E-Voting beim 31. Chaos Communication Congress

Der Chaos Communication Congress, die jährliche Veranstaltung, bei der alle interessierten Hacker, Netzaktivisten und -künstler und artverwandten Lebensformen zusammen kommen, fand dieses Jahr in Hamburg zum 31. Mal statt.

Das reichhaltige Vortragsprogramm spannte auch dieses Jahr wieder den Bogen von sehr technischen Vorträgen über (netz)politische und gesellschaftliche Themenfelder bis hin zu künstlerischen und aktivistischen Aspekten. Alle Vorträge wurden aufgezeichnet und stehen zum nachschauen bereit.
Ich möchte euch an dieser Stelle die 2 Vorträge empfehlen, die sich bei diesem Congress mit dem Thema E-Voting bzw. Internetwahlen befasst haben.

Security Analysis of Estonia’s Internet Voting System

In Estland wurden die letzten Wahlen übers Internet durchgeführt. Alex Halderman, der sich schon seit Jahren im wissenschaftlichen Kontext mit der Sicherheit von elektronischen Wahlsystemen auseinander setzt, hat sich mit seinem Team die Umsetzung in Estland genauer angeschaut.
Wenig überraschend ist er relativ schnell fündig geworden, was grobe Sicherheitslücken angeht. Unter EstoniaEvoting.org sind die Ergebnisse auch noch mal im Detail dokumentiert (wir berichteten bereits).

[Video bei Youtube | Video bei media.ccc.de]

Estonia is the only country in the world that relies on Internet voting in a significant way for legally-binding national elections — up to 30% of all voters cast their ballots online. This makes the security of Estonia’s Internet voting system of interest to technologists and citizens the world over. Over the past year, I helped lead the first rigorous, independent security evaluation of the system, based on election observation, code review, and laboratory testing. The findings are alarming: there are staggering gaps in Estonia’s procedural and operational security, and the architecture of the system leaves it open to cyberattacks from foreign powers. Our investigation confirmed the viability of these attacks in the lab, but the Estonian government has chosen to downplay them. We urgently recommend that Estonia discontinue use of the system before the country suffers a major attack. [… ->]

Slides von dem Vortrag (.pdf)

The Rise and Fall of Internet Voting in Norway

Auch in Norwegen gab es konkrete Vorstöße Internetwahlen durchzuführen. Zumindest bis 2013, da wurde das Projekt dann nämlich nicht mehr weiter verfolgt. Tor Bjørstad, der das norwegische System auf technischer Ebene untersucht hat, erklärt in seinem Vortrag, was bei dem norwegischen System funktioniert hat und was nicht und warum Norwegen nun wieder auf “herkömmlichem” Wege wählt.

[Video bei Youtube | Video bei media.ccc.de]

In the parliamentary elections of September 2013, more than 250 000 Norwegians in selected municipalities were able to vote from home. They were taking part in a national trial of Internet voting, building on an advanced cryptographic protocol. [… ->]

Slides von dem Vortrag (.pdf)

Veröffentlicht unter e-voting, international, konferenzen und veranstaltungen | Verschlagwortet mit , , , , , | Kommentar hinterlassen

Systemfehler in Belgien bei EU-Wahl

Disketten-Belgien

Quelle: brf.be

Am 25.5. wurde emsig für das EU-Parlament abgestimmt und auch bei dieser Wahl (wie auch bereits bei den Vorwahlen) gab es weitere E-Voting-Pannen – dieses Mal in Belgien. Dort werden – wie auch in den USA – Wahlcomputer eingesetzt, die bereits aus Deutschland verbannt wurden.

Die fehlerhaften Wahlcomputer sind in 20 von 209 Kantonen eingesetzt worden. Es sind dabei 2.000 Wählerstimmen verloren gegangen. Das System wird von der Firma Stésud geliefert, die reuig den Fehler ausgebessert haben, aber weiter ihre Wahlcomputer verteidigen. [1]

“Es konnten in verschiedenen Kantonen die Disketten (sic!) nicht eingelesen werden, weil es ein Serverproblem beim Innenministerium in Brüssel gab.” [..]

