Nicht schon wieder E-Voting!

Erstellt am November 18, 2020 von electrobabe

repost https://www.addendum.org/debatte-corona/e-voting-ondrisek-purgathofer/

Corona-bedingt machen wir gerade mehr von zu Hause und vom Computer aus als je zuvor. Das Virus hat die schon lange herbeigeredete „Digitalisierung“ in Österreich vorangetrieben wie keine andere Initiative, und einen Dammbruch an Online-Shops, Tele-Learning und Homeoffice mit Videokonferenzen verursacht. Vieles an digitaler Technologie hat den Alltag verändert und zum Teil sogar verbessert.

Warum also nicht – endlich! – auch die Wahl digitalisieren? E-Voting klingt so bequem wie Bankgeschäfte per Online-Banking durchzuführen, oder die Steuererklärung per Finanz online einzureichen. Reflexartig folgt ohnehin schon nach jeder Wahlpanne der Ruf nach E-Voting – aber leider immer von Stimmen, die (noch?) nicht weit genug denken.

Was genau ist E-Voting?

Mit E-Voting (engl. für „electronic voting“ also elektronische Wahlen) sind jene Wahlmethoden gemeint, bei denen Stimmen auf elektronischem Weg erfasst und/oder gezählt werden. Die Varianten reichen von Internetwahlsystemen über Wahlcomputer bis hin zu Stimmzettel-Scannern und Zählprogrammen, die Papierstimmzettel automatisiert auswerten.

Die juristische Basis für Wahlen ist in der Verfassung durch die Wahlrechtsgrundsätze verankert. Dort wird allen österreichischen Wahlberechtigten das Recht auf allgemeine, freie, gleiche, persönliche, unmittelbare und geheime Ausübung ihres Wahlrechts garantiert. Und hier beginnen auch schon die Probleme mit dem E-Voting: Einige dieser Rechte werden durch den Einsatz komplexer, intransparenter Technologien kompromittiert, zum Teil bis zu einem Punkt, wo sie nicht mehr garantiert werden können.

Sicherheit im Internet

Auf den ersten Blick klingt es doch praktisch: Gemütlich von zu Hause aus die Stimme auf dem eigenen Computer abgeben, den man sowieso gerade so häufig benutzt. Das klingt so bequem und modern wie Online-Banking, doch dieser Vergleich hinkt. Denn während bei elektronischen Bankgeschäften die Transaktion von Geld den beiden involvierten Konten eindeutig zugeordnet werden kann, weil sie nämlich nachvollziehbar sein muss, muss beim Wählen diese Zuordnung unumkehrbar aufgelöst werden: Man möchte seine Stimme persönlich, aber anonym abgeben.

In der Papier-Wahl lösen wir dieses Problem, indem wir Identitätsüberprüfung und Stimmabgabe durch ganz einfache und nachvollziehbare Mechanismen voneinander trennen. Wir bekommen genau einen Stimmzettel, nachdem unsere Identität überprüft wurde, den wir dann alleine und unbeobachtet in einer Wahlzelle ausfüllen und in ein bestimmtes Kuvert stecken, welches wir schließlich vor Zeugen persönlich in eine Wahlurne werfen können. Noch besser könnte man die Trennung von Identität und Wahlwille kaum gestalten. Alle Beteiligten verstehen, dass ein Rückverfolgen der Stimmabgabe zur Identität der Wählenden eigentlich nicht mehr machbar ist.

Kaum wird die Stimmabgabe aber elektronisch durchgeführt, ist diese Trennung von Identität und Stimme aber nicht mehr demonstrierbar. Wir müssen uns gegenüber dem Wahlgerät oder der Wahlsoftware identifizieren, um dann unsere Stimme abzugeben. Wir müssen uns darauf verlassen, dass die Anonymisierung unserer abgegebenen Stimme in einer komplexen, undurchschaubaren und – gelinde gesagt – nicht immer als zuverlässig erlebten Technologie geschieht. So ist es auch in vielen elektronischen Wahlsystemen so, dass Stimme und Identität, geschützt durch eine Verschlüsselung, gemeinsam aufgehoben und gespeichert werden. In Folge des Einsatzes von E-Voting bei der ÖH-Wahl 2009 gab es einen der Wahlkommission vorliegenden Datenträger mit diesen Wahlstimmen, die mit dem Identitätsnachweis verknüpft waren. Das ist ein absolutes No-Go für demokratische Wahlen!

Aber Online-Banking …

E-Voting mit Online-Banking zu vergleichen ist also illegitim, da es sich um grundlegend unterschiedliche Vorgänge handelt. Wenn man Geld überträgt, dann möchte man ja auch, dass die Empfangenden wissen, dass das Geld von einem ist; für die Fälle, wo man das nicht möchte, vertraut man einer Organisation, dass sie das für einen verbirgt. Wenn man aber nun seine Stimme abgibt, hat man das Recht, dass niemand jemals herausfinden kann und soll, dass diese Stimme von einem abgegeben wurde.

Darüber hinaus wissen wir, dass komplexe Technologien nie fehlerfrei arbeiten. Während wir aber im Fall des Online-Bankings die Transparenz des Vorgangs zur Überprüfung desselben heranziehen können, darf das im E-Voting nicht sein. Eine unbeeinträchtigte Stimmabgabe setzt tatsächlich voraus, dass man seine Stimmabgabe nicht im Nachhinein prüfen kann, denn mit dieser Überprüfung öffnet man Tür und Tor für die erzwungene oder erkaufte Stimme. Das heißt im Umkehrschluss, dass wir uns auf das Wahlverfahren 100 Prozent verlassen können müssen.

Aber selbst Online-Banking ist nicht fehlerfrei: Man denke nur an gelegentliche Online-Banking-Desaster großer Österreichischer Banken – und dort geht es „nur“ um Geld und nicht um politische Machtverhältnisse.

Transparenzproblem

Eine wesentliche Komponente jedes E-Voting-Systems ist die eingesetzte Software zum Erfassen, Verarbeiten und/oder Zählen der Stimmen. Dem Stand der Technik entsprechend ist nicht-triviale Software allerdings niemals hundertprozentig fehlerfrei. Diese Einsicht zählt zu den wenigen von allen anerkannten Wahrheiten unserer Branche. In komplexer Software werden immer Fehler sein – unbeabsichtigt oder beabsichtigt –, die niemals gefunden werden.

Hierbei ist zu bedenken, dass nicht-trivial fast schon kein ausreichender Begriff mehr ist, um die Komplexität moderner Systeme zu beschreiben; um nur ein paar der möglichen Fehlerquellen in einem solchen System anzusprechen, wären da außer dem Sourcecode der eigentlichen Anwendung hinaus: die verwendeten Code-Bibliotheken; die Software, mit der der Code geschrieben wurde; der Compiler, der aus dem Sourcecode Maschinencode macht; das Betriebssystem, auf dem das Ganze dann läuft; die Software, mit der das Wahlsystem auf den Server übertragen wird; der Mechanismus, mit dem das Wahlsystem aktualisiert wird; sowie die Protokolle, mit denen das Ergebnis übertragen wird; und nicht zuletzt das Internet als Übertragungskanal selbst. Schließlich kann auch die Hardware beeinträchtigt werden, etwa bei Ausfällen durch Spannungsspitzen, Fehler in der Hardware oder auch Bit-Flips durch kosmische Strahlung. All das sind Fehlerquellen für ein solches Wahlsystem.

Fehlerquellen sind in diesem Zusammenhang aber nicht nur unbeabsichtigte Fehler, sondern vor allem auch gezielte Angriffe. Solche Attacken stellen einen ernstzunehmenden Risikofaktor dar; und für alle (!) der oben aufgezählten Fehlerquellen gibt es zumindest zu Demonstrationszwecken durchgeführte Angriffe: der Compiler, der Schwachstellen in die Software, die er übersetzt, nachträglich einbaut, sei hier nur beispielhaft genannt.

Befürworter von E-Voting argumentieren gerne damit, dass Open-Source-Software, also Software mit öffentlich einsehbarem Code, eine Lösung dieser Probleme bringt. Hier zeigt sich leider immer wieder, wie auch das umfassend mögliche Auditing im Open-Source-Prinzip damit überfordert ist, Fehlerfreiheit zu garantieren. Darüber hinaus stellt sich die Frage nach Garantien dafür, dass Software, die auf Wahlservern läuft, die aus dem auditierten Sourcecode durch einen auditierten Compiler erstellt wurde, wirklich diese Software ist! Der Vorgang, der das sicherstellen soll, ist wiederum Software, und so finden wir uns vor einem Turm aus Schildkröten, jede auf dem Rücken der vorigen, ohne jemals einen Boden zu finden, der uns tatsächliche Sicherheit garantiert.

Die hohe Komplexität des Gesamtsystems, unter Berücksichtigung aller Abhängigkeiten und Wirkungsketten, macht es unmöglich, Manipulationen auszuschließen. Das unangenehme Ergebnis ist, dass eventuell tatsächlich durchgeführte Eingriffe in den Wahlvorgang oder Fehler weder bemerkt noch nachgewiesen werden können. 1 Kommentare

Wie funktioniert die Blackbox?

Die Maschine – eine selbst auf einfachster Ebene schon lange nicht mehr einsehbare Blackbox – tut Dinge, die auch für technisch Versierte nicht direkt beobachtbar sind und damit auch nicht verifiziert werden können. Unbeabsichtigte genauso wie beabsichtigte Fehler und Backdoors können sich eingeschlichen haben. Die daraus resultierende mangelnde Kontroll- und Manipulationssicherheit einer nicht wirklich überprüfbaren technische Implementierung führt dazu, dass wir alle, Laien wie Expert:innen, dem System nur noch blind vertrauen können. Wie sollen Wahlbeisitzenden oder gar Bürger:innen nachvollziehen können, dass die Wahl korrekt abläuft? Wie sähe da wohl eine Wahleinsicht aus? Welche Ausbildung und Schulung bräuchten dann Mitarbeitende der Wahlkommission?

Der Charakter des Computers als unbeobachtbare Blackbox legt jedoch ein Gedankenexperiment nahe, das die Untauglichkeit dieser Technologien für Wahlvorgänge offenlegt: Damit wir die Integrität des Wahlvorgangs sichern können, brauchen wir ein Computersystem, dem wir direkt und unvermittelt bei jeder Operation zuschauen können. Ein solches gibt es offenbar nicht, aber stellen wir uns kurz vor, es würde existieren. Dann könnten wir mit genug Arbeitsaufwand den korrekten Ablauf der Wahl kontrollieren. In einem solchen System könnten wir also auch den Vorgang beobachten, bei dem Identität von Stimme getrennt wird, wodurch die Anonymität der Stimmabgabe wiederum nicht gewährleistet werden kann. Die einfache Eleganz unserer Lösung dieses Problems bei der Papierwahl – die Wahlkabine – wird hier noch einmal offenbar.

Unsichtbare Gegner

Ein gänzlich anderes, aber ebenfalls in der Komplexität der Technologie verortetes Problem bei jeder Art von E-Voting-Systemen findet sich in der für Automatisierungssysteme typischen Effizienz und Effektivität, mit der E-Voting-Manipulation möglich wird. In digitalen Systemen kann eine einzige Person das gesamte Wahlergebnis manipulieren, verursacht durch die ephemere Natur digitaler Daten. Einfach gesagt: Dem einzelnen Bit, der Kernzelle digitaler Datenverarbeitung, haftet nicht an, wann und von wem es erzeugt wurde. Jegliche Veränderung des Bits wird im Allgemeinen unbemerkt bleiben, und das bedeutet auch, dass Bits spurlos verschwinden können. So ist es beispielsweise einer Gruppe von Informatiker:innen in Princeton 2007 gelungen, ein „Vote Stealing Control Panel“ für eines der in den USA im Einsatz stehenden Wahlmaschinen-Modelle zu entwickeln. Mit dieser Software lässt sich eine Wahl unbemerkt manipulieren, und sie entfernt sich nach Ende der Wahl spurlos selbst von den Geräten. Die abgegebenen Stimmen wirken alle hundert Prozent legitim, nichts deutete nach Ende der Wahl auf die erfolgte Manipulation hin.

Im Vergleich dazu müssen bei Papierwahlen sehr viele Instanzen innerhalb einer kurzen Zeit manipuliert werden. Dafür braucht es viele Kollaborateure, das Risiko einer Entdeckung steigt, insbesondere in den transparenten Wahlsystemen moderner Demokratien. Bild: Georg Hochmuth | Apa

Totgesagte leben länger

Manche mögen jetzt sagen, es funktioniere ja gut in Estland oder der Schweiz! Ob das ja so gut in der Schweiz funktioniert, ist unsicher, denn dort strauchelt man gerade ziemlich mit der Wahlbeteiligung von ~40 Prozent. Außerdem musste auch dort an einer Uni eine E-Wahl aufgrund von Mängeln wiederholt werden. In Estland wurden erst 2014 gravierende Sicherheitsmängel festgestellt! Dafür wurde in Deutschland 2009 vom Bundesverfassungsgericht die Wahl mit Wahlcomputern durch erfolgreichen Einspruch gestoppt.

In Österreich wurde die Internetwahl bei der ÖH-Wahl vom Verfassungsgerichtshof ebenfalls 2009 für ungültig erklärt, da es „im Unterschied zu herkömmlichen Wahlverfahren, bei denen sich jeder Wahlberechtigte von der Einhaltung der Wahlgrundsätze überzeugen kann, im Verfahren der elektronischen Wahl eines besonderen technischen Sachverstandes [bedarf], der bei einem Großteil der Wähler nicht vorausgesetzt werden kann“.  Während dieses E-Voting-Versuchs saß eine Autorin dieses Artikels in der Wahlkommission, und beide waren beim Sourcecode-Review dabei. Es war für beide – wie auch für alle anderen anwesenden Expert:innen – unmöglich, die Software in so kurzer Zeit zu verstehen und zu überprüfen, ob innerhalb tausender Zeilen Code kein einziger Fehler versteckt ist.

Die Qual der Wahl

Das heutige Papierwahl-System überzeugt und besticht mit seiner Einfachheit. Man kann die Schritte, die für jeden verständlich sind, selbst Volksschüler:innen verständlich erklären. Es ist ein durchdachtes, bewährtes System mit einem präzise beschriebenen Ablauf, der mehrere Kontrollfunktionen vorsieht. Es ist transparent, indem es auch Wahlbeisitzer und (externe) Wahlbeobachter einbezieht. Alle, auch Menschen ohne technisches Wissen, können sich vor, während und bei der Wahl von der korrekten Durchführung überzeugen (abgesehen von der Auszählung, die in Österreich unter Ausschluss der Öffentlichkeit erfolgt. Hier stellen die designierten Beisitzer das Kontrollorgan).

