Automatisierte Wahlen

Einige Überlegungen zum Thema Wahlcomputer.

Kontroverse Angeheizt durch den Nedap-Hack wird der Einsatz von Wahlcomputern zur Zeit in Deutschland und Holland heftigst diskutiert. Dabei treffen zwei Fronten aufeinander: Bei den Befürwortern stehen natürlich die Hersteller, zusammen mit den politischen Vertretern und Behörden, die Wahlmaschinen genehmigt oder für viel Geld beschafft haben, auf der anderen Seite machen technisch versierte Experten und Bürgerrechtsgruppen zunehmend Druck, da das Ausmass des Problems von den Wahlmaschinenbefürwortern offenbar bewusst nicht zur Kenntnis genommen wird. Technologiebegeisterte Menschen müssten es eigentlich begrüssen, wenn durch Einsatz von Technik Wahlen effizienter, bequemer und sicherer durchgeführt werden könnten. Dieses Versprechen wird aber von keinem der zur Zeit auf der Welt eingesetzten Wahlcomputer eingelöst – daher ist der Anteil der Kritiker gerade unter den “Computerverstehern” besonders hoch. Unbändiger AutomatisierungsreflexDie Gründe für den Wunsch nach Wahlcomputern liegen vordergründig auf der Hand: Der Einsatz von Wahlcomputern vermittelt den Anschein von Modernität und erscheint irgendwie zeitgemäss. Handarbeit ist teuer und rückständig. Und tatsächlich: Automatisierung kann grundsätzlich viel Zeit und Geld sparen und die Produktqualität stark verbessern. Das sind wir aus der Automobilproduktion genau so gewohnt wie beim Einsatz von Computern in Unternehmen und Verwaltungen. Computer können grosse Mengen von Daten speichern, auswerten, übertragen und dieses mit einer hohen Präzision wiederholen. Dies wäre sicher auch beim Wählen wünschenswert. Am besten wäre es sogar, wenn man sich zum Wählen gar nicht zum Wahllokal begeben müsste, denn das ist das Teuerste am Wählen. Jede Wahl im Wahllokal dürfte mit Hin- und Rückweg zwischen 20 und 30 Minuten dauern, was im Durchschnitt auf 3 bis 5 Euro hinausläuft, während die öffentliche Hand 1 bis 3 Euro je Wähler aufwenden muss. Allerdings wären Online-Wahlen von Zuhause aus in Deutschland eh nicht ohne weiteres möglich, denn das Bundesverfassungsgericht hat der Präsenzwahl im Wahllokal absoluten Vorrang eingeräumt. Nur bei der Präsenzwahl ist sicher, dass die Stimmen geheim bleiben und nicht verkauft oder erpresst werden können. In Estland wurde dafür folgende Mischlösung gefunden: Die Internetwahl findet eine Woche lang bis zur Öffnung der Wahllokale statt, und man kann in der Woche seine Stimme so oft wie man will ändern. Anschließend kann man immer noch im Wahllokal seine Stimme abgeben, die die Online-Stimme ungültig macht. Das Problem hierbei ist aber, dass die Anonymität der Stimmabgabe nicht sicher gewahrt werden kann – ein Problem, dass vielen elektronischen Verfahren anhaftet. Das Dilemma der elektronischen Wahl Es ist offenbar ein Naturgesetz, dass man mit elektronischen Geräten allein nicht zugleich sicher (öffentlich nachprüfbar) und geheim und frei (unbeeinflusst) wählen kann, sondern jedes denkbare elektronische Verfahren höchstens zwei dieser drei Anforderungen zugleich erfüllen kann. (Sollte das noch niemand vor mir so als Gesetz klar geäußert haben, reklamiere ich hier die Urheberschaft unter der Bezeichnung “das Prokop’sche Dilemma der elektronischen Wahl”.) Warum ist das so? Die physikalischen Vorgänge bei der elektronischen Datenverarbeitung können von menschlichen Sinnen nicht direkt erfasst werden kann, da hier elektrische Ladungen oder Magnetfelder in kleinsten räumlichen Dimensionen beinahe lichtschnell verändert werden. Im Gegensatz zum Stimmzettel ist es mir also nicht möglich, das weitere Schicksal meiner Stimme mit meinen Sinnen direkt zu verfolgen. Es gibt aber auch bei elektronischer Wahl eine Möglichkeit, mich sicher darüber zu informieren, was mit meiner Stimme passiert. Leider muss ich sie für diesen Zweck wiedererkennbar machen, damit