computerwoche.de

Archiv

IT in der öffentlichen Verwaltung/Wahlen via Internet?

Alles digital: Signatur und Wahlurne

19.10.2001
Für Wahlen in demokratischen Rechtssystemen gelten höchste Sicherheitsanforderungen. Die Forschungsgruppe Internet-Wahlen hat mit "I-Vote" den ersten Prototypen einer Internet-fähigen Wahlsoftware entwickelt und bereits eingesetzt. Derzeit wird an der weiteren Sicherheit, Skalierbarkeit und Leistungsfähigkeit des Systems gearbeitet. Fernziel ist ein kommerzielles Produkt für Kommunen und andere Wahlträger. Von Thorsten Glattki*

Freie Wahlen sind der Eckpfeiler der Demokratie. Die Erfahrungen aus der ersten Hälfte des 20. Jahrhunderts sorgen dafür, dass heute in demokratischen Staaten viel Aufwand betrieben wird, um Wahlmanipulationen jeglicher Art auszuschließen. Während bei Fehlern in kaufmännischen Transaktionen übers Internet lediglich finanzielle Schäden entstehen, können Manipulationen bei Wahlen viel gravierendere Folgen für ein Land, seine Einwohner, seine Wirtschaft, seine Geschichte, seine Nachbarn und Handelspartner nach sich ziehen.

So haben Sicherheitsbedenken in vielen anderen europäischen Staaten beispielsweise dazu geführt, dass eine Briefwahl nicht möglich ist. In Frankreich wurde sie wieder abgeschafft, nachdem Wahlmanipulationen festgestellt wurden. In Deutschland wurde die Briefwahl erstmals zur Bundestagswahl 1957 zugelassen. Vorgesehen war sie eigentlich nur für Ausnahmesituationen, wie Krankheit, Gebrechen, hohes Alter oder unabdingbare Abwesenheit. Hintergrund war, dass man allen Berechtigten, also auch dieser damals relativ klein eingeschätzten Gruppe, die Teilnahme an der Wahl ermöglichen wollte.

Mittlerweile sieht die Realität anders aus:

"Die Briefwahl ist zu einer Volkssportart geworden", stellt Professor Dieter Otten, Leiter der Forschungsgruppe Internet-Wahlen fest.

Aber auch Briefwahlen sind kein Garant dafür, dass bei Wahlen wirklich alle Stimmen zum Tragen kommen. Dafür ist die vorletzte Kölner Oberbürgermeisterwahl ein Beispiel, aus welcher der inzwischen verstorbene Harry Bluhm als Sieger hervorging. Sein Kontrahent musste seine Kandidatur kurz vor dem Wahltag zurückziehen. Gemäß den gültigen Wahlvorschriften war dies aber zu kurzfristig für die Briefwähler.

Bei der Wahl über das Internet könnten Änderungen der Wahlliste auch noch am letzten Tag berücksichtigt werden. Außerdem ist anzunehmen, dass bequemeres Abstimmen am heimischen Bildschirm die Wahlbeteiligung steigert. Einen ähnlichen Effekt könnte auch das Interesse an neuen Technologien haben, vor allem in jüngeren Bevölkerungsschichten - im Sinne von "Das Handy als Mittel gegen Wahlmüdigkeit".

Diskutiert werden Wahlen über offene Netze seit gut 20 Jahren. Doch erst die wachsende Zahl von Internet-Nutzern machte all diese Überlegungen realisierbar. Dennoch hat es trotz angeregter Diskussionen bisher nirgendwo einen ernsthaften Versuch gegeben, politische Wahlen auf diese Art durchzuführen.

Ein aussichtsreicher Softwarekandidat für die Onlinewahl ist "I-Vote", entwickelt von der Forschungsgruppe Internet-Wahlen; dessen Entwicklungsgeschichte zeigt, dass das Experimentierstadium inzwischen überwunden ist. Anfang 1998 stellte der virtuelle "Wahlkreis 329" an der Universität Osnabrück ein erstes Projekt vor. Hier wurde eine Simulation der Bundestagswahl im Internet durchgeführt und als Prognose-instrument verwendet. Anlässlich der Sozialwahlen im Mai 1999 hatten die Versicherten und Wahlberechtigten der Techniker Krankenkasse die Gelegenheit, parallel zur rechtsgültigen Briefwahl ihre Stimme an einem Wahlspiel im Internet abzugeben. Anfang Februar 2000 wurde das System bei den Wahlen des Studierendenparlaments der Universität Osnabrück eingesetzt: Mehr als 400 der wahlberechtigten Osnabrücker Studenten meldeten sich im Vorfeld für das Verfahren an. Die Mehrzahl von ihnen nutzte die Möglichkeit, mit Hilfe der ausgehändigten Hard- und Software vom heimischen PC aus zu wählen. Ende Juni 2000 folgte dann der zweite Praxiseinsatz bei der Personalratswahl im Landesamt für Datenverarbeitung und Statistik in Brandenburg, allerdings wieder in Form eines Wahlspiels.

Ein Internet-fähiges Wahlsystem stellt eine Reihe von Anforderungen an das verwendete System:

-Vertraulichkeit: Es muss sichergestellt werden, dass es zu keinem Zeitpunkt möglich ist, den elektronischen Wahlzettel eines Wählers zu fälschen oder vor dem Zeitpunkt der Stimmauszählung zu lesen.

