Am Mittwoch war Probewahl in Langen und weil das gleich um die Ecke ist, bin ich mal vorbeigehuscht, um mich von der Sicherheit der Wahlcomputer zu überzeugen. Das wollte die Stadt Langen nämlich nach eigenem Bekunden mit dem Versuch erreichen. Dabei ging es allerdings nicht um IT-Sicherheit, sondern vielmehr um eine Beamte beim Wahljogging.
Das stört Bürgermeister Pitthan nicht, der in einer absurden Pressmitteilung flux verlautbaren ließ: „Die Wahlmaschinen arbeiten zu hundertprozent zuverlässig und sie sind sicher.” Das ist ungefähr so also ob ich einen Klempner rufe, um die Qualität meines Trinkwassers zu testen, der dann 20 Mal die Spülung drück und anschließend sagt – die Wasserversorgung arbeitet zuverlässig und ihr Wasser ist sicher. Im Hinblick auf IT-Sicherheit war die Wahlinszenierung ein echtes Possenstück, das tiefe Einblicke in die gelebte Demokratie erlaubt.
Zunächst aber kurz die wichtigsten Faktenlinks, die Sven mir dankenswerter Weise als Reiseproviant zusammengestellt hat – danke nochmal dafür:
Prüfbericht der Physikalisch-Technischen Bundesanstalt in Braunschweig
Aber zurück auf die Provinzbühne. Wer sich die Mühe machte, das Probewahllokal zu betreten – und das konnte jeder Bürger – der staunte nicht schlecht, denn direkt hinter der Wahlmaschine saßen die Männer mit herkömmlichen Wahlzetteln. Zitat aus der Pressemitteilung:
“Zuerst wurde der Stimmzettel per Hand ausgefüllt. Anschließend hat ein weiteres Mitglied des Wahlvorstandes nter Kontrolle einer Verwaltungsmitarbeiterin das Votum auf das Wahlgerät bertragen.”
Es handelte sich also weder um ein realitätsnahes Szenario, noch wurde auch nur irgendwie versucht, die Wahlcomputer zu manipulieren oder zu stören. Von einem Sicherheitstest kann also gar nicht die Rede sein.
Mathias Schindler, ein anwesender Wahlreporter, der gleichzeitig Wahlhelfer in Frankfurt Bornheim ist, beobachtete die Wahl von morgens sieben Uhr über den ganzen Tag. Er schilderte jedem Fernsehteam, das vorbeikam, bereitwillig warum die Wahlleitung gar keinen Sicherheitstest durchführen kann. Zum Beispiel weil die Wahlleitung keine Möglichkeit hat, vor der Wahl zu prüfen, ob es sich um eine zugelassene, nicht manipulierte Maschine handelt. Der Wahlvorstand kann nämlich nur an der Maschine eine Prüfsumme erzeugen und ablesen, die er dann mit einem Ausdruck an der Maschine und mit einer Kopie der amtlichen Prüfsummen vergleicht. Aber eine manipulierte Maschine würde, wenn man sie fragt, genau dieselben Informationen ausgeben. Das Sicherheitsproblem liegt einfach darin, dass der Wahlleiter vor Ort kein vertrauenswürdiges Gerät besitzt, mit dem sich der Zustand der Maschine überprüfen lässt. Der Kollege hatte noch weitere Details zu bemängeln- etwa dass es sich bei den Prüfsummen auf dem Gerät nicht um die Prüfsummen der Bauteile handele – aber davon werden wir wohl demnächst noch genauer bei Heise online lesen können.
Der Wahlleiter Herr Emrich gab übrigens offen Auskunft über alles, was man wissen wollte und verschwieg nichts. Er betonte jedoch vorwiegend die sichere Verwahrung der Maschine, wies darauf hin, dass sie alarmgesichert in einem speziellen Raum im Bürgerbüro aufbewahrt werde. Bei IT-Sicherheitsfragestellungen verwies er einfach auf übergeordnete Behörden. Die hätten das Gerät für gut befunden und darauf müsse er sich verlassen. Getestet wurde an diesem Tag eigentlich nur der Ablauf der elektronischen Wahl, was wie gesagt an Wahljogging erinnerte. Aber selbst der Prozess wurde nur unzureichend hinterfragt.
