Wahlverantwortliche verbinden mit Online-Wahlen eine Fülle von Erwartungen. An erster Stelle wird die schnelle Auszählung der Stimmen zum Wahlende genannt. Daneben hofft man, dass eine technische Lösung mittelfristig gegenüber dem heutigen Verfahren Aufwendungen in der Durchführung von Wahlen und damit Kosten einspart. Außerdem könnte das Problem der Rekrutierung von Wahlhelfern gerade in Großstädten mittelfristig durch eine technische Lösung vermindert werden, da man immer weniger Unterstützungspersonal benötigt. Vereinzelt wird auch von einer Möglichkeit zur Steigerung der Wahlbeteiligung gesprochen. Die mit Online-Wahlen in Verbindung gebrachten Erwartungen sollen hier jedoch nicht näher eingeschätzt werden. Vielmehr stehen die Sicherheitsaspekte der neuen Wahlform im Zentrum der Betrachtung.
Verfolgt man Forschungs- und Pilotierungsaktivitäten, drängt sich der Eindruck auf, dass die potenziellen Gefährdungen, denen eine Online-Wahl ausgesetzt ist, nur unzureichend und unvollständig betrachtet werden.
Deutlich wird dies, wenn man Online-Wahlen einmal vom Standpunkt des Jahres 2010 aus betrachtet: Online-Wahlen sind mittlerweile genauso selbstverständlich wie die sichere Internet-Nutzung und der Einsatz funkvernetzter, in Gebrauchs- und Schmuckgegenständen integrierter Computertechnik.
Ein Blick ins Jahr 2010Beim folgenden Blick in das Jahr 2010 treffen sich vier junge Wähler am Abend nach der Wahl in einem In-Cafe und erzählen, was sie bei ihrer Wahlhandlung erlebt haben.
Theresa: Es begann alles damit, dass mein Ohrring mal wieder wireless nicht ansprechbar war. Ich habe noch versucht, ein neues Release vom Netz zu laden, aber es ging einfach nicht. Die Wahlbüros waren zwar noch auf, aber wenn die das nicht hinbekommen, ein lauffähiges System anzubieten, dann habe ich keine Lust mehr, ins Wahlbüro zu gehen.
Clemens: Ich wollte direkt wählen, als ich morgens von der Fete kam. Da lief der Wahl-Server auch noch. Ich war noch kurz drauf, aber einfach zu müde, um mir alles in Ruhe durchzulesen. Da habe ich abgebrochen und bin lieber ins Bett gegangen, um am Nachmittag online zu wählen. Als ich dann wieder versuchte zuzugreifen, bekam ich keinen Kontakt mehr zum Wahl-Server. Später habe ich erfahren, dass ein breit angelegter Distributed-Denial-of-Service (DDoS)-Angriff stattgefunden hat und die Servicetechniker hoffen, den Wahl-Server noch vor Ende des Wahltages wieder ans Laufen zu bekommen. Als es nicht so klappte, wie im Vorfeld in allen Medienspots versprochen, war ich genervt und wollte auch nicht mehr ins Wahllokal gehen. Mein Vater hat mich dann aber doch umgestimmt. Er meinte: Wenn schon die Informations-Server vieler Unternehmen attackiert werden, dann war eigentlich im Vorfeld der Wahl abzusehen, dass Gruppen versuchen werden, die Wahl-Server anzugreifen, die offen übers Internet angesprochen werden können. Unklar ist nur, wieso diese Gefahr im Vorfeld von allen runtergespielt wurde. Das böse Erwachen kommt jetzt.
Clemens: Ich denke, die Reaktion von Theresa ist auf eine Reihe von Bürgern übertragbar. Verglichen mit der Urnenwahl ist das ja so, als ob man zur Wahlzeit zum Wahllokal gehen würde, aber das Wahllokal ist zu oder die haben keine Stimmzettel mehr.
Theresa: Ist die Wahl jetzt ungültig, wo doch viele Bürger gar nicht mehr online wählen konnten? Habe ich nicht sogar ein Recht, wählen zu können?
Lena: Jetzt ergeht euch doch nicht so in Grundsatzdiskussionen. Clemens, hättest du am Vormittag gewählt, wäre dir der Weg zum Wahlbüro erspart geblieben. Ich verstehe eure Probleme nicht. Bei mir ging alles tadellos. Ich hatte nicht den neuen Ohrring-Key, sondern habe meine gute alte Smartcard mit meinem Signatur-Key benutzt. Vom Wahl-Server hab ich mir den Stimmzettel geholt. War irgendwie nett, den auf dem neuen Großbildschirm im Wohnzimmer auszufüllen. Ihr wisst schon, das Megateil, dass mein Vater letztens angeschafft hat, um die alte Display-Einheit für die Haustechnik auszutauschen. Jedenfalls hat er das meiner Mutter gesagt. Tatsächlich läuft auf dem Ding viel öfter ein DVD-Film.
Clemens: Könntest du bitte mit der Angeberei aufhören und zur Sache kommen?
Lena: Naja, ich habe den Stimmzettel halt ausgefüllt und mit meinem Signatur-Key unterschrieben, wie ich das auch bei einem ganz normalen Einkauf im Netz gemacht hätte. Bei der sicheren Verbindung zwischen unserem Hauscomputer und dem Wahl-Server werden, wenn ich das richtig verstanden habe, dann alle Daten mit dem öffentlichen Schlüssel des WahlServers verschlüsselt. Das funktionierte alles prima.
Theresa: Habe ich dich richtig verstanden, dass die ein asymmetrisches Kryptoverfahren zur Sicherung der Votenübertragung vom Rechner zu Hause zum Wahl-Server einsetzen?
Lena: So habe ich das jedenfalls verstanden. Im Gegensatz zur Urnenwahl habe ich sogar eine Bestätigung bekommen, dass meine Stimme gezählt wurde.
Clemens: Und du glaubst wirklich, die können dein Votum nicht auslesen, wenn sie dir eine Bestätigung schicken?
Lena: Mein Vater hat mir erklärt, dass der Wahl-Server die Daten zwar mit seinem geheimen Schlüssel entschlüsselt, aber an den Server niemand rankommt. Nachdem geprüft wurde, ob ich wählen darf und ob ich nicht schon einmal gewählt habe, ist der Stimmzettel ohne meine Signatur an so etwas wie eine elektronische Urne weitergeleitet und ausgezählt worden.
Theresa: Das habe ich auch gehört. Das Wahlamt kommt, selbst wenn es wollte, nicht an meine Stimme ran. Ist ja auch alles geprüft.
Matthias: Schöne Rede, Lena. Soll ich dir trotzdem sagen, was du gewählt hast?
Lena: Woher willst du das denn wissen?
Matthias: Ihr hängt wie wir am gleichen Powerline-Verteiler. Mit einem Sniffer habe ich heute den ganzen Kommunikationsverkehr mitgelesen.
Lena: Und was bringt das? Die Daten sind doch verschlüsselt.
Matthias: Stimmt, und an den geheimen Schlüssel des Wahl-Servers heranzukommen habe ich auch gar nicht erst versucht. Scheinbar hat aber der Konstrukteur des Wahlverfahrens nicht an einen viel einfacheren Angriff gedacht.
Clemens: Wie hast du es denn angestellt, um die Verschlüsselung zu knacken?
Matthias: Also, ich hatte den Stimmzettel, den konnte sich ja jeder besorgen. Was ich auch noch hatte, war der öffentliche Schlüssel des Wahl-Servers und das Verschlüsselungsverfahren, das für die Übertragung verwendet wird. Auf dem Stimmzettel gab es bei dieser Wahl sechs Möglichkeiten für die Abgabe der Erststimme und sechs für die Abgabe der Zweitstimme. Das macht 36 Möglichkeiten, einen gültigen Stimmzettel auszufüllen. Anschließend habe ich 36 verschlüsselte Stimmzettel erzeugt und mit dem ersten Teil der abgefangenen Datenpakete aus Lenas Kommunikation mit dem Wahl-Server verglichen. Voilà: Bei Nummer 21 hatte ich eine Übereinstimmung und wusste, was Lena gewählt hat.
Lena: Ich dachte, schon durch den Einsatz meines Signatur-Keys sei das Ganze sicher.
Clemens: Nein, das weiß sogar ich: Das verwendete Signaturverfahren lässt das unterschriebene Dokument unberührt. Die eigentliche Signatur wird dem Text nur beigefügt. Wenn das nicht so gewesen wäre, hätte Matthias Methode auch nicht funktioniert.
Matthias: Dann hätte ich mir halt was anderes einfallen lassen müssen ...
Um die Geschehnisse der fiktiven Online-Wahl 2010 wirklich bewerten zu können, muss man sich die fünf Wahlgrundsätze, die bei einer Wahl zwingend gelten, vor Augen führen:
-Allgemeine Wahl: Jeder Wahlberechtigte (und nur dieser) muss wählen können.
-Unmittelbare Wahl: Jedes abgegebene Votum wirkt sich unmittelbar auf das zu wählende Gremium aus.
-Freie Wahl: Es darf keinen Druck/Einfluss auf die Entscheidung vor oder während der Wahl geben.
-Gleiche Wahl: Jedes gültige abgegebene Votum hat den gleichen Wert.
-Geheime Wahl: Die Entscheidung des Wählers darf nie auf ihn zurückgeführt werden können.
Es hätte Matthias also nie möglich sein dürfen, das Votum von Lena aufzudecken. Die Anforderung der geheimen Wahl wird von Wahljuristen übrigens verstanden als geheim für immer, das heißt ohne jede Zeitbeschränkung. Dies ist eine extrem hohe Anforderung, die den Einsatz heute bekannter kryptographischer Mittel zur Sicherstellung dieser Anforderung ausschließt. Gängige kryptographische Verfahren gründen ihre Sicherheit auf schwer lösbare mathematische Problemstellungen, wie zum Beispiel die Zerlegung großer Zahlen in Primfaktoren. Dies ist in diesem Zusammenhang jedoch nicht ausreichend, denn künftige Entwicklungen wie zum Beispiel Quantencomputer könnten die Lösung solcher Problemstellungen stark vereinfachen und damit ermöglichen.
Allerdings ist es nicht wichtig, das eigentliche Wahlvotum geheim zu halten. Geheim bleiben muss nur, von wem ein Votum stammt beziehungsweise wen oder was eine Person gewählt hat.
In der geheimen Wahl in Verbindung mit der Anforderung, dass nur wahlberechtigte Bürger wählen dürfen, liegt so etwas wie ein kleines technisches Paradoxon. Einerseits muss man prüfen können, dass derjenige, der das Votum abgibt, auch wirklich wahlberechtigt ist, andererseits darf zu keiner Zeit eine Verbindung zwischen Wähler und Wahlvotum hergestellt werden können.
Deshalb muss das Ziel sein, die Prüfung der Wahlberechtigung und die Abgabe des Votums in einer technischen Lösung strikt voneinander zu trennen, so wie es heute bei der Urnenwahl der Fall ist.
Eine Möglichkeit, eine solche Trennung zu erreichen, ist, dass jeder Wähler vor der Wahl ein eindeutiges Merkmal erhält. Dieses Merkmal könnte ein Schlüsselpaar, bestehend aus einem geheimen (nur dem Wähler bekannten) und einem öffentlichen Schlüssel, sein. Man spricht in diesem Fall von einem digitalen Pseudonym, da es sich nach Zuteilung nicht mehr mit dem Empfänger in Verbindung bringen lässt. Insbesondere darf sich die ausgebende Stelle nur merken, ob ein Wahlberechtigter bereits ein Schlüsselpaar erhalten hat und welche gültigen öffentlichen Schlüssel existieren, nicht aber, welcher Schlüssel zu welchem Wähler passt. Eine Liste der gültigen öffentlichen Schlüssel (sie dient am Tag der Wahl zur Wahlberechtigungsprüfung) liegt dem zuständigen Wahllokal am Tag der Wahl vor und kann von jedem eingesehen werden.
Kommt ein Wähler nun in ein Wahllokal, wobei er jetzt nicht mehr auf das für ihn zuständige Wahllokal in seinem Wahlbezirk beschränkt ist, wird ihm nach Nennung des zuständigen Wahlbezirks sein Stimmzettel von einem Wahlgerät, das alle möglichen Stimmzettel vorhält, angezeigt. Der von ihm ausgefüllte Stimmzettel wird dann mit Hilfe des Pseudonyms signiert und anschließend zusammen mit seinem öffentlichen Schlüssel an ein Wahlgerät im zuständigen Wahllokal offen übertragen. Anhand des mitgesendeten öffentlichen Schlüssels und der in seinem zuständigen Wahllokal vorliegenden Liste der in diesem Wahlbezirk gültigen öffentlichen Schlüssel wird die Wahlberechtigung geprüft. Nur bei erfolgreicher Prüfung wird das Votum in die Stimmablage gelegt und der öffentliche Schlüssel als "hat gewählt" markiert.
Lediglich ein Verlust oder Diebstahl des Pseudonyms wäre problematisch. Denn da zu keiner Zeit eine Verbindung zwischen Pseu-donym und Wahlberechtigtem existieren darf (um die Anonymität der Wahl zu gewährleisten), sind Dinge wie ein Sperr-Management für Pseudonyme nicht möglich. (bi)
Markus Ullmann, Harald Kelter und Frank Koob* sind Mitarbeiter des Bundesamts für Informationssicherheit (BSI) in Bonn. Die Autoren geben in dem Artikel ihre Privatmeinung wieder.
AngeklicktDrei Mitarbeiter des Bundesamts für Informationssicherheit (BSI) in Bonn hat die Diskussion über Nutzen und Sicherheit von Online-Wahlen nicht ruhen lassen. In einem fingierten Szenario für das Jahr 2010 stellen sie zum einen eine scheinbare "Problemlösung" für künftige Online-Wahlen vor, die allerdings ein Knacken der Verschlüsselung erlauben würde, zum anderen aber auch ein Verfahren, das unter Einsatz von digitalen Pseudonymen funktionieren könnte, so jedenfall die private Vision dieser Sicherheitsspezialisten (siehe Autorenzeile).
AusblickDie vorgeschlagene Lösung bietet die Möglichkeit, von einem beliebigen Wahllokal aus zu wählen, und es scheint, dass die fünf Wahlgrundsätze gewahrt bleiben können.
Natürlich liegt der Schluss nahe, diese Lösung auch beim Wählen vom heimischen PC aus einsetzen zu wollen. Leider ist dies so nicht möglich. Denn derjenige, der den Datenverkehr abhört und weiß, von wo die Nachricht kam, kennt das Votum, das von dem entsprechenden Rechner abgeschickt wurde. Damit kann er dann Rückschlüsse auf das Votum der Personen ziehen, die von diesem Rechner aus gewählt haben können.
Aber selbst wenn diese Lösung mit entsprechenden Modifikationen geeignet wäre, um in der Zukunft - unter Einhaltung der hohen Anonymitätsanforderungen - einmal von zu Hause aus zu wählen - das Problem der DDoS-Angriffe bleibt bestehen.