Das Vertrauen in E-Voting

Gastbeitrag von Erich Neuwirth, emeritierter Professor für Statistik und Informatik der Universtät Wien, über die Schwierigkeiten von E-Voting.

.

Magic Christian als Wahlbeisitzer

Stellen Sie sich vor, Sie gehen wählen.

Sie betreten das Wahllokal und Sie sehen, dass Magic Christian (dreifacher Zauberweltmeister aus Österreich) einer der Wahlbeisitzer ist.

Würden Sie ihm Ihr Wahlkuvert zum Einwerfen in die Urne geben und dabei ganz
sicher sein können, dass er da keine Manipulation vornehmen kann? Ich schreibe absichtlich „kann“, denn der Verfassungsgerichtshof hebt ja Wahlergebnisse bereits auf,
nur weil etwas passiert sein könnte und nicht erst, wenn tatsächlich etwas passiert ist!

Und sind sie sicher, dass er nicht in der Lage ist, Manipulationen an den Stimmen
vorzunehmen, wenn die Urne geöffnet wird und die Stimmen irgendwo ausgebreitet werden?

Allerdings wäre der Umfang der Manipulation begrenzt, er könnte ja maximal alle im Sprengel abgegebenen Stimmen verändern, wobei die typische Sprengelgröße in Österreich bei etwa 1000 Stimmen liegt.

Beim E-Voting gibt es auch Magic Christians, nämlich IT-Fachleute, die notwendige Computersysteme konfigurieren, installieren, warten, betreuen und bedienen.

Manipulationssicherheit

Die wichtigste Frage beim E-Voting ist: Wie viele Beteiligte bräuchte man,
um eine Stimmenverschiebung in welchem Umfang zu erreichen?

Im zentralen Auswertungscomputer könnten theoretisch alle Stimmen manipuliert werden. Und in der Regel reichen wenige Personen (oder eine einzige), um ein als sicher angesehenes Computersystem zu kompromittieren.

Außerdem, erinnern wir uns: Dem Verfassungsgerichtshof reicht die theoretische Möglichkeit zur Wahlaufhebung!

Natürlich ist diese Metapher (wie jede Metapher) unvollständig. Wahlbeisitzer sind für die Zeit ihrer Funktion Amtspersonen und unterliegen besonderen Pflichten. Das ist nicht ganz einfach auf Programmier zu übertragen. Beisitzer haben zumindest kurzzeitig Kontakt mit den Wählern, im Manipulationsfalle wüssten sie also teilweise, wen sie betrogen hätten. Programmierer des E-Voting-Systems manipulieren (falls sie das täten) eine anonyme Zahlenmasse.

Transparenz

Der deutsche und der österreichisch Verfassungsgerichtshof haben im Zusammenhang mit E-Voting bereits Erkenntnisse getroffen: Wahlverfahren müssen so konstruiert und implementiert sein, dass auch Staatsbürger ohne besondere technische und wissenschaftliche Kenntnisse in der Lage sind, zu verstehen, warum diese Verfahren die Prinzipien geheim, persönlich, anonym und fälschungssicher zweifelsfrei verwirklichen.

In diesem Zusammenhang gibt es auch ein besonders pikantes Detail: Ein wesentlicher Bestandteil der elektronischen Wahlsysteme ist die Sicherheit von Verschlüsselungsverfahren. Das ließe sich in einem Schulfach Informatik allen Schülern vermitteln. Aber guter Informatikunterricht wird von den meisten (Bildungs-Politikern seit Bundesministerin Gehrer) nicht als besondere Priorität für unser Bildungssystem gesehen.

Estland

Als Beispiel für gelungenes E-Voting wird immer wieder Estland angeführt. Dort haben bei den letzten Wahlen 20% bis 30% der Wähler ihre Stimme per E-Voting abgeben. Das setzt sich in Estland leichter durch, weil dort schon seit Längerem viele Amts- und Geschäftsvorgänge mit der elektronischen Bürgerkarte abgewickelt werden können.

Eine Bürgerkarte gibt es auch in Österreich. Vor drei Jahren habe ich versucht, die dafür notwendige Software-Umgebung auf meinem Mac zu installieren, war aber nicht in der Lage, das in meiner gewünschten Umgebung zum Laufen zu bringen.

Ein weiterer wichtiger Unterschied zwischen Estland und Österreich: In Estland gibt es schon seit einigen Jahren verpflichtenden Informatikunterricht, sogar in der Volksschule. Zumindest die jüngere Generation ist in Estland also bereits darauf vorbereitet, Risken von E-Voting abschätzen zu können.

Viele der Proponenten des Vorbilds Estland für E-Voting scheinen einen sehr aufschlussreichen Expertenbericht (erhältlich über estoniaevoting.org) nicht zu kennen. Diese überprüfte und wissenschaftliche Untersuchung findet einige sehr gefährliche Schwachstellen des estnischen Systems. Als Folge dieser Studie haben ihre Autoren Estland empfohlen, vom E-Voting wieder abzugehen.

