papierwahl.at – Kritik an E-Voting

Obmann der ARGE DATEN Hans G. Zeger informiert:

In den letzten Wochen hatte die ARGE DATEN zahllose Anfragen zum Thema Zuverlässigkeit von eVoting. Auf Grund dieser Anfragen haben wir daher ein kleines Test-Tool entwickelt, dass eine kontinuierliche Überprüfung des eVoting-Servers erlaubt.

So kann sich jeder Studierende von der Lauffähigkeit und Verfügbarkeit des Internetwahlsystems überzeugen. Die Validierung anderer Qualitätsmerkmale wie Software-Qualität, Integrität, Ausfallsicherheit, Vollständigkeit, Flexibilität, Zuverlässigkeit, Systemstabilität, Nachvollziehbarkeit, Wartbarkeit, Verständlichkeit, Effizienz, Erweiterbarkeit, Genauigkeit, Robustheit, Bedienbarkeit etc. etc. wäre durch eine Einbeziehung der Öffentlichkeit möglich gewesen, was aber das BMWF abgelehnt hat.

Nachtrag: Lange hat es nicht gedauert, schon wird das Test-Tool kritisiert.

.

Weitere Informationen zum Test-Tool der ARGE DATEN:

ÖH-eVoting – Zweifel an Zuverlässigkeit aufgetaucht

ÖH-eVoting soll mit großem finanziellen Aufwand und gegen den Willen der Studenten durchgedrückt werden – ab Montag 18. Mai kann 5 Tage lang elektronisch „gewählt“ werden – spanische Betreiberfirma „Scytl“ fiel schon in Finnland mit einem fehlerhaften System auf – auch in Österreich bestehen Zweifel an Funktionsfähigkeit – ARGE DATEN hat ein kleines Test-Tool zur Überwachung der eVoting-Website entwickelt (http://www.argedaten.at/static/servercheck.html)

ÖH-eVoting gegen enorme Widerstände durchgepeitscht

Trotz massiver grundrechtlicher Bedenken wird eVoting, das Lieblingsspielzeug des Wissenschaftsministers Hahn, durchgepeitscht. Selbst der regierungsfreundliche Datenschutzrat hatte sich im Herbst einstimmig gegen eVoting ausgesprochen. Die ARGE DATEN berichtete ausführlich darüber. Offenbar konnte sich jedoch die Bürgerkartenlobby gegen alle verfassungsrechtlichen Bedenken durchsetzen.

Zweifel an der Funktionsfähigkeit des Systems

Neben den grundrechtlichen Bedenken wurden in den letzten Wochen jedoch verstärkt Zweifel an der technischen Funktionsfähigkeit angemeldet. Weder traut man der spanischen Firma „Scytl“ die Lieferung fehlerfreier Software zu, noch dem Bundesrechenzentrum eine störungsfreie Abwicklung.

Die zugesagte Einschau der Wahlkommission in den Sourcecode des Programmes entpuppte sich als Farce. Die Mitglieder konnten den Code nicht ungestört analysieren, sie konnten nicht einmal nach Belieben darin blättern.

Selbst die staatsnahe und bürgerkartenfreundliche Prüfstelle A-SIT, die das technische Gesamtsystem eVoting zertifizieren sollte, begnügte sich nur mit einer Teilzertifizierung, die auch nur unter nicht überprüfbaren Voraussetzungen gültig ist. Eine Zertifizierung des Endsystems, also jener Software, mit der dann der Student tatsächlich wählt, wurde abgelehnt. Niemand kann somit garantieren, dass auf den Computern der wählenden Studenten keine Manipulationen vorkommen.

Lapidar wurde festgeschrieben, dass die „Studenten für die Sicherheit ihres Computers selbst Sorge tragen müssen“. Niemand will die Verantwortung übernehmen festzulegen, welche Maßnahmen für die Einhaltung der Sicherheit tatsächlich notwendig sind. Niemand kann daher sicher sein, eVoting ordnungsgemäß zu benutzen!

Funktionsfähigkeit testen!

Auf Grund zahlreicher Anfragen und Wünsche hat daher die ARGE DATEN ein kleines Test-Tool entwickelt, das eine kontinuierliche Prüfung des eVoting-Servers erlaubt. Jeder Bürger, der sich über die Verfügbarkeit des eVoting-Systems informieren will kann dieses Tool starten.
Das Tool fragt kontinuierlich den eVoting-Server ab und zeichnet die erfolgreichen und erfolglosen Abfragen auf. Das Tool arbeitet solange, bis es wieder gestoppt wird, es kann daher die ganze Nacht durchlaufen oder auch die ganze eVoting-Periode.

Die Häufigkeit der Abfragen kann als „Analyseintervall in Millisekunden“ eingestellt werden (Voreinstellung ist 1000 = jede Sekunde). Weiters kann auch eine parallele Abfrage simuliert werden („Belastungskoeffizient“). Die Voreinstellung ist 5, aus Sicherheitsgründen ist die Obergrenze mit 50 parallellen Abfragen begrenzt.

