Blauäugig

Sichere Elektrowahlen sind doch ganz einfach. Das glaubt zumindest der Autor eines Leserbriefes in der aktuellen CACM. Man müsse nur sieben Regeln einhalten und schon könne man mit Wahlsoftware-CD und Onion Routing kostengünstig demokratieren. Die Regeln:

  1. Mathematisch bewiesene Sicherheit aller Protokolle und Verfahren.
  2. Entwurf durch Behörden, da der Wirtschaft nicht zu trauen sei.
  3. Veröffentlichter Quellcode.
  4. Wähler können die Zählung ihrer Stimme überprüfen.
  5. Öffentliches Wählerverzeichnis.
  6. Anonymität, gemeint ist wohl: Anonymität bei der Stimmabgabe.
  7. Aufsicht durch ein Expertengremium, in dem alle Beteiligten vertreten sind.

Klingt gut, nicht wahr? Ist aber größtenteils Blödsinn. Brauchbare, aber allein nicht ausreichende Ideen sind (3) und (5), unabhängig vom Wahlverfahren und der verwendeten Technik.

Was sind die wesentlichen Sicherheitsanforderungen an eine Wahl? Nun, erstens muss das Verfahren robust sein gegenüber Störungen, denn die Aufgabe einer Wahl ist es, eine Entscheidung zu treffen. Tut sie das nicht, dann hat sie versagt; die Folge kann eine Staatskrise sein. Zweitens sollen Manipulationen und Manipulationsversuche erkennbar sein, und zwar für die Wähler und für unabhängige Beobachter. Die völlige Verhinderung von Manipulationen wäre illusorisch und stünde im Widerspruch zur Forderung nach Robustheit. Diese Anforderungen müssen unter den tatsächlich herrschenden Bedingungen erfüllt werden.

Praktisch bedeutet das unter anderem:

  • Eine Wahl darf nicht an formalen Haarspaltereien scheitern.
  • Lokale Fehler dürfen nur lokale Wirkung haben.
  • Wirksame Manipulationen müssen einer kleinen Zahl von koordinierten Beobachtern mit beschränkten Ressourcen mit hoher Wahrscheinlichkeit auffallen.
  • Alle wesentlichen Aspekte des Systems müssen mit technischen Laien funktionieren.
  • Das Verfahren muss insebsondere dann funktionieren, wenn ein böswilliger Angriff stattfindet, d.h. eine Wahlfälschung tatsächlich versucht wird.

Die märchenhaften sieben Regeln unseres Leserbriefschreibers tragen dazu wenig bei und schlagen obendrein noch einige Dummheiten vor.

Der Versuch, sich auf bewiesene Sicherheit zu stützen, entzieht jenen geschätzt 99,99% der Bevölkerung die Beobachterrolle, die so überhaupt keine Vorstellung davon haben, was es mit kryptographischen Protokollen auf sich hat. Ziel ist zudem die Verhinderung und nicht die Erkennung von Angriffen. Auch wird man in der Praxis seine Beweise auf Protokolle beschränken und so alle Aspekte der Umsetzung ignorieren – genau dort aber schleichen sich Fehler ein, die ausgenutzt werden können.

Ob Unternehmen oder Behörden das Wahlverfahren entwerfen und umsetzen, ist egal. Das Verfahren muss stets so einfach sein, dass jeder durchschnittlich intelligente Bürger ohne Spezialkenntnisse die wesentlichen Aspekte nachvollziehen kann. Vertrauen wäre kontraproduktiv.

Dass Wähler die Zählung ihrer Stimme prüfen können, ist schön, aber irrelevant. Entscheidend ist, dass Beobachter ohne großen Aufwand den korrekten bzw. inkorrekten Ablauf des Geschehens feststellen können. Als Wähler möchte ich nicht wissen, ob meine Stimme korrekt gezählt wurde, sondern ich möchte wissen, ob die Stimmen in meinem Wahlkreis und bei der Wahl insgesamt korrekt abgegeben und gezählt wurden. Prüfe ich lediglich meine eigene Stimme, so kann ich zum Beispiel nicht feststellen, ob nicht irgendwo ein Sack Stimmen aus dem Nichts aufgetaucht ist.

Onion Routing ist Nerdspielzeug. Es erfüllt keine real existierende Sicherheitsanforderung. Darüber hinaus gehört Anonymität schon nicht mehr zu den zwingenden Sicherheitsanforderungen einer Wahl, sondern ist eine willkürliche Ergänzung. Es gibt gute Gründe dafür, aber eine öffentliche Abstimmung ist nicht per se schlechter. Vernünftigerweise zu erwartende Angriffe auf eine nicht anonyme Wahl dürften sich auch nicht zuerst im Netz ereignen.

Die Forderung nach einem Aufsichtsgremium schließlich zeigt das ganze Dilemma der technikverliebten Wahlvision. Das erste Problem ist, dass man so etwas braucht: offenbar kann eben nicht mehr jeder und jede Gruppierung selbständig prüfen, ob korrekt gewählt wird. Das zweite folgt daraus, denn damit wird das Aufsichtsgremium zur Sollbruchstelle. Drittens stellt sich die Frage, wer die Zusammensetzung des Gremiums bestimmt – und wie es mit dessen politischer und sozialer Robustheit aussieht.

Nein, so wird das nichts mit der schönen neuen Elektrowahl. Vielleicht wird es auch überhaupt nichts damit und in 50 Jahren halten wir Computerwahlen für eine dieser spinnerten Erfindungen, von denen wir sehr genau wissen, warum sie sich nicht durchgesetzt haben.