E-Voting sollten wir nicht machen

In einem sehr aufrüttelnden Vortrag hielt Prof. Peter Purgathofer (TU-Wien) fest, warum wir auf E-Voting verzichten sollten.

Der Grund für die Einführung der Stimmabgabe via Internet liege in der sich reduzierenden Wahlbeteiligung bei sämtlichen Wahlgängen auf den unterschiedlichsten politischen Ebenen, lautet ein Pro-Argument für E-Voting. „Das E-Voting soll bei den nächsten ÖH-Wahlen möglich sein“, kündigt Wissenschaftsminister Dr. Johannes Hahn an.

„Im Oktober ließ Hahn die rechtliche Voraussetzung für den Einsatz des E-Votings bei der ÖH-Wahl 2009 per Erlass in der Hochschülerschaftswahlordnung festschreiben – gegen den Willen der ÖH“, greift die Futurezone des ORF in einem Artikel das aktuelle Thema auf.

Peter Purgathofer zu E-Voting

Peter Purgathofer vom Institut für Gestaltungs- und Wirkungsforschung (TU Wien) hielt bei der vom Verein accessible media organisierten Informationsveranstaltung A-Tag 08 – Die Zukunft ist heute einen Vortrag zum Thema „E-Voting“. Warum Wahlen „etwas Besonderes“ sind und warum bei E-Voting die Transparenz fehlen muss und daher Wahlen für die Wählerinnen und Wähler nicht mehr überprüfbar sind.

„Verzichten wir doch lieber auf E-Voting“, meint er zusammenfassend und erklärt diese Schlussfolgerung sehr eindringlich. Wir bringen hier einen Auszug seines Vortrags:

Guten Tag, grüß Gott! Ich darf Sie begrüßen, es ist mir eine Ehre noch einmal hier zu sein, ich freu mich! Mein Name ist Peter Purgathofer, ich bin vom Institut für Gestaltungs- und Wirkungsforschung der TU Wien. Ich wurde eingeladen, um über, natürlich in diesem Rahmen, über Accessibility zu reden. Ich werde aber nicht wahnsinnig viel über Accessibility reden. E-Voting ist ein Thema, das mir sehr am Herzen liegt und das sehr wichtig ist und der Großteil dieses Vortrags hat mit Accessibility relativ wenig zu tun und ich hoffe, Sie verzeihen mir diese Entführung. Ich denke, dass das eine sehr wichtige Geschichte ist und ich werde an den geeigneten Stellen auf die Accessibility zu sprechen kommen.

E-Voting ist zur Zeit ein heißes Thema

E-Voting ist zur Zeit ein Thema, das heiß ist, das heiß ist aus verschiedenen Gründen. Es ist ein Einsatzgebiet von Informations- und Kommunikationstechnologien in dem Spannungsfeld zwischen der Entwicklung der Technologie und der Entwicklung der Gesellschaft. Diese beiden Dinge passieren sehr parallel im Moment. Gesellschaft und Technologie entwickeln sich miteinander weiter oder auch gegeneinander manchmal, und da entstehen neue Spannungsfelder, Stichworte Copyright z.B. ist ganz ein heiß umstrittenes Spannungsfeld in dieser gemeinsamen Entwicklung oder auch die Privatsphäre, wie schon in der Einleitung angesprochen. Es gibt natürlich Gründe, warum E-Voting ein besonders heißes Thema ist. Ein Grund ist, dass E-Voting neue Formen der Mitbestimmung und Partizipation nahe legt. Wenn man über E-Voting nachdenkt, dann kommt man drauf, dass man unter Umständen wesentlich kostengünstiger und wesentlich direkter Demokratie betreiben könnte, würde E-Voting funktionieren.

Wahlbeteiligung ein Grund für E-Voting?

Eine Hoffnung, die mit E-Voting verbunden ist, ist die Wahlbeteiligung. Ich hab mir das jetzt für diesen Vortrag ein bisschen angeschaut. Eine Statistik der Wahlbeteiligung in 10-Jahres-Schritten zeigt, dass von 1945 bis 1975 die Wahlbeteiligung im großen und ganzen konstant war und ab dann absinkt. Wenn man jetzt in die Zukunft projiziert, dann kann man sagen, wenn das so weiter geht, dann kommen wir bald auf amerikanische Verhältnisse. Und eine Hoffnung, die mit dem E-Voting immer verbunden ist und interessanterweise glaube ich, eine der großen Fantasievorstellungen seitens der jetzigen Betreiber, ist eine Anhebung der Wahlbeteiligung. Gerade jetzt, wo darüber geredet wird, das für die nächsten ÖH-Wahlen einzusetzen. Bei ÖH-Wahlen ist die Wahlbeteiligung traditionell in der Gegend von 30 %, also Hochschülerschaftswahlen, ist das natürlich eine Geschichte, die zu starken Begehrlichkeiten hier führt.

