Nicht schon wieder E-Voting!

repost https://www.addendum.org/debatte-corona/e-voting-ondrisek-purgathofer/

Corona-bedingt machen wir gerade mehr von zu Hause und vom Computer aus als je zuvor. Das Virus hat die schon lange herbeigeredete „Digitalisierung“ in Österreich vorangetrieben wie keine andere Initiative, und einen Dammbruch an Online-Shops, Tele-Learning und Homeoffice mit Videokonferenzen verursacht. Vieles an digitaler Technologie hat den Alltag verändert und zum Teil sogar verbessert.

Warum also nicht – endlich! – auch die Wahl digitalisieren? E-Voting klingt so bequem wie Bankgeschäfte per Online-Banking durchzuführen, oder die Steuererklärung per Finanz online einzureichen. Reflexartig folgt ohnehin schon nach jeder Wahlpanne der Ruf nach E-Voting – aber leider immer von Stimmen, die (noch?) nicht weit genug denken.

Was genau ist E-Voting?

Mit E-Voting (engl. für „electronic voting“ also elektronische Wahlen) sind jene Wahlmethoden gemeint, bei denen Stimmen auf elektronischem Weg erfasst und/oder gezählt werden. Die Varianten reichen von Internetwahlsystemen über Wahlcomputer bis hin zu Stimmzettel-Scannern und Zählprogrammen, die Papierstimmzettel automatisiert auswerten.

Die juristische Basis für Wahlen ist in der Verfassung durch die Wahlrechtsgrundsätze verankert. Dort wird allen österreichischen Wahlberechtigten das Recht auf allgemeine, freie, gleiche, persönliche, unmittelbare und geheime Ausübung ihres Wahlrechts garantiert. Und hier beginnen auch schon die Probleme mit dem E-Voting: Einige dieser Rechte werden durch den Einsatz komplexer, intransparenter Technologien kompromittiert, zum Teil bis zu einem Punkt, wo sie nicht mehr garantiert werden können.

Sicherheit im Internet

Auf den ersten Blick klingt es doch praktisch: Gemütlich von zu Hause aus die Stimme auf dem eigenen Computer abgeben, den man sowieso gerade so häufig benutzt. Das klingt so bequem und modern wie Online-Banking, doch dieser Vergleich hinkt. Denn während bei elektronischen Bankgeschäften die Transaktion von Geld den beiden involvierten Konten eindeutig zugeordnet werden kann, weil sie nämlich nachvollziehbar sein muss, muss beim Wählen diese Zuordnung unumkehrbar aufgelöst werden: Man möchte seine Stimme persönlich, aber anonym abgeben.

In der Papier-Wahl lösen wir dieses Problem, indem wir Identitätsüberprüfung und Stimmabgabe durch ganz einfache und nachvollziehbare Mechanismen voneinander trennen. Wir bekommen genau einen Stimmzettel, nachdem unsere Identität überprüft wurde, den wir dann alleine und unbeobachtet in einer Wahlzelle ausfüllen und in ein bestimmtes Kuvert stecken, welches wir schließlich vor Zeugen persönlich in eine Wahlurne werfen können. Noch besser könnte man die Trennung von Identität und Wahlwille kaum gestalten. Alle Beteiligten verstehen, dass ein Rückverfolgen der Stimmabgabe zur Identität der Wählenden eigentlich nicht mehr machbar ist.

Kaum wird die Stimmabgabe aber elektronisch durchgeführt, ist diese Trennung von Identität und Stimme aber nicht mehr demonstrierbar. Wir müssen uns gegenüber dem Wahlgerät oder der Wahlsoftware identifizieren, um dann unsere Stimme abzugeben. Wir müssen uns darauf verlassen, dass die Anonymisierung unserer abgegebenen Stimme in einer komplexen, undurchschaubaren und – gelinde gesagt – nicht immer als zuverlässig erlebten Technologie geschieht. So ist es auch in vielen elektronischen Wahlsystemen so, dass Stimme und Identität, geschützt durch eine Verschlüsselung, gemeinsam aufgehoben und gespeichert werden. In Folge des Einsatzes von E-Voting bei der ÖH-Wahl 2009 gab es einen der Wahlkommission vorliegenden Datenträger mit diesen Wahlstimmen, die mit dem Identitätsnachweis verknüpft waren. Das ist ein absolutes No-Go für demokratische Wahlen!

