So sei die Übertragung der Wahlergebnisse aus den Gemeinden an den Wahlleiter weder durch eine Verschlüsselung noch durch eine wirksame Authentifizierung abgesichert gewesen. Der CCC veröffentlichte eine ausführliche Analyse der Wahlsoftware auf der Internet-Plattform Github.

Ein Sprecher des Bundeswahlleiters sprach von einem „ernsten Problem“, das schon vor Wochen bekannt geworden sei. Der Hersteller habe in der Zwischenzeit etliche Updates nachgeliefert, um die Schwachstellen zu schließen. Die Landeswahlleiter seien nun aufgefordert worden, die Übermittlung der Wahlergebnisse zusätzlich abzusichern. Die Ermittlung des vorläufigen amtlichen Wahlergebnisses sei von den Sicherheitslücken aber nie betroffenen gewesen, weil dort andere Übertragungswege gewählt würden, so der Sprecher des Bundeswahlleiters.

Nach der Analyse des Chaos Computer Clubs war es zwischenzeitlich auch möglich, den Kommunen eine mit Schadsoftware infizierte Version des Programms „PC-Wahl“ unterzuschieben, weil die Zugangsdaten eines geschützten Bereichs für die Gemeinden im Netz öffentlich zugänglich gewesen seien. Diese Lücke sei inzwischen geschlossen worden.

Das Programm selbst sei jedoch so schlecht, dass es „nie hätte eingesetzt werden dürfen“, sagte CCC-Sprecher Linus Neumann der „Zeit“. Jeder, der Zugriff auf das Programm habe und die Verschlüsselung knacken könne, bekomme Zugriff auf die Passwörter und könne so manipulierte Wahldaten weiterschicken.

Volker Berninger, Geschäftsführer des Entwicklers von „PC-Wahl“, bestreitet die Behauptung, die Bundestagswahl könne manipuliert werden. „Bei dem schlimmsten Szenario würde jemand damit Verwirrung stiften. Dann würden zwar irgendwelche falschen Ergebnisse im Internet stehen, aber auf dem Papier wären noch immer die richtigen vorhanden.“

Nach Darstellung des CCC wurde der Hersteller des Programms erstmals im Juni kontaktiert. Seitdem seien Schwachstellen auf den Computern des Anbieters beseitigt worden. Auch für die Software selbst habe es mehrere Updates gegeben, bestätigte der CCC. Diese Gegenmaßnahmen hätten sich allerdings „bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen“ erwiesen.

Die Beschleunigung der Vorgänge bei einer Wahl dürfe nicht wichtiger sein als Sicherheit, Korrektheit und Nachvollziehbarkeit, so die Ansicht des CCC. Außerdem müssten die Wähler selbst alle Resultate überprüfen können. Alle Software-Komponenten, die bei der Auswertung der Wahl verwendet werden, müssten daher öffentlich einsehbar und dürften nicht geheim sein.

Der Landeswahlleiter von Hessen räumte in einem Schreiben an die Kreiswahlleiter ein, dass „ein Versuch einer Einflussnahme oder Störung der Wahldatenübermittlung nicht ausgeschlossen werden kann“. Er ordnete an, dass die Wahlhelfer am 24. September sämtliche übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen müssen.

Eine echte Manipulation der Wahlergebnisse gilt unter Experten dennoch als unwahrscheinlich. Wenn das Ergebnis eines einzelnen Wahlkreises oder sogar eines Bundeslandes angezweifelt wird, können die Stimmzettel neu ausgezählt werden. Bei digitalen Wahlcomputern, wie sie beispielsweise in den Niederlanden zum Einsatz kommen, haben Fachleute dagegen immer wieder auf die Gefahr einer echten Wahlmanipulation hingewiesen.