Ein gewöhnliches Büro- oder E-Mail-System sollte eigentlich weit von den technischen Bestandteilen einer Wahl entfernt sein. Doch genau diese Trennung bestand in mehreren von der amerikanischen Cybersicherheitsbehörde CISA untersuchten Umgebungen nur auf dem Papier.
Bei einigen Prüfungen benötigten die beauftragten Sicherheitsexperten lediglich Stunden oder wenige Tage, um die vollständige Kontrolle über ein Netzwerk zu erlangen.
Von dort aus konnten sie nach den freigegebenen Unterlagen Bereiche erreichen, die mit Wahlsoftware, Wählerregistrierungsdaten oder der Verwaltung von Wahlsystemen verbunden waren.
Die Prüfer fanden keine einzelne spektakuläre „Hintertür“. Vielmehr stießen sie auf eine Kombination längst bekannter Probleme: alte Betriebssysteme, schwache Zugangskontrollen, gemeinsam verwendete Kennwörter, unzureichende Protokollierung, fehlende Mehrfaktor-Authentifizierung und Fernwartungszugänge, die weiter reichten als angenommen.
Die besondere Brisanz liegt deshalb nicht in einer nachgewiesenen Manipulation einer bestimmten Wahl. Sie liegt in der Feststellung, daß die tatsächliche technische Abschottung mancher Wahlumgebungen deutlich schwächer war, als es ihre Betreiber offenbar angenommen hatten.
Vom normalen Büronetz bis zu den Wahlsystemen
CISA untersuchte zwischen 2019 und 2024 ausgewählte Wahlsoftware sowie Netzwerke staatlicher, kommunaler, territorialer und indigener Wahlbehörden. Die Untersuchungen erfolgten auf Einladung oder Anforderung der jeweiligen Betreiber.
Immer wieder zeigte sich dasselbe Grundproblem: Die Netze waren flach aufgebaut oder nur unzureichend voneinander getrennt.
Das bedeutet, daß ein Angreifer nach dem Eindringen in einen gewöhnlichen Arbeitsplatzrechner nicht zwingend auf diesen einen Computer beschränkt blieb. Er konnte sich innerhalb des Netzes weiterbewegen und nach Systemen mit höheren Berechtigungen suchen.
In mehreren geprüften Umgebungen gelang es den CISA-Prüfern, innerhalb von Stunden oder Tagen die vollständige Kontrolle zu übernehmen.
Nach Einschätzung der Behörde waren viele der untersuchten staatlichen und kommunalen Partner dadurch selbst gegen Angreifer mit lediglich mittleren technischen Fähigkeiten nur unzureichend geschützt.
Die gefundenen Schwachstellen hätten grundsätzlich verschiedene Folgen ermöglichen können:
- Abfluß von Wähler- oder Verwaltungsdaten
- Veränderung wahlbezogener Dateien
- Unterbrechung der Verfügbarkeit von Systemen
- Mißbrauch privilegierter Benutzerkonten
- Bewegung von gewöhnlichen Verwaltungsnetzen zu sensibleren Wahlkomponenten
Der Bericht stellt nicht fest, daß dies bei einer bestimmten Wahl tatsächlich geschehen ist. Er zeigt aber, welche Zugriffsmöglichkeiten in den kontrolliert geprüften Netzen bestanden.
Die vermeintliche Luftlücke existierte nicht immer
Besonders problematisch war die Annahme, bestimmte Wahlsysteme seien durch einen sogenannten „Airgap“ geschützt.
Ein echter Airgap bedeutet, daß ein System keine unmittelbare oder mittelbare Verbindung zu einem anderen Netz oder zum Internet besitzt. Es soll technisch isoliert sein.
In einigen untersuchten Umgebungen bestand diese Isolierung jedoch nur scheinbar.
