Bitte deaktivieren Sie Ihren Ad-Blocker

Für die Finanzierung unseres journalistischen Angebots sind wir auf die Anzeigen unserer Werbepartner angewiesen.

Klicken Sie oben rechts in Ihren Browser auf den Button Ihres Ad-Blockers und deaktivieren Sie die Werbeblockierung für FR.de. Danach lesen Sie FR.de gratis mit Werbung.

Lesen Sie wie gewohnt mit aktiviertem Ad-Blocker auf FR.de
  • Zum Start nur 0,99€ monatlich
  • Zugang zu allen Berichten und Artikeln
  • Ihr Beitrag für unabhängigen Journalismus
  • Jederzeit kündbar

Sie haben das Produkt bereits gekauft und sehen dieses Banner trotzdem? Bitte aktualisieren Sie die Seite oder loggen sich aus und wieder ein.

Wiesbaden

Sicherheitsloch beim Wahlamt

  • Arne Löffel
    VonArne Löffel
    schließen

Die Adressdaten der Wahlberechtigten in Wiesbaden sind vom Internet aus erreichbar, moniert der Chaos Computer Club. Auslöser der Kritik ist eine von den Wiesbadener Hackern entdeckte und gemeldete Sicherheitslücke bei der Beantragung der Briefwahlunterlagen.

Mit einem Computer, einem Minimum an technischem Verständnis und einer gehörigen Portion krimineller Energie – oder Wahnsinn – konnten alle Internet-Nutzer noch bis zum Montagnachmittag auf der Internet-Seite der Landeshauptstadt Wiesbaden die Adressen aller Bürgerinnen und Bürger ausspionieren, von denen sie auch das Geburtsdatum kannten.

Möglich wurde das mit einem Kniff bei der Beantragung der Briefwahl-Unterlagen für die anstehende Kommunalwahl, wie Rüdiger Wolf, Leiter des städtischen Wahlamts, bestätigte. Seit Dezember konnten die Wahlunterlagen im Netz beantragt werden, wofür laut Wolf die eigenen Daten in eine Maske eingegeben werden mussten. „Pflichtfelder waren der Name und das Geburtsdatum“, so Wolf zur FR.

Wahlberechtigte, die nicht einfach nur einen Antrag gestellt, sondern im Zuge dessen auch ein Bestätigungsschreiben zum Ausdruck am heimischen Computer beantragt hatten, erhielten in dem Dokument einen ganz normalen Briefkopf, in dem das System automatisch auch die Adresse ergänzt hat.

So war es laut Wolf theoretisch möglich, auch als Fremder die Adresse auszuspionieren. Vorausgesetzt, die gesuchte Person ist wahlberechtigt, denn das System greift auf die Unterlagen des Wahlamts zurück.

Massenhaftes Ausspähen der Adressdaten möglich

Aufgefallen ist das Sicherheitsleck, weil eine bundesweit agierende Hacker-Gruppe die Seite der Stadt Wiesbaden genauer unter die Lupe genommen hat. Wie Christian Schuster von der Mainz-Wiesbadener Sektion des Chaos Computer Clubs auf Anfrage berichtet, wollte ein Mitglied der Gruppe für sich selbst die Briefwahl-Unterlagen beantragen und bemerkt dabei, dass für den Service keine echte Authentifizierung nötig ist. Beim genaueren Hinsehen sei dann die automatisch ergänzte Adresse in der Bestätigung aufgefallen.

„Uns wurde die Sicherheitslücke am Montag vom Chaos Computer Club gemeldet und wir haben sie bis Montagnachmittag geschlossen“, so Wolf, der höchstpersönlich eingeschritten sei. „Ich habe für die Beantragung der Wahlunterlagen die Adressfelder zu Pflichtfeldern erklärt. So können nur noch Nutzer die Wahlunterlagen beantragen und die Bestätigung abrufen, die ohnehin die Adresse der betreffenden Person kennen“, erklärt Wolf.

Von einer wirklichen Sicherheitslücke, die im Computersystem der Stadt begründet sei, könne man also nicht sprechen. „Ich bin kein Computerexperte. Und wenn sogar ich in der Lage bin, das Sicherheitsloch zu schließen, dann kann es nicht so kompliziert gewesen sein“, sagt Wolf.

Computer-Experte Schuster erklärt, dass der Club den Service vor der Meldung an die Stadt genau untersucht hat. „Es ist nicht so, dass IP-Adressen gespeichert und mehrfache Anfragen vom selben Computer aus unterbunden werden.“ So sei es theoretisch möglich, mit speziellen Programmen Namen und Geburtsdaten aus sozialen Medien auszulesen und massenhafte Abfragen zu platzieren. „Daher haben wir auch mit einer Meldung an die Medien gewartet, bis die Stadt das Sicherheitsloch geschlossen hatte.“

Die für den Service nötigen Programme werden laut Schuster von einem Anbieter in Bayern zur Verfügung gestellt, der damit bundesweit im Einsatz sei. „Wir werden uns das jetzt noch mal genauer ansehen und finden es schon mal schlecht, dass die Daten der Bürgerinnen und Bürger überhaupt ohne echte Authentifizierung aus dem Internet erreichbar sind“, betont Schuster. Über den Service lassen sich laut Schuster auch Geburtsurkunden beantragen. „Wir empfehlen der Stadt ein sicheres System, das die Identität der Nutzer feststellt. Zum Beispiel wie bei einer Bank mit einem TAN-Brief.“

Wolf glaubt nicht, dass jemand Schindluder mit dem Service getrieben haben könnte. „Wenn jemand die Wahlunterlagen eines anderen Bürgers beantragt, dann landen die trotzdem beim Wahlberechtigten. Und wenn die jemand an eine andere Adresse schicken lässt, wird der Wahlberechtigte per Post informiert“, erklärt Wolf. Die Wahlen habe man also nicht manipulieren können.

Hendrik Seipel-Rotter, netzpolitischer Sprecher der Grünen-Fraktion im Rathaus, nimmt die Vorgänge zum Anlass, um die Grünen-Forderung nach einem Datenschutzbeauftragten für die Stadtverwaltung zu erneuern. Die Grünen waren erst im Sommer mit einem entsprechenden Antrag im Parlament gescheitert.

Das könnte Sie auch interessieren

Mehr zum Thema

Kommentare