Samstag, Oktober 22, 2011

Kritik an E-Wahlen wächst

Übersetzung der Artikel 1 und 2

Im November fanden in Norwegen Kommunalwahlen statt, bei denen zum ersten Mal Stimmen über Internet abgegeben werden konnten. Die Experten haben die estnischen Erfahrungen studiert, doch wollten sie das estnische System nicht übernehmen. Professor der Technischen Universität Norwegens Kristian Gjøsteen, der als unabhängiger Experte an der Erschaffung des norwegischen Systems beteiligt war, berichtete darüber auf der Konferenz über die Internet-Wahlen VoteID: "Bei dem estnischen System sind die Sicherheit und Transparenz nicht durchdacht. Dort gibt es keinen Schutz vor Viren, die die Abstimmungsergebnisse ändern könnten. Es gibt kein System, das beobachten würde, das in dem virtuellen Stimmzettelkasten keine Manipulationen bei Dechiffrierung und Stimmenzählung stattfinden können. Das bedeutet, dass die Esten blind den Leuten vertrauen müssen, die die Funktionalität des Wahlsystems aufrecht halten. Bei der Erschaffung unseres Systems haben wir darauf geachtet, dass sie vor möglichen Manipulationen durch Beamte geschützt ist. Selbst wenn der Verantwortliche für die Erschaffung des norwegischen Systems Henrik Nore die Ergebnisse ändern wollen würde, könnte er das nicht tun."

David Bismark, der Wahlbeobachter von Europarat, unterstrich, dass die E-Wahlen transparent sein müssen, doch erlaubt das estnische System das nicht. "Und was für Diskussionen können entstehen, wenn das Wahlsystem nicht transparent ist? Ich sehe keine Bemühungen, um die Prozedur der Stimmabgabe zu ändern, ihr wollt einfach wieder dasselbe tun" - sagte er. Schon im Jahr 2007 empfahl Europarat einen unabhängigen Audit der Software für Stimmabgabe, doch auch vier Jahre danach ist Estland dieser Empfehlung nicht gefolgt.

Überprüfungscode

Laut Gjøsteen, bekommt jeder Kandidat ein zufällig generiertes Code zugeordnet. Wenn der Wähler abgestimmt hat, bekommt er einen Bestätigungscode, der mit dem Code des Kandidaten übereinstimmen soll. "Mit dem Code kann der Wähler überprüfen, dass seine Stimme für den Kandidaten abgegeben wurde, oder ob irgendwas schiefgegangen ist. Code wird per SMS geschickt, denn E-Mail und Messenger hängen vom Internet ab, SMS aber nicht." Im estnischen System fehlt der Rückkanal, der bestätigt, dass der Wähler seine Stimme einem bestimmten Kandidaten gegeben hat.

"Bei der Stimmabgabe sind die Wahlbeobachter die Kontrolleure, im Fall der elektronischen Wahlen gibt es anstatt der Wahlbeobachter die Verifizierung" - erzählt der Leiter des norwegischen E-Wahlen Projektes Henrik Nore. Der IT-Experte Paavo Pihelgas, der dem Bericht der Norweger zugehört hat, ergänzte, dass die Verifizierung auch notwendig ist, um zu überprüfen, ob das Programm ohne Probleme funktioniert.

Die norwegischen Wahlen benutzen drei unabhängigen Kanäle: per Post kommen die Codes für die Abstimmung, per Internet wird abgestimmt und an das Mobiltelefon wird der Code geschickt, der bestätigt, dass das Wahlzettel berücksichtigt wird. Die Konspiration macht das norwegische System um mehrere Größenordnungen komplizierter. Gleichzeitig ist das estnische System ideal für Manipulationen" - behauptet Pihelgas.

Alles ist offen

Laut Nore wird ein Programm mit offenen Quelltexten benutzt, denn Transparenz ist der Weg zum Vertrauen unter den Wählern. "In Norwegen ist das Verständnis der Wahlmethode und die dahinter stehende Mathematik selbst für Schüler begreifbar. Es ist geplant die entsprechende Thematik in Schulprogramm für Mathematik aufzunehmen" - ergänzte Gjøsteen.

Estland versteckt den Programmcode der E-Wahlen. Laut Pihelgas bestellt die Wahlkommission keine unabhängige Expertise des Programms ein und erlaubt niemandem es zu überprüfen. "Wenn Norwegen offen den ganzen Quelltext und Dokumentation im Internet publiziert, muss man in Estland eine Vertraulichkeitsvereinbarung für die Forschung an dem Programm unterzeichnen, es werden Strafen bis zu 300 000 Kronen (ca. 20 000 EUR) angedroht. Das erlaubt es nicht, die Forschungsergebnisse frei zu publizieren, obwohl weltbekannte IT-Experten diesen Wunsch hatten. Der Wähler hat keine Garantie, dass das Programm für die Stimmabgabe korrekt funktioniert."