Aber Online-Banking …

E-Voting mit Online-Banking zu vergleichen ist also illegitim, da es sich um grundlegend unterschiedliche Vorgänge handelt. Wenn man Geld überträgt, dann möchte man ja auch, dass die Empfangenden wissen, dass das Geld von einem ist; für die Fälle, wo man das nicht möchte, vertraut man einer Organisation, dass sie das für einen verbirgt. Wenn man aber nun seine Stimme abgibt, hat man das Recht, dass niemand jemals herausfinden kann und soll, dass diese Stimme von einem abgegeben wurde.

Darüber hinaus wissen wir, dass komplexe Technologien nie fehlerfrei arbeiten. Während wir aber im Fall des Online-Bankings die Transparenz des Vorgangs zur Überprüfung desselben heranziehen können, darf das im E-Voting nicht sein. Eine unbeeinträchtigte Stimmabgabe setzt tatsächlich voraus, dass man seine Stimmabgabe nicht im Nachhinein prüfen kann, denn mit dieser Überprüfung öffnet man Tür und Tor für die erzwungene oder erkaufte Stimme. Das heißt im Umkehrschluss, dass wir uns auf das Wahlverfahren 100 Prozent verlassen können müssen.

Aber selbst Online-Banking ist nicht fehlerfrei: Man denke nur an gelegentliche Online-Banking-Desaster großer Österreichischer Banken – und dort geht es „nur“ um Geld und nicht um politische Machtverhältnisse.

Transparenzproblem

Eine wesentliche Komponente jedes E-Voting-Systems ist die eingesetzte Software zum Erfassen, Verarbeiten und/oder Zählen der Stimmen. Dem Stand der Technik entsprechend ist nicht-triviale Software allerdings niemals hundertprozentig fehlerfrei. Diese Einsicht zählt zu den wenigen von allen anerkannten Wahrheiten unserer Branche. In komplexer Software werden immer Fehler sein – unbeabsichtigt oder beabsichtigt –, die niemals gefunden werden.

Hierbei ist zu bedenken, dass nicht-trivial fast schon kein ausreichender Begriff mehr ist, um die Komplexität moderner Systeme zu beschreiben; um nur ein paar der möglichen Fehlerquellen in einem solchen System anzusprechen, wären da außer dem Sourcecode der eigentlichen Anwendung hinaus: die verwendeten Code-Bibliotheken; die Software, mit der der Code geschrieben wurde; der Compiler, der aus dem Sourcecode Maschinencode macht; das Betriebssystem, auf dem das Ganze dann läuft; die Software, mit der das Wahlsystem auf den Server übertragen wird; der Mechanismus, mit dem das Wahlsystem aktualisiert wird; sowie die Protokolle, mit denen das Ergebnis übertragen wird; und nicht zuletzt das Internet als Übertragungskanal selbst. Schließlich kann auch die Hardware beeinträchtigt werden, etwa bei Ausfällen durch Spannungsspitzen, Fehler in der Hardware oder auch Bit-Flips durch kosmische Strahlung. All das sind Fehlerquellen für ein solches Wahlsystem.

Fehlerquellen sind in diesem Zusammenhang aber nicht nur unbeabsichtigte Fehler, sondern vor allem auch gezielte Angriffe. Solche Attacken stellen einen ernstzunehmenden Risikofaktor dar; und für alle (!) der oben aufgezählten Fehlerquellen gibt es zumindest zu Demonstrationszwecken durchgeführte Angriffe: der Compiler, der Schwachstellen in die Software, die er übersetzt, nachträglich einbaut, sei hier nur beispielhaft genannt.

Befürworter von E-Voting argumentieren gerne damit, dass Open-Source-Software, also Software mit öffentlich einsehbarem Code, eine Lösung dieser Probleme bringt. Hier zeigt sich leider immer wieder, wie auch das umfassend mögliche Auditing im Open-Source-Prinzip damit überfordert ist, Fehlerfreiheit zu garantieren. Darüber hinaus stellt sich die Frage nach Garantien dafür, dass Software, die auf Wahlservern läuft, die aus dem auditierten Sourcecode durch einen auditierten Compiler erstellt wurde, wirklich diese Software ist! Der Vorgang, der das sicherstellen soll, ist wiederum Software, und so finden wir uns vor einem Turm aus Schildkröten, jede auf dem Rücken der vorigen, ohne jemals einen Boden zu finden, der uns tatsächliche Sicherheit garantiert.

Die hohe Komplexität des Gesamtsystems, unter Berücksichtigung aller Abhängigkeiten und Wirkungsketten, macht es unmöglich, Manipulationen auszuschließen. Das unangenehme Ergebnis ist, dass eventuell tatsächlich durchgeführte Eingriffe in den Wahlvorgang oder Fehler weder bemerkt noch nachgewiesen werden können. 1 Kommentare

Wie funktioniert die Blackbox?

