Referendum zur Selbstbestimmung: Knoll verteidigt System
Das Referendum der Südtiroler Freiheit zur Selbstbestimmung ist ein Reinleger: Diese Kritik wurde zum Online-Start der Volksabstimmung zu Beginn der Woche laut. Federführend: der grüne IT-Techniker Christoph Moar. Er wirft der Südtiroler Freiheit nicht nur das Fehlen von Sicherheitseinrichtungen wie den so genannten captcha code vor, sondert legte auch dar, wie leicht Wähler zur Wahlaktnummer anderer Personen kommen können – und über diesen Identifikationscode der Abstimmung beliebig oft abstimmen könnten.
Eine Kritik, auf die Sven Knoll nun mit den technischen Details der Abstimmung antwortet. Prinzipiell kann das Ja oder Nein zur Selbstbestimmung auf drei Wegen abgegeben werden: seit Wochenbeginn online, ab Ende September auch per SMS oder Briefwahl. Bis dahin erhalten alle wahlberechtigten Südtiroler eine Wahlkarte, mit der sie auf konventionellem Weg abstimmen können. „Für alle drei Abstimmungen gibt es eine eigene Wahlurne, das heißt sie werden gesondert gezählt und dann erst zusammengerechnet“, sagt der Landtagsabgeordnete der Südtiroler Freiheit. Der Mehrfachabstimmung werde noch vor einem Öffnen der eigentlichen Wahlkarten mit einem Vergleich der Identifikationsdaten auf den – realen wie virtuellen – Kuverts vorgebeugt. „Das heißt, wenn wir sehen, dass eine Wahlaktnummer sowohl Online wie auch auf einer Wahlkarte verwendet wurde, zählt nur die Wahlkarte“, sagt Knoll.
Doch was ist, wen jemand tatsächlich die leicht zu kombinierende Wahlaktnummer anderer Personen verwendet, die selber nicht abstimmen? „Um herauszufinden, die wievielte Geburtsnummer in einer Gemeinde jemand hat, braucht es schon einige Versuche im System“, sagt Knoll. Er selbst habe beispielsweise die Nummer 1020. „Bis jemand darauf kommt, wird er schon längst als verdächtig gemeldet.“ Dafür sorge ein Sicherheitsprotokoll, das bei jeder Abstimmung mit mehr als vier Eingaben der Wahlaktnummer einen digitalen Vermerk setze. All diese verdächtigen Ergebnisse würden dann bei der Auszählung noch einmal kontrolliert und im Zweifelsfall annulliert.
Als zusätzliche Sicherheitsbarriere prüfe das System, das in Deutschland entwickelt und dort laut Knoll bereits bei Wahlen an Universitäten, aber auch Regionalwahlen erprobt sei, auch den Rhythmus der Eingabe und den IP-Code. „Das heißt, selbst wenn sich jemand auf unrechtmäßigen Weg tausende solcher Wahlaktnummern besorgen würde, würde das System registrieren, dass hier viel zu kurzen Abständen abgestimmt wird.“
Nichtsdestotrotz räumt auch Knoll ein, dass es bei solch gemischten Abstimmungen zu Fehlern kommen kann. „Die Experten sagen uns, dass bei solch gemischten Abstimmungen mit einer Fehlerquote von 2 bis 4 Prozent zu rechnen ist“, sagt er. Doch wie er relativiert: Bei 400.000 Wahlberechtigten seien das aber einmal gerade 4000 bis 8000 Stimmen. Und: Ganz fehlerfrei laufe keine Wahl ab. „Vor allem muss man schon noch einmal betonen, dass es sich hier um keine Landtagswahl, sondern um ein selbstorgansiertes Referendum handelt“, so Knoll. Und dafür habe man einen Kompromiss zwischen möglichst einfacher Bedienung und möglichst großer Sicherheit gesucht.
