Wenn am 24. September 61,5 Millionen Deutsche wählen dürfen, ist der Ablauf so klar geregelt wie ein Gottesdienst: Wer darf wann wie wo seine Stimme abgeben? Wer zählt wann aus? Die Bundestagswahlen sollen transparent sein für die Bürger, per Stift und Papier wird gewählt und dann öffentlich in den Wahllokalen gezählt. Jeder kann zuschauen.

Doch während anfangs alles von Hand gemacht wird, kommen beim Zusammenrechnen aller Stimmen aus den 299 Wahlkreisen schnell Computer und Software ins Spiel. Dieser Technikeinsatz bietet offenbar Anlass zur Sorge: Sicherheitsforscher haben gravierende Schwachstellen in einer Software entdeckt, die zum Erfassen und Auswerten von Stimmen bei der Bundestagswahl 2017 eingesetzt wird.

Wie die "Zeit" zuerst berichtete , hat sich der IT-Wissenschaftler Martin Tschirsich, 29, aus Hessen mit der Software PC-Wahl auseinandergesetzt und unter anderem herausgefunden, dass sich die Software von Angreifern theoretisch manipulieren lässt. Experten vom Chaos Computer Club (CCC) konnten die Angriffe nachvollziehen und weitere Sicherheitslücken  aufdecken (hier die vollständige Analyse im PDF ). Der Hersteller von PC-Wahl dementiert dagegen, dass seine Software unsicher sei.

Ein Angriff würde das Vertrauen ins Wahlsystem erschüttern

Durch Manipulationen bei der Software könnten womöglich die vorläufigen Wahlergebnisse durcheinander gebracht werden, es würde Verunsicherung gestreut. Die finalen amtlichen Endergebnisse gelten hingegen dank des komplexen Schutzsystems als verlässlich. Trotzdem könnte der Schaden für die deutsche Demokratie beträchtlich sein, käme es zu einem solchen Angriff. Das Vertrauen in das Wahlsystem wäre nachhaltig erschüttert.

Die Angst vor Wahlmanipulationen treibt seit den Wahlen in den USA und Frankreich viele Deutsche um. Auch Informatiker Tschirsich. Die Stimmabgabe läuft zwar - anders als etwa in den USA - komplett analog. Wahlcomputern hatte das Bundesverfassungsgericht 2009 eine klare Absage erteilt . "Aber irgendwann werden die Ergebnisse doch irgendwo eingetippt. Und ab dann passiert vieles digital", sagt Tschirsich dem SPIEGEL.

Technik-Flickenteppich in den Bundesländern

Die Stimmauswertung kann man sich vorstellen wie einen Staffellauf im Weihnachtsbaum-Format: Auf der untersten Ebene stehen die Wahllokale in Wahlbezirken. Von dort aus werden die Einzelergebnisse Richtung Spitze weitergegeben bis zum jeweiligen Landeswahlleiter. Jedes Bundesland hat seine eigenen Regeln, wie Einzelergebnisse übermittelt werden, etwa per Telefon, Fax - oder auch per Software. Der Landeswahlleiter wiederum teilt die Ergebnisse dem Bundeswahlleiter Dieter Sarreither mit. Der wacht über die gesamte Bundestagswahl.

Wir haben die Landeswahlleiter der 16 Bundesländer und den Bundeswahlleiter angefragt, an welchen Stellen dieser Wahlstimmen-Staffel welche Software zum Einsatz kommt. Alle Angefragten haben dem SPIEGEL ausführlich geantwortet und versucht, einen bestmöglichen Überblick zu geben.

Die untere Deutschlandkarte fasst die wichtigsten Erkenntnisse für jedes Bundesland zusammen - klicken Sie auf die Bundesländer für mehr Informationen:

Das Ergebnis zeigt einen Technik-Flickenteppich, bedingt durch den Grundsatz des dezentralen Wahlverfahrens. Die Bundesländer setzen ganz unterschiedliche Software ein, teils auch Eigenentwicklungen.

Die Länder dürfen ihren Kommunen und Gemeinden außerdem nicht reinreden, wie sie sich zur Wahl zu organisieren haben. Deshalb wissen die Landeswahlleiter oft nicht, welche Software auf den unteren Ebenen eingesetzt wird. "Gesetzlich geregelt ist nur, welche Inhalte jeweils übermittelt werden müssen", sagt Bundeswahlleiter Sarreither. Technische Details zu Gemeinden, Wahlkreisen und Ländern seien auch ihm "nicht bekannt".

Von der Foto-App bis zu selbst entwickelten Programmen

Bremen beispielsweise setzt - offenbar im Alleingang - für eine rasche Ermittlung des vorläufigen Wahlergebnisses teilweise auf eine Foto-App fürs Smartphone. Mit ihr werden Ergebnisse abfotografiert und verschlüsselt verschickt. Dazu sind laut Landeswahlleiter "auf den Smartphones E-Mail-Adressen eingerichtet, die nicht einmal den Beauftragten der Gemeindebehörden bekannt sind".

Bezogen auf PC-Wahl schreibt Nordrhein-Westfalen von einem Einsatz in neun von 396 Kommunen. Hessens Landeswahlleiter geht grob von einem "flächendeckenden" Einsatz der Software unterhalb der Landesebene aus. Sein Kollege in Bayern schätzt, dass PC-Wahl nur "von einem Teil der bayerischen Kommunen verwendet wird".