Laut dem Leiter des Projektes für estnische E-Wahlen Tarvi Martens, würde eine offene Publikation des Codes den Hackern helfen ein Programm zu schreiben, das es zum Beispiel erlauben würde, die Stimmabgabe für einen Kandidaten zu unterbinden. David Bismark vom Europarat meint aber, dass dies die Wahlen intransparent macht. "In Estland ist man einfach überzeugt, dass alles was mit dem Programm der E-Wahlen zu tun hat, immer richtig und ohne Fehler ist" - sagte er.

Was ist billiger?

Paavo Pihelgas bemerkte, dass die norwegischen Wahlcodes und Bestätigungcodes nur dann übereinstimmen, wenn alles korrekt funktioniert hat, in Estland ist es möglich, dass die Veränderung der Wahlergebnisse als Ergebnis eines Programmabsturzes oder Attacke unbemerkt bleiben, denn im System bleiben keine Spuren.

Laut den Worten von Professor für Informatik von der TLU Helger Lipmaa ist es viel günstiger den mathematischen Beweis des verifizierten Systems zu überprüfen, als ein unverifiziertes zu administrieren. Tarvi Martens ist überzeugt, dass die Verifizierbarkeit nicht notwendig ist, denn der Wähler versteht eh nicht, wie der Server eine Bestätigung schicken kann: "Es wird eine Illusion erzeugt, dass die Wahlkommission die Stimme jeden einzelnen kennt."

Oft denkt man, dass die E-Wahlen billiger als die "papiernen" wären. Sven Heiberg von der Firma Cybernetica, die das Programm für die estnische Wahlen ausgearbeitet hat, gesteht ein, dass das nicht der Fall ist. "Die Technik und die Technologie entwickeln sich ständig, mit ihnen Schritt zu halten ist teuer. E-Wahlen sind kein finales Produkt, doch ein Prozess, der sich weiterentwickeln muss. Auch können die E-Wahlen nicht für sich allein existieren, zusätzlich müssen andere Formen der Abstimmung angeboten werden, was dieses Prozess teuerer macht.". Heiberg ergänzte, dass eine offene Diskussion und Verbreitung der Information über möglichen Schwächen des Systems, Vertrauen zu den Wahlen geben würden.

Der Hobby-Programmierer Paavo Pihelgas, der die Probleme mit der Sicherheit der E-Wahlen aufdeckte, schickte einen Brief an Andrus Ansip mit der Bitte die Vertraulichkeitsvereinbarungsklausel für die Forschung an den Wahlprogrammen abzuschaffen.

Laut Pihelgas möchten weltbekannte Experten wie Harri Hursti und Alex Halderman sich den Quelltext der E-Wahlen Programme anzuschauen, doch die Wahlkommission zwingt sie eine Vereinbarung zu unterschreiben, in der eine riesige Strafe angedroht wird. "Die freie Forschung bedroht nicht die Sicherheit der Wahlen. Zum Beispiel sind die Quelltexte der Online-Banking Programme völlig offen" - erklärte er. "Estland sollte die Fehlersuche im System belohnen, um die Suchende mit einer Prämie zu motivieren".

In Praxis bedeutet eine Vertraulichkeitsvereinbarung, dass falls die Wahlkommission die Ergebnisse des Forschers nicht ernst nimmt, er keine Möglichkeit hat seine Forschungsergebnisse publik zu machen. "Keiner wird eine Forschung mehrere Monate lang machen, niemand gibt dafür Geld, wenn die Erlaubnis zu der Publikation der Ergebnisse unvorhersehbar ist. Freie Publikation der Ergebnisse ist ein unabkömmlicher Teil wissenschaftlichen Arbeit" - sagte Pihelgas. Der Experte ist sich sicher, dass die offene Publikation der Quelltexte und Dokumentation in Norwegen nicht die Sicherheit bedroht, eher umgekehrt: die Interessenten überprüfen ständig alles, so dass die Fehler viel schneller zum Vorschein kommen.

