GRIN - 'Vote in your underwear!' Rechtliche und technische Aspekte von Wahlen und Abstimmungen via Internet

Register or log in at GRIN

Your e-mail-address or password is wrong

Lost password

Your e-mail-address or password is wrong

'Vote in your underwear!' Rechtliche und technische Aspekte von Wahlen und Absti...

Please wait

Please install the Adobe Flash Player if no e-book is displayed.

Title: 'Vote in your underwear!' Rechtliche und technische Aspekte von Wahlen und Abstimmungen via Internet ()

'Vote in your underwear!' Rechtliche und technische Aspekte von Wahlen und Abstimmungen via Internet

Thesis (M.A.), 2003, 95 Pages
Author: Stefan Henze
Subject: Computer Science - Internet, New Technologies

Details

Institution/College: Technical University of Braunschweig
Tags: Vote, Rechtliche, Aspekte, Wahlen, Abstimmungen, Internet

Category: Thesis (M.A.)
Year: 2003
Pages: 95
Grade: 1,0
Language: German

Archive No.: V108623
ISBN (E-book): 978-3-640-06818-0

File size: 692 KB

Notes :
Vote in your underwear! lautet ein Werbespruch einer amerikanischen Firma für Internetwahlen. Es stellt sich die Frage nach den technisch machbaren und rechtlich abgesicherten Möglichkeiten, die heute in diesem Bereich bestehen. Auf welchem technischen Stand werden derzeitige Onlinewahlen durchgeführt? Welche Probleme beinhalten sie? Welche rechtlichen Anforderungen gibt es an eine solche Wahl? Ist, bildlich gesprochen, eine Wahl in Unterwäsche realistisch oder nicht?

Fulltext (computer-generated)

,,Vote in your underwear!" 

Rechtliche und technische Aspekte von Wahlen und

Abstimmungen via Internet

Magisterarbeit zur Erlangung des Magistergrades (M.A.)

