Wahlsoftware unterstützt bei Übertragung und Auswertung von ausgezählten Stimmen

Die während einer Wahl abgegebenen Stimmen werden gesammelt und mittels verschiedener Verfahren elektronisch an das zentrale Büro des Landeswahlleiters übermittelt. Dort finden erste Berechnungen zur möglichen Sitzverteilung statt, deren Ergebnisse bereits an den Wahlabenden vorab veröffentlicht werden. Für diese ersten Auswertungen der zusammengeführten Daten werden üblicherweise Programme verwendet, die die festgelegten mathematischen Algorithmen anwenden, um schnell und zuverlässig vorläufige Ergebnisse bereitzustellen. Die Algorithmen für das Sitzberechnungsverfahren in Sachsen wurden zuletzt 2022 in einer Wahlreform geändert und festgelegt.

Aufgrund der restriktiven Informationspolitik des Landeswahlleiters ist der Name und die Version der eingesetzten Wahlauswertungs-Software nicht bekannt. Allerdings lässt das erst kürzlich geänderte Sitzberechnungsverfahren den Schluss zu, dass das aktuelle Verfahren entweder nicht oder nur fehlerhaft implementiert wurde. Zugrunde liegende Fehler könnten einfache arithmetische „Missverständnisse“ sein, Rundungsfehler oder schlicht eine stümperhafte Implementierung.

Allein: Wenn nicht einmal die verwendete Software bekannt ist, lässt sich nur spekulieren.

Wahlsoftware-Fehler haben schwerwiegende Konsequenzen

Wie jede Software ist auch Wahlsoftware für Fehler anfällig. In der Software-Entwicklung versucht man, solchen Fehlern durch eingehende unabhängige Prüfung und Transparenz entgegenzuwirken. Einerseits sollen Fehler so auffindbar und behebbar werden, andererseits sollen sie sich auch nachvollziehen lassen, wenn sie auftreten.

Für die Gültigkeit der Wahl ist allein das festgesetzte Verfahren nach Sainte-Laguë verbindlich und für jede Bürger:in nachvollziehbar. Wer möchte, kann eine manuelle Nachberechnung durchführen. Es ist also falsch zu behaupten, eine Partei hätte nach Bekanntwerden der Fehler Sitze gewonnen oder verloren. Es war lediglich der zunächst zur Schätzung der Sitzverteilung genutzte Taschenrechner defekt. Weil aber so ein defekter Taschenrechner kurz nach einer demokratischen Wahl entscheidende Unruhe im politischen Raum stiften kann, müssen sich die Hersteller solcher Software auch ihrer Sorgfaltspflicht bewusst sein. Grundsätzlich hat auch jede an der Wahl beteiligte Partei unmittelbar nach Veröffentlichung der vorläufigen Ergebnisse die Möglichkeit, den in der Wahlreform von 2022 festgelegten Algorithmus heranzuziehen, um die Ergebnisse selbst zu überprüfen.

„Insbesondere von den Parteien, die zunächst vom Rechenfehler profitierten, hätte ich erwartet, dass sie ihrer Verantwortung gerecht werden und selbst eine Korrektur der veröffentlichten Ergebnisse fordern“, sagt Thorsten Schröder, der bereits 2017 schwerwiegende Mängel an Wahlsoftware aufgedeckt hat. [0]

Transparenz bringt Sicherheit. Intransparenz hingegen …

Um die technischen Hintergründe prüfen zu können, erkundigte sich der Chaos Computer Club im Büro des Sächsischen Landeswahlleiters nach der verwendeten Software und dem verantwortlichen Hersteller. Die Auskunft wurde „aus Gründen der Sicherheit“ verweigert.

Dieses langweilige, altbekannte und stets falsche Totschlag-Argument kritisieren wir ausdrücklich. Das Gegenteil ist der Fall: Politik und das Vertrauen in die demokratische Politik basieren auf Transparenz auf allen Ebenen. Wenn das Vertrauen in die Demokratie nicht immer wieder aufs Spiel gesetzt werden soll, dann müssen Informationen über Algorithmen und Softwareprodukte bei demokratischen Wahlen veröffentlicht werden, ohne dass überhaupt jemand danach fragen muss.

Der Chaos Computer Club fordert für den Einsatz von Auswertungssoftware bei Wahlen:

1. Zugang zur verwendeten Software sowie Dokumentation, um die Implementierung und Fehler nachzuvollziehen (Anonyme Software-Spenden nehmen wir gerne entgegen).
2. Jegliche bei Wahlen eingesetzte Software muss mindestens als published Source mit öffentlichem Lese-Zugang auf die verwendeten Source-Code-Revisionierungs-Systeme zur Verfügung stehen. Für die Sicherheit der Software muss die Veröffentlichung unerheblich sein, was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der Fall wäre.
3. Berichte über die Audits der eingesetzten Software und Systeme müssen öffentlich sein.
4. Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen. Bedienfehler und Fehler in der Software müssen von vornherein mitbedacht werden.

Diese Forderungen haben wir schon 2017 gestellt, nachdem wir schwerwiegende Sicherheitslücken in weit verbreiteter Software gefunden und gemeldet hatten.

Links und weiterführende Informationen

• [0] Pressemitteilung: Software zur Auswertung der Bundestagswahl unsicher und angreifbar https://www.ccc.de/de/updates/2017/pc-wahl
• [1] Bericht: Analyse einer Wahlsoftware https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf
• [2] Die Hörversion der Analyse bei Logbuch:Netzpolitik: https://logbuch-netzpolitik.de/lnp228-interessierte-buerger