Stimmen müssen stimmen
In der westlichen Welt schienen digitale Wahlen fast schon erledigt zu sein. Doch die Corona-Pandemie gibt digitalen Wahlverfahren eine neue Brisanz.
E s geschah mitten im ersten Lockdown. Ende März 2020 hielt die Stadt München eine Stichwahl für das Amt des Oberbürgermeisters ab. Das Risiko wurde lax beiseite gewischt. Von einer Maskenp icht wusste noch niemand. Die Bürger durften ihren eigenen Stift mitbringen. Ausgezählt wurde wie abgestimmt: von Hand. Stundenlang hielten sich Helfer dazu in geschlossenen Räumen auf. Wie groß das Gesundheitsrisiko war, ist nicht bekannt. Dennoch stellt sich die Frage, ob sich Situationen wie diese durch ein IT-basiertes, modernes Wahlverfahren nicht entschärfen lassen.
Ein gar nicht so kleiner Teil der Welt setzt längst auch bei nationalen Wahlen auf digitale Verfahren. Brasilien tut es, Namibia, nicht zuletzt auch Indien, die größte Demokratie der Welt. Estland setzt bei Parlamentswahlen sogar auf ein Online-Verfahren über das Internet.
Auf der anderen Seite stehen Länder, die nach einem ersten Hype ab Beginn des Jahrhunderts beim E-Voting wieder zurückgerudert sind. Dazu gehören neben der Schweiz und den Niederlanden auch Finnland und Deutschland. Hierzulande machte 2009 das Bundesverfassungsgericht zur Voraussetzung für den Einsatz elektronischer Wahlgeräte, dass „die wesentlichen Schritte der Wahlhandlung und der Ergebnisermittlung vom Bürger ... ohne besondere Sachkenntnis überprüft werden können“. Fehlerhafte oder manipulierte Software sei nur schwer erkennbar. Interessanterweise schloss das Gericht Fälschungen bei herkömmlichen Wahlen nicht aus. Diese seien jedoch nur mit einem „präventiv wirkenden sehr hohen Entdeckungsrisiko“möglich.
Hardwarelösungen für digitales Wählen
2008 sollte beim Wahlgang zur Hamburger Bürgerschaft ein sogenannter digitaler Wahlstift zum Einsatz kommen. Der Stift macht echte Kreuze auf Papier und erfasst die abgegebene Stimme mithilfe einer Kamera auch elektronisch. Diese erkennt automatisch die Position des Kreuzes auf dem feingerasterten Stimmzettel. Nach jeder Stimmabgabe wird der Stift maschinell ausgelesen und zurückgesetzt. Nach massiver Kritik an der Sicherheit des Verfahrens sagten die Hamburger das Vorhaben ab.
Die Niederlande ließen bis 2006 mit Wahlcomputern der Firma Nedap wählen. Hier performte der CCC zusammen mit einer niederländischen Gruppe einen Hack der Wahlmaschinen. Sie kritisierten so ziemlich alles: vom billigen Schloss zum Schutz der Wahlmaschinen über die altertümliche Software und den unzureichenden Passwortschutz bis zur ebenfalls wertlosen Versiegelung an den Maschinen. Der vielleicht wichtigste Kritikpunkt war das Black-Box-Modell des Wahlgeräts, sprich die Geheimhaltung seiner proprietären Software. Quelloffener, von
unabhängiger Seite überprüfbarer Code gehört bis heute zu den wichtigsten Forderungen an digitale Wahlverfahren. Im Unterschied zu Europa lässt Indien inzwischen auch seine nationalen Wahlen mithilfe von Wahlmaschinen durchführen. Die EVM (Electronic Voting Machine) arbeitet mit nur einmalig programmierbaren Chips und erfasst jede Stimme direkt ( DRE = direct-recording electronic). Das Gerät kann weder per Funk kommunizieren noch via Internet. Eine Echtzeit-Uhr registriert jeden In- und Output, und es lassen sich pro Minute nur fünf Stimmen abgeben. Eine einzelne EVM kann höchstens 2000 Stimmen erfassen.
Experten zeigten dennoch Möglichkeiten für eine Manipulation auf. So ließ sich die LED-Anzeige der Geräte durch eine täuschend ähnliche ersetzen, die über einen Bluetooth-Funkkontakt verfügt und, von einem Handy gesteuert, die Stimmanteile manipulieren konnte. Auch war es möglich, ein Zusatzgerät anzuklemmen und die bereits von der EVM gespeicherten Stimmen zu verändern.
Mittlerweile unterzieht Indien die EVM unmittelbar vor einer Wahl einer Simulation mit vor-ausgezählten Stimmen. Außerdem gibt nun ein Zusatzgerät, VVPAT (voter-veri ed paper audit trail), ein Prüfprotokoll auf Papier aus. Darauf stehen neben der abgegebenen Stimme eine Seriennummer und Daten zur Abstimmung. All das ist gleichzeitig im Speicher des Geräts hinterlegt. Anhand des Ausdrucks kann der Wähler sehen, ob seine Stimme korrekt verbucht wurde. Vor allem aber lassen sich zweifelhafte Ergebnisse per Hand nachzählen.