Die Maschine – eine selbst auf einfachster Ebene schon lange nicht mehr einsehbare Blackbox – tut Dinge, die auch für technisch Versierte nicht direkt beobachtbar sind und damit auch nicht verifiziert werden können. Unbeabsichtigte genauso wie beabsichtigte Fehler und Backdoors können sich eingeschlichen haben. Die daraus resultierende mangelnde Kontroll- und Manipulationssicherheit einer nicht wirklich überprüfbaren technische Implementierung führt dazu, dass wir alle, Laien wie Expert:innen, dem System nur noch blind vertrauen können. Wie sollen Wahlbeisitzenden oder gar Bürger:innen nachvollziehen können, dass die Wahl korrekt abläuft? Wie sähe da wohl eine Wahleinsicht aus? Welche Ausbildung und Schulung bräuchten dann Mitarbeitende der Wahlkommission?

Der Charakter des Computers als unbeobachtbare Blackbox legt jedoch ein Gedankenexperiment nahe, das die Untauglichkeit dieser Technologien für Wahlvorgänge offenlegt: Damit wir die Integrität des Wahlvorgangs sichern können, brauchen wir ein Computersystem, dem wir direkt und unvermittelt bei jeder Operation zuschauen können. Ein solches gibt es offenbar nicht, aber stellen wir uns kurz vor, es würde existieren. Dann könnten wir mit genug Arbeitsaufwand den korrekten Ablauf der Wahl kontrollieren. In einem solchen System könnten wir also auch den Vorgang beobachten, bei dem Identität von Stimme getrennt wird, wodurch die Anonymität der Stimmabgabe wiederum nicht gewährleistet werden kann. Die einfache Eleganz unserer Lösung dieses Problems bei der Papierwahl – die Wahlkabine – wird hier noch einmal offenbar.

Unsichtbare Gegner

Ein gänzlich anderes, aber ebenfalls in der Komplexität der Technologie verortetes Problem bei jeder Art von E-Voting-Systemen findet sich in der für Automatisierungssysteme typischen Effizienz und Effektivität, mit der E-Voting-Manipulation möglich wird. In digitalen Systemen kann eine einzige Person das gesamte Wahlergebnis manipulieren, verursacht durch die ephemere Natur digitaler Daten. Einfach gesagt: Dem einzelnen Bit, der Kernzelle digitaler Datenverarbeitung, haftet nicht an, wann und von wem es erzeugt wurde. Jegliche Veränderung des Bits wird im Allgemeinen unbemerkt bleiben, und das bedeutet auch, dass Bits spurlos verschwinden können. So ist es beispielsweise einer Gruppe von Informatiker:innen in Princeton 2007 gelungen, ein „Vote Stealing Control Panel“ für eines der in den USA im Einsatz stehenden Wahlmaschinen-Modelle zu entwickeln. Mit dieser Software lässt sich eine Wahl unbemerkt manipulieren, und sie entfernt sich nach Ende der Wahl spurlos selbst von den Geräten. Die abgegebenen Stimmen wirken alle hundert Prozent legitim, nichts deutete nach Ende der Wahl auf die erfolgte Manipulation hin.

Im Vergleich dazu müssen bei Papierwahlen sehr viele Instanzen innerhalb einer kurzen Zeit manipuliert werden. Dafür braucht es viele Kollaborateure, das Risiko einer Entdeckung steigt, insbesondere in den transparenten Wahlsystemen moderner Demokratien. Bild: Georg Hochmuth | Apa

Totgesagte leben länger

Manche mögen jetzt sagen, es funktioniere ja gut in Estland oder der Schweiz! Ob das ja so gut in der Schweiz funktioniert, ist unsicher, denn dort strauchelt man gerade ziemlich mit der Wahlbeteiligung von ~40 Prozent. Außerdem musste auch dort an einer Uni eine E-Wahl aufgrund von Mängeln wiederholt werden. In Estland wurden erst 2014 gravierende Sicherheitsmängel festgestellt! Dafür wurde in Deutschland 2009 vom Bundesverfassungsgericht die Wahl mit Wahlcomputern durch erfolgreichen Einspruch gestoppt.

