STAATSM1NISTERIUM DES INNERN SÄCHSISCHES STAATSMINISTERIUM DES INNERN 01095 Dresden Präsidenten des Sächsischen Landtages Herrn Dr. Matthias Rößler Bernhard -von -Lindenau -Platz 1 01067 Dresden Kleine Anfrage des Abgeordneten Valentin Lippmann, Fraktion BÜNDNIS 90/DIE GRÜNEN Drs.-Nr.: 6/10667 Thema: Einsatz des Programms „PC-Wahl" in Sachsen Sehr geehrter Herr Präsident, den Fragen sind folgende Ausführungen vorangestellt: „Vorbemerkung: ZEIT ONLINE berichtete am 7.9.2017 über die Manipulierbarkeit des in Deutschland vielfach verwendeten Programms ‚PC- Wahl', mit dem die Wahldaten gesammelt und weitergeleitet werden." Namens und im Auftrag der Sächsischen Staatsregierung beantworte ich die Kleine Anfrage wie folgt: Frage 1: Wann wurde der Landeswahlleiter über die Sicherheitslücken des Programms „PC-Wahl" und möglicherweise weiterer verwendeter Programme informiert? Der Landeswahlleiter wurde durch den Bundeswahlleiter am 30. August 2017 darüber informiert, dass „es erst kürzlich in einem Land einen erfolgreichen Zugriff von außen auf den Server eines kommunalen Erfassungssystems (PC-Wahl von vote iT GmbH) gegeben" habe. Details zu konkreten Sicherheitslücken wurden nicht benannt. Hinsichtlich „weiterer verwendeter Programme" erfolgte keine Information. Der Landeswahlleiter hat insoweit jedoch die Medienberichterstattung, namentlich eine Pressemitteilung des Chaos Computer Club e. V. vom 7. September 2017, zur Kenntnis genommen . Frage 2: In wie vielen Kommunen Sachsens insgesamt und in welchen konkret wird das Programm seit wann verwendet? Freistaat SACHSEN Der Staatsminister Aktenzeichen (bitte bei Antwort angeben) 6-1053/19/27 Dresden, 9. Oktober 2017 Hausanschrift: Sächsisches Staatsministerium des Innern Wilhelm-Buck-Str. 2 01097 Dresden Telefon +49 351 564-0 Telefax +49 351 564-3199 www.smi.sachsen.de Verkehrsanbindung: Zu erreichen mit den Straßenbahnlinien 3,6, 7, 8, 13 Besucherparkplätze: Bitte beim Empfang Wilhelm- Buck-Str. 2 oder 4 melden. STAATSM1N1STERIUM DES INNERN Frage 4: Inwieweit, insbesondere von welchen Kommunen, wird das Programm „PC- Wahl" in Sachsen zur Bundestagswahl im September 2017 verwendet werden? Zusammenfassende Antwort auf die Fragen 2 und 4: Die Landeswahlleitung hat darüber Kenntnis, dass das Softwareprodukt mit dem Namen „PC-Wahl" auch in Sachsen eingesetzt wird. Die Landeswahlleitung hat jedoch keine Kenntnis darüber, ob und falls ja welche sächsischen Gemeinden derartige Software einsetzen und welche Versionen tatsächlich eingesetzt werden. Der Gesamtüberblick fehlt der Landeswahlleitung, da die organisatorische Abwicklung der Bundestagswahl vor Ort durch die Gemeinden in deren ausschließlichen Verantwortungsbereich fällt und der Landeswahlleitung vorbehaltlich spezifischer, gesetzlich begründeter und hier nicht einschlägiger, Kompetenzen im Einzelfall kein Weisungsrecht zukommt, vgl. Art. 28 Abs. 2 des Grundgesetzes (GG), Art. 82 Abs. 2 der Sächsischen Verfassung (SächsVerf). Von einer weitergehende Beantwortung wird abgesehen. Die Staatsregierung ist dem Landtag nur für ihre Amtsführung verantwortlich. Sie ist daher nur in solchen Angelegenheiten zur Auskunft verpflichtet, die in ihre Zuständigkeit fallen und muss nicht auf Fragen eingehen, die außerhalb ihres Verantwortungsbereichs liegen. Letzteres ist hier der Fall, denn die Frage betrifft ausschließlich Sachverhalte , die von der Gemeinde als Selbstverwaltungsaufgabe wahrgenommen werden. Selbstverwaltungsaufgaben unterliegen nur der Rechtsaufsicht, nicht aber der Fachaufsicht . Im Zuständigkeitsbereich der Rechtsaufsicht können die Staatsregierung bzw. die hierfür zuständigen Rechtsaufsichtsbehörden vom Informationsrecht nach § 113 SächsGem0 nur Gebrauch machen, wenn im Einzelfall Anhaltspunkte für eine bevorstehende oder bereits erfolgte Rechtsverletzung vorliegen. Dies ist im vorliegenden Fall nicht gegeben, so dass von einer entsprechenden Abfrage abgesehen wurde. Frage 3: Welche