Das Pro und Contra elektronischer Wahlsysteme rührt an die Fundamente der Demokratie. Unter dem Motto „Frontiers of Electronic Voting“ beschäftigten sich Informatiker mit der Schnittstelle zwischen Wissenschaft und Politik, mit den verheerenden Schwachstellen bei Wahlmaschinen - und mit ihrer eigenen Rolle beim E-Voting.
Die Grenzen von elektronischen Wahlen“ - ein Thema, dem sich Informatiker im Informatikzentrum Schloss Dagstuhl stellten. Die bessere Übersetzung des englischen Mottos „Frontiers of Electronic Voting“ hätte wohl „Herausforderungen“ gelautet: Ob nun aber Grenzen oder Herausforderungen, beide Sichtweisen zogen sich wie ein roter Faden durch das Programm und die Diskussionen. Aggelos Kiayias beispielsweise, Assistenzprofessor an der University of Connecticut, hat mit Studenten das Internet-Wahlsystem „Adder“ entwickelt, doch zugleich gehört er zu den schonungslosen Kritikern der Wahlmaschinen in den USA. Vor einem Jahr zeigte er mit seinem Team, wie man ohne Kenntnis des Quellcodes oder Insider-Informationen binnen weniger Minuten die Zählung eines Stimmzettel-Scanners von Diebold manipulieren kann, ohne das Gerät auch nur öffnen oder die versiegelte Speicherkarte anrühren zu müssen. Jetzt hat er eine vernichtende Schwachstellen-Analyse der Touchscreen-Geräte desselben Herstellers veröffentlicht. „Jede Xbox ist besser vor Hacking geschützt als die Wahlcomputer“, resümierte Kiayias. „Das Geschäftsmodell dahinter“, vermutet er, „ist wohl ein anderes“.
Ähnlich wie Kiayias hat auch Dan Wallach vom Computer Security Lab der texanischen Rice University zum Thema E-Voting ein durchaus zwiespältiges Verhältnis. In dem Projekt „Hack-a-Vote“ lässt er studentische „Blue“ und „Red Teams“ gegeneinander antreten: Die einen müssen ein sicheres Wahlsystem entwickeln, die anderen haben die Aufgabe, es zu hacken. „Es ist faszinierend anzusehen, mit welchen kreativen Ideen die Leute ankommen“, berichtete Wallach. Er selbst gehörte zu jenem Expertenteam, das im Auftrag der kalifornischen Innenministerin Debra Bowen in diesem Jahr die Wahlgeräte in dem Westküsten-Staat auf Herz und Nieren prüfte und dabei feststellte, dass das Gespenst eines automatisierten Wahlbetrugs durch einen versierten Einzeltäter keine Phantasie ist, sondern einige der vermeintlichen Stand-alone-Systeme für Viren-Angriffe eine leichte Beute wären.
Systemkonzepte, die mehr Sicherheit versprechen, standen im Mittelpunkt der Tagung. Rund 30 Wissenschaftler aus aller Welt, aber auch Aktivisten wie Rop Gonggrijp aus Holland oder Ian Brown von der britischen Open Rights Group, waren für eine Woche auf Schloss Dagstuhl bei Saarbrücken zusammengekommen, um sich über die jüngsten Entwicklungen auszutauschen. Die präsentierten Konzepte und Projekte verfolgten nahezu ausschließlich den Ansatz, die mit der Einführung des E-Voting verschwindende Transparenz des Wahlverfahrens dadurch aufzufangen, dass jeder Wähler IT-gestützt die Möglichkeit erhält, sich von der korrekten Stimmerfassung und -zählung selbst zu überzeugen und damit Teil des Audit-Prozesses zu werden. Wie sich herausstellte, geht diese Verifizierbarkeit allerdings meist mit einer nicht trivialen Schnittstelle zum Wähler einher.
Das Grundprinzip des e2e-Verfahrens „End to end“-Verifikationssysteme müssen bereits im Frontend dafür sorgen, dass sich über die Stimmzettel-Nummer die Wahlentscheidung nicht mehr mit der Person des Wählers in Verbindung bringen lässt - solange das Votum mit der Nummer verknüpft ist, muss es verschlüsselt sein. Und im Backend müssen sie verhindern, dass sich aus der Liste der entschlüsselten und veröffentlichten Stimmzettel Rückschlüsse auf die Nummer (und den Wähler) ziehen lassen.