E-Voting als Skandalfall in den Medien

Ebenfalls ein heißes Thema ist, weil es immer wieder als Skandalfall in die Medien kommt. Die amerikanischen Wahlen 2004 waren ein solcher Fall. Mehr oder weniger alle Wahlen in Europa, die seit dem, unter Zuhilfenahme von E-Voting durchgeführt wurden, haben immer unangenehme Schlagzeilen mit sich gebracht. In England, in Deutschland, in Holland, wo Wahlmaschinen überhaupt abgeschafft wurden, als Folge der Diskussion rund um deren Einsatz.

Um vielleicht ein kleines Beispiel zu bringen, Diebold ist einer der Hersteller von Wahlmaschinen. Man kann diese Wahlmaschinen mit kleinen Schlüsseln aufsperren, um auf die sensiblen Innenteile zuzugreifen. Diese Schlüssel wurden auf der Webseite von Diebold abgebildet, sodass man das Profil sehen konnte und den Schnitt des Schlüssels sehen konnte, und da braucht man noch nicht einmal diese Software, die vor ein paar Wochen durch die Medien gegeistert ist, wo man mit einem Foto des Schlüssels die Schlüssel reproduzieren kann, sondern man kann sich diesen Schlüssel einfach kaufen. Das sind nämlich dieselben Schlüssel, mit denen Sie Schreibtische auf- und zusperren oder die Minibars in Hotels auf- und zusperren. Da gibt’s Webseiten, wo man die kaufen kann. Diebold hat das dann geändert und hat so Zensurbalken über die Schlüssel auf die Webseite geklebt. Also wo jetzt das Profil, der Schnitt des Schlüssels mit einem schwarzen Balken überklebt ist, was nichts daran ändert, dass man die bei Office Environment-Shops, einem Online-Shop, kaufen kann, ungeschnitten, und selber schneiden kann.

E-Voting schafft Barrierefreiheit?

E-Voting ist auch deshalb ein heißes Thema, weil es eine Initiative von unserem Wissenschaftsminister Gio Hahn war, oder noch immer ist, der also nicht nur E-Voting im Sinne von, wir stellen uns an ein Gerät und wählen, sondern noch einen Schritt weiter, E-Voting im Sinne von, wir wählen über den Computer, den wir zu Hause haben, über das Internet. Diese Initiative ist natürlich nicht auf den Minister Hahn beschränkt, auch die junge ÖVP hat schon mit der richtigen Wahl, die junge ÖVP fordert E-Voting mit eingängigen Grafiken von jungen Menschen, die im Bett liegen und einen Computer/einen Laptop am Schoß haben, geworben. Eine der Visionen, die sich mit Internet oder E-Voting verbindet und natürlich spezifisch mit der Variante, mit dem eigenen Equipment zu wählen, ist die Barrierefreiheit. Das ist das Setup in Estland. In Estland wurde so gewählt, zumindest ein Teil der Wählerinnen und Wähler in Estland hat über das Internet gewählt und das war das Setup. Da bekam man so einen Kartenleser, den konnte man an beliebige Computer anschließen, eine Software/eine Karte, die man da hineingesteckt hat, und dann konnte man online wählen. Also wäre es hier möglich, eigenes Equipment zu verwenden, was weiß ich, Braille-Reader, Braille-Tastaturen, dann wäre das sicher ein großer Fortschritt.

Wahlen sind etwas ganz besonderes

Vielleicht als letzter Punkt der Einleitung, Wahlen sind, und das darf man nicht vergessen, in einer Demokratie etwas ganz besonderes. Sie sind mehr als nur ein weiterer Bestandteil einer Demokratie. Wahlen sind in einer Demokratie das, was wir in der IT-Sicherheit ein Single Point of Failure nennen. Ein Single Point of Failure ist ein Punkt, an dem man ein System angreift und es komplett aushebeln kann. Gelingt es uns, die Wahlen in einer Demokratie auszuhebeln, die Wahlen zu unterwandern, das Wahlsystem zu unterlaufen, zu verändern, zu manipulieren, dann haben wir den Rest der Demokratie in der Tasche. Wir können uns eine bequeme absolute Mehrheit schaffen und aus dieser absoluten Mehrheit heraus, nahezu alles, was in einer Demokratie so passieren darf, kontrollieren. Da gibt es nur noch wenig, was uns stoppt. Also E-Voting: Ich möchte vielleicht vorweg schicken als full disclosure an dieser Stelle, ich bin der Meinung, E-Voting sollte ein no-go sein, wir sollten E-Voting nicht vorantreiben. Wir sollten es nicht machen, wir sollten es sein lassen und es wird sich herausstellen, was für Konsequenzen es hat, denn natürlich wird es hier und da probiert werden. Also ich bin dieser Meinung. Und ich möchte diese Meinung im Folgenden anhand von drei Argumenten begründen:

Prinzipen einer Wahl

Nummer Eins: Die Prinzipien, denen eine Wahl in einer Demokratie gehorchen muss, damit sie eine freie Wahl ist, eine Wahl in einer freien Demokratie ist, eine Wahl hat

• frei zu sein, sie hat
• gleich zu sein, sie hat
• geheim zu sein, sie hat
• sicher zu sein und sie hat
• transparent zu sein.

