Defcon: 11-jähriger Hacker knackte US-Wahlsoftware in zehn Minuten

Wahlcomputer gelten als Schwachstelle im US-amerikanischen Wahlsystem. Jetzt haben Hacker auf einer Konferenz in Las Vegas gezeigt, dass sich Soft- und Hardware kinderleicht manipulieren lassen. Die zuständigen Behörden erheben Einspruch.

Sicherheitsexperten warnen immer wieder vorm alleinigen Einsatz von Wahlcomputern ohne Stimmzettel auf Papier. Denn: Jedes digitale System ist anfällig für Fehler und Manipulationsversuche.

Zum Teil sind die eingesetzten Wahlsysteme sprichwörtlich kinderleicht zu knacken, wie sich jetzt am Wochenende in Las Vegas gezeigt hat. Auf der weltweit größten Hackerkonferenz Defcon ist es einem Elfjährigen gelungen, sich in die nachgebaute Wahl-Webseite Floridas zu hacken und das Wahlergebnis zu manipulieren. Dafür brauchte der Junge nach Angaben der Veranstalter zehn Minuten.

Zahl der Stimmzettel geändert

Die Vorführung war Teil eines Hacker-Wettbewerbs, an dem sich Dutzende Kinder zwischen 8 und 16 Jahren beteiligten. Jeder Teilnehmer erhielt eine exakte Kopie des Wahlsystems aus sechs sogenannten "Swing States", also Bundesstaaten, die als wahlentscheidend gelten. Den meisten Kindern gelang es, Sicherheitslücken in dem jeweiligen Wahlsystem auszunutzen und entweder die Zahl der Stimmen oder Namen der Parteien oder Kandidaten zu ändern. Besonders anfällig waren Wahlsysteme, die vermeintliche sichere Datenübertragung nutzten, dabei jedoch auf abgelaufene SSL-Zertifikate vertrauten.

Auch die Wahlcomputer selbst, an denen Wähler ihre Stimme per Knopfdruck abgeben, erwiesen sich als angreifbar. Die Kinder konnten beispielsweise den Speicher einer Wahlmaschine überschreiben und abgegebene Stimmen entweder komplett löschen oder unbrauchbar machen.

Angreifer könnten Verwirrung stiften

Schon seit Jahren warnen IT-Sicherheitsforscher vor Risiken einer digitalen Wahlinfrastruktur. Auch in Deutschland wurden im vergangenen Jahr kurz vor der Bundestagswahl Sicherheitslücken in einer weit verbreiteten Wahlsoftware aufgedeckt. Eine nachhaltige Wahlmanipulation gilt zwar als ausgeschlossen, da hierzulande eine Nachzählung der Wahlzettel jederzeit möglich ist. Angreifer könnten jedoch zumindest vorläufige Wahlergebnisse ändern, dadurch Verwirrung stiften und Zweifel am Ergebnis schüren.

Schon der kleinste Zweifel am Wahlergebnis könnte das Vertrauen in die Demokratie erschüttern, warnen Gegner elektronischer Wahlen – insbesondere, wenn es keinerlei physische Belege über die Abstimmung gibt, wie etwa Wahlzettel. Die US-Regierung und viele Bundesstaaten wollen dennoch an Wahlcomputern festhalten. Im Staat West Virginia soll es bei Zwischenwahlen im November sogar möglich sein, seine Stimme per Smartphone abzugeben.

Die National Association of Secretaries of State (NASS), die die für Wahlen zuständigen Staatsbediensteten vertritt, verteidigte das elektronische Wahlsystem. In einer Stellungnahme teilte die Organisation mit, der Defcon-Hacker-Wettbewerb "spiegele nicht die Realität der elektronischen Abstimmung in den USA wider."

"Wir begrüßen zwar das Ziel der Defcon-Teilnehmer, Schwachstellen im Wahlsystem zu finden und zu melden", heißt es in der Mitteilung. Die künstliche Umgebung auf der Defcon sei jedoch nicht mit den tatsächlichen Gegebenheiten vor und am Wahltag vergleichbar. Die Konferenzteilnehmer hätten beispielsweise unbegrenzten Zugang zu Wahlmaschinen gehabt, von denen die meisten nicht mehr in Gebrauch seien. Die Wahlinfrastruktur werde sowohl auf nationaler wie auch auf lokaler Ebene auf digitalem und physischem Wege gegen Manipulationsversuche abgeschirmt.

Trotz dieser Versicherungen überschattet die Sorge vor einem möglichen Hackerangriff die kommenden Zwischenwahlen im November. Schließlich sehen es sämtliche Geheimdienste und Sicherheitsbehörden der USA inzwischen als erwiesen an, dass die Präsidentschaftswahl 2016 unter Einfluss russischer Hacker stattgefunden hat. Es sei gut möglich, dass es damals Angriffe auf die Wahlinfrastruktur gegeben habe, die bisher unentdeckt blieben, warnte der Geheimdienstausschuss im Senat.