ich sie in einer öffentlichen Liste der ausgezählten Stimmen wiederfinden kann. Meine Stimme ist dann nicht mehr völlig anonym, sondern allenfalls noch pseudonym. Das heisst, niemand ausser mir weiss, das es meine Stimme ist, da nur ich die frei oder zufällig gewählte Markierung kenne. Dadurch werde ich aber käuflich und erpressbar, da ich auf Verlangen des Käufers meine Stimme präsentieren kann. Das oben geschilderte Mischwahlverfahren in Estland scheint gegen Stimmenkäufer oder -erpresser ausreichend sicher zu sein, es kann aber dadurch keine echte Anonymität garantieren, denn die Stimme muss ja prinzipiell mir zugeordnet werden können, sobald ich von der Möglichkeit der erneuten Stimmabgabe Gebrauch mache. Würde man dagegen eine echte anonyme elektronische Stimmausübung ermöglichen, wäre die Stimme handelbar und verkäuflich. Es ist wie verflixt: Löst man elektronisch das eine Problem, handelt man sich dafür stets eines der anderen ein. Ein weiteres Problem, das sich durch Beobachten der Wahlurne recht einfach lösen lässt, ist elektronisch ebenfalls nicht ohne Nebenwirkungen überprüfbar zu machen: Das Hinzufügen gefälschter, im Namen von Nichtwählern abgegeben Stimmen. Anonymität vor ÜberprüfbarkeitDie meisten derzeit verwendeten Wahlgeräte favorisieren Anonymität gegenüber Nachprüfbarkeit. Meist wird direkt im Augenblick der Wahl zufällig ein Speicherort ausgewählt und die Stimme dort gespeichert. Im Augenblick der Speicherung wird die Stimme damit anonymisiert. Dieser Vorgang ist damit für den Wähler prinzipiell nicht nachprüfbar. Ob und welche Stimme da gespeichert wird, hängt von für den Wähler nicht beobachtbaren Vorgängen in der Maschine ab. Damit ist der Wähler gezwungen, Dritten blind zu vertrauen. Paper TrailsEin absurder Versuch, Überprüfbarkeit herzustellen ist der sogenannte Paper-Trail. Damit wird die Wahlmaschine zum teuren Stimmzettel-Drucker. In Verbindung mit einer herkömmlichen Urne kann das ganze genauso sicher und nahezu so anonym wie die reine Urnenwahl funktionieren. Das kann zwar Vorteile bei der Qualität bringen, ist aber bei gleicher Sicherheit wesentlich teurer, da man sich allein auf die elektronische Zählung nicht verlassen kann und hinreichend viele manuelle Kontrollzählungen veranstalten muss. Auch handelt man sich bei einigen Geräten Anonymitätsprobleme ein, da sie die Stimmen fortlaufend auf ein Papierband protokollieren oder kompromittierende elektromagnetische Signale abstrahlen. Ausserdem dürften die Wartungs- und Verbrauchskosten der Geräte wesentlich über dem gedruckter Stimmzettel liegen, die unter 2 Cent/Stück zu haben sind. Daher sperren sich viele Kommunen in den U.S.A. gegen diesen Gerätetyp, für den es in Deutschland bisher keine Zulassung gibt. Warum auch, wo es doch eine Zulassung für billigere, unsichere Geräte gibt. Automatisierter WahlbetrugDie Automatisierungsvorteile, die sich durch den Einsatz von Wahlcomputern ergeben, sind vor allem für Wahlbetrüger erheblich. Während bei Urnenwahlen eine grosse Zahl von Helfern eingeweiht sein muss, um im grossen Stil abzuräumen, genügt bei Wahlcomputern im besten Fall eine einzige Person an der richtigen Stelle, die entsprechenden Code in allen Wahlmaschinen versteckt. Das ist zwar nicht ganz so einfach, aber allein in Deutschland dü