Das sind fünf Kriterien, über die man sich relativ einig ist.

• Also freie Wahl, jeder darf wählen gehen, der wahlberechtigt ist.
• Sie ist gleich, jeder hat eine Stimme und jede Stimme ist ein Mensch.
• Sie ist geheim, ich darf meine Stimme so abgeben, dass niemand mich sieht und ich muss meine Meinung auch nie sagen.
• Sie ist sicher, sie ist so organisiert, dass sie nicht unterlaufen werden kann und sie sollte so organisiert sein, und das ist vielleicht ein ganz wichtiger Punkt,
• sie sollte so organisiert sein, dass jeder nachvollziehen kann, dass nicht manipuliert wurde und das hat einen sehr guten Grund.

Denn fragen wir uns, wer organisiert denn eine Wahl?

Gewinner organisiert nächste Wahl

Eine Wahl, ich vereinfache hier bewusst, wird im Normalfall vom Gewinner der vorigen Wahl organisiert und abgehalten, und dieser Gewinner der vorigen Wahl hat natürlich ein durchaus nachweisbares Interesse an einer Manipulation dieser Wahl. Das heißt nicht, dass das auch passiert. Es gibt ein Interesse, sagen wir vielleicht lieber, es gibt einen Interessenskonflikt. Dieser Interessenskonflikt bedeutet auf der einen Seite die Abhaltung fairer und demokratischer Wahlen, weil das Gesetz ist, weil sich das so gehört, wir sind in einer Demokratie usw., und auf der anderen Seite die Möglichkeit als derjenige, der sie organisiert und abhält, die Wahl, den eigenen Machterhalt durch Manipulation zu sichern.

Verein paranoider Supermarktkassierer

Und wie ist es heute geregelt, dass das nicht möglich ist, denn es passiert bei uns defacto nicht: durch Transparenz und diese Transparenz wird erreicht durch Einfachheit. Wahlen sind heute so organisiert, dass alles, was im Rahmen der Wahl von Beginn bis zum Schluss passiert, für jeden verständlich ist. Ich bring da gern das Beispiel von einem fiktiven Verein paranoider Supermarktkassierer und –kassiererinnen. Die sind der Meinung, es geht in unserer Demokratie nicht mit rechten Dingen zu und möchten daher sicherstellen, dass eine Wahl gut abläuft. Wir werden auf diesen Verein noch treffen.

Also, wie läuft eine Wahl heute ab?

• Schritt 1, die Wahl beginnt vorher, aber sagen wir, Schritt 1: Die Wahlurnen werden versiegelt.
• Schritt 2: Wähler und Wählerinnen kommen, stellen sich in diese Wahlzelle, füllen ihre Stimmzettel aus, stecken die in Kuverts, kleben diese Kuverts zu und werfen die Kuverts in die Wahlurne ein.
• An irgend einem Zeitpunkt schließt das Wahllokal,
• die Wahlurnen werden in einem kontrollierten Rahmen geöffnet,
• die Stimmen werden aus den Kuverts genommen, gezählt und
• das Ergebnis wird an eine Zentrale übermittelt.

Man kann zuschauen

Das wunderschöne an diesem Vorgehen ist, dass jeder einzelne dieser Schritte so transparent ist, dass man zuschauen kann. Tatsächlich, in guten Demokratien, und Österreich ist fast eine, kann man auch bei jedem dieser Schritte zuschauen. In guten Demokratien darf ich dabei sein, ich als irgendjemand, der nur hinkommt und sagt, das interessiert mich, wie ist denn das, ich möchte schauen. Jetzt kommt, nehmen wir diesen Verein der paranoiden Supermarktkassierer und –kassiererinnen und die sagen, „das geht nicht mit rechten Dingen zu“ und beschließen, die Wahl zu überwachen. Sie können auch bei uns kommen und bei der Versiegelungen der Wahlurnen zuschauen, um z.B. zu verhindern, dass dieses berühmte Ballot-Stuffing, das Bereitstellen halbvoller oder ganz voller Urnen passiert. Das kann man aber leicht überprüfen, denn man kann hineinschauen in diese Wahlurne und dann wird sie zugemacht und dann kann man sich sicher sein, dass nichts drinnen ist. Sie dürfen auch zuschauen, wenn die Wählerinnen und Wähler ihre Kuverts einwerfen, wenn das Wahllokal schließt. Bei uns leider nicht, aber in Deutschland, wenn die Wahlurnen geöffnet werden und die Stimmen gezählt werden und das Ergebnis an die Zentrale übermittelt wird. Alles das sind Vorgänge, die so einfach sind, dass sie auch für Mitglieder des Vereins der paranoiden Supermarktkassierer und –kassiererinnen verständlich und nachvollziehbar ist, sodass jedes Mitglied nach dieser Wahl zurückgehen kann, sich mit den anderen treffen und sagen: „In dem Wahllokal, wo ich zugeschaut habe, wurde nicht manipuliert und das kann ich mit 100%-iger Sicherheit sagen, denn ich verstehe alles, was da passiert.“ Mit einer Ausnahme natürlich: dieses Ausfüllen der Stimmzettel passiert an einem Ort, wo die nicht zuschauen dürfen, und das ist eigentlich auch sehr nachvollziehbar und einfach gemacht, sodass man das verstehen kann.