Was passiert zum Beispiel, wenn jemand einen Aufkleber auf die Maschine aufbringt, der den Wahlzettel verfälscht oder ein Chaot mit einem Edding das Gerät verziert. In der Vergangenheit wurde nur ein Stimmzettel ungültig. Wird dies aber bei der Wahl mit den Wahlcomputern nicht sofort bemerkt, lässt sich gar nicht nachvollziehen, wieviele Wähler den manipulierten Stimmzettel abgegeben haben.
Wahlleiter Emrich hatte auf diese kritischen Fragen keine wirkliche Antwort. Anbetracht möglicher Konsequenzen (Wahlwiederholung, Anfechtung, etc.) kann einem das Wahlpersonal nur leid tun, denn diese engagierten Leute dürfen es am Wahlabend ausbaden. Gezieltes Manipulieren einer Wahl ist vielleicht schwer, den Wahlprozess zu stören, kann aber ganz leicht sein. Andere Dinge kommen noch hinzu, etwa dass ältere Menschen, die mit Wahlhelfer wählen gehen, gar nicht prüfen können, ob der Helfer ihre Stimme so abgegeben hat, wie sie das wollten, weil es keinen Ausdruck gibt. Positiv lässt sich eigentlich nur erwähnen, dass eine versehentliche Falschabgabe oder Verwirkung der eigenen Stimme mit dem Wahlcomputer sicher besser verhindern lässt als mit herkömmlichen Stimmzetteln.
Geradezu grotesk mutet es jedoch an, dass es bei der Testwahl dennoch zu Ungereimtheiten kam, obwohl die Stimmen von einer Verwaltungsmitarbeiterin ja nur übertragen wurden. Einmal hatte ein Verwaltungsangestellter wohl einen Fehler gemacht. Welchen Fehler machen erst die Wähler, die nicht soviel üben durften – man darf gespannt sein.
January 11, 2008 at 20:02 |
Edding, auf die Idee bin ich ja noch gar nicht gekommen. Mit Edding könnte man zum Beispiel Wahlwerbung auf die Maschine schreiben. Wahlwerbung im Wahllokal ist außerordentlich verboten, da müsste der Wahlvorstand einschreiten. Ich glaube, wenn wir gründlich nachdenken, finden wir mehr Angriffsszenarien als Hessen Wahlmaschinen hat.
Über die globale Tagwolke habe ich übrigens noch ein Einmachglas mit einem Hinweis auf einen weiteren Beobachterbericht gefunden. Vielleicht seid Ihr Euch begegnet. Mit der Computerwahl in Hessen beschäftigt sich auch Internet und Politik: Landtagswahl 2.0: Wahlmaschinen in Hessen? und Wahlmaschinen vs. Wahlhelfer.
January 14, 2008 at 14:28 |
[...] schön auch der Bericht Pr/W ahltag – Schilda in Langen in dieser Sache aus dem Blog Erich sieht – Sicherheit anders: Das stört Bürgermeister Pitthan [...]
January 14, 2008 at 14:54 |
[...] weitere Weblogs von den Ereignissen in Langen: Erich sieht wähnte sich vergangenen Mittwoch in Schilda, Mathias Schindler skizziert detailreich das [...]
January 15, 2008 at 11:01 |
Die Testwahl und die Voodoo-Riten darum sollen dem Wähler einfach nur die Augen verkleistern.
Was wäre, wenn der Bankkunde der Bank bedingungslos Vertrauen schenken müsste? Der Kunde “zieht” Geld am Automat, bekommt keines und hat keine Möglichkeit das nachzuweisen?
