'Vote in your underwear!' Rechtliche und technische Aspekte von Wahlen und Abstimmungen via Internet
Flash Player und JavaScript werden für eine verbesserte Ansicht des Dokuments benötigt. Bitte installieren Sie den Flash Player und aktivieren Sie Javascript.
Install Flash Player
Details
Autor: Stefan Henze
Fach: Informatik - Internet, neue Technologien
Institution/Hochschule: Technische Universität Carolo-Wilhelmina zu Braunschweig
Jahr: 2003
Seiten: 95
Note: 1,0
Sprache: Deutsch
Dateigröße: 692 KB
ISBN (E-Book): 978-3-640-06818-0
Vote in your underwear! lautet ein Werbespruch einer amerikanischen Firma für Internetwahlen. Es stellt sich die Frage nach den technisch machbaren und rechtlich abgesicherten Möglichkeiten, die heute in diesem Bereich bestehen. Auf welchem technischen Stand werden derzeitige Onlinewahlen durchgeführt? Welche Probleme beinhalten sie? Welche rechtlichen Anforderungen gibt es an eine solche Wahl? Ist, bildlich gesprochen, eine Wahl in Unterwäsche realistisch oder nicht?
Volltext (computergeneriert)
,,Vote in your underwear!"
Rechtliche und technische Aspekte von Wahlen und
Abstimmungen via Internet
Magisterarbeit zur Erlangung des Magistergrades (M.A.)
an der Hochschule für Bildende Künste Braunschweig und
am Fachbereich für Wirtschafts- und Sozialwissenschaften
der Technischen Universität Braunschweig
vorgelegt von Stefan Henze
Erstgutachter: Prof. Dr. Bernd Rebe
Zweitgutachter: Prof. Dr. Stefan Fischer
2
Inhaltsverzeichnis
1
EINLEITUNG: DIE TECHNISCH-TATSÄCHLICHE UND DIE RECHTLICHE
DIMENSION DES THEMAS 4
2
DIE VERSCHIEDENEN VERFAHREN VON ONLINEWAHLEN UND
ONLINEABSTIMMUNGEN 6
2.1
Modelle elektronischer Wahlverfahren 7
2.1.1 Wahlen mit zentraler Instanz 8
2.1.2 Wahlen ohne zentrale Instanz 13
2.2
Implementierungen elektronischer Wahlverfahren 14
2.2.1
Forschungsgruppe Internetwahlen
,,i-vote" 15
2.2.2
Election.com
29
2.2.3 Weitere Implementierungen 31
3
DIE VERSCHIEDENEN PROBLEMLAGEN 32
3.1
Die Wahlrechtsgrundsätze im Grundgesetz 32
3.1.1 Allgemeine Wahl 33
3.1.2 Gleiche Wahl 33
3.1.3 Freie Wahl 34
3.1.4 Geheime Wahl 34
3.1.5 Unmittelbare Wahl 35
3.2
Probleme im theoretischen Modell 35
3.2.1 Verschlüsselung und dauerhafte Geheimhaltung 35
3.2.2 Quittungsfreie Protokolle 39
3.3
Probleme in der Implementierung 40
3.3.1 Anonyme Kanäle 41
3.3.2 Secure Platform 43
3.4
Empirisch vorfindbare und potenzielle Probleme 45
3.4.1 Wahlen zum Studierendenparlament in Osnabrück 45
3
3.4.2 Personalratswahl im Landesbetrieb für Datenverarbeitung und Statistik
Brandenburg 47
3.4.3 Jugendgemeinderatswahl in Esslingen 50
3.4.4 Arizona Democratic Primary 51
3.5
Ergebnisse der Betrachtung der verschiedenen Problemlagen 52
4
RECHTLICHE BEURTEILUNG 54
4.1
Geheimhaltung auf Seiten des Benutzers 54
4.2
Gleichheit auf Seiten des Benutzers 60
4.2.1 Manipulationen und Strafrecht 61
4.2.2 Onlinewahlen und der Digital Divide 64
4.2.3 Onlinewahlen und das Gebot der formal gleichen Stimmabgabe 66
4.3
Verfügbarkeit des Netzwerks 67
4.4
Korrektheit auf Seiten der zentralen Wahlinstanz 70
4.4.1 Zertifizierung von Wahlsoftware 71
4.4.2 Harmonisierung der Rechtsvorschriften für die Wählerverzeichnisse 73
4.5
Geheimhaltung auf Seiten der zentralen Wahlinstanz 74
4.6
Überprüfbarkeit der Wahl 75
4.6.1 Öffentlichkeit und Vertrauen 75
4.6.2 Wahlanfechtung 78
4.7
Ausblick 81
4.7.1 Digitale Pseudonyme und das Konzept des ,,Civis Digitalis" 81
4.7.2 Onlinewahlen im subkonstitutionellen Recht 83
5
FAZIT 86
6
LITERATUR 88
7
ABBILDUNGSVERZEICHNIS 93
4
1 Einleitung: Die technisch-tatsächliche und die rechtliche Di-
mension des Themas
,,Vote in your underwear!" lautet ein Werbespruch einer amerikanischen Firma
für Internetwahlen. In plakativer Weise soll die Bequemlichkeit von Wahlen und
Abstimmungen über das Internet verdeutlicht werden. Die Vorstellung, seine
Stimme zur Bundestagswahl zwischen Brötchen und Marmelade am Früh-
stückstisch abgeben zu können, führt zu stark polarisierten Meinungen. Wahlen
sollen durchgeführt werden wie Bankgeschäfte oder Reisebuchungen, von
zuhause aus, einfach und bequem? Die Befürworter loben die Fortschrittlichkeit
und die Kosteneinsparungen solcher Überlegungen. Die Gegner kritisieren
Sicherheitsmängel und die Zunahme von Junk-Votes1 bei Abstimmungen.
Die Diskussion in diesem Bereich leidet an den unterschiedlichen Vorstellungen
von Modellen und Abläufen einer Onlinewahl. So werden Gefahrenszenarien
aufgebaut, die von Wahlabläufen ausgehen, die kein seriöser Anbieter von
Onlinewahlen in dieser Form befürworten würde (
Rothke
2001). Andere wie-
derum sehen in völliger Undifferenziertheit die Probleme herkömmlicher Wahl-
verfahren durch Onlinewahlen gelöst (
von Ilsemann
2000).
Es stellt sich daher die Frage nach den technisch machbaren und rechtlich
abgesicherten Möglichkeiten, die heute in diesem Bereich bestehen. Auf wel-
chem technischen Stand werden derzeitige Onlinewahlen durchgeführt? Wel-
che Probleme beinhalten sie? Welche rechtlichen Anforderungen gibt es an
eine solche Wahl? Ist, bildlich gesprochen, eine Wahl ,,in Unterwäsche" realis-
tisch oder nicht?
Es müssen dabei die Besonderheiten von Onlinewahlen im Gegensatz zu her-
kömmlichen (Papier-)Wahlen beachtet werden. Die Kommunikationswege sind
anders, die Darstellungsformen unterscheiden sich, und letztlich gilt es, ein
großes Paradoxon zu lösen: Es muss sowohl die eindeutige Identifizierung des
1 Mit ,,Junk-Votes" sind Stimmen gemeint, bei denen der Wähler seine Wahlentscheidung völlig
unreflektiert, im Grunde willkürlich, trifft. Kritiker befürchten die Zunahme solcher Voten, wenn
die Stimme bildlich gesprochen zwischen Aufstehen und Frühstück abgeben wird.
5
Wählers möglich, als auch die Geheimhaltung seiner Wahlentscheidung ge-
währleistet sein.
Ferner stellen sich neue Probleme bei der Überprüfbarkeit und dem Vertrauen
in das Wahlverfahren. Wegen der Öffentlichkeit der (Papier-)Wahl, wegen der
eingespielten Wahlprozeduren und wegen der Beteiligung ehrenamtlicher Bür-
ger misstraut kaum jemand der Arbeit der Wahlvorstände bei der herkömmli-
chen Wahl. Anders verhält sich dies bei nicht transparenten technischen Vor-
gängen, wie sie bei der Onlinewahl stattfinden.
Zum Versuch der Lösung dieser Probleme hat die Kryptologie einen großen
Beitrag geleistet. Durch die Entwicklung der asymmetrischen Verschlüsselung2,
der digitalen Signatur3 und elektronischer Wahlprotokolle sind die Grundlagen
für die Implementierung von Onlinewahlverfahren gelegt worden.
Um die Leitfrage nach dem ,,Wählen in Unterwäsche" zu beantworten, bedarf es
der Betrachtung aktueller Onlinewahlverfahren und ihrer theoretischen Grund-
lagen. Wie genau sind die Abläufe und Kommunikationswege aufgebaut, über
die die Wahlentscheidung übermittelt werden soll? Wie wird versucht, die Ge-
heimhaltung zu gewährleisten?
Auch Onlinewahlen müssen die Bedingungen der Wahlrechtsgrundsätze des
Grundgesetzes nach allgemeinen, unmittelbaren, freien, gleichen und gehei-
men Wahlen (Art. 38 GG) erfüllen. Mit dem Wissen um die Komplexität der
2 Zur Chiffrierung von Nachrichten werden sogenannte Schlüssel eingesetzt. Während bei
symmetrischen Verschlüsselungsverfahren nur ein Schlüssel zum Ver- und Entschlüsseln
benötigt wird, gibt es bei der asymmetrischen Verschlüsselung ein Schlüsselpaar, bestehend
aus einem privaten und einem öffentlichen Schlüssel. Eine Botschaft, die mit einem öffentlichen
Schlüssel verschlüsselt wurde, kann nur mit dem dazugehörigen privaten Schlüssel wieder
lesbar gemacht werden. Wichtig ist, dass der private Schlüssel nicht aus dem öffentlichen
errechenbar ist. Das Modell wird als Public-Key-Kryptographie bezeichnet (vgl.
Fumy u.a.
1999:
S. 229ff.).
3 Bei der digitalen Signatur verschlüsselt eine Person den ,,Fingerabdruck" einer zu versenden-
den Nachricht mit ihrem privaten Schlüssel. Mit ihrem öffentlichen Schlüssel können andere die
Verschlüsselung wieder rückgängig machen und so überprüfen, ob der entschlüsselte Finger-
abdruck mit dem Fingerabdruck der erhaltenen Nachricht übereinstimmt. Auf diese Weise kann
die Authentizität und die Integrität einer Nachricht garantiert werden (vgl.
Stallings
2001: S.
99ff.).
6
Modelle können explizit die Probleme benannt werden, die diese Verfahren in
Abgleich mit den Wahlgrundsätzen und nach den grundlegenden Bestimmun-
gen im subkonstitutionellen Recht, wie im Bundeswahlgesetz, aufzeigen.
2 Die verschiedenen Verfahren von Onlinewahlen und Online-
abstimmungen
Im folgenden werden exemplarisch einige theoretische Modelle zu Onlinewahl-
verfahren und einige Implementierungen solcher Verfahren vorgestellt. Die
Sensibilisierung für die Abläufe und die Komplexität dieser Modelle hilft, um
anschließend ihre Probleme analysieren zu können. Der Begriff Onlinewahl
bezeichnet dabei eine elektronische Wahl über ein Verteiltes System4. Ent-
scheidend sind für eine Onlinewahl zwei Faktoren. Zum einen muss es sich bei
den Instrumenten dieser Wahl um eine Mischung aus Hard- und Softwarelö-
sung handeln. Zum anderen müssen diese Instrumente miteinander vernetzt
sein.
In der Literatur findet auch der Begriff ,,Internetwahl" synonym zu Onlinewahl
Verwendung. Die Internetwahl, bei der die Vernetzung durch das Internet ge-
schieht, ist aber eine Untermenge der Onlinewahl, bei der die Form der Vernet-
zung nicht von Belang ist. Somit ist eine Wahl über das Local Area Network
(LAN) einer Firma eine Online- aber keine Internetwahl. Nachfolgend wird der
Begriff Onlinewahl gewählt, um alle Formen der Vernetzung abzudecken. Wenn
die Stimmabgabe dabei nicht von einem Wahllokal oder einem anderen öffentli-
chen Zugang stattfindet, wird dies als Home-Onlinewahl bezeichnet. Home-
Onlinewahl ist somit die Onlinewahl von individualisierten Zugängen aus.
Die Theorie zu Onlinewahlverfahren ist bereits über 20 Jahre alt. Während
schon in den 1970er Jahren begonnen wurde, Kryptosysteme bei der Nachrich-
tenübermittlung über elektronische Netze einzusetzen, gab es Anfang der
1980er erste Entwürfe für kryptographische Protokolle zu elektronischen Wah-
4 In der Informatik bezeichnet ein Verteiltes System ein Datenverarbeitungssystem, das aus
mehreren Computern besteht, die durch Botschaftenaustausch kooperieren (vgl. Mühlhäuser
1999: S. 676). Eine abstraktere Definition bezeichnet ein System als verteilt, ,,wenn sich seine
Komponenten an räumlich getrennten Stellen befinden oder befinden könnten, hierdurch aber
die Funktionalität des Gesamtsystems nicht beeinträchtigt wird" (Engesser 1993: S. 768).
7
len.
David Chaum
entwickelte zu dieser Zeit mit der Idee eines anonymen Über-
tragungsweges für Emails und der Blinden Signatur5 (
Chaum
1981) die Grund-
lagen für spätere komplexere elektronische Wahlprotokolle.
Seitdem wurden viele verschiedene Protokolle veröffentlicht, von denen die für
diese Arbeit wichtigen unter 2.1 aufgeführt sind. Einige Implementierungen
solcher Protokolle finden sich unter 2.2.
Es sei noch kurz angemerkt, dass Wahlmaschinen, wie sie die Bundeswahlge-
räteverordnung (BWahlGV) definiert, und wie sie bei der letzten Bundestags-
wahl in Köln eingesetzt wurden, nicht unter den Begriff Onlinewahl fallen. Sie
sind nicht vernetzt und bestehen in den meisten Fällen aus einer reinen Hard-
warelösung.
2.1 Modelle elektronischer Wahlverfahren
In der Literatur werden verschiedene elektronische Wahlverfahren, genauge-
nommen Wahlprotokolle6, unterschieden. Einen Ansatz zur Einteilung nutzt
Schneier
, der grundsätzlich zwischen Verfahren mit und ohne zentrale Instanz
unterscheidet (vgl.
Schneier
1996: S. 149-159). Herkömmliche Abstimmungen
und Wahlen werden zumeist mit zentraler Instanz durchgeführt, sei es auf Mit-
gliederversammlungen des Sportvereins oder der Bundestagswahl. Die zentrale
Instanz soll hier als die Leitung der Wahl verstanden werden, die für die Orga-
nisation, die Durchführung und die Ermittlung des Ergebnisses zuständig ist. In
Kleingruppen kann es aber durchaus auch Verfahren geben, die ohne eine
solche Instanz auskommen, bzw. bei der Wählerschaft und Wahlleitung iden-
5 Bei der blinden Signatur ,,unterschreibt" der Empfänger eine Nachricht, ohne dessen Inhalt zu
kennen. Technisch erfolgt dies durch einen sogenannten Blinding-Faktor, mit dem der Absen-
der die Nachricht unkenntlich macht und den er anschließend wieder herausrechnen kann.