Jetzt schalten wir zu E-Voting

Üblicherweise ist der Ablauf ein folgender:

• vor der Wahl werden die Wahlgeräte verifiziert von irgend einer Zertifizierungsstelle und aufbewahrt,
• dann werden sie geliefert an das Wahllokal. Sie werden dort eingeschaltet, üblicherweise läuft ein Selbsttest, der dann auf dem Bildschirm oder auf einem Streifen Papier erklärt, dass das Gerät nicht manipuliert wurde.
• Die WählerInnen geben eine Stimme am Gerät ab und wie John Hodgeman es formuliert hat: „… und dann passieren damit Dinge“, „Computer: Things happen.
• Das Wahllokal schließt,
• der Wahlleiter/die Wahlleiterin geht zu diesem Gerät, bringt es in einen Ergebnismodus, kriegt das Ergebnis wahlweise auf einer Speicherkarte/auf einem USB-Stick, auf einem Datenträger oder direkt per Internet und übermittelt es an die Zentrale.

Und das sind Dinge, wo der Verein der paranoiden Supermarkt-Kassiererinnen und –kassierer, der fiktiv ist, nicht zuschauen kann.

Sie werden nichts verstehen

Natürlich können Sie zuschauen, aber Sie werden nichts davon verstehen. Sie werden auch nicht verstehen, nicht einmal ich werde verstehen, was in diesem Gerät abläuft. Ich bin gestandener Informatiker, ich hab viele Jahre studiert, ich würde mich auskennen, gäbe es eine Chance, zuzuschauen. Die gibt es aber nicht, und aus gutem Grund, denn in dem Moment, wo es die Chance, zuzuschauen gibt, ist es mit der Privatsphäre der Wählerinnen und Wähler dahin. Das heißt, wenn wir ein System schaffen, wo ich zuschauen kann, dass alles mit richtigen Dingen zugeht, dann ist das Wahlgeheimnis kaputt. Abgesehen davon, dass wir weit davon entfernt sind, solche Systeme zu schaffen.

Wir haben keine Chance der Überprüfung

Also diese Transparenz wird von E-Voting-Systemen ganz effektiv zerstört und stattdessen erwartet man von uns Vertrauen. D.h. dieses Gerät wurde von dieser und jener Stelle zertifiziert, wurde seitdem nicht mehr angerührt und hier steht es jetzt und es ist korrekt. Dieser Aussage müssen wir vertrauen. Wir haben keine Chance der Überprüfung, wir müssen ihr vertrauen. Und die Frage ist natürlich, ob dieses Vertrauen gerechtfertigt ist.

Da kriegt man dann so eine Karte, die hier auf dem Bild, das ist eine Voter-Access-Card, das ist so eine Chipkarte wie die Bankomatkarte oder die E-Card und wir wissen aber nicht, was da drauf ist. Ist da vielleicht heimlich ein Spion drauf? Vielleicht steht da unser Name drauf, sodass, wenn wir es in ein Gerät stecken, irgend ein undokumentierter Teil des Geräts unseren Namen zusammen mit der abgegebenen Stimme aufbewahrt.

Gibt’s da drinnen einen Spion?

Das ist ein Diebold-Touch-Screen-Wahlsystem. Gibt’s da drin einen Spion, der meine Stimmen verändert? Ich weiß ja nicht, was da drinnen passiert. Ich gebe da meine Stimme virtuell ab und die wird gespeichert, aber was ist, wenn jede zehnte Stimme, jede zwölfte Stimme einfach umgekippt wird. Es gibt hier dazu sogar das zugegebene fragwürdige Geständnis eines Mitarbeiters einer Firma, die solche Geräte macht, der wurde gekündigt und hat dann „ausgepackt“ und hat erklärt, dass er aufgefordert wurde, solche Manipulationsmöglichkeiten zumindest vorzusehen. Oder dieses Setup beim Zu-Hause-E-Voting. Da hab ich dieses Lesegerät und den Computer. Wer sagt mir, dass in diesem Lesegerät nicht irgend eine Technologie ist, die mein Wahlgeheimnis unterläuft? Tatsächlich auf heise.de vor ein paar Wochen, ich weiß nicht, ob sie es mitbekommen haben, aber Kartenleser für Kreditkarten, also Kreditkartenleser, die in Geschäften eingesetzt wurden, da hat man vor kurzem entdeckt, dass die mit einem kleinen Zusatzgerät aus dem Herstellungsland irgendwo in Fernost-Asien ausgeliefert wurden, dass so jede zehnte oder zwölfte Kreditkartennummer sammelt und diese nach Geschäftsschluss per Handy-Verbindung raustelefoniert. Und davon wusste niemand etwas. Das wurde entdeckt durch einen Nachtwächter, der in der Nacht durch das Geschäft gegangen ist und wie er an diesem Gerät vorbeigeht, fängt sein Handy so zu piepsen an, weil dieses Gerät gerade eine Verbindung aufbaut. Dem war das unheimlich und er hat gesagt, was ist da los. Dann haben de das aufgemacht und haben das da drinnen gefunden. Das ist also keine lustige Aprilscherz-Meldung, das ist ganz echt. Also wir können gar nicht wissen, ist das sicher, dieser Kartenleser oder unser Computer. Ein Viertel aller Privatrechner sind von Schadsoftware befallen. Ein guter Teil dieser Schadsoftware sind Keylogger. Diese Keylogger sind ein ideales Mittel, um unser Wahlgeheimnis zu unterlaufen und ich kann Ihnen sage, Sie können diese Keylogger-Leistung bei Hackern kaufen. Sie können zu Hackern gehen, die sitzen im europäischen Kontext bevorzugt im Osten, das ist so eine Geschichte, die man nicht leugnen kann, und dort können Sie Keylogger-Leistung kaufen. Sie können sagen, 20.000 Computer, vier Tage lang das Ergebnis des Keyloggings, das kauf ich jetzt und dann bekommen Sie das.

Das ist illegal, aber Sie können es kaufen.

Also ein Viertel aller Privatrechner haben in diesem Kontext, ohne es zu wissen, kein Wahlgeheimnis mehr. Und die Frage ist: kann man das umkehren, kann man manipulieren mit solcher Schadsoftware? Und natürlich muss auch das Schlagwort der Online-Durchsuchung hier her. Die Online-Durchsuchung, gefordert von den Ermittlungsbehörden, als eine legale Möglichkeit, genau diese Software auf unsere Computer zu bekommen, sodass ich im behördlichen Auftrag das Wahlgeheimnis unterwandern kann, ohne dass jemand davon etwas merkt. Und schließlich diese Wahlmaschinen, die andere Methode, elektronisch zu wählen, bei diesen Geräten, wo man hingeht. Und ich zeig Ihnen jetzt ganz kurz einen Fall von einem tatsächlichen stattgefundenen Spionagefall, allerdings nur zu Demonstrationszwecken. Das ist die Maschine, die es in Holland nicht mehr gibt. Da wurden, glaub ich, 17.000 Stück gekauft in Holland, die sind alle auf dem Müll gelandet oder weiterverkauft worden, weil niemand mehr sie dort verwenden will und warum. Weil man festgestellt hat, dass, wenn ein Wähler zu dieser Maschine hingeht und dort seine Stimme eingibt, dass das ein Signal erzeugt, ein nicht genügend abgeschirmtes Signal nach außen, dass man mit einem Empfänger von außerhalb des Gebäudes auffangen kann und entsprechend interpretieren, sodass man sehen kann, was der Mensch, der gerade an diesem Gerät steht, wählt, jetzt. Davon ist es nur ein ganz kleiner Schritt hin zum Ende des Wahlgeheimnisses. Also, das ist einer dieser Spione. „The signal can be received from a distance up to 70 feet, 25 meters.“ 25 Meter, sie brauchen also nicht einmal daneben stehen. Und da kommen die jetzt und sagen, habt doch Vertrauen in diese Geräte, ihr braucht sie, wir brauchen die Transparenz nicht mehr. Die Geräte haben irgend welche unspezifizierten Vorteile und bitte habt jetzt Vertrauen.

Trust-no-one

Und jetzt kommt der Punkt: in der IT-Security sprechen wir von den richtig guten Systemen als Trust-no-one-Systemen (TNO-Systemen), ein Begriff von Steve Gibson, einer der großen Security-Gurus, der alten großen Security-Männer. Also, der sagt, „trust no one!“, und was ist der Kern von „trust no one? Der Kern von „trust no one“ ist Transparenz, einer der Kerne. Also, Systeme, die nicht transparent sind, denen vertrauen wir nicht, denn wir können ihnen nicht vertrauen. Wir wissen ja nicht, ob wir es können und da geht es gar nicht um reale Gefahren. Da geht es tatsächlich nur um den Vertrauensverlust, der hier entsteht. Also wenn wir von E-Voting reden und da gibt es in Frankreich, da war eine Wahl unter Einsatz von E-Voting, und da haben sie nachher mit den Menschen gesprochen und ein Pensionist, Pierre Bascoulergue, ich kann nicht Französisch, hat gesagt: „I just don’t trust these machines. Warum auch, her hat keinen Grund und genau das, ganz egal, ob jetzt manipuliert wurde oder nicht, genau das ist einer der Gründe, warum die Wahl in den USA 2004 von vielen Menschen bis heute als nicht sauber abgelaufen bezeichnet wird. Sie können danach googeln, Sie finden genug Webseiten, die Ihnen erklären, warum die Wahl 2004 in den USA nachweisbar manipuliert wurde. Ob diese Nachweise jetzt stimmen oder nicht, ist nicht wichtig. Wichtig ist, dass es keinen Beweis dafür gibt, dass es nicht passiert ist, weil die Transparenz fehlt. Und als Kirsche oben auf dem Kuchen, das ist Klaus Brunnstein, der war Präsident der International Federation of Information Processing, einer der größten Berufsverbände der Informatik. Der hat öffentlich geäußert, er ist der Meinung, bei den Wahlen 2004 in den USA wurde betrogen, der eigentliche Präsident müsste John Kerry heißen.

