Gastkommentar

Nach dem Wahlkartendebakel: Warum elektronische Wahlen trotzdem keine gute Idee sind

Sharing is caring:

E-Voting-Expertin Barbara Ondrisek. © Barbara Ondrisek
E-Voting-Expertin Barbara Ondrisek. © Barbara Ondrisek

Im Zuge des Debakels mit den Wahlkarten, die für die Verschiebung der Wahlwiederholung sorgten, sind wieder Stimmen laut geworden, elektronische Wahlen (z.B. via Smartphone-App) zu ermöglichen. Warum das keine gute Idee ist, erklärt die E-Voting-Expertin Dr. Barbara Ondrisek in diesem Gastbeitrag:

Die Krux mit dem Kreuz

Wie selbstverständlich kommt jedes mal bei Wahlpannen von ein paar Seiten der Ruf nach E-Voting – und zwar von Leuten, die nicht weit genug denken.

Mit E-Voting (engl. für „elektronische Wahlen“) sind jene Wahlmethoden gemeint, bei denen Stimmen auf elektronischem Weg repräsentiert oder gesammelt werden können. Die Varianten reichen von Internetwahlsystemen, über Wahlcomputer bis hin zu optischen Scannern und Zählprogrammen, die Papierstimmzettel automatisiert auswerten.

In der Verfassung sind die Wahlrechtsgrundsätze verankert und besagen, dass jeder österreichische Bürger oder jede Bürgerin das Recht auf eine allgemeine, freie, gleiche, persönliche, unmittelbare und geheime Ausübung seines / ihres Wahlrechts hat. Elektronische Wahlen gefährden jedoch die Grundsätze des freien, geheimen und persönlichen Wahlrechts.

Wählen im Internet

Internetwahlen klingen praktisch: Man könnte gemütlich von zu Hause aus die Stimme auf dem Computer abgeben. Das klingt so bequem und modern wie Online-Banking, ist es dann aber leider doch nicht. Im Gegensatz zu elektronischen Bankgeschäften, wo alle Transaktionen ihren Konten zuordenbar sind, muss bei E-Voting die Stimme zwar persönlich, aber anonym abgegeben werden – ein inhärenter Widerspruch bei elektronischen Transaktionen. Beim Online-Banking kann man den Geldfluss von beiden Seiten jederzeit nachverfolgen. Beim E-Voting kann und darf man das nicht, da die Stimme anonym abgegeben werden soll. Man müsste sich einerseits auf das System 100% verlassen können, ohne andererseits Möglichkeiten der Nachvollziehbarkeit zu haben.

Internetwahlen mit Online-Banking zu vergleichen, ist wie Postkarten mit WhatsApp: Wie eine Postkarte wird die Stimme anonym über einen unsicheren Kanal ohne Kontrolle geschickt, während WhatsApp die Stimme authentifiziert, autorisiert und beidseitig geloggt verschickt. Zudem ist selbst Online-Banking nicht fehlerfrei: Man denke nur an das Online-Banking-Desaster einer großen Österreichischen Bank vor wenigen Jahren.

Transparenzproblem

Eine wesentliche Komponente jedes E-Voting-Systems ist die eingesetzte Software zum Verarbeiten der Stimmen. Bei nicht-trivialer Software kann allerdings niemals 100%ige Fehlerfreiheit gewährleistet werden. Es kann sich immer ein beabsichtigter oder unbeabsichtigter Fehler in die Abläufe der Software einschleichen. Ebenso kann auch die Hardware beeinträchtigt werden, etwa bei Ausfällen durch Spannungsspitzen oder Bit-Flips durch kosmische Strahlung.

Absichtliche Attacken stellen einen weiteren ernstzunehmenden Risikofaktor dar. Neben der Fehlerfreiheit stellt sich auch die Frage nach Garantien, dass die Software aus dem auditierten Sourcecode durch einen auditierten Compiler erstellt wurde? Prüfsummen, Reproducible Builds und andere Prüfprogramme, selbst Compiler können ebenfalls fehlerhaft sein oder gehackt werden.