Vergleichbar ist dies Verfahren mit dem Unterschreiben auf einem verschlossenen Briefum-
schlag, in dem ein Kohlepapier und das Originaldokument enthalten sind. Die Unterschrift
drückt durch das Kohlepapier auf das Originaldokument durch, ohne dass der Unterschreiben-
de den Inhalt lesen kann (vgl.
Schneier
1996: S. 133ff.).
6 Im folgenden werden die Begriffe ,,Wahlverfahren" und ,,Wahlprotokoll" synonym verwendet,
was streng genommen nicht korrekt ist. Der Begriff ,,Protokoll" bezeichnet in der Informatik eine
,,Vereinbarung über den geordneten Ablauf einer Kommunikation" (
Engesser
1993: S. 555),
während ein Verfahren allgemeinsprachlich nicht an eine Kommunikation gebunden ist.
8
tisch sind. Denkbar wäre dies z.B. bei Vorständen o.ä., bei der unter den Augen
aller Anwesenden eine Wahlurne herumgereicht wird, die anschließend von
allen gemeinsam ausgezählt wird. Ein mögliches Anwendungsgebiet wären
auch mehrere Parteien, die sich nicht auf eine vertrauenswürdige zentrale In-
stanz einigen können, und bei denen deswegen jede Partei selbst die Kontrolle
über die Korrektheit des Protokolls haben will. Soll ein solches Verfahren verteilt
eingesetzt werden, z.B. weil ein Teil eines Vorstandes in Südamerika und ein
anderer in Europa weilt, könnte ein elektronisches Wahlverfahren ohne zentrale
Instanz in Frage kommen, wie es unter 2.1.2 vorgestellt wird.
2.1.1 Wahlen mit zentraler Instanz
Beim Versuch, sich elektronischen Wahlverfahren theoretisch zu nähern, kann
zunächst von einem ,,einfachen" (
Schneier
1996: S. 149f.) bzw. einem ,,naiven"
Verfahren (
Philippsen
2002: S. 142) ausgegangen werden. Dieses Verfahren ist
ein Versuch der Nachahmung eines Wahlvorganges aus der Realität, bei dem
sich der Wähler zur Überprüfung seiner Wahlberechtigung gegenüber dem
Wahlvorstand ausweist, seine Wahlentscheidung auf einem Papierstimmzettel
kennzeichnet und diesen anschließend gefaltet in eine Wahlurne wirft. Bei einer
elektronischen Abbildung dieses Vorgangs, werden die Voten der Wähler ver-
schlüsselt an eine zentrale Wahlinstanz gesendet, die sie zählt und veröffent-
licht. Durch die Verschlüsselung, analog zum Falten des Stimmzettels, würden
Dritte die Wahlentscheidung nicht einsehen können. Hier endet die Parallele
allerdings auch schon. Denn wenn sich der Wähler gegenüber der zentralen
Wahlinstanz identifiziert, ist diese in der Lage, Votum und Wähler einander
zuzuordnen. Eine Anonymisierung der Stimme, wie sie beim herkömmlichen
Verfahren durch die Wahlurne erreicht wird, findet beim ,,naiven" Verfahren
nicht statt. Die Identifizierung des Wählers ist aber zwingend erforderlich, da
ansonsten eine Doppel- oder Mehrfachwahl möglich wäre.
Hier kristallisiert sich das bereits in der Einleitung erwähnte große Paradoxon
der Onlinewahl heraus. Es muss sowohl eine eindeutige Identifizierung des
Wählers als auch die Geheimhaltung seiner Wahlentscheidung gewährleistet
werden. Das ,,naive" oder ,,einfache" Verfahren kann dies nicht leisten. Die
verschiedenen weitergehenden Wahlprotokolle nutzen daher teilweise kompli-
9
ziertere Kommunikationswege und reihenfolgen, um Geheimhaltung gewähr-
leisten zu können.
Ein Ansatz dabei ist, die zentrale Wahlinstanz aufzuteilen, um so eine Art Ge-
waltenteilung zu erreichen (vgl.
Philippsen
2002: S. 143). Oft wird dabei zwi-
schen einer registrierenden und einer auszählenden Stelle unterschieden.
Durch die Trennung soll es den einzelnen Stellen unmöglich gemacht werden,
einen Wähler einem Votum zuzuordnen. Einige Verfahren spalten die auszäh-
lende Stelle zusätzlich auf in eine, die die Wahlberechtigung prüft und eine, die
die Auszählung vornimmt. Insgesamt wird versucht, möglichst wenige sog.
vertrauenswürdige Instanzen zu haben, d.h. zentrale Wahlorgane, auf deren
korrekte Arbeit und Funktionsweise vertraut werden kann und muss, so wie auf
die richtige Arbeitsweise eines Wahlvorstandes vertraut wird. So existieren
Verfahren, bei denen zwei von drei zentralen Instanzen korrupt sein können
und trotzdem eine korrekte Wahl nachgewiesen werden kann.
Da es den Rahmen dieser Arbeit sprengen würde, alle Varianten solcher Mo-
delle aufzuführen, sollen hier kurz zwei Verfahren exemplarisch vorgestellt wer-
den: Zum einen das Modell der ,,Vertrauenswürdigen Schlüsselvergabe plus
anonyme Kommunikationskanäle" nach
Philippsen
(
Philippsen
2002: S. 144ff.)
und zum anderen das ,,Verbesserte [...] Wählen mit einer einzigen zentralen
Wahlleitung" nach
Schneier
(
Schneier
1996: S. 153ff.), das auf
Nurmi
und
Salo-
maa
zurückgeht (
Nurmi u.a.
1994). Das Wahlprotokoll von
Philippsen
nutzt die
Aufspaltung der zentralen Wahlinstanz, asymmetrische Verschlüsselung und
anonyme Kommunikationskanäle, um eindeutige Identifizierung und
Geheimhaltung der Stimmabgabe zu gewährleisten. Es ermöglicht dem Wähler
sogar, die korrekte Wertung seiner Stimme zu überprüfen. Dies ist auch bei
Schneiers
Verfahren möglich. Es setzt ebenso auf asymmetrische
Verschlüsselung und anonyme Kanäle, bedarf für die Geheimhaltung der
Wahlentscheidung allerdings keiner Aufspaltung der zentralen Wahlinstanz, da
die Anonymisierung bereits bei der Identifizierung geschieht. Im folgenden wird
zunächst das Verfahren von
Philippsen
und anschließend das von
Schneier
näher erläutert.
10
1
Stimmzettel (geblindet + verschlüsselt), Wahl-ID
2
Stimmzettel (blind signiert + verschlüsselt)
,,Wahlwirt"
Wähler
3
Stimmzettel (entblindet + verschlüsselt)
4
Quittungsnummer
5
Schlüssel für Stimmzettel
Auszähler
Anonymer Kanal
Abbildung 1 - ,,Vertrauenswürdigen Schlüsselvergabe plus anonyme Kommunikations-
kanäle" nach Philippsen
Philippsen
setzt bei seinem Verfahren auf drei zentrale Wahlorgane: die regist-
rierende Stelle, die überprüfende Stelle und die auszählende Stelle. Die Regist-
rierung der Wähler und ihre Ausstattung mit zwei asymmetrischen Schlüssel-
paaren muss vor der Wahl von der registrierenden Stelle vertrauenswürdig
durchgeführt worden sein. Das erste Schlüsselpaar identifiziert den Wähler, das
zweite wird ausschließlich für das Votum benötigt, es verbleibt vorerst geheim
beim Wähler. Im ersten Schritt erhält die überprüfende Stelle, von
Philippsen
,,Wahlwirt" genannt (2002: S. 142), das signierte und (mit dem zweiten Schlüs-
sel geheim) verschlüsselte Votum vom Wähler inklusive dessen ID (s.
Abbildung 1, Nr. 1). Da nur der Wähler den Schlüssel kennt, mit dem der elekt-
ronische Stimmzettel verschlüsselt wurde, kann der Wahlwirt die Wahlentschei-
dung nicht einsehen. Das Votum sendet er blind signiert7 an den Wähler zurück
(s. Abbildung 1, Nr. 2), der dieses anschließend über einen anonymen Kanal an
7 Zur Blinden Signatur s. Erläuterungen in Fußnote 5.
11
den Auszähler übermittelt (s. Abbildung 1, Nr. 3). Da das Votum nach wie vor
mit dem zweiten Schlüssel des Wählers verschlüsselt ist, kann die auszählende
Stelle den Stimmzettel ebenfalls nicht einsehen, sondern quittiert dem Wähler
über den anonymen Rückkanal lediglich den Erhalt, indem sie das Votum
(blind) signiert, inklusive einer Quittungsnummer, zurücksendet (s. Abbildung 1,
Nr. 4). Der Wähler ist nun dafür verantwortlich, den zweiten privaten Schlüssel
verbunden mit der Quittungsnummer wiederum anonym an den Auszähler zu
senden (s. Abbildung 1, Nr. 5), damit dieser das Votum entschlüsseln und zäh-
len kann. Die Ergebnisliste, die vom Auszähler veröffentlicht wird, enthält die
Quittungsnummer, das mit dem zweiten Schlüssel des Wählers verschlüsselte
und vom Wahlwirt signierte Votum, sowie den zweiten privaten Schlüssel, um
das Votum zu entschlüsseln. Jeder Wähler hat somit die Möglichkeit zu über-
prüfen, ob sein Votum korrekt berücksichtigt wurde. Dass diese Quittungs-
nummer nicht nur eine Stärke dieses Verfahren ist, sondern zeitgleich auch
seine Schwäche, behandelt 3.2.2.
1
Registrierung
2
Wahl-ID über ANDOS
3
Stimmzettel (verschlüsselt) + Wahl-ID
5
Schlüssel für Stimmzettel + Wahl-ID
Wahlleitung
Wähler
Veränderter Stimmzettel (verschlüsselt) +
5a
Schlüssel für Stimmzettel + Wahl-ID
Veränderter Stimmzettel (verschlüsselt) +
6a
Schlüssel für Stimmzettel + Wahl-ID
Stimmzettel
4
(verschlüsselt)
Wahlergebnis
6
mit allen
Stimmzetteln
Website
Anonymer Kanal
Abbildung 2 - ,,Verbessertes Wählen mit einer einzigen zentralen Wahlleitung" nach
Schneier
12
Während
Philippsen
bei seinem Verfahren auf die strikte Trennung von Wahl-
wirt und Auszähler in Verbindung mit anonymen Kanälen setzt, baut
Schneier
auf ein anderes Prinzip. Das Verfahren nach
Schneier
vereint die aufgespaltene
Wahlleitung wieder in einer Stelle (s. Abbildung 2). Weil die Anonymisierung bei
der Registrierung geschieht, ist eine Teilung der zentralen Wahlinstanz nicht
mehr nötig, um Geheimhaltung gewährleisten zu können. Die Idee ist, bei der
Registrierung Identifikationsnummern an die Wahlberechtigten zu verteilen,
ohne dass die Registrierungsstelle weiß, wer welche Nummer erhält.
Dazu veröffentlicht die Wahlleitung zunächst eine Liste mit allen Wahlberechtig-
ten. Innerhalb eines gewissen Zeitrahmens muss sich jeder Wähler, der an der
Wahl teilnehmen will, bei der Wahlleitung melden (s. Abbildung 2, Nr. 1). Am
Ende dieses Zeitraums veröffentlicht die Wahlleitung eine Liste mit allen Wahl-
beteiligten. Nach Ablauf einer Einspruchsfrist erhält jeder Wähler eine Identifika-
tionsnummer (ID) über das sogenannte ANDOS-Protokoll8 (s. Abbildung 2, Nr.
2). Dieses Protokoll gewährleistet, dass die Wahlleitung nicht weiß, welche
Identifikationsnummer zu welchem Wahlberechtigten gehört. Durch die Num-
mer kann der Wähler seine Wahlberechtigung nachweisen, ohne dass eine
persönliche Identifizierung notwendig wäre. Der Wähler verschlüsselt seine ID
zusammen mit seinem Votum und sendet es über einen anonymen Kanal inklu-
sive der ID als Klartext an die Wahlleitung (s. Abbildung 2, Nr. 3). Dort ist an-
hand der ID zu erkennen, dass das Votum von einem Wahlberechtigten kommt.
Die Wahlleitung bestätigt den Erhalt, indem sie das verschlüsselte Dokument
veröffentlicht (s. Abbildung 2, Nr. 4). Anschließend sendet der Wähler den pri-
vaten Schlüssel und seine ID wiederum anonym an die Wahlleitung (s.
Abbildung 2, Nr. 5). Diese entschlüsselt das Votum und veröffentlicht es (s.
Abbildung 2, Nr. 6). Sollte ein Wähler feststellen, dass sein Votum verändert
wurde, kann er durch erneutes Senden von ID, verschlüsseltem Dokument und
8 Das ANDOS-Protokoll (all-or-nothing-disclosure of secrets) wurde entworfen, um das geheime
Verkaufen von Geheimnissen zu ermöglichen. Dabei bietet der Verkäufer mehrere Geheimnis-
se (z.B. Uboot-Baupläne und Namen von Spionen) an, von denen der Käufer ein und nur ein
Geheimnis auswählen und entschlüsseln kann (entweder Uboot-Baupläne oder die Namen von
Spionen). Der Verkäufer weiß nicht, welches Geheimnis der Käufer gewählt hat, kann aber
sicher sein, dass es nur ein einziges ist (vgl.
Nurmi u.a.
1994: S. 193f.).
13
privatem zweitem Schlüssel dagegen ,,Einspruch" erheben (s. Abbildung 2, Nr.
5a). Nur der Wähler kennt alle diese drei Teile. Die Möglichkeit des Einspruch-
Erhebens kann selbstverständlich auch dazu genutzt werden, sein Votum nach-
träglich zu ändern (s. Abbildung 2, Nr. 6a). Hier zeigt sich ein wesentlicher
Unterschied zur herkömmlichen Wahl. Nach dem Einwurf des Papierstimmzet-
tels in die Wahlurne ist weder die Überprüfung der Wertung noch eine Revidie-
rung des Votums bei der herkömmlichen Wahl möglich, während die Online-
wahl technisch die Chance zu beidem bietet. Die rechtlichen Möglichkeiten und
Probleme einer solchen Änderung der Wahlentscheidung werden unter 4.1
behandelt.
Die beiden vorgestellten Wahlprotokolle zeigen im theoretischen Modell, auf
welche Weise bei einer Onlinewahl mit zentraler Instanz gleichzeitig die Identifi-
zierung des Wahlberechtigten und die Geheimhaltung seiner Wahlentscheidung
ermöglicht werden können. Probleme mit diesen Modellen und insbesondere
mit deren Umsetzung werden unter 3.2 bzw. 3.3 aufgezeigt. Insgesamt ist zu
erkennen, dass die Wahlabläufe bei einer Onlinewahl erheblich komplizierter
gestaltet sind als bei einer herkömmlichen Papierwahl.
2.1.2 Wahlen ohne zentrale Instanz
Grundsätzlich können Wahlen auch ohne zentrale Instanz durchgeführt werden.