Ich habe kein Vertrauen

Und in diesem Klima wird von uns verlangt, Vertrauen zu dieser Technologie zu haben, die also ohne Transparenz auskommt. Da sage ich nein, habe ich kein Vertrauen und das alleine wäre schon Grund für mich, um zu sagen, E-Voting sollten wir nicht machen. Aber es gibt noch einen zweiten Grund. Dieser zweite Grund liegt in der Art und Weise, wie das da so funktioniert. Der Hintergrund zu E-Voting, der theoretisch-mathematische Hintergrund ist Kryptographie, die Wissenschaft von der Verschlüsselung. Also E-Voting ist eine Anwendung der Kryptographie. Die schaut ungefähr so aus. Das sind jetzt so Briefkuverte und Dinge, die man in die Brief-Kuverte hineinsteckt und Stempel. Das ist gar nicht wichtig, wie das tatsächlich funktioniert. Das ist eine ganz gute metaphorische Darstellung dessen, wie das funktioniert. Das Interessante ist, dass das von der kryptographischen Seite her vollkommen wasserdicht ist. Sie können zeigen, dass ein System, dass nach diesem Prinzip operiert, wirklich absolut sicher ist. Und damit haben wir den Papierwahlen etwas voraus, die sind nämlich nicht absolut sicher. Da gibt’s schon natürlich ein Manipulationsrisiko.

Software hat Fehler

Die Frage ist aber jetzt, ob das korrekt implementiert wurde. Was ist, wenn diese absolut sauberen und brauchbaren kryptographischen Methoden nicht richtig implementiert wurden. Software-Experten sind sich laut Wikipedia.de darüber einig, dass praktisch jedes nicht-triviale Programm Fehler enthält. Das wissen wir auch. „Software is buggy!“ Das ist ein akzeptierter Fact heute, wir wissen, dass Software Fehler hat, immer. Wir werden sie nicht wegkriegen. „It is often considered impossible to write completely bug free software of any real complexity.“ Also die Frage der korrekten Implementierung muss man an der Stelle schon einmal sagen, natürlich nicht. Die Frage ist nur, haben diese Bugs eine Auswirkung? Übrigens ist wieder dasselbe, Klaus Brunnstein der sagt, das kann man auch beweisen. Es gibt einen formalen Beweis dafür, dass es keine korrekten Programme über eine gewisse Komplexität gibt, keine Technologie, die absolut wasserdicht ist. Was sind die Folgen davon: in 95 % der Fälle sind die Folgen davon genau nix. Denn 95 % der Bugs treten nie zu Tage, werden nie gefunden, werden nie aktiv. Die schlafen so vor sich hin. In irgend welchen extremen Sonderfällen würden die vielleicht, aber die treten nie auf. Und wenn die auftreten, dann macht man es noch einmal, dann ist der Sonderfall weg. Aber natürlich aus Betrachtungsweise der IT-Security muss man sagen, zumindest nichts Auffälliges. Denn jeder Bug ist zumindest potentiell eine Sicherheitslücke. Jeder Bug, der sich in einer Software befindet, wird sie von jemand „mit schwarzem Hut“, bei uns sagt man, die Hacker haben einen schwarzen Hut, wenn sie böswillig sind, wird sie von jemand mit schwarzem Hut gefunden, ist das die Möglichkeit, ein Gerät zum Absturz zu bringen, von außen mitzuhören, mitzuloggen, einzudringen, zu übernehmen.