„End-to-end-Systeme verbessern das Vertrauen in die Korrektheit der Wahlergebnisse“, meint Ronald Rivest. Der Krypto-Experte vom MIT stellte sein System „ThreeBallot“ vor, bei dem der Wähler einen dreiteiligen Stimmzettel ausfüllt und auf allen drei Teilen Punkte schwärzt: Zwei Punkte für den Wunschkandidaten, und jeweils einen für die anderen. Die Regeln für die Punktvergabe stellen sicher, dass die Auswahl aus keinem Teil des Stimmzettels einzeln ersichtlich ist. Von einem beliebigen Teil erhält man eine Kopie, dann wandern die drei Abschnitte getrennt in die Urne beziehungsweise den Stimmzettel-Scanner. Anhand der Seriennummer kann man dann auf einem öffentlichen Bulletin Board im Web nachprüfen, ob wenigstens der kopierte Abschnitt richtig gezählt wurde; sollte ein Angreifer einen der drei Abschnitte gefälscht haben, wäre die Wahrscheinlichkeit, dass die Manipulation auffliegt, ein Drittel, da der Betrüger nicht wissen kann, welchen Abschnitt der Wähler sich kopierte.
Da das Votum aus der Kopie nicht ersichtlich ist, taugt der kopierte Abschnitt auch nicht als Beleg für Stimmenkäufer oder Erpresser; insofern ist das Verfahren quittungsfrei und die Geheimhaltung bleibt gewahrt, solange es nicht möglich ist, anhand der Seriennummern auf den drei Teilen das Votum zu rekonstruieren und dem Wähler zuzuordnen. Es gibt noch weitere Angriffspunkte, doch gegen die Implementierung sprechen auch praktische Gründe. „Studenten am MIT haben das ausprobiert - die Stimmabgabe mit ThreeBallot war für viele verwirrend“, berichtete Rivest. Er sieht in ThreeBallot denn auch eher eine akademische Übung, um zu zeigen, dass es möglich ist, „End-to-end-Systeme ohne den Einsatz von Kryptografie zu realisieren“.
„Individuelle“ anstelle einheitlicher Stimmzettel sind ein Charakteristikum der Systeme zur e2e-Verifikation. Die Verwendung von Seriennummern, die die Zählung nachvollziehbar machen, erfordert wiederum einen zusätzlichen Aufwand, um die geheime Wahl zu gewährleisten. Und der Wähler muss neben der elektronischen Stimmerfassung und -zählung nun auch der Korrektheit des Verifikationsverfahrens vertrauen. Dieses Vertrauen ist nicht selbstverständlich, hat der Schöpfer des e2e-Wahlsystems „Prêt à Voter“, Peter Ryan von der University of Newcastle, festgestellt. „Verifikationskonzepte liefern wohl einen höheren Grad an Sicherheit als selbst konventionelle Papier-und-Stift-Wahlen, und ganz bestimmt weit mehr Sicherheit als Systeme, die von der Korrektheit eines meist proprietären Codes abhängen“, meinte Ryan. Die subtilen Sicherungsmechanismen seien jedoch nur schwer zu vermitteln. „Ob die Erklärungen von Experten ausreichen, um die verschiedenen Akteure zu überzeugen, ist unklar“.
Der Scantegrity-Stimmzettel unterscheidet sich nur durch den zusätzlichen blauen Aufdruck von einem herkömmlichen: Links neben den Kandidatennamen enthält er die Buchstabenkodierung und rechts unten in verschiedenen Formaten die Stimmzettel-Nummer; der Abschnitt mit dem Barcode ist der Beleg für den Wähler.
Als Antwort auf die Vertrauenskrise der elektronischen Stimmerfassung wartete David Chaum (siehe auch untenstehendes) in Dagstuhl mit einem neuen System auf, das er gemeinsam mit vier Studenten an der George Washington University entwickelte. „Scantegrity“ (siehe Textkasten) ist eigentlich kein Wahlsystem, sondern ergänzt konventionelle Scan-Systeme um ein Audit-Verfahren. Von herkömmlichen Stimmzettel-Scannern, auch in der Variante des Hamburger Wahlstifts, unterscheidet sich Scantegrity durch die „End-to-end“-Verifizierbarkeit: Wähler erhalten mit ihm die zusätzliche Möglichkeit zur Überprüfung, ob ihre Stimme korrekt erfasst und gezählt wird, ohne dass dazu die gewohnte Form der Stimmabgabe auf Papier verändert werden muss. Die bereits eingesetzten Scanner lassen sich weiter nutzen und deren erneute Zertifizierung ist nicht erforderlich. Die Änderungen erstrecken sich am ‚frontend’ auf die Gestaltung des Stimmzettels sowie auf die Übernahme der digitalisierten Voten in das Scantegrity-Backend, bestehend aus der Wahlsoftware und dem Public Bulletin Board. „Das Audit erstreckt sich nicht auf die Software, sondern auf die Wahl selbst“, betonte Chaum den Unterschied; „manipulierter Code in dem System würde durch das Audit entdeckt werden“.
In vielen Ländern - so auch in Deutschland - ist die fortlaufende Nummerierung von Stimmzetteln allerdings unzulässig. „Manchmal macht“, meinte Michael Roe, im Hauptberuf Mitarbeiter von Microsoft Research Cambridge, „der technologische Wandel rechtliche Anforderungen obsolet.“ Roe stellte eine Bedrohungsanalyse für Wahlen vor und warnte davor, die Prozesse nur unter dem Blickwinkel der kryptografischen Protokolle zu betrachten. Das sei schon bei der Einführung der digitalen Signatur ein Fehler gewesen. „Die unterstützenden nicht kryptografischen Komponenten müssen bedacht werden und stimmen“, forderte er. „Stellt Angriffe auf sämtliche Teile des Systems in Rechnung.“ Kazue Sako von NEC hingegen bemängelte die perfektionistische Mentalität. Die Japanerin arbeitet an dem Internet-Wahlsystem „Secure Voting in Symposiums“ (SIVS), mit dessen Hilfe im Januar 2008 auf dem viertägigen Symposium on Cryptography und Information Security aus rund 250 eingereichten Arbeiten über die besten online abgestimmt werden soll. „Im Alltag leben wir auch mit nicht perfekten Wahlsystemen“, meinte sie. „Die Leute sollten froh über die neue Technologie sein.“
Neben „Adder“ und „SVIS“ wurden auf dem Workshop noch einige andere Projekte zu Online-Wahlsystemen präsentiert, wie beispielsweise das „Code Voting“ an der Universidade Técnica de Lisboa, „w-vote“ am Politechnika Wroclawska oder das „Cornell Internet Voting System“ (CVIS) an der Cornell University. Doch in der Einschätzung der zusätzlichen Sicherheitsprobleme bei der Stimmabgabe in einer unkontrollierten Umgebung - etwa von Trojanern auf dem User-PC - gingen die Meinungen auseinander. „Die technischen und rechtlichen Aspekte sind gar nicht das Problem, sondern die Mittelsmänner, das heißt die Politiker, die für die Regulierung zuständig sind“, meinte Robert Krimmer vom E-Voting Competence Center in Wien. Ihm widersprach ein Doktorand, der gerade erst sein I-Voting-System vorgestellt hatte, gegenüber c't jedoch Wert darauf legte, namentlich nicht genannt zu werden: „Ich würde kein System, meines eingeschlossen, zur Verwendung in allgemeinen politischen Wahlen empfehlen.“
„Distanzwahlen schaffen gravierende Probleme mit der Nötigung von Wählern“, meinte auch Josh Benaloh, der in seiner Dissertation 1987 das Konzept verifizierbarer Wahlen mit Hilfe eines Bulletin Board eingeführt hatte und heute als Kryptografie-Experte bei Microsoft arbeitet, „aber viele Leute sind trotzdem dafür.“ Die verweisen dann häufig auf die klassische Briefwahl, bei der sich auch nicht ausschließen lässt, dass der Ehegatte oder Altenpfleger „Hilfestellung“ beim Ausfüllen des Stimmzettels leisten. Rui Joaquim, der zu „Code Voting“ seine Dissertation über eine dem Smartcard-Homebanking nachempfundene Sicherheitslösung verfasst, wandte sich dagegen, das I-Voting schlecht zu reden: „Wir sollten daran arbeiten, es zu verbessern.“ Ronald Rivest wiederum riet unter Hinweis auf das Risiko gezielter Attacken durch „Botnets als größte Wählergruppe“ zur Zurückhaltung bei Internet-Wahlen. „Ich glaube nicht, dass wir schon so weit sind“, meinte er.