CISA fand unter anderem:
- Fernwartungstunnel
- nicht überwachte Verwaltungswerkzeuge
- gemeinsam verwendete Authentifizierungsbereiche
- alte oder fehlerhafte VLAN-Konfigurationen
- virtuelle Plattformen, auf denen gleichzeitig interne und öffentlich erreichbare Dienste liefen
- Verbindungen zu gewöhnlichen Büro- und E-Mail-Systemen
Ein System konnte deshalb im Inventar als abgeschottet gelten, während es über mehrere Zwischenschritte dennoch erreichbar war.
Für einen Angreifer mußte der Einstieg nicht bei einer Wahlmaschine beginnen. Eine gewöhnliche Phishing-Mail an einen Verwaltungsmitarbeiter konnte unter ungünstigen Bedingungen ausreichen, um sich schrittweise in Richtung der sensibleren Systeme vorzuarbeiten.
204.822.241 Wählerdatensätze: Chinas digitaler Blick auf die amerikanische Wählerschaft
Warum bekannte Sicherheitslücken nicht geschlossen wurden
Der CISA-Bericht beschreibt ein ungewöhnliches Sicherheitsproblem: Die Zertifizierung von Wahlsystemen kann notwendige Aktualisierungen behindern.
Wahlsoftware und Wahlgeräte müssen in vielen Bundesstaaten vor ihrem Einsatz geprüft und zertifiziert werden. Jede größere technische Veränderung kann eine erneute Prüfung erforderlich machen.
Das betrifft mitunter auch Sicherheitsupdates.
Kurz vor einer Wahl kann deshalb ein Konflikt entstehen: Wird ein System aktualisiert, könnte seine Zertifizierung gefährdet sein. Wird es nicht aktualisiert, bleibt eine bekannte Sicherheitslücke bestehen.
Nach den freigegebenen Unterlagen führte dies dazu, daß dokumentierte Schwachstellen teilweise über Monate oder sogar Jahre auf produktiv eingesetzten Systemen vorhanden blieben.
Betroffen waren nicht nur die eigentlichen Wahlprogramme. Auch veraltete Betriebssysteme, Datenbanken und Programme anderer Hersteller wurden weiterverwendet.
Gerade diese unscheinbaren Bestandteile können für einen Angreifer zum Einstiegspunkt werden. Er muß dann nicht die Wahlsoftware selbst überwinden, sondern nutzt eine bekannte Schwachstelle in einem älteren Betriebssystem oder einem schlecht abgesicherten Fernwartungsprogramm.
Fehler innerhalb der geprüften Wahlsoftware
Bei direkten Produktprüfungen fand CISA weitere technische Schwachstellen.
Dazu gehörten:
- unzureichende Prüfung eingegebener Daten
- unsichere Verarbeitung gespeicherter Datenobjekte
- fehlende oder unvollständige Protokollierung
- sogenannte Race Conditions mit unvorhersehbaren Ergebnissen
- veraltete oder unsichere Verschlüsselungsverfahren
- Möglichkeiten zur Erweiterung von Benutzerrechten
Eine Race Condition entsteht, wenn mehrere technische Abläufe gleichzeitig auf dieselben Daten oder Funktionen zugreifen. Das Ergebnis hängt dann davon ab, welcher Ablauf zuerst ausgeführt wird. Unter bestimmten Bedingungen kann dies zu Fehlern oder unvorhersehbarem Verhalten führen.
Viele der bei den Produktprüfungen entdeckten Fehler wurden nach Angaben des Berichts vor der Freigabe der jeweiligen Produkte behoben.
CISA konnte jedoch nicht unabhängig überprüfen, ob alle tatsächlich bei den Wahlbehörden eingesetzten Programmversionen diese Korrekturen enthielten.
Damit bleibt eine wichtige Frage offen: Die geprüfte und korrigierte Version eines Programms muß nicht zwingend mit der Version übereinstimmen, die bei einer Behörde noch in Betrieb war.