Post nimmt man nicht ein

Der Experte unterstrich, dass in einem Wahllokal die Risiken geographisch zerstreut sind, für die Falsifizierung von 100 000 Stimmen braucht man eine umfangreiche, gut organisierte Verschwörung. "Die Stimmabgabe im Wahllokal ist derart einfach, dass jeder vernünftige Mensch die Bewegung der Stimmzettel beobachten kann: wie der Wähler vor aller Augen den Zettel in die Urne tut, für die die Mitarbeiter der Wahllokals die Verantwortung tragen, die unter der Aufsicht von unabhängigen Beobachtern stehen. Die Überprüfung der elektronischen Stimmabgabe ist technisch derart kompliziert, dass selbst die Wahlkommission ihre Mühe hat, sie zu verstehen."

Elektronische Stimmabgabe kann man nicht mit beispielsweise Internet-Banking vergleichen, denn in einer Bank kann der Verbraucher sein Zahlungsverkehr überprüfen, den Schicksal seiner Stimme bei den Wahlen aber nicht. Auch ist es inkorrekt, meint Pihelgas, das elektronische System mit Briefwahl zu vergleichen, denn für eine massive Attacke auf das elektronische System braucht man erheblich weniger Ressourcen, als für die Bearbeitung von tausenden Briefen, die an verschiedenen Orten verteilt sind. Die E-Wahlen sind zentralisiert und nur eine hand voll Leute haben das Recht die Ergebnisse zu bestätigen oder zu annullieren. "Wir verstecken uns hinter dem Argument, dem Wähler Komfort bieten zu können, doch wir liessen zu, dass die Zahl derer, die verstehen, wie das Wahlergebnis zustande kommt und wie der Staat regiert wird, immer weniger wurden." - sagt er.

Paave Pihelgas erinnerte daran, dass der Verfassungsgericht in Deutschland im Jahr 2009 die E-Wahlen als verfassungswidrig erklärte, gerade deshalb, weil wegen der technischen Komplexität sie nur von einem kleinen Teil der Gesellschaft verstanden werden. Dabei brauchten die Deutschen nicht mal einen Beweis für Manipulationen, die das estnische Verfassungsgericht verlangte.

Keiner überprüft

Sogar die elektronische Post und Browser, die jeder Mensch benutzt, werden sorgfältig überprüft, die Programme für die Wahlen nicht. Es wird behauptet, dass es drei Überprüfungen gab: 1. Testierung bei der Übergabe vom Entwickler, es wurde nichts dokumentiert; 2. Übungen des Cyberkaitselites, unterliegen der Geheimhaltung; 3. Audit von einem unabhängigen Programmierer, das nicht stattgefunden hat, weil der Programmierer krank wurde. "Erste und zweite "Testierung" beinhalteten nicht den Audit der Quelltexte, das bedeutet, dass das Programm ohne eine ernsthafte Kontrolle blieb" - erklärte Pihelgas. "Die Geschichte, dass die Ergebnisse der dritten Überprüfung mündlich gegeben waren, ist eine der vielen Finten der Wahlkommission. Ich schrieb an den Auditor, er antwortete mir direkt: "Die Arbeit wurde nicht gemacht". Wichtiger ist der Fakt, dass die Wahlkommission niemandem die Möglichkeit gibt, selbstständig das Programm zu überprüfen, dabei kann sie keinen Bericht einen unabhängigen Auditors vorweisen in dem stehen würde, dass alles in Ordnung ist und das System den Empfehlungen des Europarates und anderen allgemein akzeptierten Standards entsprechen würde."

Die Wahlbeobachter von Europarat erzählten Paave Pihelgas, dass ihnen ständig erzählt wurde, dass ein Audit eines unabhängigen Programmierers in Arbeit ist und bald fertig sein wird. "Sie haben nicht offensichtlich gelogen, sondern verdunkelten die Tatsachen, sie nannten nicht den Namen des Experten, als ob sie Angst hätten, dass sich herausstellen wird, dass der Programmierer krank ist und Audit nicht gemacht wird." - kommentierte Pihelgas. "Wenn es keine Manipulation mit den Wahlen gegeben hätte, dann ist es für keinen von Vorteil. Ironie des Schicksals nach, ist die Benutzung des jetzigen Systems auch für seine Entwickler nicht von Vorteil, denn ein neues System bedeutet eine neue Ausschreibung."

Pihelgas unterstrich, dass ein schwaches System der E-Wahlen eine Frage der Sicherheit des Staates ist. Mit kleinen Ressourcen kann man grosses Chaos stiften, das die Legitimität die Regierung in Frage stellt. "Wenn das mit Massenunruhen zusammenfällt, dass wird es ernst" - bemerkte er, "mit den E-Wahlen beschäftigen sich kompetente Wissenschaftler und Experten und wenn die parlamentarische Kommission auf sie hören wird, dann wird man den nächsten Wahlen trauen können."

Keine Kommentare: