Politica | Green Primary.

Wie sicher sind die Digitalen Vorwahlen der Europäischen Grünen?

In den letzten Jahren hat sich die Informations- und Kommunikationstechnologie rasant entwickelt. Auch politische Institutionen sind davon beeinflußt: Behörden, PolitikerInnen und Parteien nutzen immer stärker das Internet, um Informationen einfacher an die Öffentlichkeit zu bringen. Es überrascht überhaupt nicht, dass auch die Ausübung politischer Rechte über elektronische Wahlverfahren immer häufiger experimentiert wird. Wieso sollen nicht politische Diskussionen, Abstimmungen und auch Wahlen online stattfinden? Warum soll nicht neben dem Urnengang oder der Briefwahl auch die Stimmabgabe über das Internet ermöglicht werden?
Avvertenza: Questo contributo rispecchia l’opinione personale dell’autore e non necessariamente quella della redazione di SALTO.

Die Chancen für die Gesellschaft sind hoch. Online-Wahlen berücksichtigen die stärkere Mobilität unserer WählerInnen, gleichzeitig können Wahlergebnisse schneller vorliegen und Kosten für Wahlvorbereitung und Durchführung gesenkt werden. Es liegt auch die begründete Hoffnung vor, dass Online Wahlen zu einer höheren Wahlbeteiligung und der Überwindung einer Politikverdrossenheit beitragen. Gleichzeitig aber bringen Online Wahlen auch Risiken mit sich: Einerseits ganz pragmatisch, kann der digitale Graben zwischen Menschen mit und ohne Internetzugang („digital divide“) zu einer Ungleichheit bei der Teilnahme am politischen Leben führen. Und neben dem fehlenden Vertrauen oder der mangelnden Akzeptanz bei den WählerInnen rückt vor allem die Missbrauchsmöglichkeit durch technische Manipulationen im Vordergrund. Besonders letzterer Aspekt ist auch hierzulande immer wieder auf die Oberfläche geraten.

Was macht eine freie demokratische Wahl aus?

Bevor man sich mit der Sicherheit von Online Wahlen auseinandersetzt, sollte man den Blick schärfen für das, was eine freie politische Wahl ausmacht – also den Wahlrechtsgrundsätzen der allgemeinen, unmittelbaren, freien, geheimen und gleichen Wahlen.

1.       Zugangsberechtigung. Nur Wahlberechtigte dürfen Stimmen abgeben, andere nicht.

2.       Gleichheit. Jede/r darf nur eine Stimme abgeben - aus dem Englischen als „One man, one vote“ Prinzip bekannt.

3.       Die Wahl ist geheim. Niemand darf ermitteln können, wer wie abgestimmt hat.

4.       Fälschungssicherheit. Stimmen dürfen nicht verändert, vernichtet, und es dürfen keine neuen hinzugefügt werden.

5.       Überprüfbarkeit. Jeder Wähler hat die Möglichkeit, unabhängig von jeder anderen Person die Korrektheit der Wahl zu prüfen.

Dabei gibt es durchaus einige Knackpunkte. Zum Beispiel könnte eine (oberflächlich Implementierte) Überprüfbarkeit auch dem Prinzip einer geheimen Wahl entgegensteuern: speziell bei elektronischen Wahlsystemen ein klassischer Fall eines Zielkonflikts. So wären zum Beispiel Wahlquittungen, die es dem Einzelnen ermöglichen zu überprüfen, dass „seine“ Stimme auch wirklich gezählt worden ist (das Prinzip der Verifizierbarkeit, der Öffentlichen Wahl), gleichzeitig auch als Belege nutzbar, die dazu führen könnten, dass eine Wahl nicht mehr geheim ist. Indem nämlich Wähler anderen gegenüber „beweisen“ können, für wen sie gestimmt haben (Widerspruch zum Prinzip der Anonymität, der geheimen Wahl). Das ist nur eines von vielen kniffligen Themen, die auch der Deutsche Bundesgerichtshof neulich zum Einsatz der Nedap-Wahlgeräte aufgeworfen hat.

gabi eder/pixelio.de

Beginnt nun das Zeitalter der Internet Wahlen?