rfte es hunderttausende von Menschen mit dem erforderlichen Fachwissen geben, und der Aufwand an Zeit und Geld liegt in der Grössenordnung eines Mannmonats für eine professionelle Lösung. Ein mit der Maschine vertrauter Mitarbeiter des Herstellers kann in wenigen Stunden bereits schwer entdeckbare Manipulationen durchführen. Mit der Investition von einigen hunderttausend Euro ist es dritten sogar möglich, praktisch nicht zu entdeckende Manipulationen vorzunehmen, die die weitgehende Fernkontrolle eigentlich nicht vernetzter Maschinen erlauben. Erst durch die mit Wahlcomputereinsatz einhergehenden Automatisierungsvorteile wird es in einem Land wie Deutschland wirtschaftlich und organisatorisch möglich, erfolgreich in grossem Umfang Wahlfälschungen durchzuführen. Ökonomische BetrachtungWahlcomputer haben grundlegende Wirtschaftlichkeitsprobleme. Normalerweise werden Datenverarbeitungsgeräte ständig genutzt. Die Anschaffungskosten sind dabei meist deutlich geringer als Kosten für das nutzende Personal. Ausserdem veralten Computer noch immer innerhalb weniger Jahre. Wahlcomputer hingegen kommen nur für einen Tag zum Einsatz, und dass oft nach mehreren Jahren. Unterstellt man eine extrem hohe Lebensdauer von 20 Jahren, werden die Geräte kaum öfter als zehn bis zwanzig mal genutzt. Und wollte man Wahlcomputer für Bundestagswahlen nutzen, so bräuchte jeder Wahlkreis seine eigenen Geräte – ein Mitnutzungsszenario ist damit ausgeschlossen. Nimmt man nun Kosten für sichere Lagerung, Updates, Ersatzgeräte, Sicherheitsüberprüfungen und den Kapitalzins hinzu, ergibt sich ein Mehrfaches des Neugerätepreises, der je nach Gerät zwischen 4.000 und 10.000 Euro liegt. Über den Daumen braucht man je 1500 Einwohner oder 1000 Wahlberechtigte eine Wahlmaschine. Bei zehn Wahlen/Wahlmaschine käme man auf rund 1000 Euro je Wahlmaschine und Einsatz, das sind 2000-3000 Euro je Wahllokal. Dafür kann man eine Menge Erfrischungsgetränke und Sandwiches für Wahlhelfer kaufen. Und falls die Wahlmaschinen aus irgendwelchen Gründen, wie etwa Verlust der Zulassung, nur ein bis zweimal zum Einsatz kommen, wird das sogar deutlich teurer. Wäre ich Bürgermeister einer reichen Gemeinde, die sich jeden Luxus leisten kann, so würde ich meinen Leuten sagen: Für Wahlen nehmen wir Stift, Papier und Urnen. Das Geld stecken wir lieber in Laptops, Server und eine ordentliche Netzwerkinfrastruktur für die Stadtverwaltung und unsere Schulen. Open Source – ein Ausweg?Die meisten Hersteller von Wahlmaschinen arbeiten nach dem Prinzip “Security by Obscurity”, das nur so lange gutgeht, bis es eben schiefgeht. Und gerade Wahlcomputer, die 20 Jahre halten sollen, sind nach zehn Jahren technischen Fortschritts modernen Angriffstechnologien gnadenlos ausgeliefert. Logikanalysatoren, Emulatoren und Krypto-Tools erlauben rasches Reverse-Engineering von Soft- und Hardware auch ohne Herstellerdokumentation, und ordentliche, in ständigen Auseinandersetzungen mit immer böseren DRM-Systemen und anderen Gängelungstechnologien stehende Hacker zerlegen ein zehn Jahre altes System als wäre es aus Lego und beherrschen es anschliessend besser als der Hersteller. Die einzige Möglichkeit, ein halbwegs widerstandsfähiges System zu bekommen und über einige Zeit hinweg zu erhalten besteht darin, alle Details der schonungslosen Inspektion durch eine breite Menge von Experten auszusetzen und die notwendigen Geheimnisse auf wenige kryptografische Schlüssel zu beschränken, die sich allein in der Hand der Nutzer befinden. Nur so ist es auch weitgehend ausgeschlossen, das ein Hersteller etwa in Manipulationsverdacht gerät, wie es etwa bei Diebold der Fall ist. Ausserdem sollten Geräte für ein Land der Grösse der Bundesrepublik von mindestens hundert verschiedenen Herstellern geliefert werden, um die Auswirkungen von Hardwaremanipulationen einzuschränken. In den USA hat sich aus diesem Grund eine entsprechende Initiative gebildet, die das Ziel einer quellcodeoffenen Wahlplattform verfolgt. Auch ein kommerzielles Unternehmen hat sich der absoluten Offenlegung verpflichtet,wobei diese Firma sich bei den Wahlen in Alaska nicht unbedingt mit Ruhm bekleckert hat. Dennoch halte ich aufgrund des Prokop’schen Dilemmas auch Open Source Wahlmaschinen für keinen Ausweg. Sie eignen sich aber noch am ehesten als Wahlzetteldruck- und Zählmaschinen für eine computerunterstützte Urnenwahl. Alles andere gehört verboten.

Kommentare sind geschlossen.