Warum soll E-Voting also überhaupt eingesetzt werden? Wieso soll ein bestehendes vertrauenswürdiges System ersetzt werden, das gut funktioniert? Als Argumente werden oft Kostenersparnis und Erhöhung der Wahlbeteiligung genannt, beide sind allerdings bereits durch Studien entkräftet. Die Motivation einer Killer-Applikation für die an schwacher Verbreitung kränkelnden Bürgerkarten zu schaffen, ist groß – das könnte eine E-Voting-Anwendung werden. Abgesehen davon befürworten laut einer aktuellen Umfrage der Uni Wien lediglich 12 Prozent „nur E-Voting“ als Stimmabgabe.

Zudem möchten wir ironisch fragen, ob wir ausgerechnet Wahlkommissionen mit der Kontrolle der fehlerfreien Implementierung eines komplexen elektronischen Wahlsystems betrauen wollen, die uns in jüngster Vergangenheit mit solchen Dauerbrennern wie qualitativ minderwertigen Kuverts oder schlecht durchgeführten Auszählungen unterhalten hat.

Nur eine Person könnte Wahl manipulieren

Es gibt mathematisch-kryptographische Beschreibungen von E-Voting-Verfahren, die absolut wasserdicht sind. Wir leben allerdings nicht in Mathematik, wir leben in einer Welt, in der Mathematik als Anwendung lediglich als menschelnde und daher mangelhafte Umsetzung in Computercode existiert. Es ist immer noch – und wird es vermutlich bleiben – unmöglich, diese elegante, korrekte Mathematik so umzusetzen, dass alle wesentlichen Verfassungsgarantien in Bezug auf Wahlen auch gewährleistet werden können. Im Gegenteil: Wesentliche operationale Gesetzmäßigkeiten von Computersystemen machen es unüberprüfbar, ob die Rechte der Wählenden auf die allgemeine, freie, gleiche, persönliche, unmittelbare und geheime Ausübung ihres Wahlrechts garantiert bleiben; manche dieser Gesetzmäßigkeiten widersprechen diesen Rechten grundlegend. Daher meinen wir, es wird nie vertrauenswürdige E-Voting-Systeme geben, und wir sollten einfach darauf verzichten.

Über die Autoren:

Dr. Barbara Ondrisek
Software-Entwicklerin

Dr. Barbara Ondrisek ist Software-Entwicklerin mit rund 20 Jahren Erfahrung, hat drei Abschlüsse von der TU Wien – unter anderem hat sie ihre preisgekrönte Dissertation auf dem Gebiet E-Voting geschrieben und mit ihrem Doktorvater Prof. Peter Purgathofer papierwahl.at gegründet. Prof. Peter Purgathofer Forscher an der TU Wien

Prof. Peter Purgathofer
Forscher an der TU Wien

Prof. Peter Purgathofer arbeitet an der TU Wien im Forschungsbereich Human-Computer Interaction. Er forscht, lehrt und praktiziert in Gebieten der Gestaltung interaktiver Systeme und den Spannungsfelder zwischen Informatik und Gesellschaft. Er ist Koordinator des Masterstudiums „Media and Human-Centered Computing“.

Veröffentlicht unter e-voting, news, wahlcomputer | Verschlagwortet mit , | Kommentar hinterlassen

Digitale Republik und die Unterwanderung demokratischer Wahlen

Erstellt am Mai 31, 2020 von electrobabe

Peter Purgathofer hat einen Beitrag zu E-Voting für die Wiener Zeitung 25.9.2019 geschrieben:

Unterwanderung demokratischer Wahlen.

Kann der gezielte Einsatz sicherer Technologien – schließlich verwalten wir fast unser ganzes Geld inzwischen über solche Systeme – das Wählen nicht schneller, bequemer und vor allem pannenfreier machen? Kurzantwort: Nein. Viele InformatikerInnen sind sich im Grunde einig darüber, dass Wählen mittels Computer – oder gar über das Internet – eine ganz schlechte Idee ist.
Dafür gibt es viele Gründe, die alle auf dasselbe hinaus laufen: Elektronische Wahlen unterwandern die Prinzipien freier, demokratischer Wahlen. Zwei wesentliche Gründe möchte ich im Folgenden kurz ausführen.
Sowohl der deutsche als auch der österreichische Verfassungsgerichtshof haben im Zusammenhang mit E-Voting bereits Erkenntnisse getroffen: Wahlverfahren müssen so konstruiert und implementiert sein, dass auch StaatsbürgerInnen ohne besondere technische und wissenschaftliche Kenntnisse in der Lage sind, zu verstehen, warum diese Verfahren die Prinzipien einer geheimen, persönlichen, anonymen und fälschungssicheren Wahl zweifelsfrei verwirklichen.
Das ist bei technisch vermittelten Wahlverfahren nicht der Fall. Die Wahlkommission, die für die ordnungsgemäße Durchführung einer Wahl verantwortlich ist, kann das nicht einmal dann verifizieren, wenn sie aus entsprechenden ExpertInnen zusammengesetzt ist. Zu intransparent ist Code, der auf Computern läuft.
Da muss darauf vertraut werden, dass die eingesetzten Systeme frei von Fremd- und Schadsoftware sind, eine Annahme, die InformatikerInnen zu spontanen Heiterkeitsausbrüchen verleiten kann. Insbesondere im Fall von Internet-Voting ist das aber eine unbedingt notwendige Voraussetzung, da Spyware, Keylogger und andere Schädlinge im System direkt dazu genutzt werden können, das Wahlverhalten aller infizierter Computer aufzudecken. Habe ich erwähnt, dass bis zu 50% aller Computer als infiziert gelten?
Aber auch zur Überprüfung der Behauptung, die Wahlserver wären unkompromittiert, braucht es mehr als eine Wahlkommission zu leisten imstande ist. Damit kommen wir auch gleich zum zweiten Problem: Die Wahlkommission steht auch dafür gerade, dass die Stimmabgabe tatsächlich anonym erfolgen kann. Papierwahlen haben eine wesentliche Eigenschaft: Das Instrument der Wahlzelle sorgt für die einfache und für jede/n nachvollziehbare Trennung von Identität und Stimme. Diese Trennung erfolgt unauflöslich, wenn der Stimmzettel in das Kuvert gesteckt wird. Mit dem Einwurf in die Wahlurne wird aus meinem Stimmzettel eine abgegebene Stimme, die meiner Person nicht wieder zugeordnet werden kann. Bei der Briefwahl vertrauen wir, dass die Mitglieder einer eigenen Kommission sich gegenseitig dabei beobachten, wie Stimmkuvert und Wahlkarte getrennt werden. Jede/r kann nachvollziehen, dass diese Trennung nicht rückgängig gemacht werden kann.
Für technisch vermittelte Wahlen muss das anders ablaufen. Hier muss ich beim Wählen einem technischen System, egal ob auf meinem Computer eine Software läuft oder im Wahllokal ein Gerät steht, meine Wahlberechtigung nachweisen, bevor ich die Stimme abgeben kann. Diese Berechtigung, die mit meiner Identität eindeutig verbunden sein muss, wird gespeichert, um mehrfache Stimmabgabe zu verhindern.
Die unvermeidbare Intransparenz dieses Vorgangs ist verantwortlich dafür, dass wir dem technischen System blind vertrauen müssen: Wir können nicht nachvollziehen, ob diese beiden Informationen nicht gemeinsam gespeichert werden. Dieses Vertrauen muss auch die Wahlkommission aufbringen. Sie kann damit die anonyme Stimmabgabe nicht garantieren.
Als Paradebeispiel für gelungenes E-Voting wird immer wieder Estland angeführt. Es ist nicht an uns, die korrekte Abwicklung der Wahl dort in Frage zu stellen; der österreichische VfGH würde diese Wahl aber mit Sicherheit aufheben angesichts der alarmierenden Schwachstellen, die eine Untersuchung zu Tage gebracht hat (estoniaevoting. org). In aller Kürze: Die ExpertInnen haben Estland in der Studie empfohlen, vom E-Voting wieder abzugehen.
Angesichts dieser Schieflage empfehle ich dringend, E-Voting einfach nicht zu machen.

