Anfrage: Sicherheitslücken bei Wahlsoftware
Auszug aus der Antwort vom 28. September 2020 auf meine Anfrage zum Thema »Sicherheitslücken bei Wahlsoftware« (AF0835/20): »In den vergangenen Jahren sind schwerwiegende Sicherheitslücken bei Wahlerfassungssoftware (z. B. »PC Wahl« der vote IT GmbH) bekannt geworden. Es sollen gegenwärtig mindestens 13 verschiedene Programme bei deutschen Kommunen im Umlauf sein. Daher ergeben sich für mich folgende Fragen:
»1. Welche Software zur Erfassung und Sammlung von Wahldaten wird gegenwärtig von der Landeshauptstadt Dresden eingesetzt?«
In der Landeshauptstadt Dresden wird seit 2014 vollumfänglich die modulare Wahlsoftware der Firma IVU.elect eingesetzt.
»2. Ist die Landeshauptstadt Dresden frei in ihrer Entscheidung oder bestehen hierzu Vorgaben oder Vereinbarungen, ggf. welche?«
Die Landeshauptstadt Dresden hat im Jahr 2012 (Zuschlagserteilung im Jahr 2013) ein öffentliches Vergabeverfahren aus eigenem Optimierungsinteresse zur Einführung einer neuen Wahlsoftware durchgeführt, welche die Komplexität und die umfangreichen Verfahrensabläufe in der Wahlorganisation und der Ergebnisermittlung bei den verschiedenen durchzuführenden Wahl- und Abstimmungsarten zielführend unterstützt. Zu diesem Zeitpunkt wurde der Landeshauptstadt Dresden bereits die Einstellung des Supports des bis dahin eingesetzten Verfahrens (PC Wahl) angezeigt.
»3. Sind gegenwärtig oder waren in der Vergangenheit Sicherheitsprobleme bei dieser Software bekannt? Wenn ja, welche und was wurde bzw. wird dagegen unternommen?«
Nein, es sind keine Sicherheitsprobleme bekannt.
»4. Welche Maßnahmen werden ergriffen, um Manipulationen durch Eingriffe/fehlerhafte Bedienung generell auszuschließen?«
Die Wahlergebnisse aller Urnen- und Briefwahlvorstände werden schriftlich in den jeweiligen Wahlniederschriften und den Schnellmeldeformularen festgehalten und unterliegen in Vorbereitung der Feststellung des endgültigen Wahlergebnisses durch den Wahlausschuss der regulären Wahlprüfung. Die zur Erfassung eingesetzte Wahlsoftware ist durch entsprechende organisatorische, hardwaretechnische und softwaretechnische Maßnahmen gegen Manipulationen abgesichert. Organisatorische Maßnahmen Grundsätzlich werden die eingesetzten Beschäftigten im Vorfeld gesondert geschult und eingewiesen. Darüber hinaus stehen am Wahltag spezielle Ansprechpartner zur Verfügung. Diese Ansprechpartner verfügen in der Regel über mehrmalige Einsatzerfahrungen sowie Kenntnisse in der Anwendung der eingesetzten Software. Die eingesetzten und geschulten städtische Bediensteten (Schnellmelder), die am Wahlabend die Wahlergebnisse von den Wahlvorständen der Urnen- und Briefwahlbezirke entgegennehmen, haben jeweils einen eigenen personenbezogenen Nutzeraccount. Es ist damit nachvollziehbar, wer welche Ergebnisse in die Erfassungssoftware eingegeben hat. Die Verbindung zwischen dem Wahlvorstand und dem Schnellmeldeplatz, welcher die Ergebnisse über einen Client eingibt, erfolgt am Wahlabend nach dem Zufallsprinzip. Hardwaretechnische Maßnahmen Die Erfassungssoftware WAS läuft am Wahlabend auf zwei verschiedenen, physisch voneinander getrennten Servern, dem Erfassungsserver, an welchem die ganzen Erfassungs-Clients (Schnellmeldeplätze) angeschlossen sind, und dem Replikationsserver. Die erfassten Ergebnisse werden ständig über eine sichere (verschlüsselte) Verbindung vom Erfassungs- an den Replikationsserver übertragen. Dort sind keine Clients angeschlossen, d. h., die Ergebnisse können dort nicht durch direkten Zugriff geändert werden. Eingaben und Korrekturen der Wahlergebnisse des Wahlbezirkes werden protokolliert. Somit ist nachvollziehbar, wer, wann, welches Ergebnis eingegeben hat. Frühere, korrigierte Eingaben sind reproduzier- und nachweisbar. Der Erfassungsserver und der Replikationsserver befinden sich in einem geschützten Bereich und haben keine Internetverbindung nach außen. Ebenso haben die PCs, auf denen die Ergebnisse von den Schnellmeldern eingegeben werden, am Wahlabend keine Internetverbindung. Der Erfassungsserver erzeugt am Wahlabend laufend eine Ergebnispräsentation, welche auf den Webserver (3. Server) übertragen wird. Der Webserver zeigt die Ergebnisse dann über das Internet an (www.dresden.de). Von diesem Server erfolgt keine Rückkopplung auf den Erfassungs- oder Replikationsserver. Von einem unberechtigten Zugriff auf den Webserver sind die anderen Server NICHT betroffen, da diese physisch getrennt in einem anderen Subnetz laufen. Die Erfassungssoftware besitzt darüber hinaus eine Reihe von Plausibilitätsprüfungen, welche noch mal in „harte Plausibilitätsprüfungen« (Muss-Fehler) und „weiche Plausibilitätsprüfungen« (Kann-Fehler) unterteilt werden. Während die „harten Plausibilitätsprüfung« statisch sind, können die „weichen Plausibilitätsprüfungen« kalibriert werden.
»5. Wie hoch sind die Lizenz- und Supportkosten für die verwendete Software pro Jahr?«
Die Softwarepflege wird pauschal vergütet. Die monatlichen Kosten belaufen sich netto auf 1.650,00 Euro/Monat = 19.800,00 Euro/Jahr netto.
| Service-Tag vor Ort | 950,00 Euro/Tag |
| für Hotlinetage an Feiertagen, die keine Wahltage sind | 1.000,00 Euro/Tag |
| Unterstützung am Wahltag von | 2.700,00 Euro/Tag |
(24 h – an Wahltagen ist ein Hotlineservice von 07:00 Uhr des Wahltages bis 07:00 Uhr des Folgetages vorgesehen) Ggf. können Reisekosten entstehen, wenn bei Bedarf eine Einsatzunterstützung vor Ort gesondert vereinbart wird.
»6. Welche Stelle ist innerhalb oder im Auftrage der Verwaltung für die Betreuung der Software zuständig?«
Für die Verfahrensbetreuung ist der Eigenbetrieb IT-Dienstleistungen (EB IT) der Landeshauptstadt Dresden zuständig.«
