Manfred Kloiber: Es sei möglich, sichere Wahlcomputer zu entwickeln. Allerdings könne man diese Entwicklung nicht einfach privaten Unternehmen anvertrauen und dann erwarten, dass die das gesamte Regelwerk in Sachen Sicherheit umsetzen würden. Diesen Ausblick gab die in Kanada lebende Sicherheitsforscherin Sarah Lewis kürzlich auf einer Konferenz über E-Voting. Sie geht davon aus, dass es noch ein paar Jahre dauert, bis wir sichere Abstimmungssysteme haben werden. Was heißt das für unsere Parlamente in den Zeiten einer Pandemie? Sind die Präsenzabstimmungen dort alternativlos, Peter Welchering?
Peter Welchering: Es gibt durchaus schon digitale Abstimmungsverfahren, die in den Parlamenten eingesetzt werden könnten. Man darf das eben nur nicht so blauäugig machen wie das Europäische Parlament, das die Abgeordneten einfach per E-Mail mit einem eingescannten Wahlzettel abstimmen ließ. Die bisherigen E-Voting-Systeme sind allesamt sehr unsicher. Also, es gibt für digitale Abstimmungen, insbesondere Fernabstimmungen bei virtuellen Sitzungen in den Parlamenten kein System, das man einfach so von der Stange kaufen kann. Noch schwieriger wird es bei geheimen Abstimmungen. Da kommt es ja darauf an, dass die individuelle Stimmabgabe des einzelnen Abgeordneten nicht nachvollzogen werden kann, aber insgesamt die Stimmabgabe nachzuvollziehen ist. Der Wahlcomputer darf keine unkontrollierbare Blackbox sein. Hier gibt es ein paar interessante Entwicklungsansätze. Aber auch die müssen noch weiterentwickelt, deren Sicherheitskonsequenzen erforscht werden.
Kloiber: Ausgangspunkt einer heftigen Diskussion war, dass das Europäische Parlament in dieser Woche seinen Abgeordneten zum zweiten Mal die Stimmabgabe per E-Mail ermöglichte. Das führte zu massiver Kritik. Einige Abgeordnete wandten sich sogar an ein IT-Sicherheitsunternehmen. Denn die Entwickler dort arbeiten an einem digitalen Abstimmungssystem auf Blockchain-Basis. Zu dieser Diskussion ein wenig Hintergrund.
Kloiber: Ausgangspunkt einer heftigen Diskussion war, dass das Europäische Parlament in dieser Woche seinen Abgeordneten zum zweiten Mal die Stimmabgabe per E-Mail ermöglichte. Das führte zu massiver Kritik. Einige Abgeordnete wandten sich sogar an ein IT-Sicherheitsunternehmen. Denn die Entwickler dort arbeiten an einem digitalen Abstimmungssystem auf Blockchain-Basis. Zu dieser Diskussion ein wenig Hintergrund.
Die Sitzungen des Europäischen Parlaments sind derzeit nur schwach besucht. Viele Abgeordnete verfolgen das Sitzungsgeschehen per Video von zu Hause aus. Aber wenn dann zum Beispiel eine Resolution verabschiedet wird, können sie sich auch vom Home Office aus an der Abstimmung beteiligen – per Mail. Patrick Breyer sitzt für die Piratenpartei im Europäischen Parlament und beschreibt das Verfahren so:
"Wir haben eine Stunde Zeit für die Abstimmung. Wir bekommen ein Dokument zugeschickt, auf dem man Ja/Nein ankreuzen muss wie so eine Art Wahlzettel. Unten drunter ist dann eine Erklärung, wo man unterschreiben muss. Ich habe persönlich abgestimmt. Das soll eine Unterschrift darunter gesetzt werden, und das soll dann entweder mit dem Smartphone abfotografiert oder eingescannt werden."
"Wir haben eine Stunde Zeit für die Abstimmung. Wir bekommen ein Dokument zugeschickt, auf dem man Ja/Nein ankreuzen muss wie so eine Art Wahlzettel. Unten drunter ist dann eine Erklärung, wo man unterschreiben muss. Ich habe persönlich abgestimmt. Das soll eine Unterschrift darunter gesetzt werden, und das soll dann entweder mit dem Smartphone abfotografiert oder eingescannt werden."
Abstimmung per Email
Der eingescannte oder abfotografierte Stimmzettel wird an die Parlamentsverwaltung gemailt. Die Abgeordneten des Europäischen Parlamentes stimmen also per E-Mail ab. Patrick Breyer hat dabei ein mulmiges Gefühl. Sicher ist solch eine Abstimmung per Mail nämlich keineswegs. Abstimmungsbetrug und Manipulationen würden so Tür und Tor geöffnet, kritisiert der Abgeordnete Breyer:
"Es ist so, dass die E-Mail Postfächer der Abgeordneten von verschiedenen Geräten des Abgeordneten selbst aus zugreifbar sind, aber natürlich auch von Geräten seiner Mitarbeiter. Normalerweise haben die auch Zugriff darauf. Es ist nicht schwer, sich Zugang zu einem dieser Geräte zu verschaffen, indem man das hackt. Natürlich hat man dann auch eingescannte Unterschriften, die man da rein kopieren kann."
"Es ist so, dass die E-Mail Postfächer der Abgeordneten von verschiedenen Geräten des Abgeordneten selbst aus zugreifbar sind, aber natürlich auch von Geräten seiner Mitarbeiter. Normalerweise haben die auch Zugriff darauf. Es ist nicht schwer, sich Zugang zu einem dieser Geräte zu verschaffen, indem man das hackt. Natürlich hat man dann auch eingescannte Unterschriften, die man da rein kopieren kann."
Kontrollmöglichkeiten nicht ausreichend?
Per Mail wird nur öffentlich abgestimmt. Es gibt im Europäischen Parlament keine geheimen Wahlen per Mail. Durch die Öffentlichkeit der Abstimmung kann die digitale Stimmabgabe nachträglich kontrolliert werden. Das reicht Patrick Breyer allerdings nicht:
"Es wird am Abend veröffentlicht, wer wie abgestimmt hat. Ich halte das aber nicht für ausreichend. Erstens werden viele Abgeordnete das gar nicht erst überprüfen. Zweitens werden die Abgeordneten, die gar nicht teilgenommen haben, an der Abstimmung natürlich auch keinen Anlass sehen nachzugucken, ob vielleicht jemand in ihrem Namen abgestimmt hat."
"Es wird am Abend veröffentlicht, wer wie abgestimmt hat. Ich halte das aber nicht für ausreichend. Erstens werden viele Abgeordnete das gar nicht erst überprüfen. Zweitens werden die Abgeordneten, die gar nicht teilgenommen haben, an der Abstimmung natürlich auch keinen Anlass sehen nachzugucken, ob vielleicht jemand in ihrem Namen abgestimmt hat."
Briefwahl oder Post-Ident als Alternative?
Der Unmut unter den Abgeordneten des Europäischen Parlaments wächst. Sie suchen nach alternativen Wahlverfahren, die den Abgeordneten in diesen Pandemie-Zeiten die Stimmabgabe von zu Hause ermöglichen. Patrick Breyer:
"Entweder man macht es ganz klassisch per Briefwahl, also Post-Abstimmung und eidesstattliche Versicherung. Oder man macht eine Abstimmung vor Ort in den Büros des Europäischen Parlaments. Die gibt es in jedem Mitgliedsstaat, und jeder Abgeordnete hat übrigens auch das Recht anzureisen. Oder drittens: Man macht so ein Verfahren ähnlich wie dem Post-Ident-Video-Verfahren, wie das die Deutsche Post anbietet, wo man wirklich vor laufender Kamera seinen Ausweis vorzeigt, sich identifiziert und dann auch seinen Stimmzettel vorzeigt, so dass sichergestellt ist, das ist wirklich dieser Abgeordnete, der abgestimmt hat und nicht irgendein Hacker."