Veröffentlicht unter e-voting, news | Verschlagwortet mit , , | Kommentar hinterlassen

Vortrag von Alex Halderman: Manipulationen von Wahlcomputern bei den US-Wahlen?

Erstellt am Dezember 31, 2018 von 46halbe

In den Vereinigten Staaten sind nicht-transparente und sicherheitstechnisch riskante Computersysteme für Wahlen verbreitet, nur einige haben papierne Nachweise der Stimmabgaben. Entsprechend gestaltet sich die Überprüfung der Abwesenheit von Softwarefehlern, menschlichen Irrtümern oder Wahlmanipulationen als schwierig bis unmöglich. Für Wahlhelfer und Wähler steht eben oft eine „Black Box“ im Wahllokal.

Dennoch sieht Alex Halderman keine Belege dafür, dass es tatsächlich absichtliche erfolgreiche Manipulationen von Wahlcomputern bei den US-Präsidentschaftswahlen im Jahr 2016 gegeben hätte. Der Computersicherheitsexperte will sie allerdings auch nicht ausschließen und verlangt für das Jahr 2020 daher erhebliche Nachbesserungen.

Das berichtet er in seinem Vortrag mit dem Titel Election Cybersecurity Progress Report – Will the U.S. be ready for 2020? auf dem 35. Chaos Communication Congress in Leipzig. Halderman spricht dabei nicht nur Schwächen der Wahlcomputer selbst an, sondern auch angreifbare Wahlinfrastrukturen.

halderman

Im Vortrag gibt er auch einen Überblick, welche Technologien in den Vereinigten Staaten aktuell im Einsatz sind und wo die Probleme damit liegen, insbesondere wenn die Computer veraltet und über sie mannigfaltige Sicherheitslücken bekannt sind. Einige erfreuliche Entwicklungen kann Halderman dabei berichten, da heute wieder mehr Stimmen auch auf Papier, also nachzählbar, festgehalten werden als in den vergangenen Jahren. Verantwortliche Politiker hätten zumindest teilweise bereits reagiert.

Natürlich spart der Wissenschaftler der Universität Michigan auch nicht an Anekdoten und Beispielen aus verschiedenen US-Bundesstaaten, die zuweilen Kopfschütteln verursachen. Halderman verlangt für die Zukunft, auf überprüfbare Wahlsysteme mit festen Regeln zum beweisfesten Testen zu setzen, um Angriffe abzuwehren oder zumindest nicht unbemerkt zu lassen. Die Ideen decken sich mit denjenigen im Bericht „Securing the Vote“, in dem noch weitere Vorschläge erarbeitet wurden, um auch die Wahlinfrastruktur abzusichern.

Die Umsetzung der Vorschläge sei kein Wunderwerk, sagt Halderman:

To defend our elections, we don’t need rocket science. […] Unfortunately today, our dialog about elections isn’t based on evidence. It is largely based on faith. […] But I think voters deserve better. [1]

Mit Vertrauen allein sei noch keine Wahlmanipulation abgewehrt. Dass es aber Fortschritte bei der Absicherung der US-Wahlverfahren gibt und noch bundesweite Standards im US-Kongress beschlossen werden, dafür zeigt Halderman immerhin einigen Optimismus.

[1] Haldermans Vortrag bei media.ccc.de ist auch als Audio-Datei verfügbar.

Veröffentlicht unter e-voting, news | Verschlagwortet mit , | 2 Kommentare

Das Vertrauen in E-Voting

Erstellt am September 21, 2016 von electrobabe

Gastbeitrag von Erich Neuwirth, emeritierter Professor für Statistik und Informatik der Universtät Wien, über die Schwierigkeiten von E-Voting.

.

Magic Christian als Wahlbeisitzer

Stellen Sie sich vor, Sie gehen wählen.

Sie betreten das Wahllokal und Sie sehen, dass Magic Christian (dreifacher Zauberweltmeister aus Österreich) einer der Wahlbeisitzer ist.

Würden Sie ihm Ihr Wahlkuvert zum Einwerfen in die Urne geben und dabei ganz
sicher sein können, dass er da keine Manipulation vornehmen kann? Ich schreibe absichtlich „kann“, denn der Verfassungsgerichtshof hebt ja Wahlergebnisse bereits auf,
nur weil etwas passiert sein könnte und nicht erst, wenn tatsächlich etwas passiert ist!

Und sind sie sicher, dass er nicht in der Lage ist, Manipulationen an den Stimmen
vorzunehmen, wenn die Urne geöffnet wird und die Stimmen irgendwo ausgebreitet werden?

Allerdings wäre der Umfang der Manipulation begrenzt, er könnte ja maximal alle im Sprengel abgegebenen Stimmen verändern, wobei die typische Sprengelgröße in Österreich bei etwa 1000 Stimmen liegt.

Beim E-Voting gibt es auch Magic Christians, nämlich IT-Fachleute, die notwendige Computersysteme konfigurieren, installieren, warten, betreuen und bedienen.

Manipulationssicherheit

Die wichtigste Frage beim E-Voting ist: Wie viele Beteiligte bräuchte man,
um eine Stimmenverschiebung in welchem Umfang zu erreichen?

Im zentralen Auswertungscomputer könnten theoretisch alle Stimmen manipuliert werden. Und in der Regel reichen wenige Personen (oder eine einzige), um ein als sicher angesehenes Computersystem zu kompromittieren.

Außerdem, erinnern wir uns: Dem Verfassungsgerichtshof reicht die theoretische Möglichkeit zur Wahlaufhebung!

Natürlich ist diese Metapher (wie jede Metapher) unvollständig. Wahlbeisitzer sind für die Zeit ihrer Funktion Amtspersonen und unterliegen besonderen Pflichten. Das ist nicht ganz einfach auf Programmier zu übertragen. Beisitzer haben zumindest kurzzeitig Kontakt mit den Wählern, im Manipulationsfalle wüssten sie also teilweise, wen sie betrogen hätten. Programmierer des E-Voting-Systems manipulieren (falls sie das täten) eine anonyme Zahlenmasse.

Transparenz

Der deutsche und der österreichisch Verfassungsgerichtshof haben im Zusammenhang mit E-Voting bereits Erkenntnisse getroffen: Wahlverfahren müssen so konstruiert und implementiert sein, dass auch Staatsbürger ohne besondere technische und wissenschaftliche Kenntnisse in der Lage sind, zu verstehen, warum diese Verfahren die Prinzipien geheim, persönlich, anonym und fälschungssicher zweifelsfrei verwirklichen.