Was tut das Test-Tool?

http://www.argedaten.at/static/servercheck.html ist ein javabasiertes Tool und kann von jedem Webserver, bei dem Java aktiviert ist, ohne weitere Installation aufgerufen werden. Das Tool stellt eine Verbindung zum eVoting-Server her und ruft ein Bild von diesem Server ab. Ist der Abruf erfolgreich, dann „lebt“ der Server und eVoting kann grundsätzlich durchgeführt werden.

Nicht getestet werden die dahinterliegenden Softwareteile, dazu wären sicherheitstechnisch problematische Eingriffe erforderlich gewesen, die von der ARGE DATEN nicht zu verantworten wären.

Technischer Hinweis! Derzeit ist der eVoting-Werbeserver https://oeh-wahl.gv.at/ eingetragen. Laut eVoting-Betreiber wird der „echte“ Server erst ab 18.5. bekannt gegeben. Die ARGE DATEN wird die Standardeinstellungen dem aktuellen Server anpassen. Zusätzlich kann jeder Benutzer selbst den richtigen zu prüfenden eVoting-Server eintragen.

Ist der Einsatz des Test-Tools rechtlich problematisch?

Ein klares NEIN. Es ist das Recht jedes besorgten Bürgers sich Gedanken über die Zuverlässigkeit demokratischer Wahlprozesse zu machen und diese auch zu beobachten. Das Nachsehen ob ein eVoting-Server funktioniert ist demokratisch und rechtlich völlig legitim und ist vergleichbar mit dem Beobachten eines Wahllokals.

Den eVoting-Proponenten ist natürlich bewusst, dass zur ÖH-Wahl 230.000 Studenten aufgerufen sind und jeder davon – theoretisch – eVoten könnte. Der Server muss daher auf entsprechende gleichzeitige Belastungen ausgelegt sein.
Ein Wert von 10.000 gleichzeitigen Zugriffen muss das System jedenfalls vertragen können, da dürfen sich 5 oder gar 50 gleichzeitige Testabrufe in keinster Weise auswirken.

Eine unerlaubte Schädigung eines Computerssystems (etwa nach §126b StGB „Störung der Funktionsfähigkeit eines Computersystems“) läge nur dann vor, wenn jemand vorsätzlich – also mit Absicht – versucht eine Internetverbindung zum Absturz zu bringen. Techniker sprechen dann von einer DoS- oder gar DDoS-Attacke. DoS steht für Denial-of-Service, DDoS für Destributed-Denial-of-Service. Das bloße Nachsehen, ob ein Webserver noch existiert ist zwar auch eine Belastung des Servers, so wie jeder andere Seitenaufruf auch, muss aber von ihm als Teil des Betriebs verkraftet werden können.

Kann das Test-Tool eine Gefahr für das eVoting darstellen?

Wieder ein klares NEIN. Wenn die eVoting-Befürworter ihre Hausaufgaben gemacht haben, kann das bloße Nachsehen ob der Server noch funktioniert, keinesfalls das eVoting behindern oder gar gefährden.

Es muss der Server leistungsfähig genug sein um auch mehrere tausend eVotingprozesse zu erlauben, die Internetbandbreite genügend groß sein und die Serversoftware sauber programmiert sein. Leider hatten weder die ARGE DATEN, noch die Hochschülerschaft, die Wahlkommission, nicht einmal die Prüfstelle A-SIT Gelegenheit sich über diese Leistungsfähigkeit zu überzeugen. Wir gehen aber davon aus, dass der Betreiber weiß, was er tut.

Kann das Test-Tool meinen eigenen Computer beschädigen?

Wieder ein klares NEIN. Das Test-Tool führt nur ein einfaches Java-Skript aus, wie es mittlerweile praktisch alle eCommerce-, Online-Shopping- und Internet-Banking-Seiten verwenden. Das Tool installiert überhaupt nichts am eigenen Computer. Während es läuft, insbesondere beim 50er Parallelsession-Test kommt es natürlich zu einer gewissen Verlangsamung des Computers. World-of-Warcraft oder Second-Life sollte man nicht parallel benutzen. Normale Büroarbeiten, wie das Schreiben dieses Artikels, lassen sich jedoch problemlos erledigen.

Selbstverständlich benötigt es eine funktionsfähige Internet-Verbindung und auch eine gewisse geringe Bandbreite. Bei einem Modem- oder ISDN-Anschluss sollte man das Tool nicht verwenden, ab 128kbit Bandbreite kann es aber bedenkenlos eingesetzt werden.

mehr Online –>
http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=86866ryc

mehr –>
http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=51275ccd
http://www.argedaten.at/static/servercheck.html
Archiv –>
http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=18047gle
http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=78115gwe
http://www.a-sit.at/pdfs/bescheinigungen_hsg/bescheinigung_hsg_final_sig.pdf
ftp://ftp.freenet.at/pri/evoting-dsr-ablehnung.pdf
andere –>
https://oeh-wahl.gv.at/Content.Node/33092_3.php