Der Ablauf der Wahl und die Überprüfung des Ergebnisses geschehen dann in
einer Art Umlaufverfahren. Eine adäquate Analogie im realen Leben existiert zu
dem nachfolgend vorgestellten Verfahren wohl nicht. Grundsätzlich ist aber ein
Ablauf denkbar, in dem gewählt wird, ohne dass vorher ein Wahlvorstand be-
stimmt werden muss, z.B. wenn die gesamte Gruppe der Wähler gleichzeitig
die Aufgabe der Wahlleitung übernimmt. Umsetzen lässt sich ein Wahlprotokoll
ohne Zentralisierung allerdings nur für Kleingruppen, z.B. Vorstände oder klei-
nere Vereine, da die Komplexität bei solchen Umlaufverfahren von der Zahl der
Wähler abhängt. Auf elektronischem Wege kommt zudem das Problem der Ge-
heimhaltung hinzu. Wie kann ein Verfahren gewährleisten, dass jeder Wähler
das korrekte Ergebnis der Wahl verifizieren kann, aber zeitgleich nicht in der
Lage ist, die Voten einzelnen Personen zuzuordnen?
Schneier
führt dazu ein
Verfahren von
Merritt
an (vgl.
Merritt u.a.
1982, zit. nach
Schneier
1996: S.
155ff.). Hierbei werden die Voten verschlüsselt und verwürfelt mit den öffentli-
14
chen Schlüsseln aller Wähler und anschließend von Wähler zu Wähler gesen-
det, um dechiffriert und verifiziert zu werden. Das Protokoll ermöglicht es jedem
Wähler, Veränderungen an Voten zu bemerken, und bis zu einem bestimmten
Punkt sogar herauszufinden, von wem diese Manipulation ausgeht. Es garan-
tiert bis auf einen Sonderfall dabei auch die Geheimhaltung der Stimmabgabe.
Wenn in einer Gruppe von drei Wählern jemand kein Interesse am Ergebnis der
Abstimmung, dafür aber am Wählerverhalten eines anderen hat, kann er das
Votum desjenigen einfach doppeln, wodurch das Ergebnis der Wahl mit dem
Votum des anderen identisch ist.
Um eine Onlinewahl mit geheimer Stimmabgabe durchführen zu können, sind
sowohl bei Wahlprotokollen mit als auch bei denen ohne zentrale Instanz kom-
plexe Kommunikationsabläufe notwendig. Es liegt in der Natur der Sache, dass
die Komplexität, die bereits im theoretischen Modell vorherrscht, bei der Imple-
mentierung solcher Wahlprotokolle eher zu- als abnimmt. Die Umsetzung sol-
cher Protokolle stellt somit eine große technisch-organisatorische Herausforde-
rung dar.
2.2 Implementierungen elektronischer Wahlverfahren
Im angloamerikanischen Raum bestehen seit einigen Jahren Firmen, die Wah-
len verschiedener Art für Dritte durchführen. Diese Dritten sind meist private
Auftraggeber, wie Unternehmen, Gewerkschaften oder Vereine. Mit dem Jahr
2000 haben einige dieser Wahlfirmen begonnen, auch Online-Wahlen durchzu-
führen. Dabei wurden und werden verschiedene Verfahren eingesetzt. Die
Firma ,,votehere.net" beansprucht für sich, im Januar 2000 mit der technischen
Realisierung des sog. ,,Alaska Straw Poll", einer Art unverbindlicher Testwahl
für die Vorwahl zum Präsidenten der USA, die weltweit erste rechtsverbindliche
Online-Wahl durchgeführt zu haben (vgl.
Will
2002: S. 45f.). In Deutschland gibt
es mit der ,,
Forschungsgruppe Internetwahlen
" der Universität Osnabrück auch
einen Protagonisten, der im Februar 2000 die Wahlen zum Studierendenparla-
ment der Universität Osnabrück online durchführte und dabei ebenfalls die
weltweit erste rechtsverbindliche Online-Wahl für sich beanspruchte (vgl.
Lange
2002: S. 129).
Bezogen auf den Stellenwert der Wahl, scheint den Osnabrückern diese Aus-
zeichnung auch eher zuzustehen. Ein ,,Straw Poll" zieht als unverbindliche Ab-
15
stimmung weder eine unmittelbare Legitimierung für ein Amt nach sich, noch
wird, wie bei der Vorwahl, ein Kandidat dadurch gekürt (vgl.
Will
2002: S. 46).
Im Gesamtzusammenhang ist diese Wahl eher als eine Form der Meinungs-
umfrage zu sehen, womit sich die Frage nach der ,,Rechtsverbindlichkeit" gar
nicht stellt. In Osnabrück konnten die Wähler durch ihr Votum unmittelbar die
Besetzung des Studierendenparlaments, einem Organ der verfassten Stu-
dierendenschaft und als solches im niedersächsischen Hochschulgesetz veran-
kert, bestimmen.
Es darf selbstverständlich nicht übersehen werden, dass es durchaus schon
vorher Online-Abstimmungen und Online-Wahlen gegeben hat. Entscheidend
muss bei der Beurteilung, welches die erste Onlinewahl war, sicherlich die
rechtliche Tragweite einer solchen Abstimmung sein. Damit ist auch die mög-
liche Beständigkeit des Systems im Falle der Anfechtung im Bezug auf Ge-
heimhaltung, Sicherheit usw. gemeint (vgl.
Lange
2002: S. 129, Fn 6). Im fol-
genden werden einige Implementierungen von Onlinewahlen vorgestellt und
eingeordnet.
2.2.1
Forschungsgruppe Internetwahlen
,,i-vote"
Das i-vote-Protokoll wurde von der
Forschungsgruppe Internetwahlen
der Uni-
versität Osnabrück entwickelt und in Zusammenarbeit mit der Firma ivl GmbH
aus Leverkusen implementiert. Die Dokumentationen zum Protokoll wurden
allerdings der Öffentlichkeit nicht so umfassend zur Verfügung gestellt, wie man
dies von einer akademischen Institution erwartet hätte. So hält z.B. Martin
Will
seine Ausführungen über das i-vote-Verfahren mit der Anmerkung kurz, dass
der ausführliche Abschlussbericht von der Forschungsgruppe nicht zu erhalten
war (vgl.
Will
2002: S. 25 Fn. 30). Auch
Michael Philippsen
kritisiert, dass i-vote,
trotz anderer Ankündigung, bis jetzt nicht offengelegt worden ist (vgl.
Philippsen
2002: S. 147). Die Homepage der Forschungsgruppe
(http://www.internetwahlen.de) präsentiert lediglich eine Kurzfassung des Ab-
schlussberichtes. Eine Anfrage nach dem vollständigen Bericht wird mit Hinweis
auf Konvertierungsprobleme des Textes auf unbestimmte Zeit aufgeschoben.
Das Bild, das sich somit vom i-vote-Verfahren machen lässt, basiert auf eben
diesem Kurzbericht (
Forschungsgruppe Internetwahlen
2002), auf Angaben von
Prof.
Dieter Otten
, dem Leiter der Forschungsgruppe (
Otten
2002), und auf
16
Veröffentlichungen zu den mit i-vote durchgeführten Wahlen an der Universität
Osnabrück (
Hügelmeyer
2001;
Philippsen
2002: S. 147), im Landesbetrieb für
Datenverarbeitung und Statistik Brandenburg (
LDS Brandenburg
2002), bei der
Telekom Tochter T-Systems CSM (
Diehl u.a.
2002) sowie in modifizierter Form
in der Gemeinde Esslingen (
Steinbeis-Transferzentrum Mediakomm
2001;
Philippsen
2002: S. 148f.;
Will
2002: S. 31f.). Die einzelnen durchgeführten
Wahlen werden im folgenden kurz vorgestellt, da sie, obwohl durch das i-vote-
Protokoll von ein und demselben theoretischen Grundgerüst gestützt, in ent-
scheidenden Details variieren und auch die Schwierigkeiten in der Implementie-
rung eines Protokolls zeigen.
Zur Wahrung der Geheimhaltung findet bei i-vote grundsätzlich das Prinzip der
Aufspaltung der zentralen Wahlinstanz Anwendung, wie es in dem Verfahren
von
Philippsen
unter 2.1.1 vorgestellt wurde. In den folgenden Beispielen ist
ersichtlich, dass dabei aber die Detailbetrachtung von immenser Bedeutung ist.
Schon eine kleine Änderung innerhalb des Ablaufes der Kommunikation kann
die Geheimhaltung gefährden. Die Aufteilung findet bei i-vote statt, indem auf
Seiten der Wahlleitung zwei Server9 verwendet werden, der Wahlamt- und der
Urnenserver. Der Wahlamtserver ist vergleichbar mit dem bei
Philippsen
vorge-
stellten Wahlwirt, und der Urnenserver ähnelt dem Auszähler. Die Analogie
greift nicht hundertprozentig, da sich die Aufgabenverteilung zwischen den
Teilen der aufgespaltenen Wahlleitung bei i-vote und
Philippsen
doch in Fein-
heiten unterscheidet. Dies wird in den folgend dargestellten Implementierungen
des i-vote-Verfahrens deutlich.
9 Server sind Programme, die Dienste zur Verfügung stellen, auf die von anderen Programmen,
den Clients, zugegriffen wird. Meist wird mit dem Begriff Server auch der Rechner bezeichnet,
auf dem das Programm läuft.
17
1
Wahlwebsite anwählen
2
Java-Applet
5
Wahl-ID
6
Stimmzettel
Wahlamtserver
Wähler
7
Stimmzettel (geblindet)
8
Stimmzettel (blind signiert)
Stimmzettel (blind signiert)
3
4
9
Zertifikat
Wahl-ID
Wahlergebnis
11
Wahlvorstand
10
Quittungsnr.
LDAP-Server
Urnenserver
Abbildung 3 - Wahl zum Studierendenparlament an der Universität Osnabrück
In Osnabrück gab im Februar 2000 der Wähler sein Votum zum Studierenden-
parlament wahlweise von aufgestellten Rechnern des Wahlvorstandes oder von
individuellen Zugängen über ein Java-Applet10 ab, das von der Internetseite der
zentralen Wahlinstanz heruntergeladen wurde (Abbildung 3, Nr. 1 und 2). Das
Applet kommunizierte mit einem Wahlserver (Abbildung 3, Nr. 3), um die Wahl-
berechtigung des Wählers zu prüfen. Die Identifizierung erfolgte dabei über eine
Smart-Card11, die mittels eines Kartenlesers an den Rechner des Wählers an-
geschlossen war. Karte und Lesegerät mussten im Vorfeld der Wahl von den
Wahlberechtigten gesondert angefordert werden. Welche Daten auf dieser
Karte genau gespeichert wurden, ist nicht veröffentlicht. Da die Karten aber
10 Ein Java-Applet, oder kurz Applet, ist ein kleines Programm, das im Browser des Anwenders
ausgeführt wird.
11 Eine Smart-Card ist eine Plastikkarte in der Größe einer Kreditkarte, in die ein Computerchip
eingebettet ist. Breite Verwendung findet diese Technik bereits bei Telefonkarten (vgl.
Schneier
1996: S. 667f.).
18
offensichtlich nur für den Zweck der Wahl vorgesehen waren, wurden wahr-
scheinlich nur einzelne Schlüssel bzw. Schlüsselpaare ohne zusätzliche per-
sönliche Informationen darauf abgelegt. Von dem Server, der die Wahlberechti-
gung prüfte, erhielt der Wähler eine Wahl-ID, die darüber Auskunft gab, an
welcher Wahl der Wähler teilnahm (Abbildung 3, Nr. 4). Mit dieser Nummer
erhielt er dann den ,,Wahlzettel" vom Wahlamtserver (Abbildung 3, Nr. 5 und 6),
machte den Wahlzettel mittels Blinding unkenntlich, ließ sich diesen unkenntlich
gemachten Wahlzettel vom Wahlamtserver signieren (Abbildung 3, Nr. 7 und 8),
machte das Blinding rückgängig und sandte den so vom Wahlvorstand sig-
nierten Stimmzettel zum Urnenserver (Abbildung 3, Nr. 9) (vgl.
Hügelmeyer
2001: S. 107). Der Wähler erhielt eine Quittungsnummer (Abbildung 3, Nr. 10),
um später die korrekte Zählung seines Votums überprüfen zu können (vgl.
Philippsen
2002: S. 147). Im Abschlussbericht der
Forschungsgruppe Internet-
wahlen
wird hierbei die strikte physische und institutionelle Trennung des Wahl-
amtservers vom Urnenserver betont (vgl.
Forschungsgruppe Internetwahlen
2002: S. 22). Ob der Server, der die Wahlberechtigung prüfte, eine dritte In-
stanz war, oder ob es sich dabei um den Wahlamtserver handelte, ist nicht klar
ersichtlich.
Hügelmeyer
spricht von einem LDAP-Server12, der die Zertifikate
des Wählers prüfte (vgl.
Hügelmeyer
2001: S. 107). Auf welcher Maschine
dieser Server lief, wird nicht gesagt. Durch die beschriebene Trennung von
Urnen- und Wahlamtserver werde in jedem Fall ,,technisch unmöglich gemacht,
was im konventionellen Wahlverfahren nur durch Anordnung der Kompetenzen
geregelt ist" (
Otten
2002: S. 78). Nur der sich gegenseitig kontrollierende Wahl-
vorstand und die Öffentlichkeit hindere eine Person bei der herkömmlichen
Wahl daran, die Wahlurne vor Ablauf der Wahl zu öffnen. Beim i-vote-Verfahren
dagegen sei es technisch gar nicht möglich, die Voten vorher vom Urnenserver
zu lesen. Bewiesen wird diese Behauptung allerdings nicht.
Otten
verweist in
diesem Zusammenhang lediglich auf ,,hoch sichere IT-Umgebungen" (ebd.). In
ihrem Kurzbericht bezeichnet die
Forschungsgruppe Internetwahlen
diese si-
cheren Umgebungen als ,,Internet Service & Security Center". Das sind
12 Das Lightweight Directory Access Protocol (LDAP) ist ein Protokoll, dass einen Verzeichnis-
dienst unterstützt.
19
Dienstleister, die durch das Hosten13 von Servern in gesicherten Räumen mit
gesichertem Zugang höchsten Schutz der Daten versprechen
(
Forschungsgruppe Internetwahlen
2002: S. 16). Diese Einrichtungen seien so
konzipiert, dass sie selbst in kritischen Situationen, etwa beim Versagen der
Technik oder Korruption der Angestellten, die Sicherheit der Daten gewährleis-
ten können. Ob und inwieweit solche Sicherheitszentren bei der Wahl in Osna-
brück zum Einsatz gekommen sind, geht aus den unterschiedlichen Quellen
nicht hervor.
Der Urnenserver sandte die gesammelten Voten nach Ende der Wahlzeit an
den Wahlamtserver, wo diese vom Wahlvorstand gezählt wurden (Abbildung 3,
Nr. 11). Bei i-vote seien die Daten mit einem Zeitschloss gesichert, wodurch
eine Auszählung erst nach Ende der Wahlzeit möglich wäre (vgl.
Otten
2002: S.
79). Es ist nicht dokumentiert, dass diese Zeitschlossfunktionalität in Osnabrück
gegeben war. Unklar bleibt ferner, wie die Verschlüsselung bzw. Signierung der
Voten im Detail stattfand. Im Kurzbericht der
Forschungsgruppe Internetwahlen
,
der sich auf das gesamte Projekt bezog und nicht speziell über die Osnabrücker
Wahl berichtete, wird davon gesprochen, dass die Voten vom Wahlvorstand
,,entschlüsselt und gezählt" werden (
Forschungsgruppe Internetwahlen
2002: S.
23). Dies suggeriert, dass die Daten nicht einsehbar sind, obwohl der Wahlzet-
tel vom Wahlvorstand vorher lediglich blind signiert wurde.
An dieser Stelle ergibt sich ein Problem, zu dem ein kurzer Exkurs nötig ist. In
der Public-Key-Kryptographie14 wird mit der digitalen Signatur im Allgemeinen
die Verschlüsselung eines Hashwertes eines Originaldokuments mit einem
privaten Schlüssel bezeichnet. Das Originaldokument bleibt dabei lesbar, nur
dessen Authentizität ist jetzt durch die Signatur mit dem passenden öffentlichen
Schlüssel beweisbar (vgl.
Stallings
2001: S. 100f.). Die (blinde) Signatur des
Votums durch den Wahlvorstand, bei der der Wähler den Wahlzettel vorher
durch Multiplikation mit einer Zufallszahl unkenntlich macht (vgl.
Schneier
1996:
S. 134ff.), ist nur sinnvoll, wenn der Wähler den Wahlzettel nach der Signatur
durch Herausrechnen der Zufallszahl wieder in einen lesbaren Zustand ver-
13 ,,Hosten", vom Englischen ,,host", meint hier das Beherbergen und Betreiben von Servern.
14 s. Erläuterung unter Fußnote 2.
20
setzt. Wenn nun das Votum, zwar signiert aber dennoch lesbar, an den Urnen-
server gesendet wird, ist nicht ersichtlich, warum ein korrupter Urnenserver
nicht vorzeitig Wahlergebnisse veröffentlichen sollte.
Sicherlich ist im i-vote-Protokoll die Verschlüsselung des Votums durch den
Wähler mit dem öffentlichen Schlüssel des Wahlvorstandes vorgesehen, womit
das Problem gelöst wäre. Aus den verschiedenen Veröffentlichungen zur Wahl
in Osnabrück und selbst aus dem Abschlussbericht der
Forschungsgruppe
Internetwahlen
geht dies aber nicht hervor. Insgesamt enthalten die Veröffentli-
chungen der
Forschungsgruppe Internetwahlen
und ihres Leiters Prof.
Otten
viele Lücken, was die Bewertung erschwert. Aber auch die Darstellung Dritter
ist nicht frei von Widersprüchen. So behauptet
Hügelmeyer
in seinem Erfah-
rungsbericht zur Onlinewahl in Osnabrück, dass im Urnenserver nach Erhalt
des Votums Wahlzettel und Signatur voneinander getrennt würden und der
Wahlzettel dann in die virtuelle Urne käme (vgl.
Hügelmeyer
2001: S. 107). Dies
macht aber unter keinen Umständen Sinn. Die blinde Signatur des Wahl-
vorstandes muss am Stimmzettel bleiben, um beim Auszählen zu garantieren,
dass der Stimmzettel gültig ist. Wenn noch eine andere Signatur als die des
Wahlvorstandes an den Urnenserver übermittelt würde, z.B. die des Wählers,
wäre das Wahlgeheimnis in Gefahr. Denn dann hinge die Geheimhaltung nur
am Vertrauen darauf, dass im Urnenserver auch wirklich das Votum von der
Wählersignatur getrennt würde. Die blinde Signatur des Wahlvorstandes, die
Anonymität und Korrektheit gewähren soll, wäre damit überflüssig.
21
1
Wahlwebsite anwählen
2
Java-Applet
5
Wähler
hat Wahl-
3
Identifizierung
unterlagen
4
Stimmzettel
6
Stimmzettel (geblindet)
Wahlamtserver
Wähler
7
Stimmzettel (blind signiert)
8a?
Wähler
hat gewählt
8
Stimmzettel
(,,entblindet")
Bestätigung
Schlüssel
9
10
11
Wahlergebnis
Wahlvorstand
Urnenserver
Abbildung 4 - Personalratswahl im Landesbetrieb für Datenverarbeitung und Statistik
Brandenburg
Die Datenlage zur Personalratswahl im Landesbetrieb für Datenverarbeitung
und Statistik in Brandenburg (LDS), die ebenfalls mit dem i-vote-Protokoll
durchgeführt wurde, ist wesentlich detaillierter. Es gibt zwar keine gravierenden
Unterschiede im Wahlprotokoll zu der Wahl in Osnabrück, aber einige Fragen,
die sich bei der Osnabrücker Wahl auftaten, werden in der Dokumentation zur
Brandenburger Wahl beantwortet. Daraus lässt sich ein besseres Gesamtbild
über i-vote ermitteln. Zudem sind entscheidende Kleinigkeiten anders, die den
Ablauf der Wahl vereinfachten oder sicherer machten.
Die Wahl zum Personalrat im LDS wurde im Mai 2002 in Zusammenarbeit mit
der
Forschungsgruppe Internetwahlen
und einem Unternehmen der Privatwirt-
schaft (ivl GmbH, Leverkusen) durchgeführt. Die Voraussetzungen für die Wahl
waren erheblich besser als die in Osnabrück. So erfolgte im Vorfeld der Wahl
eine Ausstattung sämtlicher Mitarbeiter mit Signaturkarten, die den Bestimmun-
gen des deutschen Signaturgesetzes (in der Fassung vom 22.05.2001) genüg-
ten, und die danach für weitere Anwendungen im eGovernment eingesetzt
22
werden konnten (vgl.
LDS Brandenburg
2002: S. 21). Mittels dieser Karten war
es den Angestellten möglich, im Wahlzeitraum von verschiedenen Wahllokalen
aus ihre Stimme abzugeben. Eine Wahl von individuellen Zugängen war aus
Sicherheitsgründen nicht vorgesehen. Die Rechner im Wahllokal sollten hierbei
als Anonymisierer (keine IP-Adresse15 konnte einem bestimmten Wähler zuge-
ordnet werden) und als sichere Umgebung (die Wahlclients16 waren frei von
Viren17 u.ä. und nur für die Wahlanwendungen eingerichtet) fungieren. Das
Wahlprotokoll selbst scheint sich mit demjenigen in Osnabrück zu decken. Die
Dokumentation ist zwar sehr viel detaillierter, aber in Feinheiten ergeben sich
auch hier Fragen.
In Brandenburg wurde die Stimme ebenfalls über ein Java-Applet abgegeben
(s. Abbildung 4). Wie in Osnabrück identifizierte der Wahlamtserver dabei den
Wähler, überprüfte seine Wahlberechtigung bzw. seinen Wahlstatus und sandte
anschließend den entsprechenden Stimmzettel an den Wahlclient (Abbildung 4,
Nr. 1-4). Daraufhin wurde im Wählerverzeichnis des Wahlamtserver vermerkt,
dass der Wähler einen Stimmzettel erhalten hat (Abbildung 4, Nr. 5) (vgl.
LDS
Brandenburg
2002: S. 31f.). Der Wähler sandte wiederum einen von ihm sig-
nierten, aber geblindeten Hashwert18 seiner Wahlentscheidung an den Wahl-
amtserver (Abbildung 4, Nr. 6). Dort wurde diese Wahlentscheidung blind mit
der Signatur des Wahlvorstandes versehen und wieder an den Wähler zurück-
geschickt (Abbildung 4, Nr. 7). Der Wähler wurde nun durch das Applet gebe-
ten, seine Wahl zu bestätigen. Erst nach der Bestätigung wurde der signierte,
geblindete Hashwert wieder lesbar gemacht und zusammen mit dem Stimm-
15 Die IP-Adresse ist die eindeutige Adresse, mit der ein Rechner im Internet identifiziert wird,
vergleichbar mit einer Telefonnummer. Nähere Erläuterungen hierzu finden sich unter 3.3.1
(Anonyme Kanäle).
16 Als Wahlclient wird ein Rechner bezeichnet, von dem aus ein Wähler seine Stimme abgibt
bzw. abgeben kann. Vgl. Fußnote 9.
17 Ein Computervirus ist ein Stück Programm im Maschinencode, das sich vervielfachen, in
andere Programme hineinkopieren und gleichzeitig (schädliche) Funktionen in einem Rechner
ausüben kann.
18 Der Hashwert einer Nachricht ist quasi ihr ,,Fingerabdruck". Er ergibt sich durch das Ausfüh-
ren einer sog. Hashfunktion auf diese Nachricht. Vgl. Fußnoten 3 und 5.
23
zettel an den Urnenserver geschickt (Abbildung 4, Nr. 8). Im Abschlussbericht
wird hierbei explizit betont, dass der Stimmzettel zu diesem Zeitpunkt RSA-
verschlüsselt19 war (
LDS Brandenburg
2002: S. 34), d.h. es war im Urnenserver
nicht möglich, das Votum zu lesen. In Osnabrück gab es hierüber keine Anga-
be, was einem korrupten Urnenserver die Ermittlung von Zwischenergebnissen
ermöglichte. Bei der Wahl im LDS gibt es allerdings keine ausdrückliche Anga-
be darüber, mit welchem Schlüssel der Stimmzettel chiffriert wurde. Aus dem
Gesamtzusammenhang ist aber zu ersehen, dass es ein durch den Wahlvor-
stand nur für die Wahl generierter öffentlicher Softwareschlüssel sein muss,
dessen privates Pendant verschlüsselt und somit nicht nutzbar für Dritte auf
dem Urnenserver abgespeichert war. Die Verschlüsselung dieses privaten
Softwareschlüssels (der zum Entschlüsseln der Voten und somit zum Auszäh-
len benötigt wurde) erfolgte mit drei Signaturkarten des Wahlleiters, die bis zum
Wahlende unter Verschluss gehalten wurden (vgl.
LDS Brandenburg
2002: S.
24). Der Urnenserver überprüfte die Softwaresignatur des Wahlvorstandes und
speicherte die Stimme anschließend ab. Der Wahlstatus des Wählers wurde
dann auf ,,hat gewählt" gesetzt20 und zum Abschluss eine Meldung vom Urnen-
server an den Wahlclient gesendet, dass sein Votum in der Wahlurne abgelegt
ist (Abbildung 4, Nr. 9). Nach Wahlende wurde der im Urnenserver abgelegte
Softwareschlüssel durch den Wahlleiter mittels seiner Signaturkarten dechiffriert
(Abbildung 4, Nr. 10). Danach war es möglich, die Voten im Urnenserver zu ent-
schlüsseln und zu zählen (Abbildung 4, Nr. 11).
Bemerkenswert an der Wahl in Brandenburg waren die Sicherheitsbestimmun-
gen, die eingehalten werden mussten, um die Anforderungen der Wahlordnung
zu erfüllen. Die Wahlordnung wurde für die Wahl mit einer Erprobungsklausel
angepasst (s. 4.7.2). Die oben bereits kurz erwähnten ,,hoch sichere[n] IT-
Umgebungen" (
Otten
2002: S. 78) finden sich dadurch im Abschlussbericht
wieder. Dort wird mit Verweis auf §50 a der Wahlordnung des Landespersonal-
vertretungsgesetzes erwähnt, dass der Urnenserver ,,von dem Validator phy-
sisch und logisch getrennt in einem Sicherheitsbereich des RZ der ivl aufge-
19 RSA ist ein weitverbreitetes, asymmetrisches Verschlüsselungsverfahren, benannt nach
seinen Entwicklern
Rivest
,
Shamir
und
Adleman
.
20 Zum Problem, dass sich aus diesem Wahlstatus ergibt, siehe 3.4.2.
24
stellt" war (
LDS Brandenburg
2002: S. 26). Mit ,,Validator" wird der Wahl-
amtserver bezeichnet21, und die ivl GmbH war, wie bereits erwähnt, als Pro-
jektpartner bei der Wahl für die technische Realisierung zuständig.
Weitere Maßnahmen wurden ergriffen, um die Sicherheit zu erhöhen. So wurde
im Abschlussbericht zur Onlinewahl in Brandenburg mehrfach betont, dass ne-
ben der strikten Trennung des Wahlamt- vom Urnenserver auch der administra-
tive Zugang zu diesen Rechnern streng getrennt war. Der Zugriff auf die Sys-
teme erfolgte zudem im Vier-Augen-Prinzip, d.h. nur zwei Administratoren hat-
ten gemeinsam Zugriff auf den Server. Dabei kannte jeder Administrator nur
einen Teil des Passwortes, das den Zugang zum System ermöglichte (vgl.
LDS
Brandenburg
2002: S. 21). Das Wählerverzeichnis wurde direkt vom Wahlvor-
stand verwaltet. Der Zugang war dabei nur von einem im Wahllokal aufgestell-
ten Rechner möglich, der über eine gesicherte ISDN-Direktleitung22 mit dem
Wahlamtserver kommunizierte (vgl.
LDS Brandenburg
2002: S. 23). Die Wahl-
clients waren nur für die Wahl eingerichtet worden. Es durften keine Drucker
angeschlossen und keine weitere Software installiert sein, die über das für den
Wahlvorgang Notwendige hinausging. Das Java-Applet, das von der Firma ivl
heruntergeladen wurde, war zudem signiert, um die Integrität zu gewährleisten
und eventuelle Manipulationsversuche zu erkennen (vgl.
LDS Brandenburg
2002: S. 25). Gerade durch diese Punkte unterscheidet sich die Brandenburger
von der Osnabrücker Wahl, während das Wahlprotokoll im wesentlichen gleich
blieb.
21 Neben der Bezeichnung des Wahlamtservers als ,,Validator" wird der Urnenserver in den
Veröffentlichungen von
Otten
und der
Forschungsgruppe Internetwahlen
als ,,Psephor" be-
zeichnet.
22 Integrated Services Digital Network (ISDN) ist ein Telekommunikationsdienst, der für das
Telefon entwickelt wurde. Eine ISDN-Direktleitung ist somit nicht mehr als eine digitale Telefon-
verbindung.
25
1
Wahlwebsite anwählen
2
Java-Applet
5
Wähler
hat Wahl-
3
Identifizierung
unterlagen
4
Stimmzettel
6
Stimmzettel (geblindet)
Wahlamtserver
Wähler
7
Stimmzettel (blind signiert)
8a?
Wähler
hat gewählt
8
Stimmzettel
(,,entblindet")
Bestätigung
Schlüssel
9
10
11
Wahlergebnis
Wahlvorstand
Urnenserver
Abbildung 5 - Betriebsratswahlen bei T-Systems CSM
Mit dem i-vote-Protokoll wurden auch die Betriebsratswahlen bei der Telekom-
Tochter T-Systems CSM im Mai 2002 durchgeführt (
Diehl u.a.
2002). Es gab
kleine Unterschiede in der technischen Ausstattung, und die Mitarbeiter der
Niederlassung Darmstadt durften von ihren Arbeitsplätzen aus wählen. An-
sonsten war der Wahlablauf mit dem in Brandenburg identisch (s. Abbildung 5).
Insbesondere die Nutzung der betriebsinternen Signaturkarten kam der Wahl
zugute, da die Mitarbeiter im Umgang mit ihr geschult waren. Zerstörung von
Signaturkarten durch mehrfache falsche PIN-Eingabe kamen nicht vor (vgl.
Diehl u.a.