In diesem Zusammenhang gibt es auch ein besonders pikantes Detail: Ein wesentlicher Bestandteil der elektronischen Wahlsysteme ist die Sicherheit von Verschlüsselungsverfahren. Das ließe sich in einem Schulfach Informatik allen Schülern vermitteln. Aber guter Informatikunterricht wird von den meisten (Bildungs-Politikern seit Bundesministerin Gehrer) nicht als besondere Priorität für unser Bildungssystem gesehen.

Estland

Als Beispiel für gelungenes E-Voting wird immer wieder Estland angeführt. Dort haben bei den letzten Wahlen 20% bis 30% der Wähler ihre Stimme per E-Voting abgeben. Das setzt sich in Estland leichter durch, weil dort schon seit Längerem viele Amts- und Geschäftsvorgänge mit der elektronischen Bürgerkarte abgewickelt werden können.

Eine Bürgerkarte gibt es auch in Österreich. Vor drei Jahren habe ich versucht, die dafür notwendige Software-Umgebung auf meinem Mac zu installieren, war aber nicht in der Lage, das in meiner gewünschten Umgebung zum Laufen zu bringen.

Ein weiterer wichtiger Unterschied zwischen Estland und Österreich: In Estland gibt es schon seit einigen Jahren verpflichtenden Informatikunterricht, sogar in der Volksschule. Zumindest die jüngere Generation ist in Estland also bereits darauf vorbereitet, Risken von E-Voting abschätzen zu können.

Viele der Proponenten des Vorbilds Estland für E-Voting scheinen einen sehr aufschlussreichen Expertenbericht (erhältlich über estoniaevoting.org) nicht zu kennen. Diese überprüfte und wissenschaftliche Untersuchung findet einige sehr gefährliche Schwachstellen des estnischen Systems. Als Folge dieser Studie haben ihre Autoren Estland empfohlen, vom E-Voting wieder abzugehen.

Online-Banking

Ein oft strapaziertes Argument beim E-Voting lautet: Wenn wir sogar in der Lage sind,
unsere Bankgeschäfte übers Internet abzuwickeln, dann müsste das doch auch beim Wählen möglich sein.
Dieses Argument hat aber einen ganz grundsätzlichen Fehler: Jeder Buchungsvorgang ist auf Dauer mit einem Konto verbunden. Sie bekommen ihren Kontoauszug, und dieser Kontoauszug ist erkennbar mit Ihnen verbunden. Sie können also Fehlbuchungen entdecken und mithilfe ihres Kontoauszugs auch reklamieren. Von beiden Seiten: beim eingehenden Konto und beim ausgehenden.

Stimmen bei Wahlen müssen aber vor der Auszählung anonymisiert werden. Sie können also nicht kontrollieren, ob Ihre Stimme für die Partei oder den Kandidaten gezählt wurde, für die Sie sie abgegeben haben.

Demokratiepolitische Eigenschaften von Wahlverfahren

Was ist eigentlich die demokratiepolitisch wichtigste Eigenschaft eines Wahlverfahrens? Wahrscheinlich die Tatsache, dass die Verlierer keinen Zweifel daran hegen, dass sie verloren haben und der Grund dafür nicht Manipulationen am Wahlergebnis sind. Der Prozentsatz von Wählern, die nicht in der Lage sind, die (Un-)Sicherheit von E-Voting vernünftig einzuschätzen, ist sicher dramatisch höher als der entsprechende Prozentsatz Urnenwahl und Briefwahl. Damit ist die Zahl der Wähler (und der nicht Gewählten), die von der Korrektheit des Ergebnisses zweifelsfrei überzeugt wären, auf jeden Fall kleiner als bei herkömmlichen Wahlverfahren. Da es mittlerweile schon Gruppierungen gibt, die mit allen Mittel versuchen, die Korrektheit von Wahlergebnissen, die ihnen nicht genehm sind, grundsätzlich in Frage zu stellen, würde die Einführung von E-Voting die Glaubwürdigkeit von Wahlergebnissen weiter untergraben.

Erneute Auszählungen

Abschließend noch das Argument, dass ich für eines der stärksten gegen die Einführung von E-Voting halte:
Aufgrund von Verfassungsgerichtshofentscheidungen mussten Wahlergebnisse auch schon noch einmal ausgezählt werden. Das geht, weil Stimmzettel und Sicherheitsauflagen aufbewahrt werden müssen und jeder Stimme genau ein Stimmzettel entspricht. Diese Möglichkeit der Überprüfung gibt es beim E-Voting nicht mehr. Das Konzept, das sich mit solchen Fragestellungen beschäftigt, heißt „verified voting“ und die Website verifiedvoting.org, die vom David Dill, einem Informatik-Professor
an der Stanford University, betreut wird, setzt sich mit den entsprechenden Fragen sehr gründlich und dabei verständlich auseinander.

Bundestrojaner auf Wahlcomputern

Noch ein Problem gibt es: Das ganze E-Voting-System wäre nur dann zuverlässig, wenn alle involvierten Computer manipulationssicher wären. Das betrifft auch Computer, auf denen Stimmen abgegeben werden; also Computer in den Wohnungen der Wähler! Das zu erreichen wäre praktisch unmöglich.

Nur zwei Beispiele, was da passieren könnte:
Mithilfe des Bundestrojaners (der ja sogar auf gesetzlicher Grundlage auf Rechnern von Privatpersonen installiert werden darf) könnten Behörden die Wahlentscheidung einzelner Personen überwachen. Es wäre durchaus auch möglich, Schadprogramme zu schreiben, die auf privaten Rechnern heimlich installiert werden, die so aussehen, wie offizielle Wahlprogramme (oder Wahl-Websites). Solche Programme könnten dem Benutzer vortäuschen, dass gewählt wurde, die Stimme würde aber tatsächlich nirgendwo ausgewertet und somit vernichtet.

Gretchenfrage

Die Kernfrage bei jedem Wahlverfahren lautet:
Kann jeder Wähler sicher sein, dass seine Stimme richtig (also für angegebene Parteien, Fraktionen oder Kandidaten) gezählt wurde, und ist ebenso gesichert, dass das Wahlverhalten jedes einzelnen Wählers nicht nachvollzogen werden kann.

Das Risiko, dass das nicht gesichert werden kann, ist bei E-Voting dramatisch höher als bei der klassischen Urnenwahl.

.

ao. Univ.-Prof. i.R. Dr. Erich Neuwirth war vor seinem Ruhestand Leiter des Fachdidaktik-Zentrums für Informatik an der Universität Wien.
Als Statistiker hat er zum Thema Wahlanalysen und Wahlhochrechnung geforscht. Von 1986 bis 1996 hat der die Wahlhochrechnungen des ORF durchgeführt, danach dann die des Innenministeriums methodisch betreut. Der Veröffentlichung von Wahldaten vor Wahlschluss steht er seit Anfang seiner Tätigkeit sehr skeptisch gegenüber.

Veröffentlicht unter e-voting, internetwahlen | Verschlagwortet mit , , , , , , , | Kommentar hinterlassen

Die Qual mit der Briefwahl – reloaded

Erstellt am September 9, 2016 von electrobabe

Wie selbstverständlich kommt jedesmal bei Wahlpannen von ein paar Seiten (meist ÖVP-Nähe) der Ruf nach E-Voting – und zwar von Leuten, die nicht weit genug denken.