Online-Banking

Ein oft strapaziertes Argument beim E-Voting lautet: Wenn wir sogar in der Lage sind,
unsere Bankgeschäfte übers Internet abzuwickeln, dann müsste das doch auch beim Wählen möglich sein.
Dieses Argument hat aber einen ganz grundsätzlichen Fehler: Jeder Buchungsvorgang ist auf Dauer mit einem Konto verbunden. Sie bekommen ihren Kontoauszug, und dieser Kontoauszug ist erkennbar mit Ihnen verbunden. Sie können also Fehlbuchungen entdecken und mithilfe ihres Kontoauszugs auch reklamieren. Von beiden Seiten: beim eingehenden Konto und beim ausgehenden.

Stimmen bei Wahlen müssen aber vor der Auszählung anonymisiert werden. Sie können also nicht kontrollieren, ob Ihre Stimme für die Partei oder den Kandidaten gezählt wurde, für die Sie sie abgegeben haben.

Demokratiepolitische Eigenschaften von Wahlverfahren

Was ist eigentlich die demokratiepolitisch wichtigste Eigenschaft eines Wahlverfahrens? Wahrscheinlich die Tatsache, dass die Verlierer keinen Zweifel daran hegen, dass sie verloren haben und der Grund dafür nicht Manipulationen am Wahlergebnis sind. Der Prozentsatz von Wählern, die nicht in der Lage sind, die (Un-)Sicherheit von E-Voting vernünftig einzuschätzen, ist sicher dramatisch höher als der entsprechende Prozentsatz Urnenwahl und Briefwahl. Damit ist die Zahl der Wähler (und der nicht Gewählten), die von der Korrektheit des Ergebnisses zweifelsfrei überzeugt wären, auf jeden Fall kleiner als bei herkömmlichen Wahlverfahren. Da es mittlerweile schon Gruppierungen gibt, die mit allen Mittel versuchen, die Korrektheit von Wahlergebnissen, die ihnen nicht genehm sind, grundsätzlich in Frage zu stellen, würde die Einführung von E-Voting die Glaubwürdigkeit von Wahlergebnissen weiter untergraben.

Erneute Auszählungen

Abschließend noch das Argument, dass ich für eines der stärksten gegen die Einführung von E-Voting halte:
Aufgrund von Verfassungsgerichtshofentscheidungen mussten Wahlergebnisse auch schon noch einmal ausgezählt werden. Das geht, weil Stimmzettel und Sicherheitsauflagen aufbewahrt werden müssen und jeder Stimme genau ein Stimmzettel entspricht. Diese Möglichkeit der Überprüfung gibt es beim E-Voting nicht mehr. Das Konzept, das sich mit solchen Fragestellungen beschäftigt, heißt „verified voting“ und die Website verifiedvoting.org, die vom David Dill, einem Informatik-Professor
an der Stanford University, betreut wird, setzt sich mit den entsprechenden Fragen sehr gründlich und dabei verständlich auseinander.

Bundestrojaner auf Wahlcomputern

Noch ein Problem gibt es: Das ganze E-Voting-System wäre nur dann zuverlässig, wenn alle involvierten Computer manipulationssicher wären. Das betrifft auch Computer, auf denen Stimmen abgegeben werden; also Computer in den Wohnungen der Wähler! Das zu erreichen wäre praktisch unmöglich.

Nur zwei Beispiele, was da passieren könnte:
Mithilfe des Bundestrojaners (der ja sogar auf gesetzlicher Grundlage auf Rechnern von Privatpersonen installiert werden darf) könnten Behörden die Wahlentscheidung einzelner Personen überwachen. Es wäre durchaus auch möglich, Schadprogramme zu schreiben, die auf privaten Rechnern heimlich installiert werden, die so aussehen, wie offizielle Wahlprogramme (oder Wahl-Websites). Solche Programme könnten dem Benutzer vortäuschen, dass gewählt wurde, die Stimme würde aber tatsächlich nirgendwo ausgewertet und somit vernichtet.

Gretchenfrage

Die Kernfrage bei jedem Wahlverfahren lautet:
Kann jeder Wähler sicher sein, dass seine Stimme richtig (also für angegebene Parteien, Fraktionen oder Kandidaten) gezählt wurde, und ist ebenso gesichert, dass das Wahlverhalten jedes einzelnen Wählers nicht nachvollzogen werden kann.

Das Risiko, dass das nicht gesichert werden kann, ist bei E-Voting dramatisch höher als bei der klassischen Urnenwahl.

.

ao. Univ.-Prof. i.R. Dr. Erich Neuwirth war vor seinem Ruhestand Leiter des Fachdidaktik-Zentrums für Informatik an der Universität Wien.
Als Statistiker hat er zum Thema Wahlanalysen und Wahlhochrechnung geforscht. Von 1986 bis 1996 hat der die Wahlhochrechnungen des ORF durchgeführt, danach dann die des Innenministeriums methodisch betreut. Der Veröffentlichung von Wahldaten vor Wahlschluss steht er seit Anfang seiner Tätigkeit sehr skeptisch gegenüber.

Advertisements
Dieser Beitrag wurde unter e-voting, internetwahlen abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s