Ein Papierzettel, den der Wähler nicht vollständig kontrollieren konnte
Ein weiterer Fall betraf das Wahlmarkierungsgerät ImageCast X.
Das Gerät erstellte einen Papierausdruck mit der Auswahl des Wählers. Gleichzeitig wurde die Auswahl in einem Barcode gespeichert.
Der Wähler konnte den lesbaren Text auf dem Papier kontrollieren. Den Barcode konnte er jedoch nicht selbst entschlüsseln.
Laut dem CISA-Bericht zeigte ein externer Sicherheitsforscher, daß sich dieser Barcode ohne unmittelbaren physischen Zugriff auf das Gerät verändern ließ.
Damit entstand ein grundsätzliches Kontrollproblem: Wenn bei der späteren Auszählung nicht der für Menschen lesbare Text, sondern der Barcode verwendet wird, kann der Wähler nicht selbst erkennen, ob beide Informationen übereinstimmen.
CISA gibt dieses Ergebnis als Untersuchung eines externen Forschers wieder. Die Behörde bezeichnet es nicht als eigenen Test und dokumentiert auch nicht, daß diese Möglichkeit bei einer tatsächlichen Wahl eingesetzt wurde.
CISA konnte einen weiteren Gerätebericht nicht selbst überprüfen
Das Office of the Director of National Intelligence ließ außerdem Geräte des Herstellers Dominion untersuchen, die bei der Wahl 2024 in Puerto Rico verwendet worden waren.
CISA erhielt den daraus entstandenen forensischen Bericht. Die Behörde hatte jedoch keinen eigenen Zugang zu den untersuchten Geräten und konnte deshalb keine unabhängige technische Prüfung durchführen.
Die freigegebene CISA-Unterlage gibt die dort beschriebenen Gerätebefunde aus diesem Grund nicht als selbst bestätigte Feststellung wieder.
Auch hier zeigt sich eine wichtige Grenze der Unterlagen: Ein Bericht über ein Gerät ist nicht dasselbe wie eine von mehreren unabhängigen Stellen wiederholte Untersuchung.
Was die Geheimdienste bereits vor der Wahl 2020 wußten
Ein Memorandum des National Intelligence Council vom 15. Januar 2020 befaßte sich mit der Verwundbarkeit amerikanischer Wahlinfrastruktur.
Rußland, China, Iran und Nordkorea wurden darin als technisch fähig eingeschätzt, Daten in amerikanischen Wahlsystemen zu erreichen und möglicherweise zu verändern.
Das Dokument stellte zugleich ausdrücklich fest, daß keine Erkenntnisse darüber vorlagen, ob diese Staaten konkrete Pläne zur Manipulation der Wahl 2020 besaßen.
Als besonders verwundbar galten:
- zentrale Wählerregistrierungsdatenbanken
- elektronische Wählerverzeichnisse
- Webseiten staatlicher und kommunaler Wahlbehörden
Diese Systeme müssen häufig über das Internet erreichbar sein. Dadurch bieten sie eine größere Angriffsfläche als vollständig lokal betriebene Geräte.
Ein Angriff auf eine Wählerregistrierungsdatenbank könnte beispielsweise dazu führen, daß Datensätze verändert, gelöscht oder vorübergehend unzugänglich werden. Das wäre noch keine Veränderung abgegebener Stimmen, könnte den Ablauf an Wahllokalen aber erheblich stören und Mißtrauen erzeugen.
Mehr als 100 Wahlmaschinen bei einer Hackerveranstaltung überwunden
Das Memorandum verweist außerdem auf die DEF-CON-Konferenz 2019.
Dort wurden mehr als 100 Wahlmaschinen, die in mindestens einer amerikanischen Wahlbehörde zugelassen waren, von Sicherheitsforschern kompromittiert.
Diese Feststellung klingt zunächst wie ein unmittelbarer Nachweis gefährdeter Wahlen. Der Rahmen ist jedoch wichtig: Die Forscher hatten bei der Veranstaltung direkten Zugang zu den Geräten und konnten sie unter kontrollierten Bedingungen untersuchen.