Auf den Disketten sind die Wählerstimmen aus den verschiedenen Wahllokalen gespeichert. Sie wurden von den Wahlbüro-Leitern nach Eupen und St. Vith gebracht und sollen dort addiert werden. [..]

Rolf Lennertz bezeichnete die Situation im BRF-Interview als “Super-GAU”” [2]

Kommer Kleijn, Sprecher von VoorEVA.be, einer belgischen Organization “für eine Ethik der Wahlautomatisierung”, nannte die Probleme “eine Katastrophe”, da der Wähler sein Ergebnis im vorliegenden System nicht verifizieren könne. [3]

1 BRF online Stésud will an Wahl per Computer festhalten
2 BRF online Vorerst keine Ergebnisse – Lennertz: “Super-GAU”
3 PC World Software bug disrupts e-vote count in Belgian election

Veröffentlicht unter e-voting, international, wahlcomputer | Verschlagwortet mit , , , , , , | Kommentar hinterlassen

Sicherheitslücken bei Online-Vorwahlen der Neos aufgedeckt

papierwahl-neos

Bei den Online-Vorwahlen der Neos für Vorarlberg wurden Sicherheitslücken durch zwei Ex-Mitglieder aufgedeckt.

Die Vorwahlen, an der sich alle Bürger beteiligen können (deren Stimmen machen ein Drittel des Gesamtvotums aus), werden von der neuen österreichischen Partei nun ausgesetzt.

Die Neos setzen ihre Online-Vorwahl für die Landtagswahl in Vorarlberg aus. Grund dafür sei eine Sicherheitslücke, die vor der EU-Wahl von zwei mittlerweile ausgetretenen Mitgliedern missbraucht worden sei. [..]
Zwei Mitglieder hätten vor der EU-Wahl auf Lücken im System hinweisen wollen und mehrere Stimmen mittels gefälschter E-Mail-Adressen und eigens dafür beschaffter Wertkartenhandys abgegeben. [1]

Trotz des Wahlbetrugs wollen die Neos aber bei Online-Vorwahlen bleiben.

Nun kümmere sich eine Untersuchungskommission darum. Das Prinzip der Online-Vorwahlen wollen die Neos aber nicht aufgeben. [..] Bis zur nächsten bundesweiten Mitgliederversammlung im Juli soll ein neues Vorwahlsystem ausgearbeitet werden, das nach der Vorarlberg-Wahl wieder zum Einsatz kommen soll. [2]

Warum Internetwahlen als elektronische Form von Distanzwahlen doppelt anfällig auf Missbrauch und Angriffe ist, kann man unter Was ist E-Voting? …und wo liegen die Probleme? oder unter Internetwahlen nachlesen.

1 Die Presse: “Missbrauch”: Neos setzen Online-Vorwahl aus

2 Der Standard: Nach Missbrauch: Neos setzen Online-Vorwahl für Vorarlberg aus

Veröffentlicht unter internetwahlen, news | Verschlagwortet mit , , | Kommentar hinterlassen

Estland: Gravierende Sicherheitsmängel bei Internetwahlen

323474324_7a0e00b089_zAnfang dieser Woche hat ein Team, bestehend aus international unabhängigen IT-SicherheitsexpertInnen, angefangen Ergebnisse zur Sicherheit von Estlands Internet-Voting-System zu veröffentlichen.

Unter estoniaevoting.org wird nach und nach alles veröffentlicht. Die erste Zusammenfassung liest sich schon mal eindeutig vernichtend:

What we found alarmed us. There were staggering gaps in procedural and operational security, and the architecture of the system leaves it open to cyberattacks from foreign powers, such as Russia. These attacks could alter votes or leave election outcomes in dispute. We have confirmed these attacks in our lab — they are real threats. We urgently recommend that Estonia discontinue use of the system.

Die Expertengruppe empfiehlt also dringend, aufgrund gravierender Sicherheitsmängel, die Internetwahlen zu stoppen.