Durch den vom Internet angetriebenen Transformationsprozess in der privaten Wirtschaft und in der öffentlichen Verwaltung sind auch viele Projekte zur Erprobung von Online Wahlen gestartet, viele davon mit Rechtsgültigkeit. Die Diskussionen rund um das Thema Online-Wahlen wurden natürlich immer auch von Kritikern begleitet, die vor allem die Verletzung der Grundsätze der geheimen und gleichen Wahl und eine Gefährdung der Institution Wahl an sich sehen. Ich persönlich stimme da durchaus mit ein, die Herausforderungen an Online Wahlen sind nicht gering. Sicher ist das auch eine Frage der Maßstäbe: die Anforderungen an eine einfache Vorwahl (zum Beispiel die der Grünen Verdi Verc im Frühjahr dieses Jahres) können im Vergleich zu denen einer breiten parlamentarischen Wahl vielleicht auch heruntergeschraubt werden. Aber im Kern sind stets ein Paar der Prinzipien einzuhalten, wenn man nicht das Risiko eingehen möchte, das Instrument Wahl an sich nachhaltig zu beschädigen. Darum auch meine vergangene Kritik an einer sehr löchrig implementierten Umfrage zum Selbstbestimmungswunsch der SüdtirolerInnen. Hätte man nach meinen Sicherheitshinweisen stur darauf beharrt, das System nicht nachzubessern, wäre kein einziges der 5 genannten Wahlkriterien eingehalten worden.

 

Wie sicher sind nun die digitalen Vorwahlen der Europäischen Grünen?

Die Antwort gleich vorweg: sie sind nicht perfekt. Die Kriterien 1 und 2 (Zugangsberechtigung, Gleichheit) sind zwar in guter Näherung, aber eben nur fast gelöst. Das bedeutet, dass ein großflächiger Missbrauch zwar tatsächlich ausgeschlossen ist, im Einzelfall aber durchaus eine minimale Überwindung des zweiten Prinzips („one man, one vote“) möglich ist. Klingt das furchtbar? Wie vorhin erwähnt, ist es durchaus legitim, die Anforderungen an eine Vorwahl anders zu gewichten als zum Beispiel die einer parlamentarischen Wahl. Sofern eine solche Abschwächung eines der Kriterien bewusst getroffen wird (aus pragmatischen Gründen) und nicht unbewusst (durch mangelnde Sorgfalt in der Implementierung) ist das kein Beinbruch: Wie bei jeder technischen Entscheidung ist es immer eine Abwägung, welcher Aufwand für eine noch bessere Umsetzung nötig wäre, und welchen Mehrwert dieser Aufwand bringen würde – im Sinne inwieweit das Wahlergebnis dadurch noch präziser werden würde.

Tim Reckmann/pixelio.de

Die Registrierung für die Online Vorwahlen der Europäischen Grünen

Die Teilnahme an den Online Vorwahlen kann mit Computer (PC, Mac, Linux), Mobiltelefon oder Tabletgerät (iPhone, Android) erfolgen. Für die Teilnahme ist eine gültige e-mail Adresse und ein Mobiltelefon für den Empfang eines Wahlcodes notwendig, die Wahl beginnt auf der Webseite www.greenprimary.eu

Für die Wahlregistrierung verlangt das System der Europäischen Grünen die Angabe von Vor- und Nachname, Staat, Emailadresse und Mobiltelefonnummer. Um den potentiellen Missbrauch durch massive, automatisierte Registrierungsversuche abzuwenden wird dabei auch das Ausfüllen eines Captcha-Codes verlangt. Nach dieser Registrierung setzen die europäischen Grünen auf eine manuelle Überprüfung der Daten, die im Hintergrund stattfindet. Werden die eingegebenen Daten von den WahlprüferInnen akzeptiert, erhält der oder die Wählerin eine „Aktivierungsemail“. Diese Email beinhaltet einen Code, der nur ein einziges Mal aufgerufen werden kann, um den Wähler anschließend seine Logindaten mitzuteilen. Das Login wird dabei per Email zugeteilt, das Passwort als SMS Nachricht.

Michael Grabscheit/pixelio.de

Die Stimmabgabe

Die WählerInnen besuchen nun die Wahlplattform über https://www.greenprimary.eu und melden sich mit den vorhandenen Logindaten, die sie per Email und SMS erhalten haben, an. Wenn die Logindaten korrekt waren, wird der WählerIn eine Seite mit den VorwahlkandidatInnen präsentiert. Es dürfen bis zu zwei Vorzugsstimmen abgegeben werden. Sobald die Stimme abgegeben wird, wird diese vom Wahlsystem mit einem sogenannten asymmetrischen Verfahren verschlüsselt und signiert, um die Unveränderbarkeit der abgegebenen Stimme zu gewährleisten. Für jede WählerIn wird dabei ein eigenes Zertifikat verwendet, das keine Information über den oder die WählerIn ermöglicht (sog. anonymous digital certificates). Die verschlüsselte und digital signierte Stimme wird nun in das Wahlsystem gespeichert, das System erzeugt noch eine Quittungsinformation, mit dem die Entgegennahme der abgegebene Stimme bestätigt wird.

 

Die Stimmzählung beginnt

Die abgegebenen Stimmen verbleiben während des Wahlzeitraums in der digitalen Wahlurne. Am Ende der Wahlperiode wird diese Urne digital signiert und für das Zählverfahren exportiert. Stimmenfälschungen sind dabei nicht möglich: die digitalen Unterschriften der Stimmen werden vor dem Zählverfahren vom System geprüft, Unregelmäßigkeiten erkannt und gemeldet. Im Detail: um die Zählung zu starten und den Inhalt der Stimmen lesen zu können, ist eine bestimmte Menge an Mitgliedern der Wahlkommission nötig. Zu Beginn der Wahl wurde nämlich ein digitaler Schlüssel generiert, der für die Dechiffrierung der Stimmen nötig ist. Dieser digitale Schlüssel – gewissermaßen das größte zu schützende Geheimnis - wurde in einer öffentlichen und notariell geprüften „Zeremonie“ erzeugt und nach einem mathematischen Verfahren (Shamir Secret Sharing Scheme) in Stücke aufgeteilt und auf die Chipkarten der Mitglieder der Wahlkommission aufgeteilt, bevor der gesamte Schlüssel an sich zerstört wurde.

Das bedeutet, dass während des Wahlzeitraumes dieser Schlüssel, mit dem sich das System theoretisch kompromittieren ließe, gar nicht mehr existiert. Dieser Schlüssel kann nämlich nur rekonstruiert werden, wenn sich eine genügend große Menge an Mitgliedern der Wahlkommission zusammenfindet. Das Shamir Secret Sharing Scheme stellt dabei sicher, dass weder ein einzelnes Mitglied im Voraus Informationen zu den Stimmen auslesen kann, noch ein einzelnes Mitglied den Beginn der Zählung verhindern kann.

 

Das Durchmischen der Stimmen

Nachdem die Mitglieder der Wahlkommission den notwendigen Schlüssel wiederhergestellt haben, beginnt ein kryptographischer Prozess, der in einer einzigen und untrennbaren Operation die abgegebenen Stimmen nachprüfbar durchmischt und entschlüsselt (technische Hintergründe zum Beispiel hier). Das Ergebnis? Die entschlüsselten Stimmen liegen damit in einer anderen Reihenfolge vor, als die abgegebenen, es besteht damit keine Korrelation mehr zwischen den abgegebenen Stimmen und dem Wahlzeitpunkt: Ein theoretischer „Angreifer“ des Systems könnte damit auch nicht anhand einer Beobachtung über den Zeitpunkt einer abgegebenen Stimme auf die abgegebene Stimme rückschließen oder umgekehrt. Die Anonymität der Stimme ist damit auch dann gewährleistet, wenn jemand bestimmte „Signalstimmen“ im System hinterlegt (zum Beispiel eine bestimmte ungültige Stimme kurz bevor die zu beobachtende Person abstimmt).

 

Die Unveränderbarkeit der abgegebenen Stimmen

Während des Wahlbetriebs wird jedes Mal, wenn eine Stimme verschlüsselt, signiert und an das System abgegeben worden ist, eine Spur in einer sogenannten Logdatei festgehalten. Die Integrität und Korrektheit dieser Loginformation ist Voraussetzung dafür, dass keine einzige Stimme aus dem System entfernt wird. Sichergestellt wird dies durch das eigentlich einfache, aber tatsächlich unlösbar schwer angreifbare System der immutable logs. Immutable Logs sind dabei Logdateien, in denen jeder Eintrag kryptographisch mit dem vorhergehenden und dem nachfolgenden verknüpft ist: wird auch nur eine einzige Zeile entfernt, fällt der Schwindel mathematisch auf  (technische Hintergründe zum Beispiel hier).

Wahlhelfer können damit anhand der Logdateien die Übereinstimmung des Inhalts der Wahlurne mit dem der Logdateien beweisen – keine Stimme konnte entfernt, zugefügt, oder verändert werden, ohne dass ein Bruch in den kryptographischen Ketten entstehen würde.

 

Die Unveränderbarkeit des ganzen Systems

Da die Korrektheit des Systems nun an den kryptographischen Logdateien hängt, ist die Software, mit der die Logdateien erzeugt werden, sowie die gesamte Wahlsoftware die nächste theoretische Angriffsfläche. Diese Softwarebausteine sind im Quellcode einem Audit zu unterwerfen. Das bedeutet, dass unabhängige Experten Einblick in die Software erhalten und deren Korrektheit attestieren. Einmal attestiert, wird der Stand der Software durch eine digitale Unterschrift der Prüfer festgehalten. Sobald die Software gestartet wird, wird auch ein unabhängiges IPS System (intrusion protection, gewissermaßen eine Einbruchssicherung) gestartet, dass ununterbrochen überprüft und Alarm schlägt, wenn die Signaturen der eingesetzten Softwarebausteine sich nicht mehr ändern. Sprich: nach der Zertifizierung ist keine Änderung an der Software mehr möglich.

 

Verbesserungen?

Klicken statt Kreuzchen, Online statt Briefwahl. Wahlen im Internet sind also nicht ganz so simpel umzusetzen, wie es zunächst scheinen mag: Vor allem Sicherheit und Geheimhaltung erfordern hohen technischen Aufwand. Für mich haben die Europäischen Grünen dabei tatsächlich ziemlich viel richtig gemacht. Verbesserungen wären eigentlich nur bei Punkt 1 und 2, also bei der Identifizierung der Wahlberechtigten und dem Gleichheitsprinzip wünschenswert.

 

Um sicher zu stellen, dass nur Wahlberechtigte ihre Stimme abgeben - und das auch nur einmal, sind elektronische Wählerverzeichnisse und Identifikationsverfahren notwendig. Dies wäre mit einer digitalen Signatur auf einer Chipkarte zwar heute schon möglich, würde aber bedeuten, dass jeder Online-Wähler eine solche Karte und ein entsprechendes Kartenlesegerät braucht. Das ist heute noch nicht der Fall, könnte aber in wenigen Jahren wird soweit sein: Zum Beispiel beinhaltet der neue Deutsche Personalausweis eine solche Signaturmöglichkeit, und auch „unsere“ Südtiroler Bürgerkarte ist, sobald sie breit genug aktiviert worden ist, für so einen Schritt geeignet.

Bis dorthin muss aber als bewusste „Krücke“ zur eindeutigen Identifizierung eines Wählers ein anderer Mechanismus verwendet werden: die Europäischen Grünen setzen auf die SMS-Autorisierung: Der Zugangscode zur Wahlurne wird damit nur per Mobiltelefon zugestellt, und nur nachdem die anagrafischen Daten manuell überprüft worden sind. Klar – wer Zugriff auf mehr als ein Mobiltelefon hat, kann theoretisch auch die Möglichkeit erlangen, mehr als eine Stimme abzugeben. Das ist Fakt, und genauso war es bei den Vorwahlen der Grüne Verdi Verc. Hier gilt aber das eingangs erwähnte Prinzip der Verhältnismäßigkeit, die Auswirkungen sind ja eher gering: Ein massiver Mißbrauch ist nicht möglich, da niemand in der Lage ist, Tausende oder Zehntausende von Mobiltelefonen zu kontrollieren. Und der vereinzelte Mißbrauch (jemand besitzt zwei Mobiltelefone) kann als nicht maßgeblich Ergebnisverändernd durchaus akzeptiert werden.

Dieses Prinzip der Verhältnismäßigkeit ist für mich natürlich nur im Rahmen dieser Vorwahl akzeptabel. Für eine parlamentarische Wahl würde ich höhere Ansprüche stellen.

Ein Fazit?

Aus meiner Sicht ein klares Thumbs up: Gut gemacht, European Greens, bei dieser Online Wahl kann ich ruhigen Gewissens mitmachen. Und, wer weiß, vielleicht werden wir uns in Zukunft tatsächlich häufiger an digitalen Wahlsystemen herantrauen. Es wäre wahrlich kein Beinbruch, solange es „richtig“ gemacht wird.