Ein Charakteristikum der exklusiven Dagstuhl-Seminare ist, dass es sich um echte Workshops handelt, in denen die Präsentationen nicht schon lange vorher feststehen, sondern die Themenschwerpunkte sich häufig erst flexibel aus den Diskussionen am Abend zuvor ergeben. Sie dienen aber auch dazu, Bereiche für die weitere Forschungsarbeit zu identifizieren. Hier einigte man sich recht schnell auf die Entwicklung formaler Spezifikationen für Wahlsysteme, die bessere Modellierung von Wahlabläufen und ihre Bedrohungen sowie von Verifikationswerkzeugen; ein Bedarf wurde auch in Untersuchungen zur Mensch/Computer-Schnittstelle gesehen.
Die Diskussion über die Formulierung einer gemeinsamen Abschlusserklärung verlief jedoch teilweise kontrovers; da stand dann plötzlich das Selbstverständnis der Community im Raum. Einige Teilnehmer wollten dem „Kommunique“ durch die Wortwahl insgesamt eine deutliche Wendung „pro E-Voting“ geben, andere hielten es für besser, sich auf wissenschaftliche Neutralität zu verständigen. Als David Chaum beispielsweise vorschlug, einen Satz zu den möglichen Kosteneinsparungen aufzunehmen, hielt ihm Ian Brown vom Oxford Internet Institute entgegen, dass die Erfahrungen in England eher das Gegenteil belegten. In der Tat hatten bei den fünf Pilotversuchen zu den Kommunalwahlen Anfang Mai nach offiziellen Angaben die Kosten pro Wählerstimme umgerechnet zwischen 150 und 900 Euro gelegen. Natürlich ist es eine Milchmädchen-Rechnung, die Projektkosten einfach durch die geringe Zahl der E-Wähler zu teilen, doch ein Geschäftsmodell zur Kostendegression durch die dramatische Steigerung des E-Wähleranteils sieht auch die britische Electoral Commission nicht. Chaums Vorschlag wurde verworfen.
In den Kaffeepausen war denn auch von einigen zu hören, dass sie sich mit den Marketingsprüchen in den Abstracts vieler Veröffentlichungen auf diesem Gebiet unwohl fühlen; bei Außenstehenden würden damit häufig Erwartungen geweckt, die bei genauerer Betrachtung nicht zu halten sind - eine Tendenz, die allein der Drittmittelfinanzierung und dem Zwang zur Selbstvermarktung geschuldet sei. Das Abschlusskommunique kam nicht zustande, aber die Diskussionen sollen in einem Wiki fortgesetzt werden.
Seit dem Florida-Debakel bei den US-Präsidentschaftswahlen 2000 beschäftigt sich Chaum intensiv mit Wahlsystemen. Basierend auf dem Konzept der „End-to-end“-Verifikation durch den Wähler selbst entwickelte er die Systeme „Votegrity“ (2004), „Punchscan“ (2006) und, als Add-on zu Scanning-Systemen, „Scantegrity“ (2007). Im Gespräch mit c't erläutert er die Vorteile von Scantegrity und der e2e-Verifikation.
(jk)
Wie stellt man die Integrität von Wahlen sicher? Nach dem Lösungsansatz des Kryptografie-Experten David Chaum sollen die Wähler selbst überprüfen können, ob ihre Stimme wirklich gezählt wurde. Das Verfahren kommt ohne die elektronische Stimmerfassung mit Touchscreens oder Tastenfeldern aus, sondern behält Papierstimmzettel bei, die zusätzlich von Hand ausgezählt werden können. Damit genügt es auch gesetzlichen Anforderungen nach einem „Voter-Verified Paper Audit Trail“.
Scantegrity nutzt die in den USA weit verbreiteten optischen Stimmzettel-Scanner: Der Wähler trifft seine Entscheidung in gewohnter Weise durch das Schwärzen einer Checkbox neben dem Namen des gewünschten Kandidaten. Im Unterschied zum herkömmlichen Verfahren erhält jeder Stimmzettel aber noch eine eindeutige Nummer sowie die nach dem Zufallsprinzip getroffene Zuordnung eines Buchstabens zu jedem der Kandidaten oder Parteien, die zur Wahl stehen. Buchstabenkombination und Stimmzettel-Nummer sind im Wahlamt in einer Datenbank gespeichert, doch solange die Wählerlisten separat geführt werden und es keine Verbindung zwischen Wählernamen und Stimmzettel-Nummer gibt, bleibt das Wahlgeheimnis gewahrt. Öffentlich gemacht wird die Stimmzettel-Nummer nur in Verbindung mit der kryptografisch verschlüsselten Stimme - zur Auflistung auf dem Public Bulletin Board stecken die Voten quasi in einem Umschlag, auf denen außen die Stimmzettel-Nummer steht. Im nächsten Schritt werden diese Nummern abgetrennt, die „Umschläge“ gemischt und in eine Zufallsreihenfolge gebracht, bevor sie dann geöffnet und die Stimmen im Klartext wiederum auf dem Bulletin Board aufgelistet werden. Die Auszählung kann anschließend jeder, gegebenenfalls mit eigener Software, nachvollziehen.
