Herbert Pfarrhofer/APA

Die Gefahren von E-Voting

Gastkommentar / von Barbara Ondrisek / 02.10.2016

Der Vorstoß der ÖVP, E-Voting einzusetzen, obwohl elektronische Wahlen in Österreich bereits vom Verfassungsgerichtshof für ungültig erklärt wurden, alarmiert Kritiker wie Rechtsexperten. Die Transparenz des Wahlvorganges ginge verloren, und die Grundsätze des freien, geheimen und persönlichen Wahlrechts seien gefährdet. Zudem gäbe es eine Reihe weiterer Risiken und Sicherheitsprobleme bei elektronischen Wahlen. Ein Gastkommentar von Barbara OndrisekDr. Barbara Ondrisek ist Software-Entwicklerin mit mehr als 15 Jahren Erfahrung. Unter anderem hat sie ihre Dissertation an der TU Wien über die Sicherheit von E-Voting-Systemen geschrieben und zusammen mit Peter Purgathofer papierwahl.at gegründet. .

E-Voting und Wahlrecht

Mit E-Voting ist jene Wahlmethode gemeint, mit der Stimmen auf elektronischem Weg repräsentiert oder gesammelt werden können. Die verschiedenen Arten von elektronischen Wahlen reichen von Internetwahlsystemen über Wahlmaschinen bis hin zu optischen Scannern, die Papierstimmzettel automatisiert auswerten.

Die Wahlrechtsgrundsätze, auf denen jede Wahlform basiert, sind in der österreichischen Verfassung verankert und besagen, dass jeder Bürger das Recht auf eine allgemeine, freie, gleiche, persönliche, unmittelbare und geheime Ausübung seines Wahlrechts hat. Bei elektronischen Wahlen sind allerdings die Grundsätze des freien, geheimen und persönlichen Wahlrechts, besonders im Hinblick auf Transparenz, Manipulation, Stimmenkauf und Wahlzwang, gefährdet.

Es gibt nur schwache oder unvollständige Standards zur Implementierung von elektronischen Wahlsystemen, und viele wissenschaftliche Experten wie Peter Purgathofer, Martin Fehndrich oder Erich Neuwirth sprechen sich explizit gegen den Einsatz von E-Voting aus.

Kritiker sind häufig Juristen oder Informatiker, also jene Leute, die sich am besten mit dem Thema auskennen. Dennoch gibt es weitreichende Bestrebungen, E-Voting in Staaten einzusetzen, in denen bisher Urnenwahlen stattfanden, wie etwa in Österreich.

Andere Länder, andere Sitten

Elektronische Wahlen sind generell ein sehr umstrittenes Gebiet. Eine Reihe von Fehlern und Schwachstellen wurden bereits in E-Voting-Systemen weltweit (zum Beispiel in den USA, den Niederlanden oder Estland) gefunden.

In der Schweiz wurde die Wahlbeteiligung nachweislich nicht erhöht, außerdem musste auch an einer Schweizer Universität eine E-Wahl aufgrund von Mängeln wiederholt werden. Bei elektronischen Wahlen in Estland wurden erst 2014 gravierende Sicherheitsmängel festgestellt.

In Deutschland hat das Bundesverfassungsgericht die Verwendung von Wahlcomputern für verfassungswidrig erklärt und in Österreich wurde der E-Voting-Pilotversuch bei den ÖH-Wahlen ebenfalls aufgehoben.

Vorteile von E-Voting

Trotz der Kontroverse, die dieses Thema hervorbringt, werden gewisse Vorteile von elektronischen Wahlen von Befürwortern immer wieder hervorgehoben: schnellere Auszählung, Modernisierung und Zukunftsorientierung, das Verhindern unabsichtlich ungültiger Stimmen (besonders bei speziellen Auswertungsformen wie PanaschierenBeim Panaschieren kann der Wähler mehrere Stimmen auf verschiedene Parteien, Wahllisten oder Kandidaten verteilen. oder KumulierenEin kumulatives Wahlrecht ermöglicht die Abgabe mehrerer Stimmen für einen Kandidaten. Das österreichische Vorzugswahlrecht entspricht zum Teil diesem System. ) und Vorteile für körperlich benachteiligte Personen, Stichwort: barrierefreies Wählen. Weiters werden finanzielle Ersparnisse, Steigerung der Wahlbeteiligung, leichtere Einbindung von Wählern aus dem Ausland wie auch Anwendung der direkten Demokratie genannt.

Die technikbegeisterte junge Generation würde durch Internetwahlen zur Beteiligung motiviert werden. Außerdem müsse ein moderner Staat ja im digitalen Zeitalter elektronische Wahlen ermöglichen.

Der gläserne Computer

Der Einsatz elektronischer Wahlen birgt aber neben positiven Aspekten auch eine Reihe von Gefahren. Zum einen ergibt sich bei E-Voting das generelle Problem der Transparenz. Die Maschine – eine Blackbox – macht etwas, was selbst für Techniker nicht direkt erkennbar ist. Das Speichern und das Berechnen der Wahlergebnisse bleibt Wählern, Beisitzern und Beobachtern verborgen.

Nicht jeder Bürger, insbesondere die ältere Generation, besitzt das Wissen und die Fähigkeiten, mit Computern und dem Internet umzugehen, geschweige denn, sich bei einem E-Voting-System mit zigtausend Lines Of Code auszukennen. Wie müsste wohl so ein System aussehen, damit beispielsweise auch nichtbeabsichtigtes Falschwählen aufgrund von schlechter Bedienbarkeit ausgeschlossen werden kann?

Zudem beharren Hersteller von E-Voting-Systemen meist auf proprietärer Soft- und Hardware, die nicht offengelegt wird, da sie befürchten, dass Sicherheitslücken oder Betriebsgeheimnisse ausspioniert werden könnten. Doch selbst Open Source, also die Freilegung des Quellcodes, bietet nicht genügend Schutz. Es kann nicht garantiert werden, dass der Code, der veröffentlicht wurde, tatsächlich auf den Wahlcomputern installiert ist.

Denn auch Überprüfungsprogramme selbst können kompromittiert werden. Selbst wenn man Fehlerfreiheit außer Acht lässt: Wie garantiert man, dass die Software aus dem auditierten Quellcode durch einen auditierten Compiler (das Übersetzungsprogramm von Quellcode in Maschinen-Code) erstellt wurde? Prüfsummen, Reproducible Builds und andere Prüfprogramme oder auch der Compiler selbst können ebenfalls fehlerhaft sein oder gehacked werden, ebenso wie auch Firm- oder Hardware.

Ein weiterer Aspekt, der sich aufgrund der fehlenden Transparenz ergibt, ist die Möglichkeit, dass nur eine einzige Person oder ein Fehler das Ergebnis ohne Nachweis einer Manipulation verändern könnte – absichtlich oder unabsichtlich. Wie wir gerade bei den Klebestreifen der Briefwahl sehen: Möchte man wirklich potenziell fehlerbehafteter Technik blind vertrauen, wo es gerade bei Wahlen um so viel geht und nur wenige Stimmen über Österreichs Zukunft entscheiden können?

Manipulationssicherheit und Ausfallsicherheit

Software und Hardware sind nie fehlerfrei. Es könnten sich beabsichtigte wie auch unbeabsichtigte Fehler oder Schwachstellen eingeschlichen haben, die selbst durch strenge Qualitätskontrollen schlüpfen können.

So wurden bei vergangenen elektronischen Wahlen in den USA oft Unregelmäßigkeiten im Wahlergebnis gefunden, bei Untersuchungen der eingesetzten Wahlmaschinen wurden sogar gravierende Sicherheitsmängel entdeckt sowie mögliche Attacken nachgewiesen, wie etwa ein Tempest-Angriff oder die Manipulation des Boot-Loaders des Wahlcomputers.

Eine wesentliche Komponente eines E-Voting-Systems ist die eingesetzte Software zum Verarbeiten der Stimmen. Bei nicht-trivialer Software jeglicher Art kann allerdings nie hundertprozentige Fehlerfreiheit gewährleistet werden. Es kann sich immer ein beabsichtigter oder unbeabsichtigter Fehler in die Programmierung der Software einschleichen.

Ebenso kann auch die Hardware beeinträchtigt werden – man denke nur an Ausfälle durch Spannungsspitzen oder an Bit-Flips durch kosmische Strahlung, geschweige denn an beabsichtigte Attacken.