Anstand
Hätten Sven und Co. ein Minimum an Ehrfurcht vor der Aktion die sie vorhaben, hätten sie spätestens jetzt gesagt: "Ok, bled gongen, wir ändern das System dahin gehend, dass es zumindest aussagekräftig ist." Aber vielleicht haben sie auch Angst was rauskommen würde wenn sie mit ehrlichen und fairen Karten spielen würden.
Die schwere Wahl zwischen Pest und Cholera
Lieber Sven, ich erlaube mir den Verweis auf die simplen Regeln einer demokratischen Wahl:
#1 Die Wahl ist geheim.
#2 Jede(r) kann an der Wahl teilnehmen und jede Stimme zählt.
#3 Jede(r) hat nur eine Stimme.
Du verweist nun in Deinem Versuch, die Robustheit Eurer Plattform zu verteidigen, auf einen interessanten Vermerk: "für alle drei Abstimmungen gibt es eigene Wahlurnen, diese werden getrennt gezählt und dann erst zusammengerechnet." Und weiters "Der Mehrfachabstimmung werde noch vor dem Öffnen der eigentlichen Wahlkarten mit einem Vergleich der Identifikationsdaten auf den - realen wie virtuellen - Kuverts vorgebeugt". Wenn ihr also seht, dass jemand mehrfach abgestimmt hat, zählt ihr (nur noch) die Wahlkarte.
Autsch, lieber Sven. Zwischen Pest und Cholera zu wählen, ist schwer, ihr habt euch soeben für Cholera entschieden. Du hast soeben zugegeben, dass das, was ihr tut, nicht im Einklang mit dem steht, was ihr auf der Plattform erklärt: Dort weist ihr ausdrücklich (lese es bitte nach!)darauf hin dass die nun abgegbenene Stimme anonym und ohne Rückverfolgbarkeit auf den Wähler ist.
Das klingt für Dich vielleicht wie eine Kleinigkeit, ist es aber nicht. Du hast soeben gegen #1 (Die Wahl ist geheim) gehandelt: Du kannst, wenn du den Stapel virtueller wie physischer Wahlzettel vor dir hast, nachschauen wie Herr oder Frau Mustermann gewählt hat.
Egal wie Du oder Ihr das drehen wollt, Du solltest darüber nachdenken, in welche Widersprüche Du dich verstrickst, auch in Deinem RAI Interview.
Widerspruch 1:
Mehrfach-login-Versuche würde man "notfalls" an den Logfiles am Server erkennen und dann "nachträglich" die Stimme löschen. Das widerspricht #1 einer Wahl, da die Stimme selbst offensichtlich nicht anonym gespeichert wurde.
Widerspruch 2:
Notfalls, sagst Du, würde man alle Online-Daten streichen. Damit verstößt Du gegen #2, da in dem Moment, wo du alle Online Daten streichst, plötzlich auch potentiell legitime Stimmen nicht mehr berücksichtigt werden.
Widerspruch 3:
Du sprichst davon, dass sie die einzelnen Wahlen "getrennt" zu erfassen scheinen und dann zusammenführen. Wenn das stimmt, wenn also getrennte Summen und dann ein Endergebnis errechnet werden, und die einzelnen Stimmzettel nicht auf eine person rückverfolgbar wären, dann wäre das ein Widerspruch gegen #3.
Tut mir furchtbar leid, aber die drei Voraussetzungen kriegt ihr nicht mehr unter einem Hut, die Katze beisst sich sozusagen in den Schwanz.
Übrigens, nur als Vorsichtsmaßnahme sei auf Widerspruch 4 verwiesen:
Falls ihr versucht, das System so auszubauen, dass Mehrfach-Login-Versuche "sofort" erkannt werden würden (wann? nach 10 oder 100 Versuchen?) und den Benutzer dann sperrt, so seid ihr wieder in der Klemme. Wenn jede(r) gesperrt wird, der wenige (oder viele) Einlog-Versuche unternimmt, dann ist es für einen Angreifer ein Leichtes, sämtliche BürgerInnen Südtirols "zu sperren". Das nennt man dann eine "denial of service Attacke". Plötzlich kann keiner mehr eine Stimme abgeben, insbesondere können AuslandssüdtirolerInnen nicht mehr an der Wahl teilnehmen. Damit hast du erneut gegen #2 verstoßen.