Das Mixnet-Verfahren, mit dem die verschlüsselten Voten verwürfelt werden, ist dasselbe, wie es einige Remailer zur Pseudonymisierung von Mails verwenden, um deren Herkunft zu verschleiern. Chaum hat es vor einem Vierteljahrhundert ersonnen und in seinem klassischen Papier „Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms“ beschrieben; als eine Anwendungsmöglichkeit wies er schon damals auf die Verifikation von Wahlen hin.
Der Wähler, der eine Kopie der Stimmzettel-Nummer zurückbehält - zum Beispiel durch Abtrennen eines perforierten Abschnittes - kann mit dieser Nummer prüfen, ob seine Stimme auf dem öffentlichen Bulletin Board korrekt verbucht wurde. Hat er sich zudem die Buchstabenkombination seiner markierten Kandidaten aufgeschrieben, dann kann er sie mit dem Buchstabencode vergleichen, der ihm die Website nach Eingabe der Stimmzettel-Nummer auswirft. Das Wahlgeheimnis wird an dieser Stelle nicht gelüftet, weil die Zuordnung von Buchstaben zu Kandidaten auf jedem Wahlzettel eine andere ist.
Auch für ein Verkaufen der Stimme bietet das Verfahren keinen Anreiz, denn selbst wenn sich der Wähler zu den Buchstaben auch die Namen der zugehörigen Kandidaten notiert hätte, wäre dies kein Beweis für den Käufer, dass er auch wirklich so gewählt hat; dieser hat ja keine Vergleichsmöglichkeit, weil jeder Stimmzettel eine andere Zufallskombination enthält.
Kryptografie-Experte David Chaum: „Wesentlich ist, dass Wähler die korrekte Speicherung der Stimme prüfen können, ohne dass das System irgendjemandem anderem preisgibt, wie ein Wähler stimmte.“
David Chaum promovierte Mitte der siebziger Jahre an der University of California, Berkeley, in Informatik und Betriebswirtschaft und ist der Erfinder zahlreicher kryptografischer Protokolle wie beispielsweise zur „blinden Signatur“ und zu „Mix Networks“. In den neunziger Jahren - zu früh für die Welle der New Economy - propagierte er DigiCash, ein bargeldähnliches, Peer-to-Peer-fähiges Internet-Zahlungsmittel, das aber nicht die Unterstützung der staatlichen Notenbanken fand, die darin eine Gefährdung ihrer Kontrolle über die Geldflüsse sahen.
c't: Die Hauptkritik gegen Wahlcomputer in den USA richtet sich gegen die papierlosen Stimmerfassungssysteme. Was hat Sie motiviert, sich mit der Verbesserung von Stimmzettel-Scannern zu beschäftigen?
David Chaum: Nun, ich erforsche viele unterschiedliche Ideen zu Wahlsystemen und deren Auswirkungen auf papiergestützte, papierlose und Distanzwahlen, denn es kommt darauf an, alles mögliche auszuprobieren und herauszufinden, was letztlich wirksam und praktisch ist. Tatsächlich fiel mir dieses Erweiterungskonzept irgendwie in den Schoß, und dann wurde mir bewusst, dass es alles ändert. Es gibt keinen guten Grund, Scantegrity nicht zu nutzen!
Scantegrity ermöglicht, durch Nachbesserung die vorhandenen Systeme ohne wesentliche Änderungen in dem darunterliegenden System auf ein hohes Niveau der Integrität und der Verifizierbarkeit durch den Wähler zu bringen. Auf diese Weise vermeidet man die Notwendigkeit der Neuzulassung, man braucht keine Änderungen in der Betriebsweise und führt keine neuen Risiken ein; es ist viel einfacher zu verstehen als vergleichbare Systeme, sehr billig und überraschenderweise verbessert es sogar die Geheimhaltung der Wahlentscheidung. Deshalb ist es ein gangbarer und sehr faszinierender Weg, die Wähler-Verifikation in die Praxis zu bringen.
c't: Die Grundidee hinter Scantegrity ist das öffentliche Bulletin Board, anhand dessen jeder Wähler nachprüfen kann, ob seine Stimme tatsächlich erfasst und gezählt wurde?