"Entweder man macht es ganz klassisch per Briefwahl, also Post-Abstimmung und eidesstattliche Versicherung. Oder man macht eine Abstimmung vor Ort in den Büros des Europäischen Parlaments. Die gibt es in jedem Mitgliedsstaat, und jeder Abgeordnete hat übrigens auch das Recht anzureisen. Oder drittens: Man macht so ein Verfahren ähnlich wie dem Post-Ident-Video-Verfahren, wie das die Deutsche Post anbietet, wo man wirklich vor laufender Kamera seinen Ausweis vorzeigt, sich identifiziert und dann auch seinen Stimmzettel vorzeigt, so dass sichergestellt ist, das ist wirklich dieser Abgeordnete, der abgestimmt hat und nicht irgendein Hacker."
Blockchain-Verfahren könnte Lösung sein
Immerhin haben sich mehrere Abgeordnete des Europäischen Parlaments beim IT-Sicherheitsunternehmen Kaspersky nach der Online-Wahlplattform Polys erkundigt. Die arbeitet mit der Beurkundungstechnik der Blockchain. Evgeny Barkov von Kaspersky hält Blockchains für die grundlegende Basis digitaler Abstimmungen und Wahlen:
"Blockchain ist einfach die perfekte Technologie, die perfekte Basis für den Aufbau eines Online-Abstimmungssystems. Denn die Blockchain bietet die Möglichkeit, Stimmabgaben erfolgreich, der Reihe nach und konsistent zu speichern. Jeder - Wahlbeobachter, Wähler und Kandidaten – kann verfolgen, wie jede Stimme gespeichert wurde. Wenn der Wahlvorgang abgeschlossen ist, können sie den gesamten Blockchain-Speicher überprüfen und jede einzelne Stimmabgabe sehen, ob alles damit in Ordnung war."
"Blockchain ist einfach die perfekte Technologie, die perfekte Basis für den Aufbau eines Online-Abstimmungssystems. Denn die Blockchain bietet die Möglichkeit, Stimmabgaben erfolgreich, der Reihe nach und konsistent zu speichern. Jeder - Wahlbeobachter, Wähler und Kandidaten – kann verfolgen, wie jede Stimme gespeichert wurde. Wenn der Wahlvorgang abgeschlossen ist, können sie den gesamten Blockchain-Speicher überprüfen und jede einzelne Stimmabgabe sehen, ob alles damit in Ordnung war."
Digital "eingeschweißte" Stimmzettel
Der Wähler erhält einen Zugangscode, zum Beispiel einen QR-Code, der am Wahlgerät eingegeben oder eingescannt werden muss. Sämtliche Wahlcomputer sind über Blockchain-Knoten an eine Wahlplattform angebunden. Die abgegebene Stimme wird verschlüsselt an einen Blockchain-Knoten geschickt. Dort wird die Stimmabgabe in den Stimmzählblock gesetzt und als Datenblock an die jeweilige Blockchain angehängt. Das kann man sich bildlich so vorstellen, als würde der Stimmzettel eingeschweißt, damit keiner die Angaben darauf verändern kann. Dann wird dieser eingeschweißte Stimmzettel in einen Stapel eingeheftet. Dieser Stapel wird dann kopiert und an alle Blockchain-Knoten weiterverteilt. Außerdem kann jede Stimmabgabe ausgedruckt werden. Das soll eine zusätzliche nachträgliche Überprüfung erlauben.
Kloiber: Da müssen bei der Implementierung eines solchen Systems natürlich noch viele Sicherheitsaspekte berücksichtigt werden. Wie groß ist denn die Akzeptanz solcher Blockchain-basierten Voting-Systeme bei Politikern in Europa, Peter?
Welchering: Ich habe mit einigen darüber telefonieren können, mehr geht ja nicht in diesem Pandemie-Zeiten. Nur wenige hatten bisher von der Nutzung von Blockchain für digitale Abstimmungen gehört. Das ist ja auch ein neuer Bereich. Insgesamt ist die Skepsis hinsichtlich solcher digitaler Abstimmung sehr, sehr groß. Die ist auch begründet, diese Skepsis. Denn die bisherigen Systeme, die da so zum Einsatz gekommen sind, die waren alle sehr manipulationsanfällig. Da gilt eben, was Sarah Lewis gesagt hat. Man darf die Entwicklung und den Einsatz solcher Systeme nicht einfach irgendwelchen privaten Unternehmen überlassen, denn dann werden die Sicherheitsregularien sicherlich an irgendeinem Punkt aus Kostengründen umgangen. Und ich denke, Sarah Lewis hat auch Recht, wenn sie fordert, dass man die Entwicklung eines digitalen Votingsystems so umfassend vorbereiten, begleiten und kontrollieren muss wie eine Mondlandung.
Welchering: Ich habe mit einigen darüber telefonieren können, mehr geht ja nicht in diesem Pandemie-Zeiten. Nur wenige hatten bisher von der Nutzung von Blockchain für digitale Abstimmungen gehört. Das ist ja auch ein neuer Bereich. Insgesamt ist die Skepsis hinsichtlich solcher digitaler Abstimmung sehr, sehr groß. Die ist auch begründet, diese Skepsis. Denn die bisherigen Systeme, die da so zum Einsatz gekommen sind, die waren alle sehr manipulationsanfällig. Da gilt eben, was Sarah Lewis gesagt hat. Man darf die Entwicklung und den Einsatz solcher Systeme nicht einfach irgendwelchen privaten Unternehmen überlassen, denn dann werden die Sicherheitsregularien sicherlich an irgendeinem Punkt aus Kostengründen umgangen. Und ich denke, Sarah Lewis hat auch Recht, wenn sie fordert, dass man die Entwicklung eines digitalen Votingsystems so umfassend vorbereiten, begleiten und kontrollieren muss wie eine Mondlandung.
Anforderungen bei geheimer Wahl besonders hoch
Kloiber: Solch ein Blockchain-Votingsystem soll ja auch für geheime Wahlen gedacht sein. Da sind die Anforderungen an die Nachvollziehbarkeit der Stimmabgabe bei gleichzeitiger Geheimhaltung natürlich sehr hoch. Das sieht doch bei bloßen Abstimmungen, wie sie bisher per Handaufheben im Parlament gemacht werden, anders aus?
Welchering: Der Vorteil bei solchen öffentlichen Abstimmungen ist, dass die Stimmabgabe hier eben öffentlich dokumentiert wird. Da kann dann jeder Wähler, jeder Abgeordnete nachschauen und gegebenenfalls sofort Einspruch erheben. Das Problem, auf das Patrick Breyer aufmerksam gemacht hat, ist, dass zu viele nicht nachschauen und dann Manipulationen unentdeckt bleiben. Außerdem müssen auch bei solchen digitalen Abstimmungen die Wahlplattform und die Übertragungswege für die Stimmabgabe besonders abgesichert werden. Viele dieser Systeme arbeiten mit unzureichender Verschlüsselung oder sie wechseln nicht regelmäßig und in entsprechend kurzen Abständen die Funkfrequenzen zur Übermittlung der Datenpäckchen mit den Stimmabgaben. Da hat es in einigen Penetrationstest auch schon ganz nette Man-in-the-Middle-Attacken gegeben. So etwas jetzt einfach im Europäischen Parlament oder im Deutschen Bundestag einzuführen, um virtuelle Sitzungen und Abstimmungen aus dem Home Office oder Wahlkreis des Abgeordneten möglich zu machen, davon ist dringend abzuraten. Diese Systeme sind zu unsicher.
Welchering: Der Vorteil bei solchen öffentlichen Abstimmungen ist, dass die Stimmabgabe hier eben öffentlich dokumentiert wird. Da kann dann jeder Wähler, jeder Abgeordnete nachschauen und gegebenenfalls sofort Einspruch erheben. Das Problem, auf das Patrick Breyer aufmerksam gemacht hat, ist, dass zu viele nicht nachschauen und dann Manipulationen unentdeckt bleiben. Außerdem müssen auch bei solchen digitalen Abstimmungen die Wahlplattform und die Übertragungswege für die Stimmabgabe besonders abgesichert werden. Viele dieser Systeme arbeiten mit unzureichender Verschlüsselung oder sie wechseln nicht regelmäßig und in entsprechend kurzen Abständen die Funkfrequenzen zur Übermittlung der Datenpäckchen mit den Stimmabgaben. Da hat es in einigen Penetrationstest auch schon ganz nette Man-in-the-Middle-Attacken gegeben. So etwas jetzt einfach im Europäischen Parlament oder im Deutschen Bundestag einzuführen, um virtuelle Sitzungen und Abstimmungen aus dem Home Office oder Wahlkreis des Abgeordneten möglich zu machen, davon ist dringend abzuraten. Diese Systeme sind zu unsicher.