Internetwahlen mit Online Banking zu vergleichen ist wie Postkarten mit WhatsApp: Bei dem einen wird die Stimme anonym über einen unsicheren Kanal ohne Kontrolle geschickt, bei dem anderen kommt eine Stimme authentifiziert, authorisiert und beidseitig geloggt an.

Egal wie man es anstellt (neuerdings ist Blockchain-Verschlüsselung in Diskussion neben anderen fancy Verschlüsselungsalgos), man kann bei Distanzwahlen grundlegende Wahlrechte nicht gewährleisten (ein Wähler gibt genau einmal seine Stimme persönlich und anonym ab etc).

Was man mit E-Voting besonders gut machen kann, ist das Wahlergebnis ohne Nachweis zu manipulieren, durch einen Bug oder absichtlich. Und man kann auch schön viel Geld damit machen (Stichwort Bürgerkarte).

Zudem find ich es ja besonders absurd, dass jener Wahlkommission, die mit ihrer jetzigen „Technologie“ (Kleber von Papierkuverts) schon Probleme hat, auch noch eine fehlerfreie Implementierung eines elektronischen Wahlsystems zuzutrauen! Und so ganz nebenbei: Es gibt keine fehlerfreie Software. Sorry!

Oder um es kurz zu machen: „E-Voting ist wie Briefwahl on Steroids“ (Zitat Helge Fahrnberger, ein weiser Mann).

.

Weitere Infos unter:
Die Qual mit der Briefwahl
Was ist E-Voting? …und wo liegen die Probleme?

Veröffentlicht unter e-voting, internetwahlen | Verschlagwortet mit , , , | 1 Kommentar

Knappe Mehrheiten in Australien: Ein Fall für E-Voting?

Erstellt am Juli 29, 2016 von 46halbe

Die Anfang Juli durchgeführten Parlamentswahlen in Australien waren eine ausgesprochen knappe Sache. Die Koalition konnte nach länglichen Zählprozeduren 73 Sitze im Parlament, das aus insgesamt 150 Sitzen besteht, auf sich vereinen. Alles unter 76 Sitzen machte Verhandlungen mit kleineren Parteien nötig, um an der Macht zu bleiben. Nun liegt die knappe Mehrheit bei nur drei Sitzen.

Der Lobbyverband der australischen IT-Industrie, die Australian Information Industry Association (AIIA), meldete sich bei der Gelegenheit mit einem Kommentar über das Wahlverfahren zu Wort: Election cliffhanger prompts e-Voting rethink. Man fordert die zuständige Wahlkommission auf, das zögerliche Verhalten in Bezug auf elektronische Stimmabgaben aufzugeben:

The federal election cliffhanger should be a wake-up call for the Australian Electoral Commission to shed its reluctance to embrace electronic voting.

wahlurneDass es gerade bei dem knappen Ausgang der Wahl ein Vorteil ist, das Wählervertrauen durch transparentes Nachzählen zu stärken und gerade nicht durch den wiederholten schnellen Knopfdruck bei einem Computersystem zu ersetzen, liegt eigentlich auf der Hand. Es mag aber für die Mitglieder der AIIA nicht eben das beste Geschäftsmodell sein.

Die Australian Electoral Commission (AEC) hatte sich schon mehrfach mit den Pro- und Contra-Argumenten zu Computerwahlen (pdf) auseinandergesetzt, auch zu Fragen der technischen Machbarkeit und Bedienungsfehlern, zu Möglichkeiten der Wahlmanipulation und Problemen mit Sicherheitslücken. Zusätzlich wurden die australischen Wähler dazu befragt, wie sicher sie Online-Wahlen einschätzen. 2013 hielt nur knapp die Hälfte der Befragten diese Form des Wählens für sicher.

Nachdem es im Jahr 2000 über mechanische und elektronische Wahltechnologien und die Wahlcomputer-Hersteller wegen der Hängepartie und den Fehlauszählungen bei der Präsidentschaftswahl in den Vereinigten Staaten erstmals breite Presseberichterstattung gab, weil die Systeme defekt, unbenutzbar, unzuverlässig, teuer, manipulierbar oder alles davon waren, haben sich mehr Forscher, Hacker und Juristen des Themas angenommen. Immer wieder bestätigten sie seitdem die verschiedenen technischen und juristischen Probleme, die auch die AEC beleuchtet hatte.

Oft wiederholte Argumente

Der CEO der AIIA und frühere McKinsey-Mann Rob Fitzpatrick scheint all dies nie gehört zu haben und versucht sich völlig unbeleckt von den Diskussionen im letzten Jahrzehnt an Argumenten für die elektronische Stimmabgabe. Er wird mit den Worten wiedergegeben:

Under today’s archaic system, votes can still be miscounted, misread, or even simply misplaced. And on the issue of proof of identity, when was the last time you had to show ID at the ballot box?

Um Papierwahlen archaisch zu nennen, braucht man wohl ordentlich Chuzpe. Argumentativ aber stellt er indirekt die verwegene Behauptung auf, elektronische Stimmen könnten nicht falsch gezählt oder falsch interpretiert werden und auch nicht wegkommen. Dem ist natürlich nicht so. Auch dass der Identitätsnachweis eines Wählers bei Online-Wahlen kein Problem darstellt, fällt wohl eher in die Kategorie Wunschdenken ohne Beleg.

Fitzpatrick betont angesichts der langwierigen Ergebnisfindung in Australien:

Mr Fitzpatrick […] says the election results would already be out if electronic voting was in place today.

Dass die Schnelligkeit des Zustandekommens des Ergebnisses schon ein Wert an sich sei, ist eine oft wiederholte Argumentation. Sie übersieht allerdings, dass Gründe für das langsamere Zählen von Menschen nicht allein deren Zählfähigkeiten sind, sondern auch der transparente Prozess an sich, den jeder einsehen und verstehen kann. Vor allem aber ist diese Öffentlichkeit und Überprüfbarkeit des Wahlablaufes ein hohes Gut, grundrechtlich geschützt in vielen Staaten. Anders das Tempo des Zählens: Es mag praktisch sein, das Ergebnis früher zu kennen, aber man misst zu Recht der Schnelligkeit im Vergleich zu den Fragen der Transparenz und Manipulationsfreiheit und damit dem Vertrauen in die Wahl keinen sonderlich hohen Wert bei.

Was die Schnelligkeit angeht, werden auch noch Brasilien und Estland als Vorzeigeländer angegeben, wo nur Minuten nach Ende der Stimmabgaben schon die Ergebnisse ermittelt würden:

Countries such as Brazil and Estonia are already ahead of the curve on electronic voting, with results tallied electronically within minutes after the polls close.

estlandTatsächlich wird schon seit dem Jahr 2000 in Brasilien an der „Urna Eletrônica“ gewählt. Mehrere tausend Wahlcomputer werden landesweit eingesetzt. Auch Estland hat seit Jahren die Möglichkeit der elektronischen Stimmabgabe (mit Hilfe eines Lesegeräts und einer ID-Karte, Foto rechts). Zur Wahrheit gehört aber auch, dass es in beiden Ländern seit Jahren Streit um den Quellcode, die Auditierung der verwendeten Software oder um Manipulationen gibt.

Fitzpatrick hat aber noch ein weiteres Argument, das regelmäßig auftaucht, wenn es um computerisierte Wahlen geht:

Electronic voting not only saved time but could also potentially deliver significant cost savings.