Chaum: Ja, und dass jeder verifizieren kann, dass alle erfassten Stimmen korrekt gezählt wurden. Das ist die „End to end“-Verifizierbarkeit. Sie ist für ein Wahlsystem die höchste Stufe der Integrität, die wir kennen.
c't: Wie wird das erreicht?
Chaum: Wesentlich für all diese „End to end”-Systeme ist, dass Wähler die korrekte Speicherung der Stimme prüfen können, ohne dass das System irgendjemandem anderem preisgibt, wie ein Wähler stimmte. Dies wird durch den Einsatz kodierter Stimmen erreicht. Der springende Punkt liegt darin, dass sich auf der Quittung - oder im Falle von Scantegrity, in dem, was sich der Wähler notiert - lediglich die kodierte Form des tatsächlichen Votums befindet und der Wähler sich aufgrund der Abläufe im Wahllokal sicher sein kann, dass es sich um die korrekte Kodierung seiner Stimme handelt.
c't: Wie wird verhindert, dass jemand anders meine Quittung nimmt und das Votum einsieht?
Chaum: Jeder kann Ihr kodiertes Votum sehen, wenn Sie ihm Ihre Seriennummer mitteilen, aber er wird daraus nicht Ihr unkodiertes Votum erschließen können. Deshalb spielt es keine Rolle, wer die kodierte Stimme sehen kann.
c't: Jemand muss die Zählung kontrollieren, und dass jede Stimme tatsächlich in der Zählung berücksichtigt wurde. Muss der Wähler dem Verfahren vertrauen?
Chaum: Es kann jeder nachprüfen, dass alle auf dem öffentlichen Bulletin Board veröffentlichten, kodierten Stimmen tatsächlich zu der veröffentlichten Zählung führen. Dieses Audit-Verfahren kann jeder mit selbst geschriebener oder heruntergeladener Software von überall aus durchführen.
c't: Worin unterscheidet sich Scantegrity von ThreeBallot, das Ronald Rivest entwickelt hat?
Chaum: Unser System ist ein Audit-Aufsatz für herkömmliche Stimmzettel-Scanner, der äußerst praktisch ist und doch „End-to-end“-Integrität liefert. ThreeBallot ist eigentlich nicht mehr als eine Art Gedankenspiel, um Leute mit der Idee solcher wählerverifizierten „End-to-end“-Wahlen vertraut zu machen.
c't: Es dient eher pädagogischen Zwecken?
Chaum: Ja, ich glaube, es ist wirklich nur von pädagogischem Interesse. Da ist nie ein bestimmter Entwurf vorgeschlagen worden - der Ablauf für den Wähler ist anscheinend nicht zu bewerkstelligen. Und dann braucht man im Allgemeinen einen vertrauenswürdigen Computer im Wahllokal, um die erforderlichen Regeln zum Ausfüllen der Stimmzettel durchzusetzen.
c't: Einige meinen, ThreeBallot lässt sich mit vergleichsweise einfachen Mitteln austricksen.
Chaum: Anscheinend hat jeder eine Handvoll Möglichkeiten, es anzugreifen. Es macht wenig Sinn, ThreeBallot im selben Atemzug wie Scantegrity zu nennen.
c't: Das Konzept hinter Scantegrity ist in Wirklichkeit nicht auf Papier zur Stimmerfassung angewiesen, oder?
Chaum: Die Aktivisten, die wir nach Dagstuhl eingeladen haben, kamen immer wieder darauf zurück, dass Papier transparenter ist - so etwas wie der Goldstandard für Wahlsysteme. Ich glaube, darin spiegelt sich eine Art irrationale Verklärung der Vergangenheit wider, eine Verzerrung der Wirklichkeit, denn tatsächlich wird Transparenz im politischen Zusammenhang nicht als Synonym für das gebraucht, was am einfachsten zu verstehen ist, sondern eher für wirksame Mechanismen zur Beobachtung von Manipulation. Und wenn man diese Standarddefinition von Transparenz verwendet, ist die Papierwahl erheblich weniger transparent als „End-to-end“-Systeme wie Scantegrity. Ich empfinde es als Ironie, dass sich so viele Aktivisten anscheinend dagegen wenden, Wählern die effektive Verifikation ihres eigenen Votums und der Zählung aller Stimmen zu ermöglichen.
c't: Aber das ganze Konzept hängt davon ab, dass die Wähler von der Möglichkeit zur Verifikation der Stimmenzählung Gebrauch machen. Welcher Prozentsatz an Wählern wäre dafür notwendig?