Wählen von zuhause via Internet
Einen Schritt weiter geht EU-Mitglied Estland. Dort können Wahlberechtigte ihre Stimme via Internet abzugeben (I-Voting). Der im E-Government weit fortgeschrittene Staat gibt ausschließlich Personalausweise mit einer digitalen Signatur aus. Mithilfe eines Kartenlesers und einer PIN können die Bürger sich in das Wahlsystem einloggen und ihre Stimme abgeben. Eine zweite PIN dient als digitale Signatur für die abgegebene Stimme. Diese wird verschlüsselt und online weitergeleitet. Der Wähler erhält einen QR-Code, anhand dessen er seine Wahl anschließend selbst überprüfen kann. Kritik gibt es auch hier. Zum einen zeigte sich 2019 laut golem.de, dass eine Dreiviertelmillion der estnischen e-IDs fehlerhafte RSA-Schlüssel verwendeten. Die Sicher
heitslücke ermöglichte, die Ausweise ohne PIN zu benutzen. Eine unabhängige Expertengruppe monierte außerdem, dass es möglich sei, die Wahl-Server mit Malware zu in zieren, die dann Stimmen stehlen könnte. Auch auf der Clientseite – häu g Privat-PCs – gelang es ihnen, e-ID-Daten zu stehlen, um Stimmabgaben zu manipulieren. Als größte Schwachstelle machten sie den Menschen aus: Wahlhelfer, die Software über ungesicherte Verbindungen runterluden oder Passwörter in Sichtweite von Kameras eingaben usw.
Tõnu Tammer, estnischer IT-Experte, hält dagegen, dass I-Voting sogar sicherer sei als die analoge Wahl, da man zum Beispiel nicht mit einem gefälschten Ausweis teilnehmen könne. Den Quellcode ihrer Wahlsoftware legt die estnische Regierung offen. Außerdem, sagte Tammer tagesschau.de, brauche man zu Entschlüsselung einer Wählerstimme eine Reihe physischer Schlüssel, über die nur „verschiedene Mitglieder der Wahlkommission verfügen“. Einige dieser Schlüssel lägen schließlich bei externen Wahlbeobachtern.
Widersprüchliche Sicherheitsziele
Die Geheimheit der Wahl einerseits und ihre Überprüfbarkeit andererseits gehören zu den Grundvoraussetzungen demokratischer Wahlen. Genau hier liegt die Herausforderung. Die Überprüfbarkeit ohne Sachkenntnis ist für IT-Wahlverfahren nicht leicht herzustellen. Normalbürger kennen sich weder mit Hard- noch mit Software hinreichend aus. Gibt man ihnen die Möglichkeit, die eigene Stimme zu überprüfen, ist schnell die Anonymität in Gefahr. Kryptogra sche Verfahren könnten hier Abhilfe schaffen. Die Werkzeuge für eine individuelle Überprüfung sollten seitens unabhängiger Anbieter bereitstehen. Sämtliche Softwarekomponenten sollten quelloffen vorliegen, um sie überprüfbar zu machen. Manipulationen durch Hacker, aber auch durch interne Mitarbeiter, Faulheit und Versagen lassen sich niemals ganz ausschließen. Deshalb ist es wichtig, E- und I-VotingSysteme so zu gestalten, dass Betrug mit hoher Wahrscheinlichkeit entdeckt wird.
Hohes Entdeckungsrisiko
Betrug – beispielsweise verschwundene Wahlurnen, gefälschte Briefwahlunterlagen, bestochene Wahlleiter (und Wähler) gibt es auch bei herkömmlichen Wahlen weltweit; und auch hier ist die hohe Wahrscheinlichkeit einer Entdeckung das beste Sicherheitsmerkmal.
Nicht zuletzt werden auch Auszählungsergebnisse von Papierwahlen via Internet übermittelt – in Deutschland etwa mit einer proprietären Software. Digitale Angriffsmöglichkeiten gibt es also bereits. Wie die Kampagne der Republikaner wegen angeblicher Wahlfälschungen in den USA zuletzt zeigte, ist eine hohe Glaubwürdigkeit von Wahlen für Demokratien unverzichtbar. Während Wahlmaschinen in infrastrukturell schwächeren Ländern durchaus demokratiefördernd wirken können, kommen für hochtechnisierte Länder wohl eher komplexe I-Voting-Lösungen infrage. Parteitage, aber auch Wahlen in Unternehmen oder Vereinen brauchen schon jetzt Alternativen zur gewohnten Vor-Ort-Abstimmung. Die Corona-Pandemie mit ihren Abstandserfordernissen wirkt dabei sicher als ein Beschleuniger.