Weiters ergibt sich beim E-Voting das generelle Problem der Transparenz. Die Maschine – eine uneinsehbare Blackbox – tut etwas, das selbst für Techniker nicht direkt beobachtbar ist. Unbeabsichtigte, wie auch beabsichtigte Fehler und Back Doors können sich eingeschlichen haben, die auch durch strenge Qualitätskontrollen schlüpfen können. Daraus ergibt sich mangelnde Kontroll- und Manipulationssicherheit und eine nicht überprüfbare technische Implementierung.

Eine Wahlsoftware hätte wohl mehr als 100.000 Lines Of Code – selbst beteiligte Experten hätten hier Probleme, eine derart komplexe Software zu verstehen, geschweige denn, dass sie von Wahlbeisitzern oder gar Bürgern nachvollzogen werden könnte. Wie sähe da wohl eine Wahleinsicht aus? Welche Ausbildung und Schulung bräuchten dann Mitarbeiter der Wahlkommission?

Ein anderes Problem bei jeder Art von E-Voting-Systemen ist auch der sogenannte Retail vs. Whole Sale Fraud. Bei einem sogenannten Whole Sale-Angriff kann nur eine einzige Person das gesamte Wahlergebnis manipulieren. Im Vergleich dazu können bei einem dezentralen Retail-Angriff nur einige wenige Maschinen in einer kurzen Zeit manipuliert werden, wie es auch bei der jetzigen Papierwahl nicht ausgeschlossen ist.

Das ist ein Bingo!

Egal wie man es anstellt (neuerdings ist – neben anderen Verschlüsselung-Algorithmen wie „Bingo Voting“ – Blockchain-Verschlüsselung in Diskussion), kann man bei Onlinewahlen grundlegende Wahlrechte nicht gewährleisten (ein Wähler gibt genau einmal seine Stimme persönlich und anonym ab etc.).

Beispielsweise wurde das selbstironisch nach einem Spiel benannte Bingo Voting an der Uni Karlsruhe 2009 eingesetzt und gleich wieder beeinsprucht. Dabei wurde ein System mit einer generierten Kontrollzahl zur Überprüfung der Stimme verwendet. Allerdings garantiert auch ein physischer Beleg nicht, dass die Stimme tatsächlich abgegeben und gewertet worden ist. Das Überprüfungsprogramm kann genauso manipuliert werden! Mit einem Beleg – selbst wenn dieser auch wirklich die eigene Stimme referenziert (oder könnte es die eines anderen sein?) – ermöglicht man Stimmenkauf. Selbes gilt auch für andere Distanzwahlen wie die Briefwahl, für die die Bundeswahlbehörde für die Big Brother Awards 2008 nominiert worden ist.

Wieder aufgepoppt: Die Diskussion um Internetwahlen. © Fotolia/thingamajiggs
Wieder aufgepoppt: Die Diskussion um Internetwahlen. © Fotolia/thingamajiggs

Andere Länder, andere Sitten

Manche mögen jetzt sagen, es funktioniere ja gut in Estland oder der Schweiz! Ob das ja so gut in der Schweiz funktioniert, ist unsicher, denn dort strauchelt man gerade ziemlich mit der Wahlbeteiligung von ~40%. Außerdem musste auch dort an einer Schweizer Uni auch eine E-Wahl aufgrund von Mängeln wiederholt werden. In Estland wurden erst 2014 gravierende Sicherheitsmängel festgestellt! Dafür wurde in Deutschland 2009 vom Bundesverfassungsgericht die Wahl mit Wahlcomputern durch erfolgreichen Einspruch gestoppt.

In Österreich wurde die Internetwahl bei der ÖH-Wahl vom Verfassungsgerichtshof ebenfalls 2009 für ungültig erklärt, da es „im Unterschied zu herkömmlichen Wahlverfahren, bei denen sich jeder Wahlberechtigte von der Einhaltung der Wahlgrundsätze überzeugen kann, im Verfahren der elektronischen Wahl eines besonderen technischen Sachverstandes [bedarf], der bei einem Großteil der Wähler nicht vorausgesetzt werden kann“.

Die Qual der Wahl

Das heutige Papierwahl-System überzeugt und besticht mit seiner Einfachheit. Man kann die Schritte, die für jeden verständlich sind, selbst einem Volksschüler erklären. Es ist ein durchdachtes, bewährtes System mit einem bestimmten Ablauf mit mehreren Kontrollfunktionen. Es ist transparent, da es auch Wahlbeisitzer und Wahlbeobachter einbezieht. Jeder, auch Leute ohne technisches Wissen, können sich vor, während und bei der Wahl von der Korrektheit überzeugen (abgesehen von der Auszählung, die in Österreich unter Ausschluss der Öffentlichkeit erfolgt. Hier stellen die designierten Beisitzer das Kontrollorgan).

Eine weitere Frage ist die generelle Motivation, warum E-Voting in Österreich überhaupt eingesetzt werden soll. Wieso ein bestehendes vertrauenswürdiges System ersetzen, das funktioniert? Kostenersparnis und Erhöhung der Wahlbeteiligung werden oft als Argumente geliefert, sind beide allerdings bereits durch Studien entkräftet. Die Motivation einer Killer Applikation für die an schwacher Verbreitung kränkelnden Bürgerkarten zu schaffen, ist groß – Das könnte eine E-Voting-Anwendung werden.

Zudem ist es ausgesprochen absurd, jener Wahlkommission, die mit der jetzigen „Technologie“ (Kleber von Papierkuverts) bereits Probleme hat, die fehlerfreie Implementierung und Kontrolle eines elektronischen Wahlsystems zuzutrauen!

Nur eine Person könnte Wahl manipulieren

Die theoretischen kryptographischen Grundladen von E-Voting wurden zwar genau untersucht, doch leider ist es aber immer noch Rocket Science zu gewährleisten, dass auch jener Code, der versprochen wird, fehlerfrei auf den hoffentlich unmanipulierten Wahlcomputern installiert wird. Bei dem ÖH-Wahlversuch 2009 mit E-Voting saß ich damals in der Wahlkommission, um eine Sourcecode-Review durchzuführen. Und selbst Experten tun sich wirklich schwer, die Software zu verstehen und zu überprüfen, ob innerhalb tausender Zeilen Code kein einziger Fehler versteckt ist. Denn Fehler oder absichtliche Manipulation skalieren hier leider nur viel zu gut!

Nur eine Person kann das Ergebnis einer E-Voting-Wahl manipulieren – bei der Papierwahl ist dafür schon eine Verschwörung notwendig. Wie wir gerade bei den Klebestreifen der Briefwahl sehen: Möchte man wirklich potenziell fehlerbehafteter Technik blind vertrauen, wo es gerade um so viel wie bei einer Wahl geht und wenige Stimmen über Österreichs Zukunft entscheiden könnten?

TL;DR

Oder um es kurz zu machen: „E-Voting ist wie Briefwahl on Steroids“ (Zitat Helge Fahrnberger, ein weiser Mann) oder „Es lassen sich nicht alle Dinge ins digitale Leben übertragen! Oder warst du in Second Life mal am Klo?“ (Zitat Lena Doppel).

Dr. Barbara Ondrisek ist Software-Entwicklerin mit mehr als 15 Jahren Erfahrung, hat drei Abschlüsse von der TU Wien – unter anderem hat sie ihre preisgekrönte Dissertation auf dem Gebiet E-Voting geschrieben und mit Peter Purgathofer papierwahl.at gegründet. Ihre Doktorarbeit ist als Buch auf Amazon erschienen.

Springe zu:

Mehr Stories

Be smart and nice ;)

Ganzen Artikel lesen