In Österreich wurde die Internetwahl bei der ÖH-Wahl vom Verfassungsgerichtshof ebenfalls 2009 für ungültig erklärt, da es „im Unterschied zu herkömmlichen Wahlverfahren, bei denen sich jeder Wahlberechtigte von der Einhaltung der Wahlgrundsätze überzeugen kann, im Verfahren der elektronischen Wahl eines besonderen technischen Sachverstandes [bedarf], der bei einem Großteil der Wähler nicht vorausgesetzt werden kann“.  Während dieses E-Voting-Versuchs saß eine Autorin dieses Artikels in der Wahlkommission, und beide waren beim Sourcecode-Review dabei. Es war für beide – wie auch für alle anderen anwesenden Expert:innen – unmöglich, die Software in so kurzer Zeit zu verstehen und zu überprüfen, ob innerhalb tausender Zeilen Code kein einziger Fehler versteckt ist.

Die Qual der Wahl

Das heutige Papierwahl-System überzeugt und besticht mit seiner Einfachheit. Man kann die Schritte, die für jeden verständlich sind, selbst Volksschüler:innen verständlich erklären. Es ist ein durchdachtes, bewährtes System mit einem präzise beschriebenen Ablauf, der mehrere Kontrollfunktionen vorsieht. Es ist transparent, indem es auch Wahlbeisitzer und (externe) Wahlbeobachter einbezieht. Alle, auch Menschen ohne technisches Wissen, können sich vor, während und bei der Wahl von der korrekten Durchführung überzeugen (abgesehen von der Auszählung, die in Österreich unter Ausschluss der Öffentlichkeit erfolgt. Hier stellen die designierten Beisitzer das Kontrollorgan).

Warum soll E-Voting also überhaupt eingesetzt werden? Wieso soll ein bestehendes vertrauenswürdiges System ersetzt werden, das gut funktioniert? Als Argumente werden oft Kostenersparnis und Erhöhung der Wahlbeteiligung genannt, beide sind allerdings bereits durch Studien entkräftet. Die Motivation einer Killer-Applikation für die an schwacher Verbreitung kränkelnden Bürgerkarten zu schaffen, ist groß – das könnte eine E-Voting-Anwendung werden. Abgesehen davon befürworten laut einer aktuellen Umfrage der Uni Wien lediglich 12 Prozent „nur E-Voting“ als Stimmabgabe.

Zudem möchten wir ironisch fragen, ob wir ausgerechnet Wahlkommissionen mit der Kontrolle der fehlerfreien Implementierung eines komplexen elektronischen Wahlsystems betrauen wollen, die uns in jüngster Vergangenheit mit solchen Dauerbrennern wie qualitativ minderwertigen Kuverts oder schlecht durchgeführten Auszählungen unterhalten hat.

Nur eine Person könnte Wahl manipulieren

Es gibt mathematisch-kryptographische Beschreibungen von E-Voting-Verfahren, die absolut wasserdicht sind. Wir leben allerdings nicht in Mathematik, wir leben in einer Welt, in der Mathematik als Anwendung lediglich als menschelnde und daher mangelhafte Umsetzung in Computercode existiert. Es ist immer noch – und wird es vermutlich bleiben – unmöglich, diese elegante, korrekte Mathematik so umzusetzen, dass alle wesentlichen Verfassungsgarantien in Bezug auf Wahlen auch gewährleistet werden können. Im Gegenteil: Wesentliche operationale Gesetzmäßigkeiten von Computersystemen machen es unüberprüfbar, ob die Rechte der Wählenden auf die allgemeine, freie, gleiche, persönliche, unmittelbare und geheime Ausübung ihres Wahlrechts garantiert bleiben; manche dieser Gesetzmäßigkeiten widersprechen diesen Rechten grundlegend. Daher meinen wir, es wird nie vertrauenswürdige E-Voting-Systeme geben, und wir sollten einfach darauf verzichten.

Über die Autoren:

Dr. Barbara Ondrisek
Software-Entwicklerin

Dr. Barbara Ondrisek ist Software-Entwicklerin mit rund 20 Jahren Erfahrung, hat drei Abschlüsse von der TU Wien – unter anderem hat sie ihre preisgekrönte Dissertation auf dem Gebiet E-Voting geschrieben und mit ihrem Doktorvater Prof. Peter Purgathofer papierwahl.at gegründet. Prof. Peter Purgathofer Forscher an der TU Wien

Prof. Peter Purgathofer
Forscher an der TU Wien

Prof. Peter Purgathofer arbeitet an der TU Wien im Forschungsbereich Human-Computer Interaction. Er forscht, lehrt und praktiziert in Gebieten der Gestaltung interaktiver Systeme und den Spannungsfelder zwischen Informatik und Gesellschaft. Er ist Koordinator des Masterstudiums „Media and Human-Centered Computing“.

Dieser Beitrag wurde unter e-voting, news, wahlcomputer abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s