2002: S. 19). Die Wahlsoftware musste allerdings angepasst werden,
da zum Zeitpunkt der Wahl eine Umstellung der Signaturkarten stattfand und
noch nicht abgeschlossen war. So galt es, zwei Typen von Signaturkarten zu
unterstützen (ebd.). Zudem war es möglich, auch ohne eigene Signaturkarte zu
wählen, z.B. wenn die eigene vergessen wurde oder defekt war. Zu diesem
Zweck konnten im Wahllokal vom Wahlvorstand Blankokarten personalisiert
werden, die nach Abschluss des Wahlvorgangs zurückgegeben werden muss-
ten. Dieser Vorgang wurde ,,rolierendes System" genannt (
Diehl u.a.
2002: S.
26
19f.). Interessant bei der Betriebsratswahl ist zudem die Tatsache, dass die
Wahl im Gegensatz zu Brandenburg keine reine Onlinewahl war. Die Wähler
konnten sich zwischen der Online- und der herkömmlichen Wahl entscheiden.
Selbst Briefwahl war möglich (vgl.
Diehl u.a.
2002: S. 26). Dies erforderte eine
besondere Sorgfalt und Übersicht beim Wählerverzeichnis, um eine Mehrfach-
wahl einzelner Wähler zu verhindern.
1
Wahlwebsite anwählen
Wähler hat Wahl
-unterlagen
2
Java-Applet
5
3
Identifizierung
4
Stimmzettel
6
Stimmzettel (verschlüsselt + signiert)
Wahlamtserver
Wähler
9
Wahlstatusmeldung
7
Wahlstatusmeldung
8
Stimmzettel
(verschlüsselt +
Schlüssel1 + Schlüssel2
,,umsigniert")
10
12
Schlüssel2
11
Umverschlüsselung
Wahlvorstand
13
Wahlergebnis
Urnenserver
Abbildung 6 - Jugendgemeinderatswahl in Esslingen
Die Jugendgemeinderatswahl in Esslingen im Juli 2001 wurde zwar auch mit
dem i-vote-Verfahren durchgeführt, hebt sich aber von den anderen Wahlen ab.
Für die Wahl wurde das Protokoll leicht modifiziert (s. Abbildung 6), was im Be-
zug auf Integrität und Geheimhaltung enorme Auswirkungen hatte. Die strikte
Trennung zwischen Wahlamt- und Urnenserver wurde aufgehoben, die blinde
Signatur durch den Wahlvorstand entfiel (vgl.
Steinbeis-Transferzentrum Medi-
akomm
2001: S. 19). Der Wähler erhielt nach vorheriger Identifizierung der
Zertifikate seiner Signaturkarte vom Wahlamtserver über ein Java-Applet seine
Wahlunterlagen (Abbildung 6, Nr. 1-4). Dies wurde im Wählerverzeichnis ver-
merkt (Abbildung 6, Nr. 5). Sein Votum sandte er dann verschlüsselt und sig-
27
niert an den Wahlamtserver zurück (Abbildung 6, Nr. 6). Dort wurde die Signa-
tur des Wählers von seinem Votum getrennt, durch die Signatur des Wahlamt-
servers ersetzt und diese umsignierte Stimme an den Urnenserver gesendet
(Abbildung 6, Nr. 7). Nach einer Bestätigung des Urnenservers über den Ein-
gang der Stimme (Abbildung 6, Nr. 8), sandte der Wahlamtserver dem Wähler
ebenfalls eine Bestätigung, wonach seine Wahlentscheidung in der Urne abge-
legt war (Abbildung 6, Nr. 9) (vgl.
Steinbeis-Transferzentrum Mediakomm
2001:
S. 21). Zu den Sicherheitsvorkehrungen auf Serverseite ist im Erfahrungsbe-
richt des Steinbeis-Transferzentrum Mediakomm lediglich der Hinweis zu fin-
den, dass der Wahlamtserver bei der Firma ivl in Leverkusen stand, die auch
hier für die technische Realisierung verantwortlich zeichnete (vgl.
Steinbeis-
Transferzentrum Mediakomm
2001: S. 18, 49). Über die Administration dieser
Server wird nichts Näheres gesagt. Der Wahlvorstand hatte über eine direkte
ISDN-Verbindung Zugriff auf das Wählerverzeichnis des Wahlamtservers und
konnte dort nach Wahlende auch die Urne ,,abholen", die vom Urnenserver an
den Wahlamtserver geschickt wurde (vgl.
Steinbeis-Transferzentrum Media-
komm
2001: S. 22). Die Wahlzeit der Internetwahl endete eine Stunde vor
Schließung des Präsenzwahllokals. In der verbleibenden Stunde wurden die
Voten, die vom Urnen- über den Wahlamtserver bereits den Wahlvorstand
erreicht hatten, ,,umverschlüsselt" (ebd.) (Abbildung 6, Nr. 11). Hintergrund war,
dass der private Schlüssel, der zum Entschlüsseln der Voten benötigt wurde,
auf einer Signaturkarte des Wahlvorstandes gespeichert war. Der Zugriff auf die
Karte war allerdings derart zeitaufwendig, dass die Auszählungsdauer am Ende
der gesamten Wahlzeit zu hoch gewesen wäre. Daher entschloss man sich, die
Voten in dieser einen Stunde zu entschlüsseln und gleich wieder zu verschlüs-
seln, diesmal allerdings mit einem symmetrischen Schlüssel, der - wiederum mit
einer Signaturkarte des Wahlvorstandes asymmetrisch verschlüsselt - gespei-
chert wurde (Abbildung 6, Nr. 9: ,,Schlüssel1" bezeichnet den asymmetrischen,
,,Schlüssel2" den symmetrischen Schlüssel). Symmetrisch verschlüsselte Nach-
richten sind (bei Kenntnis des Schlüssels) wesentlich schneller zu dechiffrieren,
als asymmetrische. Deswegen macht es aus Gesichtspunkten der Performance
Sinn, eine solche Verschlüsselung vorzunehmen. Aus dem Blickwinkel der
Sicherheit ist dies allerdings eher bedenklich (s. 3.4.3). Die Angaben für die
Zugriffszeit auf die Signaturkarte bei einer Entschlüsselung lagen zwischen
28
zehn und sechzig Sekunden (vgl.
Steinbeis-Transferzentrum Mediakomm
2001:
S. 23). Warum für die Wahl nicht ein asymmetrisches Softwareschlüsselpaar
erzeugt wurde, dessen privater Teil mit der Signaturkarte des Wahlvorstands
verschlüsselt wurde, so wie dies bei der T-Systems oder in Brandenburg ge-
schehen ist, bleibt unklar.
Die Wahl in Esslingen ist auch besonders wegen des Registrierungsprozesses
im Vorfeld interessant. In Esslingen wurden die Wahlberechtigten über Dritte
mit Signaturkarten (in diesem Fall durch die Firma Deutsche Post Signtrust
GmbH) ausgestattet. Der zeitliche und logistische Aufwand pro Person war
dadurch höher als bei der T-Systems oder in Brandenburg. Zeitgleich war aber
die Situation mit Hinblick auf eine Kommunal-, Landtags- oder Bundestagswahl
realitätsnäher. Auch bei solchen Wahlen müssten die Wahlberechtigten wahr-
scheinlich mit Signaturkarten versorgt werden.
Einige Problembereiche in i-vote wurden in den Abschluss- und Erfahrungsbe-
richten zu den durchgeführten Onlinewahlen ausgeklammert, finden aber im
Abschlussbericht der
Forschungsgruppe Internetwahlen
, der keiner konkreten
Wahl zugeordnet ist, Erwähnung. So wäre es denkbar, dass die zwei Kommu-
nikationskanäle vom Wähler zum Wahlamtserver und vom Wähler zum Urnen-
server abgehört werden, und auf diesem Weg die Nachricht zur Identifizierung
des Wählers mit dem an den Urnenserver gesendeten Stimmzettel in Verbin-
dung gebracht wird. Dies würde durch kontinuierliches Versenden von (Schein-)
Nachrichten auf den Kommunikationskanälen verhindert. Zudem würden die
Zeiteinträge im Urnenserver gelöscht, wodurch auch hier die Reihung von Vo-
ten nicht mehr möglich wäre (vgl.
Forschungsgruppe Internetwahlen
2002: S.
21). Grundsätzlich sieht
Otten
bei einer Onlinewahl von individuellen Zugängen
die Verwendung von anonymen Kanälen als ,,absolut unerlässlich" an (
Otten
2002: S. 79). Bei keiner der dokumentierten Wahlen findet sich ein Hinweis auf
die Verwendung solcher Kommunikationswege, wodurch es theoretisch denk-
bar wäre, eine an den Urnenserver gesendete Nachricht bei entsprechender
Protokollierung bis zum Wähler zurückzuverfolgen. Die Problematik der anony-
men Kanäle wird unter 3.3.1 ausführlicher erläutert.
29
2.2.2 Election.com
Die Firma
Election.com
hat mit ihrem Wahlsystem verschiedene Wahlen durch-
geführt. Die bekanntesten darunter waren die weltweiten Wahlen zum Direkto-
rium der Internet Corporation for Assigned Names and Numbers (ICANN) und
die Vorwahl der Demokratischen Partei zur Präsidentschaftswahl 2000 im US-
Bundesstaat Arizona (vgl.
Lange
2002: S. 137ff.).
Die ICANN-Wahlen im Oktober 2000 waren die ersten weltweit durchgeführten
reinen Internetwahlen und riefen seinerzeit ein großes Medieninteresse hervor.
Dies lag zum einen an der Einschätzung der zukünftigen Rolle des Gremiums
(vgl.
Ermert
2000: S. 32f.;
Schumann
2000: S. 198f.) und zum anderen an den
zahlreichen organisatorischen und technischen Pannen, die den Registrie-
rungs- und Wahlvorgang begleiteten (vgl.
Lange
2002: S. 137f.;
Philippsen
2002: S. 148). Wahlberechtigt waren alle Internetnutzer, die über 16 Jahre alt
waren, eine gültige E-Mail- und Postadresse besaßen und sich über das Inter-
net als ,,At-Large-Member" registrieren ließen (vgl.
Will
2002: S. 63). Der Wähler
wählte dann über einen Standardbrowser auf einer Website der Firma
Electi-
on.com
. Dort musste er seine Mitgliedsnummer, ein Passwort und eine PIN
eingeben. Mitgliedsnummer und Passwort wurden über E-Mail, die PIN über
Post zugestellt. Durch die unterschiedliche Laufzeit und Zuverlässigkeit in der
Postzustellung weltweit, gab es eine erhebliche Differenz zwischen Registran-
ten und Wählern. Zudem waren die Registrierungs- und Wahlserver nicht für die
große Nachfrage ausgelegt und brachen unter der Last mehrfach zusammen,
so dass sowohl im Registrierungs- als auch im Wahlprozess die Server zeitwei-
se nicht erreichbar waren. Die Anzahl der Personen, die sich online registrieren
ließen, betrug über 176000, während im Vorfeld lediglich mit einer Zahl zwi-
schen fünf und zehntausend gerechnet wurde (vgl.
Lange
2002: S. 138;
Will
2002: S. 64). Von den Online-Registranten aktivierten23 ca. 76000 ihre ,,At-
Large"-Mitgliedschaft, waren somit wahlberechtigt, von denen wiederum knapp
über 34000 eine gültige Stimme abgaben (vgl.
Will
2002: S. 64). Das einge-
setzte Wahlprotokoll und die eingesetzte Technik ist trotz der vielen Ver-
öffentlichungen zum Thema nicht detailliert dokumentiert. Es findet sich der Hin-
23 Die Registrierung wurde auf einer Webseite durch die Eingabe einer per Mail zugestellten
PIN abgeschlossen. Erst danach war die Mitgliedschaft ,,aktiviert".
30
weis, dass aus finanziellen Gründen nur eine einfache Software programmiert
wurde, die bereits Probleme mit der Darstellung unterschiedlicher Zeichensätze
besaß (vgl.
Lange
2002: S. 137).
Getrenntes Speichern
4
von Votum und ID
1
Wahlwebsite anwählen
2
Wahlunterlagen
3
Stimmzettel + Wahl-ID (verschlüsselt)
election.com
Wähler
5
Alle Stimmzettel
(verschlüsselt)
Wahlergebnis
7
6
Entschlüsseln der Voten
Wahlvorstand
KPMG
Abbildung 7 - Arizona Democratic Party′s Presidential Preference Primary
Eine weitere Wahl, die von
election.com
betreut wurde, war das ,,Democratic
Party′s presidential preference primary" im März 2000 die Vorwahlen der De-
mokratischen Partei zur Präsidentschaftswahl 2000 im US-Bundesstaat Arizona
(Abbildung 7). Der Wahlablauf wurde dabei von unabhängigen Dritten beobach-
tet, darunter Bürgerrechtsorganisationen und Firmen aus der IT-Branche (vgl.
Mohen u.a.
2001: S. 75). Zur Wahl erhielt jeder Wahlberechtigte eine eindeutige
siebenstellige PIN. Diese Nummern wurden zufällig generiert, um nicht auf die
nächste logisch folgende PIN schließen zu können; ein wichtiger Punkt, wenn
Wahlberechtigte dicht beieinander wohnen und voneinander wissen. Zusätzlich
wurden zwei von fünf möglichen persönlichen Fragen gestellt, z.B. nach dem
Geburtsdatum oder nach den letzten vier Stellen der Sozialversicherungs-
nummer des Wahlberechtigten (vgl.
Mohen u.a.
2001: S. 76). Mit dieser Kombi-
nation aus PIN und persönlichen Fragen konnte der Wahlberechtigte sich dann
31
bei der Wahl authentifizieren. Gewählt wurde über einen Standardbrowser mit
einem Java-Applet, das von der
election.com
Website über eine SSL-gesi-
cherte24 Verbindung heruntergeladen wurde (Abbildung 7, Nr. 1-2). Das Votum
wurde mit dem öffentlichen Schlüssel eines Wirtschaftsprüfungsunternehmens
(KPMG), das die Funktion des Auszählers übernahm, verschlüsselt und an den
election.com
Server geschickt (Abbildung 7, Nr. 3). Die gesammelten Voten
wurden nach Wahlende offline über einen Datenträger zu KPMG gebracht
(Abbildung 7, Nr. 5) (vgl.
Mohen u.a.
2001: S. 77). Dabei hatte
election.com
nach eigenen Angaben keinen Zugriff auf den privaten Schlüssel von KPMG
und war somit auch nicht in der Lage, die Voten zu entschlüsseln (vgl.
Mohen
u.a.
2001: S. 78).
Election.com
fungierte gleichzeitig als Wahlamt- und als Ur-
nenserver, denn sowohl die Identifizierung der Wähler als auch die Aufbewah-
rung der Stimmen bis Wahlende wurden über den
election.com
Server durchge-
führt. Zusätzlich sorgte das Unternehmen durch Trennung von Stimmzettel und
Wählersignatur für die Anonymisierung der Wahlentscheidung (Abbildung 7, Nr.
4).
Auch
election.com
setzte zur Wahrung der Geheimhaltung auf das Aufspalten
der zentralen Wahlleitung. Im Gegensatz zu den mit i-vote durchgeführten Wah-
len geschah dies durch eine sowohl physische als auch institutionelle Tren-
nung, indem die Rolle des Auszählers von einem Dritten übernommen wurde.
