Risiken von E-Voting
Hallo!
mein Name ist Dr. Barbara Ondrisek und heute werde ich einen
Talk ber die Risiken von E-Voting geben.
ber mich: Ich habe meine Dissertation an der TU Wien bei Peter
Purgathofer ber Sicherheit von E-Voting-Systemen geschrieben.
Hintergrund
Zu meinem Hintergrund: Ich habe mehr als 15 Jahre
Berufserfahrung als Freelancer und Consultant, wobei ich grtenteils
bei greren Firmen als Software-Entwickler gearbeitet habe. Ich habe
einen starken Backend-Entwickler Hintergrund, allerdings mit einem
Hang zu Full Stack and Mobile.
2008 habe ich meine Doktorarbeit zu Sicherheit von
E-Voting-Systemen geschrieben. Diese Arbeit hat auch den Dr. Maria
Schaumayr Preis gewonnen.
Der Vorsto der VP, E-Voting einzusetzen, obwohl elektronische
Wahlen in sterreich bereits vom sterr. Verfassungsgerichtshof fr
ungltig erklrt wurden, alarmiert Kritiker wie Rechtsexperten. Die
Transparenz des Wahlvorganges ginge verloren und die Grundstze des
freien, geheimen und persnlichen Wahlrechts seien gefhrdet. Zudem
gbe es eine Reihe weiterer Risiken und Sicherheitsprobleme bei
elektronischen Wahlen.
E-Voting und Wahlrecht
Mit E-Voting (engl. fr ,,elektronische Wahlen) ist jene
Wahlmethode gemeint, mit der Stimmen auf elektronischem Weg
reprsentiert oder gesammelt werden knnen. Die verschiedenen Arten
von elektronischen Wahlen reichen von Internetwahlsystemen ber
Wahlmaschinen bis hin zu optischen Scannern, die Papierstimmzettel
automatisiert auswerten.Die Wahlrechtsgrundstze, auf denen jede
Wahlform basiert, sind in der sterreichischen Verfassung verankert
und besagen, dass jeder Brger oder jede Brgerin das Recht auf eine
allgemeine, freie, gleiche, persnliche, unmittelbare und geheime
Ausbung seines oder ihres Wahlrechts hat. Bei elektronischen Wahlen
sind allerdings die Grundstze des freien, geheimen und persnlichen
Wahlrechts, besonders in Hinblick auf Transparenz, Manipulation,
Stimmenkauf und Wahlzwang, gefhrdet.
Kritiker
Es gibt nur schwache oder unvollstndige Standards zur
Implementierung von elektronischen Wahlsystemen und viele
wissenschaftliche Experten wie P. Purgathofer, M. Fehndrich, E.
Neuwirth sprechen sich explizit gegen den Einsatz von E-Voting aus.
Kritiker sind traditionellerweise Juristen oder Informatiker, also
jene Leute, die sich am besten mit dem Thema auskennen. Dennoch
gibt es weitreichende Bestrebungen, E-Voting in Staaten
einzusetzen, in denen bisher Urnenwahlen stattfanden, wie etwa in
sterreich.
Andere Lnder, andere Sitten
Elektronische Wahlen sind generell ein sehr umstrittenes Gebiet.
Eine Reihe von Fehlern und Schwachstellen wurden bereits in
E-Voting-Systemen weltweit (z.B. USA, den Niederlanden oder
Estland) gefunden. In der Schweiz wurde die Wahlbeteiligung
nachweislich nicht erhht, auerdem musste auch dort an einer
Schweizer Uni eine E-Wahl aufgrund von Mngeln wiederholt werden.
Bei elektronischen Wahlen in Estland wurden erst 2014 gravierende
Sicherheitsmngel festgestellt.In Deutschland hat das
Bundesverfassungsgericht die Verwendung von Wahlcomputern als
verfassungswidrig erklrt und in sterreich wurde der
E-Voting-Pilotversuch bei den H-Wahlen ebenfalls fr ungltig
erklrt.
