Sicherheit und Digital Politics/Netzpolitik.