Das Nedap-System ist schlicht nicht revisionsfähig und würde bei keiner Bank und keinem börsennotierten Unternehmen Einsatz finden. Und so, wie jetzt das Gerät sakrosankt als “sicher” bezeichnet wird, wird man später mit der Anfechtbarkeit künftiger Wahlen verfahren. “Das Gerät ist sicher, die Wahlen gültig” Punkt.
January 15, 2008 at 23:57 |
Nauplia schrieb:
Wenn ich es recht bedenke, dann muss der Bankkunde das tatsächlich. Die primären Aufzeichnungen führt die Bank, der Kunde hat also wenig in der Hand, solange es keinen von beiden Seiten akzeptierten Kontoauszug gibt. Beweisen kann er also wenig.
Angenommen, der Geldautomat spuckt tatsächlich nichts aus. Ein wohlerzogener Automat würde natürlich lieber abstürzen und dabei die Karte fressen, als so etwas zu tun. Aber falls es doch passieren sollte und der Automat dennoch eine Auszahlung verbucht, dann hat der Bankkunde erst mal ein Problem, denn er wird diesen Vorgang nicht beweisen können. Die Bank sollte selbstverständlich in der Lage sein, die Diskrepanz zwischen Buchung und Auszahlung dennoch zu erkennen, aber der Kunde hat nichts in der Hand. Die Revisionssicherheit kommt letztlich erst ins Spiel, wenn es tatsächlich eine Revision gibt, wenn also jemand ohne eigene Interessen unvoreingenommen alles prüft. Das aber wird man wegen des damit verbundenen Aufwandes vielleicht erst tun, wenn es handfeste Anhaltspunkte gibt, dass sich die Sache auch lohnt.
Bei den Banken ist das alles in Wirklichkeit nicht so kritisch, weil es viele davon gibt, zwischen denen der Kunde wählen kann, und weil eine Bank schnell ihren Ruf ruiniert, wenn ihr laufend das Geld ihrer Kunden wegkommt. Die Umgebung sorgt also dafür, dass die Bank ihre objektiv vorhandene Macht nicht ausnutzt.
Wahlen finden in einer anderen Umgebung statt. Sein Vaterland wechselt man nicht so einfach und auf Kontrollinstanzen innerhalb des Landes ist vielleicht kein Verlass mehr, wenn man sich ernsthaft um Wahlfälschungen sorgen muss. Vielleicht könnten die Fälscher ja auch den Revision unterdrücken. Mit Revisionsfähigkeit allein ist es deshalb bei Wahlmaschinen nicht getan. Die Revision muss nicht nur irgendwie, irgendwann unter bestimmten Bedingungen möglich sein, sondern jederzeit, und dazu darf nicht mehr erforderlich sein als die sorgfältige Beobachtung des Ablaufs durch gewöhnliche Bürger. Das halte ich für die zentrale Anforderung an Wahlverfahren und jede Einschränkung ist mir suspekt.
January 16, 2008 at 09:55 |
@Sven
der “wohlerzogene Automat” – vielleicht solltest Du mal ein Benimmbuch für Geldspucker schreiben. Mit der Höflichkeit verhält es sich ja wie mit der Sicherheit, man geht vom Idealzustand aus, wird aber oft enttäuscht. Du hast Recht damit, dass die Banken nur ihren Ruf wahren wollen, aber das bedeutet natürlich, dass die Geldautomatenservicesicherheit (schönes Langwort) den Regeln des Imageschadens folgt. Dabei handelt es sich ja eigentlich nur um eine moderne Form des Prinzips Ehre. Das funktioniert natürlich nur unter gleichrangigen und solange die Gruppe sich einig ist. Noch ist das der Fall, kann sich aber schnell ändern. Das mit dem Vaterland wechseln ist in der Tat etwas schwer, Staatsbürgerschaft ist aber möglich und in Zeiten der EU auch durchaus eine Option. Gibt es eigentlich europäische Vorschriften zu Wahlen und Wahlcomputern?
@Nauplia
Das mit der Revisionssicherheit ist ein guter Punkt. Die Banken machen das ja auch nicht prinzipiell für den Kunden, sondern für sich selbst, um den Prozess zu überwachen. Jeder Wahlleiter sollte also ein Eigeninteresse an dem Ding haben. Das war übrigens genau der Kritikpunkt des Heise-Reporters vor Ort.