Chaum: Transparenz macht nur etwas zum Hinschauen verfügbar. Wenn sich niemand der Mühe unterzieht hinzuschauen, dann ist das natürlich wie der Baum im Wald, den niemand umstürzen sieht. Man kann Systemen, die Transparenz schaffen, nichts vorwerfen, indem man sagt, „Ja, aber was ist, wenn niemand nachschaut, ob es Manipulationen gibt?“
Tatsache ist, dass ein sehr kleiner Prozentsatz von prüfenden Wählern bei diesen Systemen ausreicht, um Manipulationen mit einer überwältigenden Wahrscheinlichkeit aufzudecken. Die genauen Wahrscheinlichkeiten hängen davon ab, wie eng die Wahlergebnisse beieinander liegen.
c't: Worauf ist das zurückzuführen?
Chaum: Ich kann jetzt keine exakten Zahlen zitieren, aber die Mathematik ist verhältnismäßig einfach und verschiedene Leute haben dazu Formeln und Diagramme veröffentlicht. Man muss dazu wissen, dass nach dem derzeitigen Stand der Praxis für das Audit einer konventionellen papiergestützten Wahl eine Anzahl von Wahllokalen ausgesucht werden muss, und dann muss jede Stimme in diesen Wahllokalen geprüft, das heißt von Hand nachgezählt werden. Nun weiß jedes Kind, wenn man ein paar hundert Wahllokale hat, von denen fünf oder zehn korrumpiert sind, und man aus der Gesamtheit nur fünf oder zehn zufällig auswählt - tatsächlich sind fünf Prozent für solch ein Audit ein hoher Prozentsatz -, dann ist es nicht sehr wahrscheinlich, dass man auch nur eines der korrumpierten Wahllokale trifft. Um ein starkes Vertrauen zu schaffen, eine hohe Wahrscheinlichkeit zur Aufdeckung von Manipulationen in herkömmlichen Systemen, muss man im Grunde ein Audit in fast allen Wahllokalen durchführen.
Solch eine Nachzählung fast aller Stimmen unterscheidet sich sehr von dem, was mit Scantegrity benötigt wird. Wenn dort gerade mal tausend von, sagen wir, hunderttausend Wählern tatsächlich ihr Votum nachprüfen, dann bietet das eine sehr viel größere Chance, Manipulationen einzufangen, als wenn man in fünf Prozent der Wahllokale nachzählt.
c't: Weil Scantegrity ein zentralisiertes System zur Aggregation der Stimmen ist?
Chaum: Das liegt einfach daran: Wenn man Manipulationen oder Betrügereien auffinden will, muss man von der Annahme ausgehen - die viele Experten nicht gemacht haben -, dass die Betrüger clever sind. Es ist keine gute Strategie, überall ein bisschen zu betrügen, weil das dann bei der Nachprüfung an wenigen Stellen wahrscheinlich herauskommt - stattdessen werden sie sich auf bestimmte Wahllokale konzentrieren. Wenn man also bei der Prüfung lediglich auf wenige Stellen beschränkt ist, wird man wahrscheinlich nicht gerade auf diese Wahllokale treffen. Dagegen kommen bei Scantegrity die Wähler, die sich zum Audit entschließen, letztlich nach dem Zufallsprinzip aus der Gesamtheit aller Wahllokale. Im Grunde macht man also eine Zufallsstichprobe der gesamten Wählerschaft, ohne Einschränkung. Deshalb ist das Audit viel effektiver und die Wahrscheinlichkeit zur Aufdeckung von Manipulationen viel höher.
Im Grunde verhält es sich so: Wenn von hundert Objekten fünf manipuliert sind, und man zufällig eines aus den hundert auswählt, dann ist die Wahrscheinlichkeit dafür, eines jener fünf zu finden, nur ein Zwanzigstel. Wenn es sich bei diesen Objekten um Wahllokale handelt, in denen jeweils tausend Stimmen abgegeben wurden, heißt das, tausend Stimmen nachzuzählen. Aber wenn bei Scantegrity eintausend Wähler nachprüfen, dann prüfen sie eintausend Stimmen aus der Gesamtheit, und wenn ein Wahllokal korrumpiert ist, dann ist die Wahrscheinlichkeit, darauf zu stoßen, statt ein Zwanzigstel fast Eins. Das ist äußerst wahrscheinlich.
c't: Was sind Ihre Pläne mit Scantegrity?