Signaturen und Verschlüsselung bislang vernachlässigt
Kloiber: Aber es gibt ja im Vorfeld solcher digitalen Abstimmungssysteme schon einige Ansätze, um die Sicherheit digitaler Arbeit im Parlament zu erhöhen.
Welchering: Ja, das zweifelsohne. Und da hat ja auch die Mail-Abstimmung im Europäischen Parlament gezeigt, dass an solche Werkzeuge bisher einfach nicht gedacht wurde. Digitale Signaturen, die mit PINs oder ähnlichen Codes bestätigt werden müssen, die Arbeit mit Zertifikaten beim Dokumentenaustausch, das sind solche Werkzeuge, mit denen müssen sich Parlamentsverwaltungen dringend auseinandersetzen. Und das ist eben sträflich vernachlässigt worden. Und da läuft eine weitere Diskussion etwas schief: Jetzt tauchen einige Politiker auf und werfen den Kritikern von Online-Wahlcomputern und digitalen Abstimmungssystemen vor, sie hätten ja durch ihre Kritik verhindert, dass die Parlamente jetzt in Pandemiezeiten digital abstimmen könnten. Wenn die Diskussion so weiterläuft, dann wird es auch künftig schwierig mit digitalen Abstimmungen und sogar Wahlen. Denn wir brauchen ja die Kritik an den Technologieansätzen, damit Abstimmungssysteme entwickelt werden können, die sowohl nachprüfbare Wahlen als auch geheime Wahlen erlauben. Bisher kann die Papierwahl durch nichts ersetzt werden. Aber, wenn ein Kritiker dann auf Sicherheitslücken bei E-Voting-Systemen hinweist, dann wird solch ein Kritiker sofort niedergemacht, statt aus dieser Kritik zu lernen und bessere Systeme zu entwickeln. Und eines der ganz großen Hindernisse auf dem Weg zu sicheren E-Voting-Systemen sind viele der bisherigen Systemanbieter. Die wollen ihre unsicheren Geräte zum Höchstpreis verkaufen und fühlen sich durch technische Kritik an ihren Systemen natürlich in ihrem Geschäft gestört.
Welchering: Ja, das zweifelsohne. Und da hat ja auch die Mail-Abstimmung im Europäischen Parlament gezeigt, dass an solche Werkzeuge bisher einfach nicht gedacht wurde. Digitale Signaturen, die mit PINs oder ähnlichen Codes bestätigt werden müssen, die Arbeit mit Zertifikaten beim Dokumentenaustausch, das sind solche Werkzeuge, mit denen müssen sich Parlamentsverwaltungen dringend auseinandersetzen. Und das ist eben sträflich vernachlässigt worden. Und da läuft eine weitere Diskussion etwas schief: Jetzt tauchen einige Politiker auf und werfen den Kritikern von Online-Wahlcomputern und digitalen Abstimmungssystemen vor, sie hätten ja durch ihre Kritik verhindert, dass die Parlamente jetzt in Pandemiezeiten digital abstimmen könnten. Wenn die Diskussion so weiterläuft, dann wird es auch künftig schwierig mit digitalen Abstimmungen und sogar Wahlen. Denn wir brauchen ja die Kritik an den Technologieansätzen, damit Abstimmungssysteme entwickelt werden können, die sowohl nachprüfbare Wahlen als auch geheime Wahlen erlauben. Bisher kann die Papierwahl durch nichts ersetzt werden. Aber, wenn ein Kritiker dann auf Sicherheitslücken bei E-Voting-Systemen hinweist, dann wird solch ein Kritiker sofort niedergemacht, statt aus dieser Kritik zu lernen und bessere Systeme zu entwickeln. Und eines der ganz großen Hindernisse auf dem Weg zu sicheren E-Voting-Systemen sind viele der bisherigen Systemanbieter. Die wollen ihre unsicheren Geräte zum Höchstpreis verkaufen und fühlen sich durch technische Kritik an ihren Systemen natürlich in ihrem Geschäft gestört.