Sicherheit im Internet

Das Internet wurde ursprünglich dafür entwickelt, in Sekundenschnelle Nachrichten zu übertragen. Alle ursprünglichen Protokolle, wie HTTP oder E-Mail, wurden dabei in Hinblick auf Effizienz der Kommunikation und nicht für Sicherheit entwickelt. Um uns den Alltag zu erleichtern, wurden nun zusätzliche Sicherheitsmaßnahmen wie Verschlüsselungsalgorithmen dazuprogrammiert, wobei auch dabei nach wie vor Bequemlichkeit vor Sicherheit galt.

Man erinnere sich an die IT-Probleme einer großen österreichischen Bank vor ein paar Jahren oder denke nur an die überraschende Effektivität von Phishing-Attacken.

Kaum ein Tag vergeht, an dem nicht ein Unternehmen nonchalant im Rampenlicht steht, Passwörter nicht ausreichend geschützt zu haben, ausgespäht worden zu sein oder Computerpannen verbrochen zu haben. Man muss kein Edward Snowden sein, um zu verstehen, dass man nur zu leicht aufgrund von Bequemlichkeit viele Risiken eingeht.

Internetwahlen werden fälschlicherweise immer gern mit Onlinebanking verglichen. Müssten elektronische Stimmen nicht anonym sein, wären elektronische Wahlen genauso sicher wie jede andere verschlüsselte Transaktion. Das Problem ist aber, dass Wähler ihre Stimme persönlich, anonym, aber nicht nachvollziehbar abgeben sollen – ein inhärenter Widerspruch bei elektronischen Transaktionen.

Beim Onlinebanking kann man jederzeit den Geldfluss von beiden Seiten nachverfolgen, es gibt beidseitige Transaktionsbelege, aber bei E-Voting kann und darf man das nicht, da die Stimme anonym abgegeben werden muss. Man müsste sich dazu schon auf das gesamte System zu 100 Prozent verlassen können, ohne allerdings eine Möglichkeit der Nachvollziehbarkeit zu haben.

Internetwahlen mit Onlinebanking zu vergleichen, ist wie ein Vergleich von Postkarten mit WhatsApp: Bei dem einen wird die Stimme anonym über einen unsicheren Kanal ohne Nachweis, aber mit viel Vertrauen geschickt – bei dem anderen kommt eine Stimme authentifiziert, autorisiert und beidseitig geloggt an. Bei Onlinebanking können beide Seiten auf Kontoauszügen die Transaktion nachvollziehen, bei E-Voting soll das ja nicht möglich sein.

Papierwahl

Das heutige Papierwahl-System überzeugt und besticht mit seiner Einfachheit: Man kann die Schritte, die für jeden verständlich sind, selbst einem Volksschüler erklären. Es ist ein durchdachtes, bewährtes System mit einem bestimmten Ablauf mit mehreren Kontrollfunktionen. Es ist transparent, da es auch Wahlbeisitzer und Wahlbeobachter einbezieht. Die Stimmabgabe mit Stift und Papier hat sich als sichere Wahlmethode bewährt und ermöglicht die Nachzählbarkeit einzelner Stimmen.

Zudem ist gerade in Österreich nach der Beeinspruchung der Bundespräsidentenstichwahl aufgrund von Formfehlern kaum auszudenken, welche Verschwörungstheorien die verlierende Partei suggerieren würde.

Eine weitere Frage ist die generelle Motivation, warum E-Voting in Österreich überhaupt eingesetzt werden soll. Wieso ein bestehendes, vertrauenswürdiges System ersetzen, das funktioniert?

Kostenersparnis und Erhöhung der Wahlbeteiligung werden oft als Argumente geliefert, sind beide allerdings bereits durch Studien entkräftet. Die Motivation, eine Killer-Applikation für die an schwacher Verbreitung kränkelnden Bürgerkarten zu schaffen, ist groß. Das könnte eine E-Voting-Anwendung werden.

Zudem ist es ausgesprochen absurd, jener Wahlkommission, die mit der jetzigen „Technologie“ wie Kleber von Papierkuverts bereits Probleme hat, die fehlerfreie Implementierung, den Betrieb und die Kontrolle eines elektronischen Wahlsystems zuzutrauen.