Schreckensszenario für jedes dieser Geräte

Das ist natürlich das Schreckensszenario für jedes dieser Geräte. Und, wie gesagt, das ist beweisbar und es ist nicht nur beweisbar, es ist auch schon passiert. So hat z.B. Ariel Feldmann, Alex Holderman und Edward Felton eine Software gemacht, die sie Vote Steeling Control Panel genannt haben. Diese Software hat sich mehr oder weniger von selber über einen Update-Mechanismus von Wahlmaschine zu Wahlmaschine verbreitet und einmal eingestellt, hat sie alle Wahlen auf diesen Maschinen verfälscht. Und da konnte man vorher einstellen, wer soll wie viele Prozent der Stimmen haben und genau das war nachher das Ergebnis. Die Software hat sich nach der Wahl gelöscht, sodass sie nachher nicht mehr nachweisbar war und sie hat alle Spuren ihrer Existenz aus den verschiedenen Protokollen in dieser Maschine gelöscht. Tatsächlich nicht mehr nachweisbar. Die Maschine war nach der Wahl ident zu vor der Wahl ohne diese Schadsoftware.

Oder, auch schön zu sehen in dem Film „hacking democracy, der von HBO produziert wurde, der zeigt, wie diese Scan-Maschinen, wo man die ausgefüllten Zettel hineinlegt, um sie zu scannen, wie man die ebenfalls auf dieser breiten Basis hacken kann, um die Wahl zu verändern. Und diese Art von Unsicherheit ist nur ein Aspekt. Wir wissen, „irren ist menschlich“, „für richtige Katastrophen brauchen wir den Computer“, ist der Rest, wissen wir schon und wenn wir uns die Wahlfälle der letzten Jahre anschauen, dann stellen wir fest, dass unglaubliche Dinge rund um Wahlen passieren. Edward Felton beschreibt z.B., dass er zufällig an Wahlmaschinen, die auf dem Gang herumgestanden sind, vorbeigekommen ist, er hat gar nicht gewusst, dass das Haus, in dem er ist, ein Gebäude sein wird, in dem die Wahl stattfindet, aber das war offenbar so und die Wahlmaschinen sind unbeaufsichtigt am Gang herumgestanden. Eine Einladung zur Manipulation quasi.

E-Voting kann nicht korrekt implementiert werden

Das alleine wäre ein Grund genug für mich zu sagen: Verzichten wir doch lieber auf E-Voting. Es gibt aber noch einen dritten Grund. Und der ist für mich eigentlich der Erschreckendste. In der IT-Security, um noch einen letzten Begriff einzuführen, unter dem Begriffspaar gibt es den Begriff von Retail-Fraud und Wholesale-Fraud. Fraud ist Betrug und Retail-Fraud ist Betrug sozusagen im Einzelnen, also beispielsweise eine Bank. Ein Bankraub ist Retail-Fraud. Das ist jetzt eine Metapher, weil Retail-Fraud ist ein Begriff aus der IT-Security. Wenn jemand in einer Bank arbeitet und dort so einen Weg gefunden hat, um aus der Kassa am Ende des Tages einen 100-Euro-Schein zu entfernen, um den mit nach Hause zu nehmen, ist das Retail-Fraud. Und Wholesale-Fraud wäre jetzt nicht eine Bank auszurauben oder an einem Arbeitsplatz betrügerisch tätig zu sein, sondern die ganze Bank, sagen wir die Erste zu betrügen, als ganzes oder eine ganze Marktwirtschaft zu betrügen. Ein berühmtes Beispiel aus der Vergangenheit ist dieses: sie hatten ÖS, also österreichische Schilling, noch 1.416,30 auf ihrem Konto und bekamen 2 3/8% Zinsen draufgerechnet und wenn Sie das ausrechnen kommen 1.449,93713 ÖS dabei heraus. Banken waren bekannt dafür, dass diese 713 Hundertstel Groschen dabei abgeschnitten werden und in den Mistkübel fallen, den Mistkübel, den dann natürlich nicht die Putzfrau leert, sondern der der Bank als Vermögen zugute kommt. Und das hat ein Mitarbeiter entdeckt in der EDV und hat die Software so geändert, dass diese 713 Hundertstel Groschen auf sein Konto überwiesen werden. Nein, es sind 713 Tausendstel Groschen, Entschuldigung. Und dieses Konto hat sich in unglaublicher Geschwindigkeit gefüllt, er war selber baff, er war ganz schnell Millionär. Nach einem halben Jahr wurde er entdeckt, gefeuert und alles wieder weggenommen usw., aber das ist Wholesale-Fraud und Sie merken schon, Wholesale-Fraud ist mit rein menschlicher Beteiligung unglaublich schwierig, aber mit Computern wird es leichter.

Und bei Wahlen?