Bei I-Vote wird diese Forderung erfüllt, indem - vergleichbar zur Papierwahl - der elektronische Stimmzettel sicher in das Wahlurnensystem "Psephor" gelangt.

-Garantierte Verfügbarkeit am Wahltag: Um diese Bedingung erfüllen zu können, muss eine redundante und hierarchisch aufgebaute Hardwarestruktur zur Verfügung stehen.

So werden die Wahlbezirke durch Wahlserver abgebildet, die ihre Daten dann auf dem Psephor in einem Hochsicherheitszentrum speichern. Aufgrund der hohen Datenmengen in der elektronischen Wahlurne und der späteren Wahlauswertung in einem angeschlossenen Rechner nutzt die Software ein SAP-System.

-Hochverfügbarkeit: Neben dieser Struktur muss auch die Verbindung zwischen den Wahl-Servern und den Clients hohen Anforderungen genügen.

Da potenziell mit einer hohen Netzlast zu nicht vorhersehbaren Zeiten gerechnet werden muss, wird mit einem Application Server eine hochperformante und skalierbare Netzwerkkomponente eingesetzt. Das Entwicklungsteam um die Leverkusener IVL und Professor Otten entschied sich dabei für BEA Web Logic.

-Schutz gegen Angriffe: Die Verfügbarkeit des Wahlsystems wird durch seinen Schutz gegen Denial-of-Service-Angriffe und Ausfälle gewährleistet; insbesondere der Firewall der Wahl-Server und des Urnen-Servers Psephor wird große Beachtung geschenkt. Um die Software gegen Angriffe von innen zu schützen, wird der Psephor von den Wahlservern getrennt; Standort und Überwachung fallen ausschließlich unter die Aufsicht der entsprechenden demokratischen Institutionen.

-Integrität: Die Eindeutigkeit der Stimmen wird erreicht, indem der Wähler vor der Wahl registriert wird und dementsprechend im amtlichen Wählerregister eingetragen ist. So wird sichergestellt, dass jeder Wähler nur einmal seine Stimme abgeben kann.

Bei der Registrierung wird die Identität eines Wählers aufgenommen, indem zu seinem Eintrag im Wählerregister seine digitale Signatur aufgenommen wird. Diese entspricht den Daten, die auf seiner Chipkarte gespeichert sind. Sie wird gemäß dem Gesetz von einem zugelassenen Trust-Center ausgegeben und zusätzlich durch einen eigenen PIN gesichert und erstellt. Das heißt, dass auch der Diebstahl einer fremden Signatur-Chipkarte nicht zu einer Wahlmanipulation führen kann.

-Kontrolle durch den Wähler: Auch der Wahl-Server erhält eine digitale Signatur. Damit kann jeder Wähler bei der Datenübertragung sicher sein, dass er mit dem echten Validator kommuniziert, das heißt, dass er tatsächlich den amtlichen Stimmzettel vom legitimen Wahl-Server erhält.

-Geheimhaltung der Wahl: Als Verschlüsselungsverfahren werden mehrere asymmetrische RSA-Schlüssel mit einer Länge von jeweils 1024 Bit verwendet. Dies dürfte beim heutigen Stand der Kryptographie und der heute verfügbaren Rechenleistung auf Seiten der potenziellen Wahlmanipulatoren hinreichend sicher sein.

Die neuste I-Vote-Version wurde auf Basis des Programmes der Forschungsgruppe Internet-Wahlen entwickelt. Am 12. Juni 2001 wurde sie ihrer Feuertaufe bei den Wahlen zum Esslinger Jugendgemeinderat unterzogen. Im November 2001 steht dann eine Seniorenwahl in Köln an. Schließlich wählt die Universität Bremerhaven im Wintersemester 2001 sein Studierendenparlament ebenfalls mit Hilfe von I-Vote.

Niemand aus dem Entwicklerteam ist so überheblich zu glauben, dass die nächste Bundestagswahl komplett per Internet durchgeführt wird. Aber vielleicht wird ja das neue Verfahren in einem oder ein paar Wahlbezirken als Alternative zur Briefwahl genutzt.

Die Zukunft: Mobiles WählenKonsequent zu Ende gedacht, würden die Vorteile der InternetWahl am effektivsten durch eine Wahl über mobile Geräte umgesetzt. Mit einem WAP-Handy könnte die Stimmabgabe theoretisch von jedem Ort aus geschehen. Voraussetzung dafür wäre aber, dass deren Technik sicherer wird. Ihre Hardware sollte in der Lage sein, elektronische Unterschriften aufzunehmen und umzusetzen: Eine Kopplung mit dem Touchscreen eines Organizers bietet sich an. Prototypen dieser Hardwarekonfiguration waren bereits auf der CeBIT 2001 zu sehen.

*Thorsten Glattki ist freier Journalist in Köln.

Die ForschungsgruppeBei der Forschungsgruppe Internet-Wahlen (FG-IW) handelt es sich um ein Projekt, das der Bundesminister für Wirtschaft und Technologie in den Jahren 1999 und 2000 gefördert hat. Das Projekt hat zwei Ziele: Zum einen soll es die Machbarkeit von Internet-Wahlen verfahrenstechnisch, sicherheitstechnisch und rechtlich prüfen. Zum anderen sollen die organisatorischen sowie die software- und hardwaretechnischen Voraussetzungen geschaffen werden, um in Zukunft Wahlen über das Internet durchführen zu können.