Die Offline-Übermittlung der Daten an den Auszähler ist eine Besonderheit des
Verfahrens von
election.com
, das bei größeren Wahlen sicher nicht angewen-
det werden könnte. Für die Wahl zu den Primaries war es ein probates Mittel,
um zu verhindern, dass durch Nachrichtenaustausch zwischen den beiden
Wahlinstanzen
election.com
und KPMG das Wahlgeheimnis fällt.
2.2.3 Weitere Implementierungen
Weitere bekannte Firmen, die Onlinewahlen durchgeführt haben, sind
safe-
vote.com
und
votehere.net
. Die Auflistung dieser Wahlen würde aber keine
neuen Problemfälle aufzeigen. Zudem ist die Datenlage über die durchgeführ-
ten Wahlen von
safevote
und
votehere
noch dünner als die von i-vote und
elec-
24 Secure Socket Layer SSL bezeichnet ein Verfahren zur sicheren Datenübertragung
zwischen einem Webserver und einem Browser.
32
tion.com
.
Votehere.net
ist dafür aber besonders aktiv innerhalb der theore-
tischen Debatte. Mitarbeiter der Firma publizieren auch in einschlägigen Kryp-
tologie-Veröffentlichungen. Dies ist bei den anderen Firmen nicht in diesem
Maße der Fall.
3 Die verschiedenen Problemlagen
Onlinewahlen haben sich denselben Wahlgrundsätzen wie die herkömmlichen
Wahlen zu unterwerfen. Dies ergibt sich aus Art. 38 des Grundgesetzes, der
besagt, dass eine Wahl in allgemeiner, unmittelbarer, freier, gleicher und ge-
heimer Weise stattzufinden hat. Sie bilden die Grundlage, auf denen die Proto-
kolle für Onlinewahlen zu bewerten bzw. ihre Probleme zu identifizieren sind,
und werden unter 3.1 kurz dargelegt. Die vorgestellten Onlinewahlverfahren
genügen den grundgesetzlichen Anforderungen teilweise nicht. Ihre Probleme
in den unterschiedlichen Bereichen werden im folgenden betrachtet und zu-
sammengefasst. Die weiteren grundlegenden Bestimmungen des subkonstituti-
onellen Rechts inklusive der ungeschriebenen Wahlgrundsätze werden an-
schließend unter 4 behandelt.
Die Probleme bei Onlinewahlen verteilen sich über drei Ebenen. Auf der ersten
Ebene stehen die Probleme der theoretischen Modelle, d.h. der kryptographi-
schen Protokolle, die in den meisten Fällen das Thema Geheimhaltung beinhal-
ten (s. 3.2). Diese Modelle sind auf eine abstrakte Art und Weise formuliert und
beschreiben das Verhalten bzw. die Interaktion einzelner Kommunikationspart-
ner. Wenn nun aus der Abstraktion eine Implementierung werden soll, entste-
hen auf der zweiten Ebene Probleme, die innerhalb des abstrakten Modells
nicht berücksichtigt werden konnten oder sollten (s. 3.3). Auf der letzten Ebene
befinden sich die Probleme, die bei bereits durchgeführten Wahlen auftraten.
Sie sind somit empirisch nachgewiesen bzw. weisen im Bezug auf die vorherige
Ebene eindeutige Gefahren auf. Sie beinhalten vor allen Dingen auch Punkte
jenseits der technisch theoretischen Sicht (s. 3.4).
3.1 Die Wahlrechtsgrundsätze im Grundgesetz
Die Wahlrechtsgrundsätze für die Wahl zum deutschen Bundestag sind im
Grundgesetz unter Art. 38 Abs. 1 verankert. Danach werden die Abgeordneten
in ,,allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl" gewählt.
33
Durch Art. 28 Abs. 1 gilt dies auch für die Wahl der Vertreter in Ländern, Krei-
sen und Gemeinden. Selbstverständlich müssen diese Grundsätze auch für
Onlinewahlen bindend sein und erfordern daher eine genauere Betrachtung.
3.1.1 Allgemeine Wahl
Die Allgemeinheit der Wahl verbietet "den unberechtigten Ausschluss von
Staatsbürgern von der Teilnahme an der Wahl überhaupt. Er verbietet dem
Gesetzgeber, bestimmte Bevölkerungsgruppen aus politischen, wirtschaftlichen
oder sozialen Gründen von der Ausübung des Wahlrechts auszuschließen"
(BVerfGE 36, 139 (141); 58, 202 (205)). Dies verpflichtet den Gesetzgeber,
Maßnahmen zu treffen, um einerseits einen gesellschaftlich bedingten (s.u.
4.2.2) und andererseits einen technisch bedingten "de facto" Ausschluss ein-
zelner Gruppen (s. 4.2.1) zu verhindern (vgl.
Will
2002: S. 76). Bei einem be-
rechtigten Ausschluss einzelner Personen, z.B. in Folge einer rechtskräftigen
Verurteilung, muss allerdings auch sichergestellt sein, dass diese nicht wählen
können25. Die deswegen nötige Identifizierung und Legitimierung des Wählers
führt wiederum zu Problemen mit der Geheimhaltung (s. 3.1.4).
3.1.2 Gleiche Wahl
Der Wahlrechtsgrundsatz der gleichen Wahl hat sowohl für das aktive als auch
für das passive Wahlrecht Bedeutung. So urteilt das BVerfG in Bezug auf das
aktive Wahlrecht, dass "jedermann sein Wahlrecht in formal möglichst gleicher
Weise soll ausüben können" (BVerfGE 16, 130 (138)). Die abgegebenen Stim-
men der Wähler müssen alle den gleichen Zählwert haben, d.h. jeder Wähler
verfügt über die gleiche Anzahl von Stimmen, und jeder Wähler hat auch den
gleichen Einfluss auf das Ergebnis (vgl. BVerfGE 79, 161 (166); 1, 208 (246)).
Die formale Gleichheit der Stimmabgabe, die sich z.B. auch auf die gleiche
Gestaltung des Stimmzettels bezieht, gewinnt bei einer Wahl über das Internet
besondere Bedeutung. Bezogen auf das passive Wahlrecht muss z.B. gewähr-
leistet sein, dass die verschiedenen Kandidaten in Schrift und Form gleich dar-
gestellt werden (s. 4.2.3).
25 § 13 BWG legt fest, wer vom Wahlrecht ausgeschlossen ist.
34
In Bezug auf den gleichen Zählwert und die gleiche Anzahl von Stimmen, die
jeder Wähler hat, ist es durch diesen Grundsatz unbedingt geboten, eine Dop-
pel- oder Mehrfachwahl einzelner Wähler zu verhindern. Dass es u.U. sinnvoll
sein kann, bei der Mehrfachwahl, unter Einhaltung der Zählwertgleichheit, eine
Ausnahme zu machen, wird unter 4.1 diskutiert. Eine Mehrfachwahl, die im
Ergebnis einem Wähler mehr Stimmen zugesteht, ist bei einer Internetwahl
allerdings sowohl im technischen Zugang bei der Onlinewahl, als auch im orga-
nisatorischen Rahmen zu verhindern26.
3.1.3 Freie Wahl
Die freie Wahl steht in engem Zusammenhang mit der geheimen Wahl. Der
Grundsatz der freien Wahl soll den Wähler gegen Einflussnahme Dritter bei der
Stimmabgabe sichern. So spricht das BVerfG in einer Entscheidung aus dem
Jahr 1957 davon, ,,daß jeder Wähler sein Wahlrecht frei, d. h. ohne Zwang oder
sonstige unzulässige Beeinflussung von außen ausüben kann" (BVerfG 7, 63).
Der Gesetzgeber schützt den Wähler dabei durch die Straftatbestände der
Wählernötigung, -täuschung und -bestechung (§§ 108, 108a, 108b StGB). Zu-
dem ist nach § 32 Abs. 1 BWG während der Wahlzeit in dem Gebäude, in dem
sich der Wahlraum befindet, ,,jede Beeinflussung der Wähler durch Wort, Ton,
Schrift oder Bild (...) verboten".
3.1.4 Geheime Wahl
Die zentrale Aufgabe der geheimen Wahl ist es, die freie Wahl zu garantieren.
Es bedeutet, dass lediglich der Wähler von seiner Wahlentscheidung Kenntnis
haben darf (vgl.
Will
2002: S. 133). Der Gesetzgeber hat dafür Sorge zu tragen,
dass diese Geheimhaltung gewährleistet wird. Bei der Präsenzwahl geschieht
dies durch die im Bundeswahlgesetz (BWG) und der Bundeswahlordnung
(BWO) detailliert beschriebene Ausstattung des Wahlraums mit Wahlzellen und
Wahlurnen sowie der ebenfalls genau beschriebenen Vorgehensweise bei der
Wahl inklusive dem Verhalten des Wahlvorstandes (§§ 49-60 BWO). Die Ge-
heimhaltung ist als Einrichtung des objektiven als auch des subjektiven Rechts
26 Auch der Versuch, sowohl online als auch im Wahllokal zu wählen, muss erkannt und unter-
bunden werden.
35
zu verstehen (vgl.
Buchstein
2002: S. 60). Auch für den Wähler ist es strafbar,
das Wahlgeheimnis zu verletzen (§ 107c StGB). Stimmen, die nicht geheim
abgegeben werden, dürfen nicht gezählt werden. So ist nach § 56 Abs. 6 Satz 1
BWO ein Wähler zurückzuweisen, der die Geheimhaltung verletzt, sei es z.B.
durch das Kennzeichnen außerhalb der Wahlzelle oder dem Nichtfalten des
Stimmzettels. Die Problematik, die sich aus dieser Tatsache für eine Wahl-
durchführung außerhalb von Wahlräumen ergibt, behandelt 4.1.
Eine wichtige Forderung im Bezug auf Online-Wahlen, die sich aus dem Grund-
satz der geheimen Wahl ergibt, ist die der dauerhaften Geheimhaltung (vgl.
3.2.1).
3.1.5 Unmittelbare Wahl
,,Nur wenn die Wähler das letzte Wort haben, haben sie auch das entscheiden-
de Wort; nur dann wählen sie unmittelbar", so urteilte das BVerfG 1957 (BVerf-
GE 7, 63). Demnach gilt in der Bundesrepublik das Verbot von Wahlmännern.
Es darf keine zwischengeschaltete Instanz geben, das Votum der Wähler muss
immer direkt, eben ,,unmittelbar" erfolgen. Die Unmittelbarkeit der Wahl ist für
die Betrachtung der Onlinewahl aber nebensächlich.
3.2 Probleme im theoretischen Modell
Die theoretischen Modelle zu Onlinewahlen wurden bereits unter 2.1 behandelt.
Trotz der mittlerweile sehr weit entwickelten Protokolle zu Onlinewahlen beste-
hen noch grundsätzliche Probleme, die den derzeitig verwendeten kryp-
tographischen Praktiken immanent sind oder den Widersprüchen zwischen
Identifizierung, Anonymität, Geheimhaltung und Überprüfbarkeit entspringen.
3.2.1 Verschlüsselung und dauerhafte Geheimhaltung
Die Kryptologie als ein Wissenschaftszweig der Mathematik beinhaltet sowohl
die Kryptographie als auch die Kryptanalyse. Während sich die Kryptographie
mit der Absicherung von Nachrichten beschäftigt, bildet die Kryptanalyse das
Gegenstück und versucht, diese Chiffrierungen wieder rückgängig zu machen.
Im Laufe der Jahre wurden viele komplexe Algorithmen entwickelt, die mit
Schlüsseln die Chiffrierung und Dechiffrierung von Nachrichten ermöglichen.
Grundsätzlich geschieht dies über mathematische Verfahren, die als solche
36
nicht unbedingt geheim sind, aber derart konstruiert wurden, dass eine Ent-
schlüsselung der chiffrierten Nachrichten nur bei Kenntnis des richtigen Schlüs-
sels möglich ist. Selbstverständlich gibt es unterschiedliche Qualitäten von
Algorithmen, die an ihrer Beständigkeit gegenüber ,,Angriffen"27 gemessen
werden. Aber auch die Angriffe können unterschiedlicher Schwere sein. Bei
einem sog. Cyphertext-only-Angriff hat der Kryptanalytiker nur verschiedene
chiffrierte Nachrichten zur Verfügung, die mit demselben Verschlüsselungsalgo-
rithmus verschlüsselt wurden, um daraus entweder die Originalnachrichten oder
sogar den Schlüssel, der verwendet wurde, abzuleiten. Dabei gilt ein Algorith-
mus als ,,uneingeschränkt sicher, wenn der Klartext auch dann nicht ermittelt
werden kann, wenn Chiffretext in beliebigem Umfang vorhanden ist" (
Schneier
1996: S. 9). Dies ist unter der Annahme von unbegrenzten Ressourcen nur der
Fall, wenn zur Verschlüsselung ein sogenanntes One-Time-Pad verwendet
wird, eine nur für diese Chiffrierung einmalig verwendete Zufallsfolge von Zah-
len (vgl. ebd.), ,,Alle anderen Kryptosysteme können mit einem Cyphertext-only-
Angriff gebrochen werden" (ebd.). Die schlechteste Methode, die dabei zum
Einsatz kommen kann, ist der Brute-Force-Angriff, das Einsetzen aller denkba-
ren Schlüsseln, bis irgendwann Klartext aus der chiffrierten Nachricht erzeugt
werden kann.
Alle in dieser Arbeit besprochenen kryptographischen Methoden sind also
grundsätzlich entschlüsselbar. Entscheidend ist dabei aber, welcher Aufwand
zur Entschlüsselung nötig ist. Bei Verwendung eines besonders ,,starken" Algo-
rithmus, für dessen Brechung die beste Methode ein Brute-Force-Angriff ist,
kann bei entsprechender Schlüsselgröße das Ausprobieren sämtlicher Schlüs-
sel mehrere Milliarden Jahre dauern, selbst wenn alle derzeit auf der Welt ver-
fügbaren Rechner parallel eingesetzt würden (vgl.
Stallings
2001: S. 44). Dies
zeigt aber, dass die Geheimhaltung einer Nachricht, die mit einem Krypto-
system verschlüsselt ist, wie es bei Protokollen zu Onlinewahlen Verwendung
findet, von der Entwicklung der Technik abhängig ist. Niemand kann sicher
27 ,,Angriff" meint hier den Versuch, die Originalnachricht wieder herzustellen.
37
sagen, ob ein heute als ,,berechnungssicher"28 geltendes Verfahren, morgen
nicht durch eine Innovation der Technik gebrochen werden kann. Die Geheim-
haltung bei einer Wahl darf aber nicht von zeitlichen oder materiellen Faktoren
abhängig sein, sondern muss ,,ewig" gewährt werden (vgl. 3.1.4). Dementspre-
chend müsste ein Onlinewahlsystem auch gegen etwaiges Protokollieren und
späteres Entschlüsseln gewappnet sein. Dies ist allerdings nicht möglich, so-
lange die Verbindungen bei Onlinewahlen über SSL oder ähnliche Verfahren
gesichert sind.