So, jetzt schauen wir uns an, die Papierwahl, wie ist das mit Retail-Fraud, bei der Papierwahl. Sie sind jetzt im Wahllokal, Sie sind eine Wahlkommission, die dort sitzt, die aus irgend welchen zufälligen Gründen, sich einig ist, dass das Wahlergebnis, dass dem nachgeholfen werden muss und jedes Mal, wenn grad gar niemand da ist, füllen Sie schnell 2, 3 Wahlzettel aus, stecken Sie in Kuverte und stopfen sie in die Wahlurne. Das ist machbar, aber es ist schwierig. Die Art und Weise, wie Wahlen gemacht sind, sorgen dafür, dass es schwierig ist, zumindest bei uns, unter kontrollierten Bedingungen, Wahlbetrug auf der Ebene des Retail-Frauds durchzuführen. Wholesale-Fraud ist bei uns zumindest unmöglich geworden. Es gibt viele Gründe, warum das unmöglich ist, ein wesentlicher Grund ist die Transparenz unseres Wahlsystems. Sagen wir, es ist nicht ganz unmöglich, es ist unmöglich, ohne Verdacht zu erregen. Es gibt immer wieder Fälle von Wahlbetrug, die aber auffliegen, weil z.B. 46 Kolaborateure notwendig waren und irgend einem gehen die Muffen und er petzt. Wie schaut’s jetzt bei E-Voting aus? Retail-Fraud ist bei der Papierwahl, war Retail-Fraud machbar aber schwierig. Beim E-Voting ist es recht einfach, das stimmt eigentlich nicht. Es ist jetzt recht einfach. Wenn man sich die Wahlberichte anschaut, der Chaos-Computer-Club in Deutschland hat die Wahl in Brandenburg beobachtet, hat einen sehr langen Bericht abgegeben, was da alles schief gegangen ist und es stellt sich heraus, sehr oft kennen sich die Leute mit den Wahlcomputern nicht aus und dann kommt ein hilfreicher Mitarbeiter mit hinein in die Wahlzelle und hilft ihnen mit dem Wahlcomputer. An dieser Stelle ist Wahlbetrug sehr einfach. Oder die Geschichte mit dem Stift in Hamburg, also da gibt’s recht haarsträubende Geschichten, aber das ist in Wirklichkeit etwas temporäres. Das hängt mit unserer niedrigen Literacy in Bezug auf diese Technologien zusammen. Würde man das durchsetzen, wäre das ganz schnell vorbei. Jeder würde sich auskennen, die Technologien wären besser, aber das erschreckende ist, dass Wholesale-Fraud möglich wird, ohne Verdacht zu erregen. Wir haben das gesehen bei diesem Vote Steeling Control Panel. Das war nur ein Proof of Concept, eine Software, die zeigen sollte, dass es geht, aber wir haben es gesehen, es ist möglich, Wahlen auf einem systematischen Level, diese Wahlmaschinen werden im ganzen Land eingesetzt und wenn es mir gelingt, die Maschinen oder den Mechanismus beim Internet-Wählen zu manipulieren, ohne dass es jemand merkt, dann habe ich die gesamte Wahl in der Tasche, als einzelne Person brauch ich keine Kolaborateure, niemanden. Also ohne Verdacht zu erregen, da kann man jetzt über statistische Analysen reden, man kann Wahlen so manipulieren, dass die Exit Polls in keinem Widerspruch zum Wahlergebnis stehen usw. also E-Voting öffnet die Tür, die bis jetzt zu war in unserem Wahlsystem, für Wholesale-Fraud. Und das ist der dritte Grund, warum ich sage, verzichten wir.

Wahlen sind in eine Demokratie ein Single Point of Failure

Also Wahlen sind in eine Demokratie ein Single Point of Failure, sie sind von entscheidender, strategischer Wichtigkeit, dass sie unkompromittiert und echt sind: Daher E-Voting als eine Entwicklung, die die Transparenz zerstört, die beweisbar unsicher ist und die systemweite Manipulation ermöglicht, ohne Verdacht zu erregen und ohne Spuren zu hinterlassen, sollte etwas sein, was wir einfach nicht tun. Wenn sie ein bisschen interessiert dran sind, es gibt diese Webseite papierwahl.at, an der ich ein bisschen beteiligt bin als gelegentlicher Autor, wo solche Dinge diskutiert werden. So, und jetzt ist genau das passiert, was ich am Anfang angekündigt habe, ich habe nämlich fast nicht über Barrierefreiheit gesprochen. Das ist nämlich das traurige Opfer am Straßenrand dieser Geschichte. Wenn wir uns aber drauf einigen, dass E-Voting etwas ist, was wir nicht tun, dann gibt es vielleicht andere Fragestellungen, denen wir uns konzentriert widmen können und die bis heute einfach nicht im Mittelpunkt gestanden sind. Wie könnte denn Trust-No-One-Papierwahl tatsächlich aussehen? Wie könnten wir vielleicht sogar an manchen Stellen Technologien einsetzen, um Trust-No-One, das Prinzip noch weiter zu treiben, um die Transparenz von Wahlen zu erhöhen? Wie könnten wir Barrierefreiheit bei Papierwahlen herstellen und zwar diskriminierungsfreie Barrierefreiheit? Wir wollen natürlich nicht, dass jemand sagt: „Bitte, ich brauche einen Blindenstimmzettel“ und dann ist ganz klar, dass der einzige Blindenstimmzettel, von wem der in diesem Wahllokal war, sondern wir wollen diskriminierungsfreie Papierwahlen und ich glaube, dass das kein unmögliches Ding ist.