Seit Montag sind die mehr als 425.000 SPD-Mitglieder dazu aufgerufen, an der Mitgliederbefragung zur Wahl des neuen Partei-Spitzenduos teilzunehmen. Das können sie neben der klassischen Briefwahl auch im Internet, nach Parteiangaben haben sich über 40 Prozent für das Online-Verfahren registriert. Bereits 2018 war es mit einem System desselben Anbieters Scytl für im Ausland lebende Parteimitglieder möglich gewesen, über den Eintritt in die Große Koalition abzustimmen. Doch nun werden Bedenken hinsichtlich der Sicherheit des Systems laut.

Aktuell könen über die Software erheblich mehr SPD-Mitglieder abstimmen als noch 2018, doch schon das Registrierungsverfahren wirft Fragen auf. Um seine Stimme online abgeben zu können, benötigt man Geburtstdatum und Mitgliedsnummer sowie – falls sie der Partei nicht bereits vorlag – eine beliebige E-Mail-Adresse. Seit Montag läuft nun der Zeitraum für die Mitgliederbefragung, die noch bis zum 25. Oktober andauern soll. Wer für die Online-Abstimmung registriert ist, hat inzwischen eine E-Mail mit einem Link erhalten. Unter dem Link lässt sich, wiederum mit Mitgliedsnummer und Geburtsdatum, eine PIN-Nummer für die eigentliche Abstimmung generieren.

Zugriff von Unbefugten nicht auszuschließen

Wie der Ex-Piratenpartei- und Ex-SPD-Politiker Christopher Lauer auf seinem Blog anmerkt, seien jedoch Geburtsdatum und SPD-Mitgliedsnummer oftmals alles andere als geheim und gerade für öffentlich präsente Parteifunktionäre möglicherweise im Internet aufzufinden. Auch t3n weist auf mögliche Risiken hin: Die geforderten Daten könnten von Ortsvorständen problemlos eingesehen und hinterlegte E-Mail-Adressen auch geändert werden, außerdem stünden Mitgliedsnummern offen auf den Adressaufklebern der Parteizeitung Vorwärts. Es ist somit nicht auszuschließen, dass sich Unbefugte als Wahlberechtigte ausgeben könnten.

Darüber hinaus lässt das System laut den FAQ der Parteizentrale explizit die Registrierung mehrerer Mitglieder mit derselben (beispielsweise als Familie genutzten) E-Mail-Adresse zu. Die Links zur PIN-Generierung werden dann alle an dieselbe Adresse verschickt, doch ob am Ende tatsächlich jedes Mitglied einzeln und geheim seine Stimme abgegeben hat, wird nicht weiter überprüft. Dasselbe Problem löst die SPD bei der Briefwahloption mittels einer eidesstattlichen Erklärung: Jedes Mitglied muss unterschreiben, dass die Stimme ordnungsgemäß abgegeben wurde und dies zusammen mit dem Stimmzettel zurückschicken. Ein vergleichbarer Mechanismus fehlt jedoch bei der Online-Abstimmung.

Scytl wegen Sicherheitslücken in der Kritik

Auf Nachfrage von heise online betonte ein SPD-Sprecher am Dienstag, einhundertprozentige Sicherheit könne weder offline noch online bei Wahlen garantiert werden. Man freue sich, dass man mit Scytl einen "erfahrenen und kompetenten Kooperationspartner" an der Seite habe, und man habe sich mit dem Anbieter intensiv befasst. "Nach Rücksprache mit dem technischen Dienstleister, unserem Fachpersonal und den bisherigen Erfahrungen, sind wir der Überzeugung, dass wir ein sicheres Verfahren durchführen können", erklärte der Sprecher.

Aus dem Kreis der Kandidierenden für den SPD-Vorsitz hatte sich bereits am Montag Saskia Esken, Bundestagsabgeordnete der SPD, zu Wort gemeldet. Sie erklärte auf Twitter, dass sie die Software nicht ausgesucht habe. "Wahlen würde ich grundsätzlich nicht digital durchführen", schrieb sie. Doch bei einer so aufwändigen Mitgliederbefragung spielten auch Kostenfragen eine Rolle.

Der Softwareanbieter Scytl, der sich selbst als "führend in der Transformation der Wahlindustrie" bezeichnet, steht seit diesem Jahr vermehrt in der Kritik. Die GroKo-Urabstimmung 2018, bei der teilweise Scytl-Software benutzt wurde, verlief offenbar ohne Beanstandungen, doch Anfang 2019 entdeckten Sicherheitsforscher Sicherheitslücken in einem E-Voting-System des spanischen Anbieters. Bei einem "Public Intrusion Test" waren Sicherheitsexperten und Hacker aufgefordert gewesen, den veröffentlichten Quellcode der Software auf Schwachstellen zu prüfen. Die gefundenen Lücken hätten möglicherweise für nicht mehr nachvollziehbare Wahlfälschungen genutzt werden können, allerdings hätten Angreifer dafür über umfassenden Zugriff auf das IT-System des Betreibers sowie eingeschleuste Schadsoftware auf Geräten von Wählern verfügen müssen.

Die Scytl-Software war da bereits in Australien im Einsatz gewesen und sollte auch in der Schweiz eingeführt werden – der Schweizer Bundesrat legte nach heftiger Kritik das Projekt "E-Voting" vorerst ganz auf Eis. Erst im kommenden Jahr soll es einen erneuten Anlauf mit einem eigenen System der Schweizerischen Post geben. In Deutschland waren von 1999 bis 2008 mehrmals Wahlcomputer in Gebrauch, doch ihr Einsatz bei der Bundestagswahl 2005 wurde vom Bundesverfassungsgericht nachträglich für verfassungswidrig erklärt. (siko)