Anwendungs-
Schicht 7
Schicht 7 schicht
Schicht 6
Schicht 6 Darstellungs-
schicht
SSL
Schicht 5
Schicht 5 Sitzungs-
schicht
Schicht 4
Schicht 4 Transport-
TCP/IP
Schicht
Schicht 3
Schicht 3 Netzwerk-
IP
schicht
Schicht 2
Schicht 2 Leitungs-
schicht
physikalische
Schicht 1
Schicht 1 Schicht
Rechner A
Rechner B
= tatsächlicher Kommunikationsfluss
= logischer Kommunikationsfluss
Abbildung 8 - ISO-OSI-Schichtenmodell
28 Als ,,berechnungssicher" gilt ein Verschlüsselungsverfahren, wenn entweder der Aufwand
zum Entschlüsseln der Nachricht ihren Wert übersteigt, oder wenn die benötigte Dauer zum
Entschlüsseln über dem der Brauchbarkeit der Information liegt (vgl. Stallings 2001: S. 43).
38
SSL liegt im Schichtenmodell oberhalb von TCP/IP29 (s. Abbildung 8). Dieses
Schichtenmodell beschreibt Kommunikation zwischen zwei Rechnern bzw. zwei
Prozessen auf zwei Rechnern in verschiedenen Schichten. Dabei bilden alle
Prozesse einer Schicht eine Kommunikationsprotokollebene, die nur durch
Prozesse der direkt unterliegenden Schicht realisiert werden (vgl.
Engesser
1993: S. 185f.). TCP/IP bietet auf der Transportschicht ein Protokoll für eine
verlässliche Kommunikation, die aber keinerlei Sicherheitsmechanismen be-
sitzt. Somit können alle Protokolle, die in diesem Modell oberhalb von TCP/IP
liegen, zwar durch Verschlüsselung inhaltlich geschützt sein, die Verbindungs-
daten sind aber einsehbar. Wer mit wem kommuniziert, kann jedoch auch
schon eine schützenswerte Information sein, z.B. wenn ein Angreifer nur eine
zielgerichtete Sabotage im Sinn hat. In jedem Fall wäre es möglich, die Kom-
munikation zwischen einem Wahlclient und dem Wahlserver gezielt zu protokol-
lieren30, um sie zu einem späteren Zeitpunkt zu entschlüsseln. Dies ist ein
grundsätzlicher Nachteil einer Onlinewahl, deren Kommunikation drahtgebun-
den (oder sogar nicht drahtgebunden) abläuft, gegenüber einer herkömmlichen
Urnenwahl.
Die Frage ist sicherlich, wieso jemand Wahlhandlungen protokollieren sollte, um
sie später zu dechiffrieren. Die konkrete Gefahr bei einer Onlinewahl besteht
eher in der Sabotage der Kommunikationskanäle. Trotzdem steht die beschrie-
bene Möglichkeit zur Unterwanderung der Geheimhaltung im Gegensatz zu
ihrer geforderten Dauerhaftigkeit.
Bei i-vote wird versucht, dem Problem des Abhörens aus dem Weg zu gehen,
indem nie Identifizierungsdaten und Wahlentscheidungen gemeinsam übertra-
gen werden. Einzeln dürften beide Informationen jeweils bekannt sein. Zudem
soll einem Angreifer das zeitliche Inbezugsetzen dieser unterschiedlichen Nach-
richten unmöglich gemacht werden, indem auf den Kommunikationskanälen
ständig Botschaften gesendet werden (vgl.
Otten
2002: S. 78).
29 Das Transmission Control Protocol/ Internet Protocol (TCP/IP) ist das grundlegenden Proto-
koll für das World Wide Web (WWW).
30 Selbstverständlich nur, wenn man den Zugang zu einem Knotenpunkt besitzt, über den die
Kommunikation zwischen Client und Server läuft.
39
Die Sicherung der Daten durch Verschlüsselung kann, insgesamt betrachtet,
nicht das einzige Mittel zur Gewährleistung von Geheimhaltung sein. Die Dau-
erhaftigkeit wäre durch Kryptographie nicht gewährleistet. Wenn die bestehen-
de Infrastruktur des Internets genutzt werden soll, lägen zumindest die Verbin-
dungsdaten offen, weswegen es weitergehender Überlegungen beim Entwurf
eines Wahlprotokolls bedarf, die dieses Problem beheben.
3.2.2 Quittungsfreie Protokolle
Jedes Wahlsystem wird immer auch vom Vertrauen der Wähler in die Korrekt-
heit des Ablaufes abhängen. Bei einem Onlinewahlsystem ist dies umso wichti-
ger, da viele Teile des Wahlprotokolls für den Wähler nicht sichtbar im Hinter-
grund ablaufen. Dementsprechend wurde in Entwürfen versucht, den Wähler
überprüfen zu lassen, ob sein Votum korrekt und unverändert gezählt worden
ist. Dies ist auf verschiedene Arten möglich. Unter 2.1.1 wurden zwei Verfahren
vorgestellt, die eine solche Überprüfung gestatten.
In dem Verfahren von
Philippsen
veröffentlicht der sogenannte Auszähler eine
Ergebnisliste, in der der Wähler anhand einer zuvor erhaltenen Nummer über-
prüfen kann, ob sein Votum in das Endergebnis eingegangen ist (vgl.
Phi-
lippsen
2002: S. 145). Die Quittungsnummer gibt dem Wähler Gewissheit über
seine Wahlentscheidung.
Die Chance, die korrekte Wertung der eigenen Stimme überprüfen zu können,
wäre ein enormer Mehrwert der Onlinewahl gegenüber der herkömmlichen
Urnenwahl. Dieser Mehrwert würde aber mit einer ebenso großen Problematik
erkauft werden. So könnte die Quittungsnummer, der Beweis der Wahlent-
scheidung, zum Stimmenverkauf genutzt werden. Rechtlich gesehen würde
sich der Wähler wahrscheinlich allein durch den Besitz einer solchen Quittung
strafbar machen, da die Wahrung des Wahlgeheimnisses auch für ihn bindend
ist (§ 107c StGB)31.
Aus diesen Gründen haben Kryptologen versucht, Modelle und Protokolle zu
entwickeln, die es erlauben, die Korrektheit der Wahl, und somit auch der Wer-
tung der eigenen Stimme, zu überprüfen, ohne dass die Wahlentscheidung
31 Zum Wahlgeheimnis vergleiche auch die Ausführungen zu Brief- und Onlinewahl unter 4.1.
40
belegbar ist. Ein Beispiel ist das Verfahren von
Niemi
und
Renvall
(
Niemi u.a.
1994). Die Voraussetzung für das Verfahren bildet eine Registrierung des Wäh-
lers in einer gesicherten Umgebung. Nach dieser Registrierung kann der Wäh-
ler mit einem erhaltenen ,,eligibility token" mehrere Wahlen durchführen. Um zu
verhindern, dass auf der Seite der Wahlzentrale das Votum dem Wähler zuge-
ordnet wird, schlagen
Niemi
und
Renvall
eine Spaltung der Wahlzentrale in
mehrere kleinere Einheiten vor, wie dies auch schon bei anderen vorgestellten
Wahlprotokollen praktiziert wurde (vgl.
Niemi u.a.
1994: S. 166). Praktisch
könnten dies jeweils die verschiedenen Kandidaten sein, die zur Wahl stehen.
Der Unterschied zu den anderen dargestellten Verfahren besteht darin, dass
diese Untereinheiten, die zusammen die zentrale Wahleinheit bilden, nur ge-
meinsam das Wahlergebnis bestimmen können. Sie sind aber auch zusammen
nicht in der Lage, einzelne Voten einzelnen Wählern zuzuordnen. Das Verfah-
ren, das dabei zum Einsatz kommt, nennt sich ,,multiparty computations" und
geht zurück auf
Chaum
,
Damgard
und
van de Graaf
(1988). Für den einzelnen
Wähler bildet somit allein die Ermittlung des Wahlergebnisses die Gewissheit,
dass seine Stimme richtig gewertet wurde. Genau das ist auch der unbefriedi-
gende Punkt an dieser Lösung, die sich doch auf einem sehr abstrakten Level
bewegt, obwohl die Autoren in ihren Ausführungen versuchen, den praktischen
Ansatz zu betonen. Der Wähler kann nicht anhand einer eigenen Vorgehens-
weise die Korrektheit überprüfen, sondern muss sich hier auf die exakte und
fehlerfreie Implementierung des Protokolls verlassen.
Anderen veröffentlichten Wahlverfahren, die Quittungsfreiheit versprechen,
werden meist im Laufe der Zeit Fehler nachgewiesen.
Philippsen
führt z.B.
Benaloh
und
Tuinstra
(1994) oder
Sako
und
Kilian
(1995) an, bei denen
Mi-
chels
und
Horster
(1996) Fehler in ihren Überlegungen entdecken. Er kommt
daher zu der Überzeugung, dass derzeit wohl durch ein Wahlverfahren alleine
keine Quittungsfreiheit gewährleistet werden kann, sondern dass es dazu ande-
rer Hilfsmittel, wie eben der Wahlkabine, bedarf (vgl.
Philippsen
2002: S. 146).
3.3 Probleme in der Implementierung
Wahlprotokolle, die zumeist von Kryptologen entworfen werden, beschreiben
den Ablauf einer Onlinewahl auf einer abstrakten Ebene. Viele Teile in einem
solchen Protokoll werden als ,,Black-Box", als abgeschlossener, optimal funktio-
41
nierender Teil gesehen. Daher können bei der Umsetzung solcher Wahlproto-
kolle Probleme in diesen Einzelteilen entstehen, und zwar dann, wenn sie der
ihnen angedachten Funktionalität nicht oder nicht ganz entsprechen. Als zwei
entscheidende Punkte kommen dabei die anonymen Übertragungskanäle zur
Übermittlung der Voten vom Wähler zum Server der Wahlleitung und die Wäh-
ler selber in Frage.
3.3.1 Anonyme Kanäle
In den unter 2.1.1 beschriebenen Verfahren werden von
Philippsen
und
Schneier
direkt oder implizit anonyme Kanäle bei der Übertragung der Wahlent-
scheidung an den Auszähler vorausgesetzt.
Otten
sieht im Falle einer Online-
wahl von individuellen Zugängen anonyme Kanäle als ,,absolut unerlässlich" an
(
Otten
2002: S. 79). Die Bedeutsamkeit ist relativ schnell ersichtlich. Im Internet
können Rechner wegen sogenannter IP-Adressen miteinander kommunizieren.
Jeder Rechner im Internet hat eine eindeutige IP-Adresse und ist somit in der
Lage, an andere Rechner sog. IP-Pakete zu schicken oder solche zu empfan-
gen. In jedem dieser Pakete ist der Absender und der Empfänger vermerkt.
Wenn also der Wahlserver ein Votum erhält, ist für ihn ersichtlich, von welcher
IP-Adresse es stammt. Würde im Wahlserver protokolliert welches Votum zu
welchem Zeitpunkt von welcher IP kam, könnte z.B. durch Abgleich mit Daten
von Internet Service Providern der Name des Wählers herausgefunden werden.
Um dies zu verhindern müssen die Daten über anonyme Kanäle gesendet
werden.
Die oben beschriebene Struktur der Internet-Kommunikation macht das Einrich-
ten eines anonymen Kanals schwierig. Ein Möglichkeit wurde von
David Chaum
vorgestellt (1981). Das von ihm so betitelte MIX-Modell geht von einer Kommu-
nikation über Dritte aus. Ein Sender sendet seine Nachricht nicht direkt an den
Empfänger, sondern schickt sie an einen dritten Rechner, den ,,MIX". Dabei sind
die Informationen wie folgt verschlüsselt. Der Sender chiffriert die Botschaft mit
dem öffentlichen Schlüssel des Empfängers und ergänzt das Resultat mit der
Adresse des Empfängers. Diese Nachricht wird mit dem öffentlichen Schlüssel
des MIX verschlüsselt und an den MIX gesendet. Im MIX kann die Adresse des
Empfängers dechiffriert und die Botschaft an den Empfänger ausgeliefert wer-
den. Je nach Bedarf kann dieses Verfahren auch auf MIX-Netze, d.h. mehrere
42
hintereinander geschaltete MIXe, erweitert werden. Somit ist die Nachricht
selber nur für den Empfänger lesbar und die Kommunikationsdaten werden
vom MIX ,,geschluckt". Ein MIX muss dabei selbstverständlich ein ,,vergessli-
cher" Dienst sein, d.h. die Informationen über die Datenpakete, die durch den
MIX gegangen sind, dürfen nur für einen kurzen Zeitpunkt gespeichert bzw.
protokolliert werden. Bei der Verwendung mehrerer MIXe reicht es aus, wenn
nur ein einziger ordnungsgemäß funktioniert32.
Das Problem besteht darin, zu garantieren, dass ein MIX auch wirklich keine
Kommunikationsdaten speichert oder gar an Dritte weitergibt. Hier ist der Sen-
der vom Vertrauen in den verwendeten MIX abhängig. Ein kompromittierter MIX
stellt immer eine Gefahr für die Geheimhaltung dar.
Ullmann
,
Koob
und
Kelter
,
Mitarbeiter im Bundesamt für Sicherheit in der Informationstechnik, halten daher
die Verwendung von MIX-Netzen zur Anonymisierung ,,hinsichtlich der Dauer-
haftigkeit der Trennung von Wähleridentität und Votum [für] problematisch"
(
Kelter u.a.
2001: S. 645).
Eine weitere Idee, um anonyme Kommunikation in einem Netzwerk zu ermögli-
chen, stellt
Schneier
vor (
Schneier
1996: S. 163ff.). Sie basiert auf dem von
Chaum
(1988) vorgestellten und von
Waidner
und
Pfitzmann
(1989) verbesser-
ten ,,Dining Cryptographers Problem". Zwischen den Kommunikationspartnern
werden ständig Nachrichten ausgetauscht, die sich auf ein Zufallsbit beziehen,
ähnlich einem Münzwurf in der Realität. Es wird ein ,,Kreis" gebildet, in dem
jeder nur seine beiden Nachbarn sieht. In Runden verkündet jeder, ob die
Ergebnisse der Münzwürfe zu seiner linken und rechten gleich oder ungleich
sind. Botschaften werden binär übermittelt, d.h. eine falsche Aussage über das
Ergebnis wird als 1, die richtige als 0 gewertet.
Als Implementierung spielt dieses Verfahren in der Literatur keine weitere Rolle.
Sein Einsatz bei Onlinewahlen wird daher auch nicht zu erwarten sein. Trotz-
32 Der Versuch, einen solchen Anonymisierungsdienst für alle Internet-Surfer anzubieten, wird
gerade an der TU Dresden durchgeführt (s. http://anon.inf.tu-dresden.de). Über ein Java Pro-
gramm, das auf dem eigenen Rechner als Proxy fungiert, wird mit dem MIX kommuniziert. Die
Entwickler weisen selber darauf hin, dass ihr eigener Anspruch an die Sicherheit derzeit noch
nicht erfüllt wird, und dass das Funktionieren des Systems von der Selbstverpflichtung der
unabhängigen Betreiber der einzelnen MIXes abhängig ist.
43
dem zeigt das Beispiel, dass anonyme Kanäle durchaus auf unterschiedliche
Weise implementiert werden können, wodurch auch nicht auszuschließen ist,
dass eine für Onlinewahlen akzeptable Lösung gefunden wird. Bis dahin bieten
die MIX-Netze einen guten Ansatz, der aber von weiteren institutionellen Lö-
sungen, z.B. einer öffentlichen Überwachung der Korrektheit der MIXe, begleitet
werden müsste.
