Die Rahmenbedingungen der Quelltexteinsicht des E-Voting-Systems, das bei der ÖH-Wahl eingesetzt wird, am 8. Mai im BRZ waren ja bereits enorm eingeschränkt. Noch mal zur Erinnerung:

• Gewöhnliche Studierende haben keine Möglichkeit und kein Recht an der Sourcecode-Analyse teilzunehmen.
• Die Wahlkommissionen haben die Möglichkeit Wahlbeobachter mitzubringen, aber auch nur pro Gruppe einen einzigen (!) und das erst nach spezieller Beantragung.
• Man muss vorher einen NDA unterschreiben -> also darf man später auch nicht über Ergebnisse berichten.
• Es wird nur ein Teil des Sourcecodes hergezeigt, da die Komponenten von Scytl geschützt sind (wozu dann der NDA?).
• Man darf keine Datenträger mit zur Veranstaltung nehmen.
• Die Präsentation findet geführt statt, d.h. es wird nur ein Teil des 183.000 Zeilen langen Sourcecodes hergezeigt.

Nun kamen weitere Details des Ablaufes zum Vorschein. Das c’t Magazin berichtet in der aktuellen Ausgabe:

Statt der tatsächlich eingesetzten Software wurde nur ein (angeblich) ähnlicher Code gezeigt. Es handelte sich weder um jene Version, die der A-SIT zur Zertifizierung vorgelegt wurde, noch um jene, die bei dem heute gestarteten E-Voting-Prozess tatsächlich zum Einsatz gelangt. Der nicht kompilierbare C++- und Java-Code war zumindest um den Großteil der Kommentare bereinigt worden – nicht auf Wunsch des Herstellers, sondern auf Wunsch des Kunden, sprich der österreichischen Regierung. Ein Grund dafür wurde nicht angeführt. Eine Überprüfung, ob auch die richtige Software verwendet wird, ist den Wahlkommissionen somit mangels übereinstimmender Hash-Werte unmöglich. Denn auch das A-SIT-Zertifikat nannte keine MD5-Prüfsumme.

Nach allgemeinen Vorträgen wurden maximal neun Personen gleichzeitig zur Einsichtnahme in einen separaten Raum eingelassen. Darin befanden sich drei Laptops. Auf einem wurde der (ansonsten nicht öffentliche) Prüfbericht der A-SIT präsentiert. Die beiden anderen Laptops waren mit je einem Mitarbeiter des Softwarelieferanten Scytl besetzt und durften von den Wahlkommissären nicht angerührt werden. Fragen durften nur auf Englisch gestellt werden. Auf dem einen Laptop wurde der Source Code der Serversoftware, auf dem anderen jener des Clients in einer Entwicklungsumgebung angezeigt.

Die Suche nach Stichwörtern wurde nicht gestattet. Auf Wunsch öffneten die Scytl-Mitarbeiter bestimmte Dateien und scrollten darin auf oder ab. Dafür standen insgesamt etwa acht Stunden zur Verfügung. Doch nicht von jeder erfragten Funktion wussten die Scytl-Mitarbeiter, wo diese im Code zu finden war. Die Verwendung mitgebrachter Laptops, Kameras oder Mobiltelefone war verboten, auch abschreiben wurde von Security-Männern unterbunden. Stichwörter durften unter Beobachtung notiert werden. Konfigurationsdateien fehlten beziehungsweise waren durch Dummies ersetzt. Wie die Scytl-Mitarbeiter ausführten, sei ihr Unternehmen weder für die Konfiguration noch für die Kompilierung zuständig. Wer den Code tatsächlich kompiliert hat, blieb undeutlich.

Ebenfalls wurden Sicherheitslücken in der Bürgerkartenumgebung – die Basis der Sicherheit – festgestellt. Der Quelltext der BKU ist nicht einmal den Wahlkommissionen zugänglich.

Der Sourcecode der Wahladministrationssoftware, die für die Auszählung (!) verantwortlich ist, wurde ebenfalls nicht gezeigt.

Außerdem ist das geheime Wahlrecht quasi aufgelöst, da drei von vier Mitgliedern der Wahlkommission zusammen eine Stimme einer Person zuordnen können.

.

Weitere Artikel:

Ulrich Wiesner berichtet ebenfalls über die ÖH-Wahlen.

Einige Blogger berichten ebenfalls kritisch:

„Bebilderter E-Voting- Test“

„E-Voting und das geheime Wahlrecht“

„ÖH-Wahlen: Zum Start“

Aktuelle Zeitungsmeldungen:

„eVoting-Server gefährdet!“

„Das ÖH-eVoting startete am Montag 18. Mai 2009“

„Sicherheitslücken bei österreichischer Bürgerkarte trotz Zertifizierung“

„Habe ich jetzt schon gewählt?“

„ÖH-Wahlen: E-Voting-Gegner beschweren sich über Pannen und falsche Wahlzettel“

„Parteien erneuern Kritik an E-Voting“

„E-Voting ist in Österreich nicht unbedingt geheim„