Die Ergebnisse belegen, daß technische Schwachstellen vorhanden waren. Sie beweisen nicht, daß dieselben Geräte während einer tatsächlichen Wahl manipuliert wurden.
Dennoch widerlegen solche Prüfungen die Vorstellung, zertifizierte Wahltechnik sei grundsätzlich unangreifbar.
Stimmenübermittlung über Internet und Fax
Im Januar 2020 konnten in 31 Bundesstaaten und im District of Columbia zumindest bestimmte berechtigte Wähler ihre Wahlunterlagen über das Internet oder per Fax zurücksenden.
Dazu gehörten häufig Angehörige des Militärs und amerikanische Bürger im Ausland.
Das National Intelligence Council bewertete diese Übertragungswege als stör- und manipulationsanfällig. Digitale Übermittlungen können abgefangen, verändert, blockiert oder an falsche Empfänger weitergeleitet werden.
Für einen koordinierten Angriff über zahlreiche Bundesstaaten hinweg sahen die Analysten jedoch erhebliche Hürden.
Wahlverfahren unterscheiden sich zwischen den Bundesstaaten und teilweise sogar zwischen einzelnen Counties. Papierunterlagen, Nachwahlprüfungen und voneinander getrennte Systeme würden einen großflächigen Manipulationsversuch wahrscheinlich sichtbar machen.
Venezuela, Smartmatic und die Frage nach eingebauter Manipulation
Eine CIA-Notiz vom 29. Juni 2026 faßt ausgewählte Geheimdienstberichte über Venezuela aus den Jahren 2004 bis 2020 zusammen.
Nach diesen Berichten bestand bei venezolanischen Regierungsvertretern ein langjähriges Interesse an der Kontrolle und möglichen Manipulation elektronischer Wahlsysteme.
Im Jahr 2006 bewertete die amerikanische Geheimdienstgemeinschaft die Übernahme des US-Unternehmens Sequoia durch Smartmatic als „moderate“ Bedrohung für die nationale Sicherheit.
Smartmatic war in Venezuela tätig und hatte Verbindungen zu venezolanischen Geschäftsleuten. Sequoia stellte Wahltechnik für den amerikanischen Markt bereit.
Unter amerikanischem Druck wurden die US-Aktivitäten 2007 wieder veräußert.
Die damalige Bewertung stellte jedoch auch fest, daß weder die venezolanische Regierung noch Smartmatic außerhalb Venezuelas über das vollständige Maß an Kontrolle und Zugang verfügten, das für eine zuverlässig vorhersehbare Manipulation eines Wahlergebnisses erforderlich gewesen wäre.
Der behauptete Plan für die venezolanische Wahl 2012
Vor der venezolanischen Präsidentschaftswahl 2012 berichteten Quellen von einem Plan, in ungefähr 300 Wahlzentren vorprogrammierte Maschinen einzusetzen.
Damit sollte Hugo Chávez angeblich ein Vorsprung von rund 1,5 Millionen Stimmen verschafft werden.
Chávez gewann die Wahl tatsächlich mit einem Vorsprung von ungefähr 1,6 Millionen Stimmen. Quellen behaupteten anschließend, er habe seinem Team zur erfolgreichen Umsetzung gratuliert.
Trotz dieser Berichte hielt die CIA in ihrer damaligen Hauptbewertung daran fest, daß kein großangelegter elektronischer Wahlbetrug stattgefunden habe.
Als Gründe wurden genannt:
- die Ergebnisse stimmten weitgehend mit vorherigen Umfragen überein
- stark gestiegene Staatsausgaben hatten die Unterstützung für Chávez erhöht
- die Opposition erkannte ihre Niederlage an
- statistisch auffällige Abstimmungsmuster wurden nicht gefunden
Die Geheimdienstunterlagen dokumentieren damit die Behauptung eines Manipulationsplans und gleichzeitig die gegenteilige Hauptbewertung der CIA.