Mecklenburg-Vorpommern, Rheinland-Pfalz oder Thüringen benutzen auf Landesebene selbst entwickelte Software, Hamburg nennt die Software Voteplus, Berlin das Programm IVU-Elect. Das nutzt auch der Bundeswahlleiter. Ein IT-Experte hatte bereits Anfang des Jahres vor den niederländischen Wahlen Sicherheitsprobleme   bei bestimmter IVU-Software adressiert. Zwischenzeitlich verbannt, wurde die Software dann aber doch als "Rechenhilfsmittel" zugelassen .

Software aus einer anderen Zeit

Tschirsich, der die TU Darmstadt besucht, fand für sein Bundesland Hessen schnell heraus, dass die Software PC-Wahl zum Einsatz kommt. Ein großes modulares System, ursprünglich ein Produkt der Berninger Software GmbH, die Anfang 2016 mit Regio IT die Vote iT GmbH gründete  - die jetzige Herstellerfirma.

Schon die PC-Wahl-Webseite , auf die nach wie vor vom Hersteller verlinkt wird, wirkt wie ein Relikt aus vergangener Zeit: Graue, kastige Menüpunkte, in einer Ecke dreht sich ein Tortendiagramm. Hier ist noch die Rede von Disketten und der Partei PDS. Glaubt man den Sicherheitsforschern, ist auch der Code selbst altbacken. "Vor 20, 30 Jahren war das halt Stand der Technik", sagt Tschirsich mit Blick auf das Alter des Programms.

Er stieß laut "Zeit" mit etwas Recherche im Internet auf Teile davon sowie auf Bedienungsanleitungen und Passwörter. Und er fand einen potenziellen Weg, wie ein Angreifer den Nutzern von PC-Wahl etwa eine gefälschte neue Programmversion unterjubeln könnte. So wäre eventuell sogar eine flächendeckende Manipulation möglich.

Martin Tschirsich schlug Alarm. Er wandte sich unter anderem an einen Gemeindewahlleiter und an Journalisten. Die "Zeit" bat den Chaos Computer Club, sich die Software einmal anzusehen - das Urteil der Experten ist vernichtend : "Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen", sagt CCC-Sprecher Linus Neumann.

Das amtliche Endergebnis manipulieren? "Nicht möglich"

Allerdings ist es dann doch nicht so leicht, in die heiligen Wahlen der Bundesrepublik reinzupfuschen. Gefährdet wären nämlich wohl nur die vorläufigen Wahlergebnisse. Sie werden am Wahlabend möglichst rasch an die Öffentlichkeit gebracht. Am Ende aber zählt das Papier.

Bundeswahlleiter Sarreither hält eine Manipulation des vorläufigen Wahlergebnisses für "extrem unwahrscheinlich"; die Manipulation des amtlichen Endergebnisses sei in Unterscheidung dazu "nicht möglich". Auch Informatiker Tschirsich ist sich sicher: "Würde das richtige Ergebnis manipuliert, würde das sofort entdeckt."

Allerdings kann es dauern, bis das verlässliche amtliche Endergebnis vorliegt. Bis dahin sind die vorläufigen Ergebnisse die Wahrheit im Land. Ein falsches Ergebnis könnte tagelang für politische Verwirrung sorgen, etwa wenn eine Partei den Einzug in den Bundestag plötzlich doch nicht geschafft hat, anders als angenommen. So würden grundlegende Zweifel an der Wahl geweckt. Das wäre eine Katastrophe.

Das BSI schaltete sich ein und alarmierte den Bundeswahlleiter

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), sagte kürzlich dem SPIEGEL, es sei eine der großen Gefahren für den Wahlprozess, dass "Täter versuchen könnten, IT-Systeme anzugreifen, die für die Wahl verwendet werden". Und auch nach der Wahl könnten "Täter versuchen, das Vertrauen der Bürgerinnen und Bürger in die Wahl zu beeinträchtigen, indem sie falsche Behauptungen über Unregelmäßigkeiten streuen". Noch schlimmer wäre es wohl, wenn es tatsächlich Unregelmäßigkeiten gäbe.

Mittlerweile sind die Verantwortlichen alarmiert. Seitdem Tschirsich, der CCC und Journalisten zu dem Thema recherchiert haben, hat sich einiges getan: Laut "Zeit" haben die Wahlleiter sich etwa auf zusätzliche Sicherheitsmechanismen wie Telefonketten verständigt.

"Der Bundeswahlleiter wurde vom BSI informiert, dass bei der Software PC-Wahl Schwachstellen identifiziert wurden", heißt es zudem auf Nachfrage aus dem Büro des Bundeswahlleiters. Er habe daraufhin "seinerseits alle Landeswahlleitungen informiert und sie aufgefordert, Maßnahmen zu deren Behebung zu ergreifen", unter anderem ein Update der Software PC-Wahl vorzunehmen, nachdem die Schwachstellen durch die Firma Vote iT behoben wurden.

Der Hersteller will von keinen Schwachstellen wissen

Der Hersteller Vote iT zeichnet ein anderes Bild: "Sicherheitsrelevante Schwachstellen in der Software PC-Wahl sind nicht vorhanden. Solche sind uns gegenüber bislang weder konkretisiert noch benannt worden", schreiben die Geschäftsführer Volker Berninger und Andreas Poppenborg. Weiter heißt es aber auch: "Eine umfassende Zertifizierung oder ein Audit von PC-Wahl ist bislang nicht durchgeführt worden."

Auf die Frage nach den verschiedenen Updates, die tatsächlich in den vergangenen Tagen auf der PC-Wahl-Webseite aufgetaucht sind, antworten sie: "Es gibt vor jeder Wahl Erweiterungen und funktionelle Patches. Kein aktuelles Update bezog sich dabei auf Sicherheitslücken in der Software."