Lieber Sven, das ist so eine Eigenschaft von unsicheren technischen Systemen. Egal, wie man es dreht, sie werden davon nicht sicherer. Sichere Systeme entstehen beim Design des Ganzen, und nicht nachträglich, wenn sie bereits laufen. Wer beim Design schlampt (und dies ist hier eklatant passiert), kann den Fehler nicht mehr beheben.
Ich empfehle dir ein persönliches Gespräch mit jemand, der sich mit der Thematik Online Wahlen wirklich auseinandergesetzt hat. Gerne auch mit mir, ich sehe das wirklich nicht so Ideologisch wie ihr jetzt möglicherweise glaubt. Oder mit jemand neutralem wie Herrn Ohnewein aus dem TIS, der wird dir genauso erklären, wie richtige Wahlsysteme funktionieren. Sowohl Herr Ohnewein als auch ich können dir sogar erklären, wie man eine Rückverfolgbarkeit einer einzelnen Wahlstimme (#2) implementiert, ohne dass man das Wahlgeheimnis (#1) beeinträchtigt. Leider habt ihr die dafür notwendigen Voraussetzungen aber nicht geschaffen.
Ein letzter Tipp noch:
In Fachkreisen herrscht Übereinkommen darüber, was zu tun ist, wenn ein Dienst oder ein Server kompromittiert ist.
Imageverlust vermeiden, ist der Begriff. Das System muss sofort abgeschaltet werden und alle Kunden oder Nutzer sind davon informieren, dass die Sache professionell bereinigt wird, gesichert wird, von unabhängigen Dienstleistern getestet wird und erst nach Ausstellung einer Unbedenklichkeitserklärung (zum Beispiel durch den TÜV-Cert) wieder in Betrieb genommen wird.
So wirkt man Vertrauensverlust entgegen. Wer sich, wie die STF, windet und mit fadenscheinigen Argumenten versucht, das System irgendwie zu retten, eskaliert das Problem nur noch weiter.
Einen lieben Gruß
Christoph Moar
Absolute beginners
Die Südtiroler Freiheit hat sich in politisch-juridischen als auch in Informationstechnischen Fragestellungen als totale Dilettanten offenbart und mit diesem laienspiel einen Bärendienst der direkten Demokratie in südtirol geleistet.
Wann hört ihr endlich mit diesen dauernden volksverblödungskampagnen auf und löst euch endlich auf?
In risposta a Absolute beginners di gorgias
Hallo Gorgias, du sagst, die
Hallo Gorgias, du sagst, die Schwierigkeiten bei der selbstverwalteten Volksbefragung der Südtiroler Freiheit hätten der Direkten Demokratie in Südtirol einen Bärendienst erwiesen. Das stimmt nicht. Das eine hat mit dem anderen nichts zu tun und beide Konzepte sollten durch einen korrekten Sprachgebrauch auseinander gehalten werden. Direkte Demokratie ist ein von Rechtsnormen geregeltes System parallel zu den Rechtsnormen mit denen die indirekte/repräsentative Demokratie geregelt ist. Daneben kann natürlich jeder Bürger, jede Bürgerin, jede Organisation ganz legitim in Eigeninitiative Meinungsumfragen durchführen. Dies hat aber mit der Direkten Demokratie nichts zu tun.
In risposta a Absolute beginners di gorgias
Du hast inhaltich vollkommen recht
leider ist das der Mehrheit nicht bewußt. Der Schaden entsteht durch diese antiaufklärerische Komponente, dass man dies als "Selbstbestimmungsreferendum" bezeichent und dass die Bevölkerung mit direktdemokratischen Instrumenten wenig vertraut ist.