Kontrollierbarkeit von Wahlen

Nach dem Urteil des Bundesverfassungsgerichts zum Einsatz von Wahlcomputern tauchte ein altes Argument wieder auf: Wahlen mit Stift und Papier ließen sich doch auch fälschen. Der Blogger Zettel, der das Urteil für weltfremd hält, formuliert es so (via):

»Kein Bürger kann den Wahlvorgang “zuverlässig nachvollziehen”, wenn mit Bleistift oder Kugelschreiber Formulare markiert werden. Er müßte dann kontrollieren können, daß die Urne bei Öffnung des Wahllokals leer war; er müßte nicht nur der Auszählung mit Argusaugen folgen können, sondern auch bei der telefonischen Übermittlung der Wahlergebnisse zugleich im Wahllokal und in der Zentrale sitzen, in der die Ergebnisse gesammelt werden.«

Außerdem meint er, in einer funktionierenden Demokratie kämen groß angelegte Wahlfälschungen ohnehin nicht vor oder wir verhielten uns zumindest so und vertrauten dem Staat, statt die Wahlen gründlich zu prüfen.

Das ist alles vollkommen richtig – aber zu kurz gedacht. Vertrauen reduziert die soziale Komplexität, aber nur solange es gerechtfertigt ist und nicht missbraucht wird. Dass wir unsere Wahlen nicht streng kontrollieren, ist ein gutes Zeichen, aber kein Grund, die Möglichkeit dazu aufzugeben. Das ist der kritische Punkt, den auch das Verfassungsgericht gesehen und seiner Entscheidung zugrundegelegt hat. Die Bürger müssen den Wahlablauf kontrollieren können, wenn es darauf ankommt.

Die Kontrollmöglichkeit darf nicht nur theoretisch sein, sondern sie muss in der Praxis funktionieren. Das erfordert, dass die Kontrolle mit möglichst wenigen einschränkenden Nebenbedingungen verbunden ist. Ein einzelner Bürger wird nicht alles überprüfen können, das ist schon richtig. Aber jeder soll mitwirken können und die Kontrolle soll mit beschränktem Ressourceneinsatz effektiv sein. Das ist beim herkömmlichen Wahlverfahren mit Zettel und Stift und Urne gewährleistet.

In Deutschland gibt es ungefähr 90000 Wahlbezirke (einschließlich Briefwahlbezirke). Pro Wahlbezirk gibt es in der Regel eine kleine einstellige Anzahl von Wahllokalen, oft nur eines, manchmal mehrere. Damit ist der Aufwand für eine effektive Überwachung einer Bundestagswahl festgelegt. Wenn nur 1% der Wahlberechtigten  mitmacht, ist die flächendeckende Überwachung des Ablaufs ohne weiteres möglich. Beobachten und prüfen lassen sich alle wichtigen Aspekte: ob die Urnen zu Beginn leer sind, was von wem in die Urne geworfen wird, ob die Stimmen im Wahllokal richtig gezählt werden und, nach Veröffentlichung alle Einzelergebnisse, ob das Gesamtergebnis stimmt. Die Beobachter benötigen keine Spezialkenntnisse und müssen nur einen langen Tag an Zeit investieren.

Tatsächlich genügt sogar eine geringere Zahl von Beobachtern, denn grobe Eingriffe müssen sich über eine Vielzahl von Wahlbezirken erstrecken und fallen deshalb bereits bei Stichproben mit hoher Wahrscheinlichkeit auf. Wahlbezirke sollen nicht mehr als 2500 Wähler umfassen. Große lokale Eingriffe fallen entweder im Ergebnis auf, falls jemand Stimmen ohne Wähler erzeugt. Große Verfälschungen innerhalb des tatsächlichen Wahlgeschehens fallen an vielen Orten auf. Nach der Beobachtung im Wahllokal lässt sich alles weitere anhand der veröffentlichten Ergebnisse erledigen.

Für eine nicht ganz flächendeckende, aber effektive Kontrolle dürfte die Mitgliederzahl einer Kleinpartei wie der Grünen oder der FDP völlig genügen, etwa 1 Promille der Wahlberechtigten. Wenn es ernst wird, bekommt man die schon zusammen. In einer Maschinenwahl aber fehlte ihnen eine entscheidende Beobachtungsmöglichkeit: ob die gemeldeten Stimmen aus der Maschine irgend etwas mit der Stimmabgabe der Wähler zu tun haben. Das wissen nicht mal die Wähler selbst. Die gesamte Wahl fiele damit auf die Kontrollierbarkeit der Briefwahl zurück, die als Schwachstelle des gesamten Verfahrens gilt.

Auch nicht unterschätzen sollten wir den Aspekt der Robustheit. Wahlen sollen nicht nur regulär ablaufen, sie sollen am Ende auch ein verwertbares und akzeptiertes Ergebnis liefern. Ein Angriff dagegen könnte zum Beispiel so aussehen, dass eine Fälschung plausibel behauptet und aufgebauscht wird. Modell: »Wir haben eine Wahlmaschine mit manipulierter Software gefunden. Die manipulierte Software verwischt nach Ausgabe der Ergebnisse ihre Spuren., der Angriff lässt sich dann nicht mehr ohne weiteres nachweisen.« Und dann? Dann stünden wir vielleicht länger ohne handlungsfähige Regierung da. Das muss nicht schlimm sein, aber in manchen Situationen möchten wir es vielleicht vermeiden.

Wer Wahlcomputer einsetzen möchte, der muss sie so gestalten, dass die fundamentalen Sicherheitseigenschaften – Beobachtbarkeit mit begrenzten Ressourcen, Nachvollziehbarkeit aller wichtigen Vorgänge, Robustheit – erhalten bleiben. Und wir Security-Nerds sind vielleicht gar nicht die Richtigen dafür, denn wir reden normalerweise über ganz andere Schutzziele, weil unsere Technik nichts anderes hergibt: über Vertraulichkeit, Integrität, Verfügbarkeit. Die sind hier gar nicht gefragt, und die fehlende Anforderungsanalyse ist Teil des Problems.

2 thoughts on “Kontrollierbarkeit von Wahlen

  1. Danke für diesen interessanten Kommentar! Ich habe darauf in “Zettels kleinem Zimmer” geantwortet.

    Ich würde mich über eine Antwort von Ihnen freuen. Man muß sich im Kleinen Zimmer zwar anmelden, aber das ist unproblematisch und geht schnell.

    Herzlich, Zettel

  2. Und mit dem Fälschungssicheren Stift(tm)(c)(etc) ist die Wahl dann gleich nochmal so sicher.

    ;-P

    …L

    :wqy

Comments are closed.