January 16, 2008 at 10:21 |
Nachschlag:
Muss doch nochmal eine Grundsatzfrage stellen: Die Zulassung der Wahlcomputer überwacht ja die Physikalisch-technische Bundesanstalt in Braunschweig. Wie will die eigentlich die IT-Sicherheit von Geräten prüfen. Die Fachabteilungen können das nach den Infos auf der Website nicht wirklich kompetent sicherstellen, die IT-Kompetenz beschränkt sich auf Netzwerkverwaltung. Wäre mal interessant mit denen über Testmethoden zu schnacken.
January 17, 2008 at 15:57 |
[...] Beunruhigende Berichte von Matthias Schindler und Oliver Küch. [...]
January 22, 2008 at 15:14 |
Ich habe mir noch eine Portion Ahnung ergoogelt:
Prüfberichte der PTB sind hier zu finden, die zugrundeliegenden Richtlinien in einem Anhang der BWahlGV. Was der Bund zulässt, ist in Hessen automatisch auch zulässig.
January 23, 2008 at 21:03 |
Kann man mit den Wahlmaschinen eigentlich noch “ungültig” wählen?
Oben gezeigte Fotos sind leider nicht detailliert genug.
Auf einer der verlinkten Seiten wurde von der Verwaltung darauf hingewiesen, dass es immer so viele ungültige Stimmen gab.
Hat da vielleicht mal jemand drüber nachgedacht, ob das nicht Absicht war? Weil man sich bspw. nicht entscheiden konnte wen/ was man wählen sollte?
Habe ich diese Möglichkeit des Protestes – abgesehen von der Sinnhaftigkeit – nun nicht mehr?
January 24, 2008 at 17:37 |
[...] für jene Gemeinden, die Wahlcomputer einsetzen. Über seine Eindrücke von der Testwahl in Langen berichtete Oliver hier bereits. Warum »erfolgreiche« Testwahlen kein Anlass zur Entwarnung und [...]
January 28, 2008 at 12:59 |
@Malte
Ja, kann man wohl.
Und das ist gar nicht sinnlos, immerhin werden ungültige Stimmen NICHT zur Mehrheit gezählt – wie das bei nicht abgegebenen Stimmen der Fall ist.
Wenn ich also mit keiner Partei einverstanden bin, ist ja meine einzige Möglichkeit, dies effizient zu zeigen, ungültig zu wählen.
Dies habe ich auf einer anderen Seite gelesen:
Das Wählen funktioniert ganz ähnlich wie bei einer Wahl mit Stift und Papier: Man geht ins Wahllokal, muss sich dort ausweisen und wird im Wählerverzeichnis abgehakt. Der Wahlvorstand muss das Wahlgerät dann zunächst freischalten.
Dem Gerät liegt eine Folientastatur auf. Diese Folientastatur besteht aus 1.116 Folientasten. Die Bedienfläche muss im Vorfeld programmiert werden. Unter der Folie liegt sozusagen der Stimmzettel, wie man ihn von der Papierwahl her kennt.
Der Wähler macht sein Kreuzchen statt mit einem Stift nun dadurch, dass er auf eine Taste drückt. Wenn man sich verwählt hat, hat man die Möglichkeit zur Korrektur. Der Vorteil der Geräte: Man kann nicht mehr unbewusst ungültig wählen. Das Gerät weist nämlich auf Fehler hin. Der Wähler kann nur noch bewusst eine ungültige Stimme abgeben, dafür gibt es eine spezielle Taste.
Wenn der Wähler sich sicher ist, das Richtige eingegeben zu haben, drückt er auf die Taste „Stimmabgabe”. Das Gerät zeigt dann die gewählte Partei an, zum Beispiel: „Sie haben SPD gewählt.” Anschließend wird das Gerät automatisch gesperrt, bis der Wahlvorstand es erneut freischaltet.