Vorteile von E-Voting
Trotz der Kontroversen, die dieses Thema hervorbringt, werden
gewisse Vorteile von elektronischen Wahlen von dessen Befrwortern
immer wieder hervorgehoben: Schnellere Auszhlungen, Modernisierung
und Zukunftsorientierung, das Verhindern unabsichtlich ungltiger
Stimmen (besonders bei speziellen Auswertungsformen wie
Panaschieren oder Kumulieren) und Vorteile fr krperlich
benachteiligte Personen (Stichwort: barrierefreies Whlen). Weiters
werden finanzielle Ersparnisse, Steigerung der Wahlbeteiligung,
leichtere Einbindung von Whlern aus dem Ausland wie auch Anwendung
der direkten Demokratie genannt. Die technikbegeisterte, junge
Generation wrde durch Internetwahlen zur Beteiligung motiviert
werden. Auerdem msse ein moderner Staat ja im digitalen Zeitalter
elektronische Wahlen ermglichen.
Transparenz
Der Einsatz elektronischer Wahlen birgt aber neben positiven
Aspekten auch eine Reihe von Gefahren. Zum Einen ergibt sind bei
E-Voting das generelle Problem der Transparenz. Die Maschine eine
Blackbox macht etwas, das selbst fr Techniker nicht direkt
erkennbar ist. Das Speichern und das Berechnen der Wahlergebnisse
bleibt Whlern, Beisitzern und Beobachtern verborgen. Nicht jeder
Brger (insbesondere die ltere Generation) besitzt das Wissen und
die Fhigkeiten, mit Computern und dem Internet umzugehen,
geschweige denn, sich bei einem E-Voting-System mit zigtausend
Lines Of Code auszukennen. Wie msste wohl so ein System aussehen,
damit z.B. auch nicht beabsichtigtes Falschwhlen aufgrund von
schlechter Bedienbarkeit ausgeschlossen werden kann?
Source Code
Zudem beharren Hersteller von E-Voting-Systemen meist auf
proprietrer Soft- und Hardware, die nicht offen gelegt wird, da sie
befrchten, dass Sicherheitslcken oder Betriebsgeheimnisse
ausspioniert werden knnten. Doch selbst Open Source, also die
Freilegung des Source Codes, bietet nicht gengend Schutz, da man
nicht garantieren kann, dass auch der Code, der verffentlicht
wurde, wirklich auf den Wahlcomputern installiert wurde. Denn auch
berprfungsprogramme selbst knnen kompromittiert werden. Selbst wenn
man Fehlerfreiheit auer Acht lsst, wie garantiert man, dass die
Software aus dem auditierten Sourcecode durch einen auditierten
Compiler (das bersetzungsprogramm von Source Code in
Maschinen-Code) erstellt wurde? Prfsummen, Reproducible Builds und
andere Prfprogramme oder auch der Compiler selbst knnen ebenfalls
fehlerhaft sein oder gehacked werden, wie auch Firm- oder
Hardware.
Manipulationssicherheit
Ein weiterer Aspekt, der sich aufgrund der fehlenden Transparenz
ergibt, ist die Mglichkeit, dass nur eine einzige Person / ein
Fehler das Ergebnis ohne Nachweis einer Manipulation verndern knnte
absichtlich oder unabsichtlich. Wie wir gerade bei den
Klebestreifen der Briefwahl sehen: Mchte man wirklich potenziell
fehlerbehafteter Technik blind vertrauen, wo es gerade bei Wahlen
um so viel geht und nur wenige Stimmen ber sterreichs Zukunft
entscheiden knnen?
Ausfallsicherheit
Software und Hardware ist nie fehlerfrei. Es knnten sich
beabsichtigte wie auch unbeabsichtigte Fehler oder Schwachstellen
eingeschlichen haben, die selbst durch strenge Qualittskontrollen
schlpfen knnen. So wurden bei vergangenen elektronischen Wahlen in
den USA oft Unregelmigkeiten im Wahlergebnis gefunden, bei
Untersuchungen der eingesetzten Wahlmaschinen wurden sogar
gravierende Sicherheitsmngel entdeckt sowie mgliche Attacken
nachgewiesen, wie etwa ein Tempest-Angriff oder die Manipulation
des Boot-Loaders des Wahlcomputers.
Fehlerfreie Software
Eine wesentliche Komponente eines E-Voting-Systems ist die
eingesetzte Software zum Verarbeiten der Stimmen. Bei
nicht-trivialer Software jeglicher Art kann allerdings nie 100%ige
Fehlerfreiheit gewhrleistet werden. Es kann sich immer ein
beabsichtigter oder unbeabsichtigter Fehler in die Programmierung
der Software einschleichen. Ebenso kann auch die Hardware
beeintrchtigt werden, man denke nur an Ausflle durch
Spannungsspitzen oder Bit-Flips durch kosmische Strahlung,
geschweige denn an beabsichtigte Attacken.
Sicherheit im Internet
Das Internet wurde ursprnglich dafr entwickelt, in
sekundenschnelle Nachrichten zu bertragen. Alle ursprnglichen
Protokolle, wie HTTP oder E-Mail, wurden dabei in Hinblick auf
Effizienz der Kommunikation und nicht fr Sicherheit entwickelt. Um
uns den Alltag zu erleichtern, wurden nun zustzliche
Sicherheitsmanahmen wie Verschlsselungsalgorithmen oben drauf dazu
programmiert, wobei auch hier nach wie vor Bequemlichkeit vor
Sicherheit galt. Man erinnere sich an die IT-Probleme einer groen
sterreichischen Bank vor ein paar Jahren, oder denke nur an die
berraschende Effektivitt von Phishing-Attacken. Kaum ein Tag
vergeht, an dem nicht ein Unternehmen im non-chalanten Rampenlicht
steht, Passwrter nicht ausreichend geschtzt zu haben, ausgespht
worden zu sein oder Computerpannen verbrochen zu haben. Man muss
kein Edward Snowden sein, um zu verstehen, dass man nur zu leicht
aufgrund von Bequemlichkeit viele Risiken eingeht.
Internetwahlen
Internetwahlen werden flschlicherweise immer gern mit
Onlinebanking verglichen. Mssten elektronische Stimmen nicht anonym
sein, wren elektronische Wahlen genauso sicher wie jede andere
verschlsselte Transaktion. Das Problem ist aber, dass Whler ihre
Stimme persnlich, anonym, aber nicht nachvollziehbar abgeben sollen
ein inhrenter Widerspruch bei elektronischen Transaktionen. Beim
Onlinebanking kann man jederzeit den Geldfluss von beiden Seiten
nachverfolgen, es gibt beidseitige Transaktionsbelege, aber bei
E-Voting kann und darf man das nicht, da die Stimme anonym
abgegeben werden muss. Man msste sich dazu schon auf das gesamte
System 100% verlassen knnen, ohne allerdings eine Mglichkeit der
Nachvollziehbarkeit zu haben.Internetwahlen mit Onlinebanking zu
vergleichen, ist wie Postkarten mit WhatsApp: Bei dem einen wird
die Stimme anonym ber einen unsicheren Kanal ohne Nachweis, aber
mit viel Vertrauen geschickt bei dem anderen kommt eine Stimme
authentifiziert, autorisiert und beidseitig geloggt an. Bei
Onlinebanking knnen beide Seiten auf Kontoauszgen die Transaktion
nachvollziehen, bei E-Voting soll das ja nicht mglich sein.
Papierwahl
Das heutige Papierwahl-System berzeugt und besticht mit seiner
Einfachheit. Man kann die Schritte, die fr jeden verstndlich sind,
selbst einem Volksschler erklren. Es ist ein durchdachtes, bewhrtes
System mit einem bestimmten Ablauf mit mehreren Kontrollfunktionen.
Es ist transparent, da es auch Wahlbeisitzer und Wahlbeobachter
einbezieht. Die Stimmabgabe mit Stift und Papier hat sich als
sichere Wahlmethode bewhrt und ermglicht die Nachzhlbarkeit
einzelner Stimmen.Zudem ist gerade in sterreich nach der
Beeinspruchung der Bundesprsidentenstichwahl auf Grund von
Formfehlern kaum auszudenken, welche Verschwrungstheorien die
verlierende Partei suggerieren wrde.
Kleber von Papierkuverts
Eine weitere Frage ist die generelle Motivation, warum E-Voting
in sterreich berhaupt eingesetzt werden soll. Wieso ein
bestehendes, vertrauenswrdiges System ersetzen, das funktioniert?
Kostenersparnis und Erhhung der Wahlbeteiligung werden oft als
Argumente geliefert, sind beide allerdings bereits durch Studien
entkrftet. Die Motivation einer Killer Applikation fr die an
schwacher Verbreitung krnkelnden Brgerkarten zu schaffen, ist gro.
Das knnte eine E-Voting-Anwendung werden.Zudem ist es ausgesprochen
absurd, jener Wahlkommission, die mit der jetzigen "Technologie"
(Kleber von Papierkuverts) bereits Probleme hat, die fehlerfreie
Implementierung, Betrieb und Kontrolle eines elektronischen
Wahlsystems zuzutrauen.
CryptoParty Wien
CryptoParty Wien