In einem Artikel auf heise wird das so zusammengefasst:

Kritische Software würde über ungesicherte Internetverbindungen heruntergeladen, geheime Passworte und PINs unter der Aufsicht von Videokameras eingegeben und die Verteilung der Wahlsoftware an die Bürger auf ungesicherten Computern vorgenommen.
[…]
In einem Szenario sei es gelungen, mit Malware auf dem Computer des Wählers trotz der Absicherung durch elektronischen Personalausweis und Smartphone-Verifizierung unbemerkt Stimmen zu stehlen. Mit einem weiteren Szenario lasse sich zeigen, berichtet Halderman, dass auch Malware-Angriffe auf den Auszählserver möglich seien, die das offizielle Endergebnis in gewünschter Weise beeinflussen.

Der eben zitierte Alex Halderman, sollte der treuen Leserschaft hier ein Begriff sein. Halderman leitet u.a. den offenen Onlinekurs: Securing Digital Democracy an der University of Michigan.

Ausführlicher beschrieben ist die Situation zum Internetwahlsystem in Estland auf den Seiten von estoniaevoting.org.
Nach den Europawahlen diesen Monat – bei denen in Estland ebenfalls wieder übers Internet gewählt werden kann – soll auch entsprechender Programmcode veröffentlicht werden, der die Analyse der SicherheitsexpertInnen weiter untermauern soll.

(Foto: Voting Machine Bumpersticker, by Raymond Gilford, CC by-nd)

Veröffentlicht unter e-voting, international, internetwahlen | Verschlagwortet mit , , , , | 1 Kommentar

Octopus Voting

Im ukrainischen Parlament (Rada) gibt ein Abstimmungssystem, das Rada 3 KYIV. Ähnliche elektronische Systeme gibt es auch im usbekischen und tadschikischen Abgeordnetenhaus.

kiev rada 3 system

Auf diesem Foto ist es gut zu erkennen, direkt vor jedem Abgeordneten befinden sich die Abstimmungstasten.

Dass Abstimmungen in der ukrainischen Rada mit Hilfe dieses Systems gefälscht worden sind, beweisen Fotos und Berichte von Parlamentariern, deren Stimmkarten unberechtigt genutzt wurden. Das sogenannte Octopus Voting sieht dann so aus:

kiev octopus voting

Weil es so schön anzusehen ist, gleich noch ein paar mehr Beweisfotos:

octopus voting

octopus voting

ccc wahlcomputer-logo e-voting

Veröffentlicht unter e-voting, international | Verschlagwortet mit , | Kommentar hinterlassen

Geheimdienst-Affäre: Misstrauen bei E-Voting wächst

Der Schweizer Tagesanzeiger berichtet heute in einem Artikel über das zunehmende Misstrauen bei elektronischen Wahlen. Die Schweiz galt bislang als eines der europäischen Vorreiterländer in Sachen E-Voting.
Durch die Enthüllungen von Edward Snowden in den letzten Monaten, hat sich dieses Bild mittlerweile gewandelt. Es wird berichtet:

«Es gibt nichts Gefährlicheres in einer Demokratie, als wenn man das Vertrauen in Abstimmungen untergräbt», mahnt Christoph Blocher. Genau dies geschehe nun mit der vom Bundesrat geplanten Einführung des E-Votings. Die NSA-Affäre zeige, wie gefährlich das elektronische Übermitteln und Speichern von Daten sei, kritisiert der SVP-Vizepräsident in einem Interview mit der «Schweiz am Sonntag». Elektronische Abstimmungen könnten manipuliert und das Stimmgeheimnis könnte kaum gewährleistet werden.

Nicht nur der 73-jährige Rechtskonservative, der mit Computern seine liebe Mühe hat, hegt Bedenken. Auch der 41-jährige Balthasar Glättli, der auf Twitter und Facebook aktiv ist, mahnt zur Vorsicht. Der grüne Nationalrat hat vor einem Monat eine Motion eingereicht, die den Bundesrat zum Stopp der E-Voting-Versuche zwingen will – bis das elektronische Abstimmen sicher ist.
[weiterlesen]

Wie lange es dauern wird bis elektronisches Abstimmen sicher ist und dabei die Wahlrechtsgrundsätze eingehalten werden, ist fraglich.