Ein technisch detaillierteres Verfahren aus dem Jahr 2020
Berichte aus dem Jahr 2020 beschrieben eine wesentlich ausgefeiltere Methode.
Virtuelle Maschinen sollten demnach digitale Hash-Dateien legitimer Wahlmaschinen nachbilden. Ein Hash ist eine Art digitaler Fingerabdruck, mit dem geprüft werden kann, ob eine Datei oder ein System verändert wurde.
Nach dem beschriebenen Verfahren sollten Ergebnisse von Maschinen in oppositionell geprägten Gebieten überschrieben werden. Die veränderten Stimmen sollten anschließend so erscheinen, als stammten sie aus den echten, geprüften Wahlgeräten.
Dadurch könnten Ergebnisse theoretisch in Echtzeit angepaßt und bestimmte technische Kontrollen umgangen werden.
Die CIA kennzeichnet diese Angaben jedoch als nur begrenzt belegt. Sie beschreiben behauptete oder theoretische Fähigkeiten und keinen abschließend nachgewiesenen Einsatz bei einer bestimmten Wahl.
Eine Analyse aus dem Jahr 2013 war ausdrücklich als „Devil’s Advocacy“ gekennzeichnet – also als bewußt eingenommene Gegenposition, mit der eine vorherrschende Bewertung kritisch geprüft werden sollte.
Was die freigegebenen Akten tatsächlich zeigen
Die Dokumente zeigen kein einheitliches System, mit dem amerikanische Wahlen nachweislich verändert wurden.
Sie zeigen aber eine Reihe konkreter technischer Probleme:
- vollständige Netzübernahmen bei autorisierten CISA-Prüfungen
- vermeintlich abgeschottete Systeme mit indirekten Verbindungen
- bekannte Schwachstellen, die monatelang oder jahrelang ungepatcht blieben
- Wahlsoftware mit Fehlern bei Eingabeprüfung, Verschlüsselung und Rechteverwaltung
- Barcodes, deren Inhalt ein Wähler nicht selbst kontrollieren konnte
- internet- und faxbasierte Übertragung von Wahlunterlagen
- ausländische Staaten mit der technischen Fähigkeit zum Zugriff auf Wahlinfrastruktur
- ältere, unterschiedlich bewertete Berichte über Manipulationsmöglichkeiten in Venezuela
Die Akten trennen dabei immer wieder zwischen drei verschiedenen Ebenen:
Erstens der technischen Möglichkeit, in ein System einzudringen.
Zweitens der Absicht eines Akteurs, diese Möglichkeit tatsächlich zu nutzen.
Drittens dem Nachweis, daß ein Angriff durchgeführt und ein Wahlergebnis verändert wurde.
Für die erste Ebene enthalten die Unterlagen zahlreiche konkrete Befunde.
Für die zweite Ebene finden sich geheimdienstliche Einschätzungen und teilweise widersprüchliche Quellenberichte.
Für die dritte Ebene – den nachgewiesenen Einsatz zur Veränderung der US-Präsidentschaftswahl 2020 – liefern diese Dokumente keinen Beleg.
Quellen
V1 – CISA Election Report – FINAL, Stand 13. Juli 2026.
V2 –NICM_VulnerabilitiesInUS2020ElectionInfrastructure_15JAN2020_DECLASS_REDACTED.
V3 – CIA Note – Venezuela Machines Intel Memo_29JUNE2026_DECLASS_REDACTED.
Von Lumi übersetzt-der Assistent der nie schläft 😉
Wahlsysteme-und-Wahlbedrohungen_DE_Band-1
Wahlsysteme-und-Wahlbedrohungen_DE_Band-2
Wahlsysteme-und-Wahlbedrohungen_DE_Band-3
Wahlsysteme-und-Wahlbedrohungen_DE_Band-4