konkreten Maßnahmen wurden nach Bekanntwerden der Sicherheitslücke getroffen, um eine Manipulation der Wahlergebnisse durch Anwendung des Programms „PC-Wahl" zu verhindern? Die Landeswahlleitung hat sämtliche an der Durchführung der Bundestagswahl Beteiligten sowohl vor dem Zeitpunkt aus Frage 1 als auch nachfolgend regelmäßig auf die besondere Bedeutung der IT-Sicherheit und das hohe Maß an Verantwortung i. R. d. Wahldurchführung hingewiesen. Das Programm „PC-Wahl" wird für die Übermittlung der Wahlergebnisse von den Gemeinden an die Kreiswahlleitungen und von dort an die Landeswahlleitung aufgrund der Nutzung der durch das Statistische Landesamt bzw. dessen Dienstleister entwickelten eigenen Software nicht verwendet. Die Softwarelösung des Statistischen Landesamtes verfügt über konkrete technische Nutzerzugangsberechtigungen, interne Plausibilitätsprüfungen und wurde auf mögliche Schwachstellen geprüft. Die erkannten Schwachstellen wurden nach dem aktuellen Stand der Technik und unter Berücksichtigung der Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für den IT-Grundschutz behoben. Zusätzlich erfolgten Beratungen mit dem BSI, um die zur Durchführung der Bundestagswahl im Freistaat SACHSEN Seite 2 von 3 STAATSM1N1STER1UM DES INNERN Freistaat Sachsen genutzte Infrastruktur auf weitere mögliche Schwachstellen zu untersuchen und diese zu beheben. Weitere Maßnahmen zur Sicherung der Authentizität der übermittelten Daten wurden organisiert. Die Daten werden über mehrere Freigabestufen (Gemeinde bis Landeswahlleiter ) verarbeitet und unter Verwendung gesondert gesicherter Verwaltungsnetze übermittelt. Die Software des Statistischen Landesamtes wurde laufend unter Berücksichtigung der maßgeblichen Vorgaben des BSI geprüft. Handreichungen des BSI zum Thema Durchführung der Bundestagswahl wurden unmittelbar durch die Landeswahlleitung an die Kreiswahlleitungen und mittelbar an die Gemeinden weitergeleitet. Insofern wurden alle möglichen Maßnahmen durch die Landeswahlleitung ausgeschöpft, um den Wahlablauf möglichst manipulationssicher zu gestalten. Eine automatisierte Übergabe von Daten aus dem (ggf. Verwendung findenden) Programm „PC-Wahl" in die eigenentwickelte Software, ohne dass eine Sichtkontrolle durch die verantwortlichen Stellen durchgeführt und damit etwaige Diskrepanzen entdeckt werden könnten, ist technisch ausgeschlossen. Frage 5: Welche sonstigen vergleichbaren Programme werden in Sachsen derzeit verwendet und welche konkreten Maßnahmen wurden wann getroffen, um eine Manipulation dieser Programme zu verhindern? (Bitte dabei auch auf die in dem Artikel aufgeworfenen Probleme mit Blick auf die Verwendung von einfachen, öffentlich zugänglichen Passwörtern, weitere grundlegende Prinzipien von Sicherheit und Verschlüsselung, Zertifizierung, etc. eingehen.) Der Landeswahlleitung ist nicht im Detail bekannt, ob und ggf. welche vergleichbaren Softwareprogramme bei den Gemeinden Verwendung finden, insoweit wird auf die zusammenfassende Antwort auf Fragen 2 und 4 verwiesen. Infolge vereinzelter Aussagen seitens Gemeinden ist der Landeswahlleitung indes bekannt, dass teils bei den Gemeinden dort eigenentwickelte Software zur Anwendung kommt. Über die (technische ) Vergleichbarkeit dieser Lösungen mit dem Programm „PC-Wahl" kann die Landeswahlleitung mangels Detailinformationen jedoch keine Aussage treffen. Hinsichtlich der für den Freistaat Sachsen zur Erfassung und Übermittlung der Ergebnisse verwendeten eigenentwickelten Softwarelösung ist festzuhalten, dass diese auf mög che Schwachstellen geprüft wurde. Hiernach erkannte Schwachstellen wurden unte Zugr ndelegung des Standes der Technik behoben. Dabei fanden die maßgebliche Gr dsätze Anwendung, die seitens des BSI für den IT-Grundschutz aufgestellt sind. Mitlfreuhdlichen Grüßen Markus Ulbig Freistaat SACHSEN Seite 3 von 3 2017-10-10T08:57:36+0200 GRP: Elektronisches Dokumentations- und Archivsystem Erstellung des Nachweisdokumentes