Abgesehen von der immer weiter bröckelnden Front der E-Voting-Befürworter, gibt es natürlich auch weiterhin Leute, die kein Problem darin sehen Wahlen im Internet durchzuführen. Argumentiert wird wieder einmal mit der beliebten “technikfeindlichkeit” der E-Voting-Gegner:

«Aber wir sollten nicht in die Steinzeit zurückkehren und die Projekte abbrechen», so [SP-Vizepräsidentin] Fehr.

Auch wenn die Enthüllungen von Edward Snowden bislang zu keinem massenhaften Aufstand bei dem Großteil Bevölkerung geführt haben, so setzt doch zumindest langsam an einigen Stellen ein Nachdenkprozess ein, unter welchen Umständen wir digitale Technologien nutzen wollen und wo diese Fehl am Platz sind.

Veröffentlicht unter e-voting, international, news | Verschlagwortet mit , , , , , | Kommentar hinterlassen

Zaghafte Diskussion

Wir berichten in größeren Abständen bereits seit 2009 über die E-Voting-Versuche in der Schweiz, wo seit über zehn Jahren allerlei Internetwahl-Pilotversuche und später tatsächliche Abstimmungen stattfanden. Die E-Voting-Kritiker sind dort bisher noch keine sehr laute Schar.

Die Neue Zürcher Zeitung hat nun immerhin einen lesenswerten Gastkommentar von Niklaus Ragaz, Honorarprofessor für Wirtschaftsinformatik in Bern, gebracht, in dem er auch auf das nach wie vor bestehende Problem hinweist, Manipulationen sicher zu erkennen:

Es ist nicht möglich, ein eventuell manipuliertes Resultat zuverlässig nachzuzählen. Selbst ein lückenloses Protokoll auf dem Server kann Stimmen, welche schon manipuliert auf dem Server ankamen (oder unterdrückt wurden), nicht als manipuliert erkennen. Insgesamt ist zwar viel Aufwand nötig, um E-Vote zu manipulieren, aber im Gegensatz zur Manipulation einer Briefwahl kann mit einer solchen Aktion eine grosse Anzahl Stimmen verändert und damit das Resultat sehr wirksam beeinflusst werden. [1]

Heute nun erschien in der NZZ eine Antwort auf den Gastbeitrag, geschrieben von Barbara Perriard aus der Bundeskanzlei, die zuständig ist für die “Vote électronique” getauften Internetwahlen. Sie macht klar, was das Ziel der Bundeskanzlei ist, bleibt jedoch jede Form der Konkretisierung schuldig, wie die verschiedenen von Ragaz aufgeworfenen Probleme gelöst werden könnten. Vielmehr als Phrasen liefert sie nicht:

Es ist erklärtes Ziel des Bundesrats, Vote électronique als dritten komplementären Stimmkanal einzuführen, neben der Stimmabgabe an der Urne oder per Brief. Dies stellt die Verantwortlichen von Bund und Kantonen vor grosse Herausforderungen; sie setzen deshalb alles daran, höchste Sicherheitsanforderungen für elektronische Wahl- und Abstimmungssysteme umzusetzen, an neue Entwicklungen anzupassen und laufend zu kontrollieren. [2]

Was die “harten Kriterien” und “neuen Sicherheitsanforderungen” sein sollen, die tatsächlich Manipulationen verhindern und eine sinnvolle Wahlbeobachtung ermöglichen könnten, darüber verliert sie kein Wort. Letztlich stellt sie die Einführung von Internetwahlen ein weiteres Mal als alternativlos dar, als schlicht modern. Und offenbar sind die NSA- und sonstigen Geheimdienstskandale in der Schweizer Bundeskanzlei mitsamt den neuen Fragestellungen zur massenhaften Internetüberwachung auch noch nicht angekommen.

Aber vielleicht beginnt ja die Diskussion in der Schweiz doch noch.

[1] Siehe Gefährdung demokratischer Institutionen

[2] Siehe Politische Rechte im Digitalzeitalter

ccc wahlcomputer-logo e-voting

Veröffentlicht unter e-voting, internetwahlen | Verschlagwortet mit , , | 2 Kommentare