3.3.2 Secure Platform
In den meisten kryptographischen Wahlprotokollen wird der Wähler gleichge-
setzt mit dem Rechner, von dem aus er sein Votum abgibt. Dabei wird davon
ausgegangen, dass diese Benutzerschnittstelle als ,,trusted agent" korrekt funk-
tioniert und somit den Wählerwillen innerhalb des Wahlprotokolls immer richtig
abbildet (vgl.
Gerck u.a.
2002: S. 245f.). Dass diese ,,Secure Platform" eine
idealisierte Vorstellung ist, soll im folgenden gezeigt werden, denn das Einga-
bemedium selbst bietet eine große Angriffsfläche.
Viele Autoren, insbesondere aus dem Bereich der Informationssicherheit,
bemängeln, dass herkömmliche Computer und Betriebssysteme zu viele
Lücken und Sicherheitsrisiken haben, um sie bei einer Onlinewahl einsetzen zu
können. Die Gefahr geht dabei von Angreifern aus, die sich über Programme
Zugriff auf den Rechner des Wählers verschaffen. Ein solches
Angreiferprogramm könnte auf dem System als versteckter Prozess laufen, so
dass es selbst von erfahrenen Systemadministratoren nur schwer aufzuspüren
wäre (vgl.
Rubin
2002: S. 40). Beispiele für solche Programme wären
Fernadministrationswerkzeuge wie Back Orifice 2000 oder PCAnywhere. Diese
Programme könnten als Viren ohne Wissen des Anwenders ins System
gelangen und ermöglichten dann bei einer Wahl die Einsichtnahme und sogar
Änderung von Voten. Ein durchschnittlicher Nutzer könnte einen solchen Angriff
nicht erkennen, und selbst eine Virenscanner-Software täte sich schwer, wegen
der meist einfachen Suche nach bekannten Signaturmustern (ebd.). Ferner
könnten sogenannte Trojanische Pferde, d.h. scheinbar harmlose
Computerprogramme, die aber versteckten Code enthalten, den Fernzugriff auf
den angegriffenen Rechner ermöglichen (vgl.
Stallings
2001: S. 395f.).
Die Verteilungsmechanismen für solche Angreiferprogramme sind vielfältig und
können von physikalischer Installation mittels Diskette, z.B. bei einem Woh-
44
nungseinbruch, bis hin zu einer Verteilung durch einen Internet-Wurm gehen.
Aber Email-Viren sind nicht der einzige Weg, auf dem ein Betriebssystem von
außen angreifbar gemacht werden kann. Die Betriebssysteme selber, Pro-
gramme mit Millionen Zeilen von Quellcode, haben bekannte Fehlfunktionen
und Sicherheitslücken, die es ermöglichten, in den Rechner einzubrechen. Ein
einfaches Beispiel wäre der sog. buffer overflow, der eintritt, wenn ein Prozess
mehr Speicher benötigt, als vom Programmierer vorgesehen. Weitere Möglich-
keiten, in fremde Rechner einzubrechen, bieten ActiveX-Controls, über die
Trojaner ins System geschleust werden können. Auch Installer, Programme, die
bei der Installation von Software helfen, können mit böswilligem Code behaftet
sein (vgl. alle Beispiele
Rubin
2002: S. 41f.).
Eine weitere Sicherheitslücke tut sich in den verbreitetsten Browsern, dem
Microsoft Internet Explorer und dem Netscape Navigator, auf. So wäre es mög-
lich über eine geringe Modifikation der Konfigurationsdatei den gesamten Inter-
netverkehr dieser Browser umzulenken und über sogenannte Proxies laufen zu
lassen. Auf diesen Proxies könnte dann ein Angreifer die Daten bei der Über-
mittlung abhören, modifizieren oder umleiten (vgl.
Rubin
2002: S. 41). Die ent-
wickelten Sicherheitsvorkehrungen, die eine solche Manipulation verhindern
sollen, werden u.U. von durchschnittlichen Nutzern nicht richtig angewendet.
Als Beispiel kann über eine SSL-Verbindung die Ende-zu-Ende-Sicherheit der
Übertragung und die Authentizität des angewählten Servers gewährleistet wer-
den. Einige Autoren sind davon überzeugt, dass ein durchschnittlicher Internet-
nutzer aber nicht in der Lage ist, eine verschlüsselte von einer nicht-
verschlüsselten Verbindung zu unterscheiden bzw. generell Verteidigungsstra-
tegien gegen Angreifer richtig zu beherrschen (vgl.
Phillips u.a.
2001: S. 74;
Rubin
2002: S. 43).
Die angesprochenen Probleme entspringen zumeist aus einer Mehrfachnutzung
der PC-Systeme. Bei Benutzerschnittstellen, die rein auf den Zweck der Wahl
ausgelegt sind, meinen Experten, diese Gefahren technisch in den Griff be-
kommen zu können (vgl.
Hoffman u.a.
2001: S. 70). Dies wäre allerdings nur in
einer gesicherten Umgebung wie dem Wahllokal möglich. Aus diesem Grund
schlägt die ,,California Internet Voting Task Force" einen Stufenplan zur Einfüh-
rung der Onlinewahl vor, der zunächst die Wahl vom eigenen Wahllokal, dann
von jedem beliebigen Wahllokal, anschließend von öffentlichen Kiosksystemen
45
und erst in letzter Stufe von jedem Internetzugang aus ermöglichen soll (vgl.
Jones
2000: S. 15). Um die Sicherheit auch auf den individuellen Internetzu-
gängen gewährleisten zu können, gibt es Vorschläge, Wahlbetriebssysteme zu
entwickeln. Diese wären auf einem read-only-Datenträger gespeichert (z.B. CD-
ROM) und würden auch von diesem Medium aus gestartet, was eine Sabotage
durch bereits eingespielte Viren und Trojaner ausschlösse (vgl.
Forschungs-
gruppe Internetwahlen
2002: S. 27f.;
Otten
2002: S. 83).
Die angeführten Probleme mit der Sicherheit der Systeme sind keine spezifi-
schen Onlinewahl-Probleme sondern betreffen alle sicherheitsrelevanten An-
wendungen im Netz. Ein Kritiker fasst daher die Sorgen und Ängste bezüglich
Onlinewahlen etwas polemisch aber pointiert zusammen: ,,We can′t let democ-
racy melt down like an e-commerce startup" (
Rothke
2001: S. 14).
3.4 Empirisch vorfindbare und potenzielle Probleme
Von den bisher durchgeführten Onlinewahlen gab es wohl keine, die ohne
Komplikationen abgelaufen ist. Die Auflistung der empirisch vorfindbaren Prob-
leme ist dementsprechend lang. Dies reicht allerdings noch nicht aus, da neben
den aufgetretenen Problemen bei den Wahldurchführungen zahlreiche poten-
zielle Gefahren und Risiken nachgewiesen werden können. Diese theoretisch
denkbaren Probleme sind aber keineswegs weniger wichtig für die Gesamtbe-
trachtung als die wirklich aufgetretenen. Ein Vergleich mit der herkömmlichen
Wahl könnte hier vielleicht helfen. So ist eine gläserne Urne, in die die Wahlzet-
tel ungefaltet hineingeworfen werden, auch dann mit dem Wahlgeheimnis un-
vereinbar, wenn niemand vom Wahlvorstand hinschauen würde. Ähnlich verhält
es sich mit den Onlinewahlen. Die Möglichkeit der Unterwanderung des Wahl-
geheimnisses in einem Wahlsystem ist auch dann eine Gefahr, wenn sie nicht
ausgenutzt wurde. Lücken und Schwächen in den einzelnen Wahlprotokollen
und insbesondere in den Implementierungen finden sich reichlich.
3.4.1 Wahlen zum Studierendenparlament in Osnabrück
Im Vorfeld der Wahl zum Studierendenparlament in Osnabrück kam es zu Prob-
lemen bei der Auslieferung der Chipkarten und PINs an die Wahlberechtigten.
Zum einen waren an der Ausgabestelle in der Universität nicht genügend Kar-
tenlesegeräte für alle Wahlberechtigten verfügbar, zum anderen wurden die per
46
Post und Kurierdienst zugestellten Karten und PINs nicht überall rechtzeitig
ausgeliefert (vgl.
Hügelmeyer
2001: S. 106).
Darüber hinaus war die Software nur auf das Betriebssystem Windows95 aus-
gelegt. Um die Kartenlesegeräte auf anderen Systemen zum Laufen zu be-
kommen, bedurfte es eines tieferen technischen Know-hows. Eine Wahl über
Macintosh-Rechner war überhaupt nicht möglich (vgl.
Hügelmeyer
2001: S.
107;
Philippsen
2002: S. 147). Zusätzlich waren einige digitale Signaturen auf
den Chipkarten trotz erfolgreicher Installation aus unbekannten Gründen nicht
lesbar (vgl.
Lange
2002: S. 132).
Bei der Wahl erhielt der Wähler eine Quittungsnummer, mit der er nach Ablauf
der Wahl überprüfen konnte, ob seine Stimme richtig ins Ergebnis eingeflossen
ist (vgl.
Philippsen
2002: S. 147). Die Problematik wurde bereits unter 3.2.2
diskutiert und erfährt ihre rechtliche Bewertung im Zuge der Einordnung von
Brief- und Präsenzwahl unter 4.1.
Offensichtlich machte die Software den Wählern auch nicht transparent, dass
sie für den endgültigen Abschluss der Wahl warten mussten, bis die Daten zwei
Mal hin- und hergeschickt wurden. Dementsprechend brachen einige Wähler
ihren Wahlvorgang unwissend vorzeitig ab, wodurch auf dem Rechner des
Wählers eine temporäre Datei mit der Wahlentscheidung zurückblieb. Dieser
Fehler war darauf zurückzuführen, dass das Java-Applet anscheinend nicht mit
der Verschlüsselungssoftware der Firma Secure kommunizieren konnte. Des-
wegen wurde bei der Programmierung die Lösung über die Zwischenspeiche-
rung in einer Datei gewählt. Über das Problem der verbleibenden Datei hinaus,
hatte das Wahl-Applet somit vollen Zugriff auf die Festplatte des Benutzers,
was zusätzlich bedenklich ist. Durch die verbleibende Datei war es möglich,
dass bei öffentlichen und halböffentlichen Rechnern der nachfolgende Benutzer
Einsicht in die Wahlentscheidung seines Vorgängers bekam (vgl.
Hügelmeyer
2001: S. 107;
Philippsen
2002: S. 147).
In Osnabrück war die Onlinewahl neben den Wahllokalen von individuellen
Zugängen aus möglich. Die Gefahren, die daraus erwachsen, wurden schon
unter dem Stichwort Secure Platform dargelegt (3.3.2). Von derartigen Manipu-
lationsversuchen wurde in den Quellen allerdings nichts berichtet. Da scheinbar
47
auch keine anonymen Kanäle benutzt wurden, wäre ferner eine Zuordnung von
Wähleridentität zu Votum über die IP-Adresse (s. 3.3.1) u.U. möglich gewesen.
Während der Wahlzeit wurde die Wahlseite vom Wahlvorstand für eine Stunde
vom Netz genommen, um die Korrektheit des Stimmzettels zu überprüfen (vgl.
Hügelmeyer
2001: S. 107). Zusätzlich kam es während der Wahl zu Ausfällen
im Universitätsnetz, wodurch die Wahlserver für eine Zeit nicht erreichbar wa-
ren (vgl.
Lange
2002: S. 132).
Trotz der Verschlüsselung des Votums und der blinden Signatur wäre es mög-
lich, über einen Rückschluss die Wahlentscheidung offen zu legen.
Ullmann
,
Kelter
und
Koob
führen dazu ein Beispiel an (vgl.
Kelter u.a.
2001: S. 45). Man
benötigt lediglich den Wahlzettel und den öffentlichen Schlüssels des Wahlvor-
standes. So könnten alle möglichen gültigen Voten als verschlüsselte Doku-
mente erzeugt werden, um sie danach mit dem auszuspähenden Votum zu
vergleichen. Ist das Votum gültig, muss es mit einem der erzeugten ausgefüll-
ten Wahlzettel übereinstimmen, wodurch das Wahlgeheimnis gefallen wäre.
Bei der Auszählung der Wahl durch den Wahlvorstand war ein Skript fehlerhaft
und lieferte zunächst falsche Ergebnisse. Erst durch eine Auszählung per Hand
konnte der Wahlausgang festgestellt werden (vgl.
Hügelmeyer
2001: S. 107;
Philippsen
2002: S. 147). Wegen der vielen Probleme und Sicherheitsbedenken
wurde die erfolgreiche Durchführung der Onlinewahlen in Osnabrück von der
Studierendenschaft nicht bestätigt (vgl.
Lange
2002: S. 132).
3.4.2 Personalratswahl im Landesbetrieb für Datenverarbeitung und Statistik
Brandenburg
Im Abschlussbericht zur Online-Personalratswahl in Brandenburg werden meh-
rere Probleme und Verbesserungsvorschläge zur Wahl vermerkt. So stellten
Wähler und Wahlhelfer fest, dass eine sechsstellige PIN für die Signaturkarte
den Zugang zur Online-Wahl erschwert (vgl.
LDS Brandenburg
2002: S. 6).
Zudem waren die Karten für viele Wähler technisches Neuland. Es kam mehr-
fach vor, dass die PIN dreimal falsch eingegeben wurde, was zur Zerstörung
der Signaturkarte führte (vgl.
LDS Brandenburg
2002: S. 37).
Der Wahlvorstand bemängelte, das es an ,,Steuerungs- und Informationsin-
strumente[n] zum aktuellen Status der im Einsatz befindlichen Systeme" fehle
48
(vgl.
LDS Brandenburg
2002: S. 6). Dies bezieht sich wahrscheinlich auf die
kurzzeitigen Ausfälle im LDS-Netz, die von Bauarbeiten vor dem Gebäude
herrührten (
LDS Brandenburg
2002: S. 7). So muss für den Wahlvorstand
schnell ersichtlich sein, ob die Fehlerquelle für den Ausfall des Systems im
eigenen Verantwortungsbereich liegt oder nicht. Hervorstechend ist noch die
Bemerkung, dass ein ,,Standard-PC nur bedingt für [den] Wahlkabinen-Einsatz
geeignet" sei (
LDS Brandenburg
2002: S. 7). Eine nähere Begründung bleibt
aus. Es ist anzunehmen, dass die Eingabegeräte (Maus und Tastatur) den
Grund lieferten. Denn im Rahmen der sozialwissenschaftlichen Begleitfor-
schung kam über Interviews heraus, dass einzelne Mitarbeiter, die nicht am PC
geschult sind, Probleme im Umgang mit der Maus gehabt hätten (vgl.
LDS
Brandenburg
2002: S. 41).
Ein entscheidender Punkt zur Bewertung eines Wahlprotokolls ist in den
theoretischen Modellen immer, ob im Falle der Kooperation zweier
Wahlinstanzen (hier Wahlamtserver und Urnenserver) die Integrität und
Geheimhaltung noch gewährleistet werden kann. Dies ist im Falle von i-vote zu
verneinen. Denn auch wenn das Problem der Reihung von
Wahlentscheidungen durch ständiges ,,Befeuern" der Kommunikationskanäle
unterbunden werden soll, wäre es trotzdem möglich, dass Wahlzettel
hinzugefügt oder gelöscht werden könnten. Wenn die gezählten Stimmen nicht
die Zahl der Wahlberechtigten übersteigen, ist der Nachweis einer Manipu