Chaum: Der erste Staat oder das erste Land in einem Staat, das Scantegrity einsetzen möchte und Pläne für die Einführung hat, kann eine kostenlose Lizenz zu seiner Verwendung erhalten, für immer, einschließlich aller künftigen Verbesserungen oder Varianten, an denen ich die Rechte besitzen werde. Es gibt bereits einige, die daran interessiert sind.
c't: Danach wird Scantegrity ein kommerzielles Produkt?
Chaum: Ja. Dies ist als Anreiz zur schnellen Einführung gedacht. Das Gute an Scantegrity ist, dass es für ein Wahlsystem, das bereits Scanner einsetzt, nahezu kein Risiko bedeutet, weil es die Nutzung dieses Systems nicht erschwert und auch die bereits bestehenden Audit- und Kontrollmechanismen nicht abschafft. Es erlaubt Wählern lediglich, sich eine Notiz zu machen und online zu prüfen, um diesen Typus von Audit zu ermöglichen. Ich kann mir keinen guten Grund vorstellen, Scantegrity nicht einsetzen zu wollen, weil die Wähler es zumindest schätzen werden, die korrekte Erfassung ihrer Stimme nachprüfen zu können - besonders wenn man dafür nicht zu zahlen braucht!
c't: In einigen Ländern ist die Verwendung markierter oder nummerierter Stimmzettel verboten. Der Umstand, dass Scantegrity eine Seriennummer auf jedem Stimmzettel benötigt, könnte sich als Hindernis erweisen?
Chaum: Das ist richtig. Es gibt Rechtssysteme, die Seriennummern auf Stimmzetteln verwenden, und solche, wo Gesetze oder Regeln solch eine Nummerierung untersagen. Das zeigt, dass es sich hier nicht wirklich um ein grundsätzliches Problem handelt, sondern deutet auf eine willkürliche Festlegung oder bestenfalls den Versuch hin, zwischen der Integrität und der Geheimhaltung der Wahl einen Kompromiss zu schließen. Wenn man erst einmal erkannt hat, dass durch die Verwendung der Nummern sowohl eine höhere Integrität als auch eine bessere Geheimhaltung erreichbar sind, dann wird man die Gesetze schnell ändern, glaube ich.
c't: Was halten Sie von Wahlen über das Internet, sind die schon reif fürs Rampenlicht?
Chaum: Distanzwahlen, ob mit Papier oder über das Internet, kranken daran, die sogenannte „unzulässige Wählerbeeinflussung“ zu erleichtern: die Ausübung von Zwang und den Stimmenkauf. Einige Länder lassen wie die Vereinigten Staaten Briefwahlen zu; andere untersagen sie wegen dieses grundsätzlichen Problems völlig, wie beispielsweise Israel und Brasilien.
Das ist hier übrigens etwas anders als bei den Seriennummern. Ich halte die unzulässige Wählerbeeinflussung für ein Riesenproblem. Als Wissenschaftler waren wir bisher nicht in der Lage zu beweisen, ob oder ob nicht das Problem der unzulässigen Wählerbeeinflussung untrennbar mit der Distanzwahl verknüpft ist.
c't: Das Internet als Medium für Distanzwahlen unterscheidet sich da nicht von der Briefwahl?
Chaum: Internetwahlen schaffen zwei weitere Probleme. Eines sind die wohlbekannten Sicherheitsprobleme mit dem Internet - Denial-of-Service, Malware, Lauschangriffe, Rückverfolgung und so weiter. Der zweite Aspekt bezieht sich speziell darauf, dass das Internet selbst ausgefeiltere Methoden der unzulässigen Wählerbeeinflussung erleichtert, die sich einfach dem Rechtssystem entziehen. Konkret macht das Internet Stimmkäufern das Leben leichter - sie können aus dem Ausland operieren, und sie können die ihnen verfügbaren kryptografischen Techniken oder Software nutzen, um in unzulässiger Weise Menschen zu beeinflussen, die sie nicht einmal getroffen haben.
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-291218
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