Da lacht der Informatiker – mit einem hörbaren Seufzer –, denn IT-Sicherheit ist teuer, Tendenz steigend.

Wo wir grade einen Blick auf australische Wahltechnologien werfen: Es ist nicht ohne Ironie, dass Lobby-Mann Fitzpatrick vergisst zu erwähnen, dass Forscher eines Teams um Alex Halderman letztes Jahr – während einer bereits laufenden Wahl – und im Juni dieses Jahres erneut einen Fehler in der Zähl-Software „iVote“ des Anbieters Scytl gefunden hatten. Diese Software war im Bundesstaat New South Wales (NSW) im Einsatz.

Auch um die Herausgabe des Quellcodes für das Wahlsystem „Easycount“ bei den Senatswahlen in Australien im Jahr 2013 gab es wegen vermuteter Stimmenabweichungen gerichtlichen Streit, der sich vor allem um die Frage drehte, ob der Quellcode ein Geschäftsgeheimnis sei. Das Gericht versagte übrigens die Herausgabe des Quellcodes, der mit Hilfe des australischen Informationsfreiheitsgesetzes (FOI Act) zur Überprüfung angefragt worden war:

The Easycount source code is a trade secret and is exempt from disclosure because of section 47(1)(a) of the FOI Act.

Das mag den Lobbyisten freuen, nicht aber den Wähler. Denn die Abhängigkeit von Technologielieferanten stellt auch einen kritischen Unsicherheitsfaktor bei computerisierten Wahlen dar, der selten zur Sprache kommt.

Bilder von European Parliament, CC BY-NC-ND 2.0.

Veröffentlicht unter e-voting, international | Verschlagwortet mit , , | Kommentar hinterlassen

Die Qual mit der Briefwahl

Erstellt am Oktober 17, 2015 von electrobabe

Am 11.10.2015 wurde in Wien der Gemeinderat gewählt. Wie auch in den letzten Jahren konnte man im Voraus eine Wahlkarte beantragen, die eingeschrieben zugestellt wird. So kann man aus dem Ausland per Post oder mit der Wahlkarte selbst in einer anderen Gemeinde wählen (etwa wenn man gerade in Grinzing auf Urlaub ist). Ein tolles Service – solange die Wahlkarten auch richtig ankommen!

Lauf ORF wurden insgesamt 40.000 Wahlkarten nicht verwendet, da auch durch die Verkürzung der Fristen Wahlkarten nicht ausgewertet werden konnten. Wie der Standard berichtete, wurden rund 20.000 Wahlkarten (also 10%) zwar zugestellt, aber nicht ordentlich retourniert geschweige denn, im Endergebnis erfasst. Nun stellt sich die Frag, wo diese Wahlkarten abgeblieben sind.

Weiters ist mindestens ein Fall bekannt, wo die Wahlkarte, trotz „sicherem“ Zustellverfahren, an eine andere Person übergeben wurde:

Bei der Post heißt es auf Nachfrage des STANDARD, dass ein Fehler passiert sei. Dass ein Briefträger sich bei der Adresse irrt, könne schon einmal vorkommen. Dass das Einschreiben an eine fremde Person ging, sei „nicht in Ordnung“.

„Nicht in Ordnung“ ist es allemal, zudem die Person ihre Stimme nicht wählen konnte, da „keine Duplikate“ ausgestellt werden.

Gesamt beantragten zwar „nur“ ~15% (mehr als 200.000) der 1.3 Mio Wahlberechtigten eine Wahlkarte, allerdings ist die Wahrscheinlichkeit, dass eine Briefwahlstimme abgegeben wird, deutlich höher: Von den rund 800.00 gültigen Stimmen wurden mehr als 150.000 per Briefwahl abgegeben (~19%!). Weiters hat man in der Vergangenheit gesehen, dass durch Wahlkarten oft noch „Swing“-Bezirke umgefärbt werden können, da die Briefwählerschaft andere demografische Eigenschaften aufweist.

Für die Beantragung muss man sich ausweisen, das heißt, man zeigt einen Ausweis vor oder signiert digital. Beantragt man eine Wahlkarte bis zu acht Wochen vor der Wahl, wird diese laut der Wahlrechtsnovelle 1. Jänner 2012 als RSb-Brief (Rückscheinbrief eines behördlichen Schriftstücks, „amtswegige Zustellung“, siehe RIS) persönlich zugestellt, allerdings kann eine andere „erwachsene Person“ im Haushalt oder bei der Arbeit die Zustellung entgegennehmen. Es gäbe auch prinzipiell die Möglichkeit, die Wahlkarte per RSa-Brief zuzustellen, was „eigenhändigen“ Empfang bedeuten würde, wie es auch im Gesetz stünde (§30c), aber aus irgendeinem Grund hat man drauf verzichtet.

Wenn man die Wahlkarte abschicken will, gibt man den anonymen Stimmzettel in den gleichen blauen Umschlag, den man im Wahllokal auch bekommt, steckt aber jenen anonymen Umschlag in einem weiteren, den man unterschreiben muss.

wahlkarte-umschlag

Umschlag, Quelle RIS

Nun, folgende Gedanken dazu:

  • Wenn man den Umschlag unterscheibt, wer kontrolliert dann die Unterschift? Dafür müsste es doch ein Register mit Unterschriftenproben der Briefwähler geben. Man kann etwa auch die Wahlkarte per elektronischer Bürgerkarte beantragen – da gibt nicht einmal handschriftliche Unterschriften. Also könnte jeder, der irgendwo eine Wahlkarte rumliegen sieht, diese ausfüllen und absenden.
  • Wenn man den Umschlag etwa mit einem Kugelschreiber unterschreibt, drückt sich doch auch die Unterschrift auf das Blatt des Stimmzettels durch. So könnte man die „anonyme Stimme“ einer Person zuordnen (falls die Unterschrift bzw. der Name erkennbar ist)!
  • Wer seine Stimme per Post aufgibt, vertraut dem Zustellweg. Die Wahlkarte wird im Allgemeinen außerdem nicht eingeschrieben retourniert. Dauert der Postweg etwa von einem entlegenen Ort länger, wird die Wahlkarte nicht gewertet, da sie zu spät ankommt.

Also ist beim Versand der Wahlkarten schon sehr viel Menschenvertrauen und Glück notwendig.

Nun hat aktuell die FPÖ die Bezirksvertretungswahl im 2. Wiener Gemeindebezirk beeinsprucht, wie Profil berichtet:

Bei der Auszählung der Briefwahlstimmen [..] ergab die Zählung der gelben Stimmzettel eine unerklärliche Differenz von 82 fehlenden Stimmen. [..] Trotz intensiver Suche nach diesen 82 gelben Stimmzettel, wurden diese weder im Saal der Auszählung, noch in den gesammelten, bereits geleerten Briefwahlkarten und Stimmzettelkuverts aufgefunden.

Da die Grünen in diesem Bezirk um genau 25 Stimmen auf Platz 2 vorne liegen, erhofft sich nun die blaue Partei einen Umschwung und die Bezirksvorsteherschaft in 1020. Die Partei möchte es bis zum Verfassungsgerichtshof durchfechten und verlangt eine Wahlwiederholung.

.

Mein persönlicher Kommentar zu guter Letzt:

Mit Internetwahlen wäre die Problematik noch viel schlimmer, da man jeden einzelnen Schritt von der Ausstellung bis zur Zählung noch ohne Nachweis einer Manipulation beeinflussen könnte!

Veröffentlicht unter news, recht | Verschlagwortet mit , , , | 1 Kommentar

E-Voting beim 31. Chaos Communication Congress

Erstellt am Januar 13, 2015 von marc

Der Chaos Communication Congress, die jährliche Veranstaltung, bei der alle interessierten Hacker, Netzaktivisten und -künstler und artverwandten Lebensformen zusammen kommen, fand dieses Jahr in Hamburg zum 31. Mal statt.

Das reichhaltige Vortragsprogramm spannte auch dieses Jahr wieder den Bogen von sehr technischen Vorträgen über (netz)politische und gesellschaftliche Themenfelder bis hin zu künstlerischen und aktivistischen Aspekten. Alle Vorträge wurden aufgezeichnet und stehen zum nachschauen bereit.
Ich möchte euch an dieser Stelle die 2 Vorträge empfehlen, die sich bei diesem Congress mit dem Thema E-Voting bzw. Internetwahlen befasst haben.

Security Analysis of Estonia’s Internet Voting System

In Estland wurden die letzten Wahlen übers Internet durchgeführt. Alex Halderman, der sich schon seit Jahren im wissenschaftlichen Kontext mit der Sicherheit von elektronischen Wahlsystemen auseinander setzt, hat sich mit seinem Team die Umsetzung in Estland genauer angeschaut.
Wenig überraschend ist er relativ schnell fündig geworden, was grobe Sicherheitslücken angeht. Unter EstoniaEvoting.org sind die Ergebnisse auch noch mal im Detail dokumentiert (wir berichteten bereits).

[Video bei Youtube | Video bei media.ccc.de]

Estonia is the only country in the world that relies on Internet voting in a significant way for legally-binding national elections — up to 30% of all voters cast their ballots online. This makes the security of Estonia’s Internet voting system of interest to technologists and citizens the world over. Over the past year, I helped lead the first rigorous, independent security evaluation of the system, based on election observation, code review, and laboratory testing. The findings are alarming: there are staggering gaps in Estonia’s procedural and operational security, and the architecture of the system leaves it open to cyberattacks from foreign powers. Our investigation confirmed the viability of these attacks in the lab, but the Estonian government has chosen to downplay them. We urgently recommend that Estonia discontinue use of the system before the country suffers a major attack. [… ->]

Slides von dem Vortrag (.pdf)

The Rise and Fall of Internet Voting in Norway

Auch in Norwegen gab es konkrete Vorstöße Internetwahlen durchzuführen. Zumindest bis 2013, da wurde das Projekt dann nämlich nicht mehr weiter verfolgt. Tor Bjørstad, der das norwegische System auf technischer Ebene untersucht hat, erklärt in seinem Vortrag, was bei dem norwegischen System funktioniert hat und was nicht und warum Norwegen nun wieder auf „herkömmlichem“ Wege wählt.

[Video bei Youtube | Video bei media.ccc.de]

In the parliamentary elections of September 2013, more than 250 000 Norwegians in selected municipalities were able to vote from home. They were taking part in a national trial of Internet voting, building on an advanced cryptographic protocol. [… ->]

Slides von dem Vortrag (.pdf)

Veröffentlicht unter e-voting, international, konferenzen und veranstaltungen | Verschlagwortet mit , , , , , | 2 Kommentare

Systemfehler in Belgien bei EU-Wahl

Erstellt am Juni 2, 2014 von electrobabe

Disketten-Belgien

Quelle: brf.be

Am 25.5. wurde emsig für das EU-Parlament abgestimmt und auch bei dieser Wahl (wie auch bereits bei den Vorwahlen) gab es weitere E-Voting-Pannen – dieses Mal in Belgien. Dort werden – wie auch in den USA – Wahlcomputer eingesetzt, die bereits aus Deutschland verbannt wurden.

Die fehlerhaften Wahlcomputer sind in 20 von 209 Kantonen eingesetzt worden. Es sind dabei 2.000 Wählerstimmen verloren gegangen. Das System wird von der Firma Stésud geliefert, die reuig den Fehler ausgebessert haben, aber weiter ihre Wahlcomputer verteidigen. [1]

„Es konnten in verschiedenen Kantonen die Disketten (sic!) nicht eingelesen werden, weil es ein Serverproblem beim Innenministerium in Brüssel gab.“ [..]

Auf den Disketten sind die Wählerstimmen aus den verschiedenen Wahllokalen gespeichert. Sie wurden von den Wahlbüro-Leitern nach Eupen und St. Vith gebracht und sollen dort addiert werden. [..]

Rolf Lennertz bezeichnete die Situation im BRF-Interview als “Super-GAU”“ [2]

Kommer Kleijn, Sprecher von VoorEVA.be, einer belgischen Organization „für eine Ethik der Wahlautomatisierung“, nannte die Probleme „eine Katastrophe“, da der Wähler sein Ergebnis im vorliegenden System nicht verifizieren könne. [3]

1 BRF online Stésud will an Wahl per Computer festhalten
2 BRF online Vorerst keine Ergebnisse – Lennertz: “Super-GAU”
3 PC World Software bug disrupts e-vote count in Belgian election

Veröffentlicht unter e-voting, international, wahlcomputer | Verschlagwortet mit , , , , , , | Kommentar hinterlassen

Sicherheitslücken bei Online-Vorwahlen der Neos aufgedeckt

Erstellt am Mai 28, 2014 von electrobabe

papierwahl-neos

Bei den Online-Vorwahlen der Neos für Vorarlberg wurden Sicherheitslücken durch zwei Ex-Mitglieder aufgedeckt.

Die Vorwahlen, an der sich alle Bürger beteiligen können (deren Stimmen machen ein Drittel des Gesamtvotums aus), werden von der neuen österreichischen Partei nun ausgesetzt.

Die Neos setzen ihre Online-Vorwahl für die Landtagswahl in Vorarlberg aus. Grund dafür sei eine Sicherheitslücke, die vor der EU-Wahl von zwei mittlerweile ausgetretenen Mitgliedern missbraucht worden sei. [..]
Zwei Mitglieder hätten vor der EU-Wahl auf Lücken im System hinweisen wollen und mehrere Stimmen mittels gefälschter E-Mail-Adressen und eigens dafür beschaffter Wertkartenhandys abgegeben. [1]

Trotz des Wahlbetrugs wollen die Neos aber bei Online-Vorwahlen bleiben.

Nun kümmere sich eine Untersuchungskommission darum. Das Prinzip der Online-Vorwahlen wollen die Neos aber nicht aufgeben. [..] Bis zur nächsten bundesweiten Mitgliederversammlung im Juli soll ein neues Vorwahlsystem ausgearbeitet werden, das nach der Vorarlberg-Wahl wieder zum Einsatz kommen soll. [2]

Warum Internetwahlen als elektronische Form von Distanzwahlen doppelt anfällig auf Missbrauch und Angriffe ist, kann man unter Was ist E-Voting? …und wo liegen die Probleme? oder unter Internetwahlen nachlesen.

1 Die Presse: „Missbrauch“: Neos setzen Online-Vorwahl aus

2 Der Standard: Nach Missbrauch: Neos setzen Online-Vorwahl für Vorarlberg aus

Veröffentlicht unter internetwahlen, news | Verschlagwortet mit , , | Kommentar hinterlassen