an der Hochschule für Bildende Künste Braunschweig und

am Fachbereich für Wirtschafts- und Sozialwissenschaften

der Technischen Universität Braunschweig

vorgelegt von Stefan Henze

Erstgutachter: Prof. Dr. Bernd Rebe

Zweitgutachter: Prof. Dr. Stefan Fischer

Inhaltsverzeichnis

EINLEITUNG: DIE TECHNISCH-TATSÄCHLICHE UND DIE RECHTLICHE

DIMENSION DES THEMAS 4

DIE VERSCHIEDENEN VERFAHREN VON ONLINEWAHLEN UND

ONLINEABSTIMMUNGEN 6

2.1

Modelle elektronischer Wahlverfahren 7

2.1.1 Wahlen mit zentraler Instanz 8

2.1.2 Wahlen ohne zentrale Instanz 13

2.2

Implementierungen elektronischer Wahlverfahren 14

2.2.1

Forschungsgruppe Internetwahlen

,,i-vote" 15

2.2.2

Election.com

2.2.3 Weitere Implementierungen 31

DIE VERSCHIEDENEN PROBLEMLAGEN 32

3.1

Die Wahlrechtsgrundsätze im Grundgesetz 32

3.1.1 Allgemeine Wahl 33

3.1.2 Gleiche Wahl 33

3.1.3 Freie Wahl 34

3.1.4 Geheime Wahl 34

3.1.5 Unmittelbare Wahl 35

3.2

Probleme im theoretischen Modell 35

3.2.1 Verschlüsselung und dauerhafte Geheimhaltung 35

3.2.2 Quittungsfreie Protokolle 39

3.3

Probleme in der Implementierung 40

3.3.1 Anonyme Kanäle 41

3.3.2 Secure Platform 43

3.4

Empirisch vorfindbare und potenzielle Probleme 45

3.4.1 Wahlen zum Studierendenparlament in Osnabrück 45

3.4.2 Personalratswahl im Landesbetrieb für Datenverarbeitung und Statistik

Brandenburg 47

3.4.3 Jugendgemeinderatswahl in Esslingen 50

3.4.4 Arizona Democratic Primary 51

3.5

Ergebnisse der Betrachtung der verschiedenen Problemlagen 52

RECHTLICHE BEURTEILUNG 54

4.1

Geheimhaltung auf Seiten des Benutzers 54

4.2

Gleichheit auf Seiten des Benutzers 60

4.2.1 Manipulationen und Strafrecht 61

4.2.2 Onlinewahlen und der Digital Divide 64

4.2.3 Onlinewahlen und das Gebot der formal gleichen Stimmabgabe 66

4.3

Verfügbarkeit des Netzwerks 67

4.4

Korrektheit auf Seiten der zentralen Wahlinstanz 70

4.4.1 Zertifizierung von Wahlsoftware 71

4.4.2 Harmonisierung der Rechtsvorschriften für die Wählerverzeichnisse 73

4.5

Geheimhaltung auf Seiten der zentralen Wahlinstanz 74

4.6

Überprüfbarkeit der Wahl 75

4.6.1 Öffentlichkeit und Vertrauen 75

4.6.2 Wahlanfechtung 78

4.7

Ausblick 81

4.7.1 Digitale Pseudonyme und das Konzept des ,,Civis Digitalis" 81

4.7.2 Onlinewahlen im subkonstitutionellen Recht 83

FAZIT 86

LITERATUR 88

ABBILDUNGSVERZEICHNIS 93

1 Einleitung: Die technisch-tatsächliche und die rechtliche Di-

mension des Themas

,,Vote in your underwear!" lautet ein Werbespruch einer amerikanischen Firma

für Internetwahlen. In plakativer Weise soll die Bequemlichkeit von Wahlen und

Abstimmungen über das Internet verdeutlicht werden. Die Vorstellung, seine

Stimme zur Bundestagswahl zwischen Brötchen und Marmelade am Früh-

stückstisch abgeben zu können, führt zu stark polarisierten Meinungen. Wahlen

sollen durchgeführt werden wie Bankgeschäfte oder Reisebuchungen, von

zuhause aus, einfach und bequem? Die Befürworter loben die Fortschrittlichkeit

und die Kosteneinsparungen solcher Überlegungen. Die Gegner kritisieren

Sicherheitsmängel und die Zunahme von Junk-Votes1 bei Abstimmungen.

Die Diskussion in diesem Bereich leidet an den unterschiedlichen Vorstellungen

von Modellen und Abläufen einer Onlinewahl. So werden Gefahrenszenarien

aufgebaut, die von Wahlabläufen ausgehen, die kein seriöser Anbieter von

Onlinewahlen in dieser Form befürworten würde (

Rothke

2001). Andere wie-

derum sehen in völliger Undifferenziertheit die Probleme herkömmlicher Wahl-

verfahren durch Onlinewahlen gelöst (

von Ilsemann

2000).

Es stellt sich daher die Frage nach den technisch machbaren und rechtlich

abgesicherten Möglichkeiten, die heute in diesem Bereich bestehen. Auf wel-

chem technischen Stand werden derzeitige Onlinewahlen durchgeführt? Wel-

che Probleme beinhalten sie? Welche rechtlichen Anforderungen gibt es an

eine solche Wahl? Ist, bildlich gesprochen, eine Wahl ,,in Unterwäsche" realis-

tisch oder nicht?

Es müssen dabei die Besonderheiten von Onlinewahlen im Gegensatz zu her-

kömmlichen (Papier-)Wahlen beachtet werden. Die Kommunikationswege sind

anders, die Darstellungsformen unterscheiden sich, und letztlich gilt es, ein

großes Paradoxon zu lösen: Es muss sowohl die eindeutige Identifizierung des

1 Mit ,,Junk-Votes" sind Stimmen gemeint, bei denen der Wähler seine Wahlentscheidung völlig

unreflektiert, im Grunde willkürlich, trifft. Kritiker befürchten die Zunahme solcher Voten, wenn

die Stimme bildlich gesprochen zwischen Aufstehen und Frühstück abgeben wird.

Wählers möglich, als auch die Geheimhaltung seiner Wahlentscheidung ge-

währleistet sein.

Ferner stellen sich neue Probleme bei der Überprüfbarkeit und dem Vertrauen

in das Wahlverfahren. Wegen der Öffentlichkeit der (Papier-)Wahl, wegen der

eingespielten Wahlprozeduren und wegen der Beteiligung ehrenamtlicher Bür-

ger misstraut kaum jemand der Arbeit der Wahlvorstände bei der herkömmli-

chen Wahl. Anders verhält sich dies bei nicht transparenten technischen Vor-

gängen, wie sie bei der Onlinewahl stattfinden.

Zum Versuch der Lösung dieser Probleme hat die Kryptologie einen großen

Beitrag geleistet. Durch die Entwicklung der asymmetrischen Verschlüsselung2,

der digitalen Signatur3 und elektronischer Wahlprotokolle sind die Grundlagen

für die Implementierung von Onlinewahlverfahren gelegt worden.

Um die Leitfrage nach dem ,,Wählen in Unterwäsche" zu beantworten, bedarf es

der Betrachtung aktueller Onlinewahlverfahren und ihrer theoretischen Grund-

lagen. Wie genau sind die Abläufe und Kommunikationswege aufgebaut, über

die die Wahlentscheidung übermittelt werden soll? Wie wird versucht, die Ge-

heimhaltung zu gewährleisten?

Auch Onlinewahlen müssen die Bedingungen der Wahlrechtsgrundsätze des

Grundgesetzes nach allgemeinen, unmittelbaren, freien, gleichen und gehei-

men Wahlen (Art. 38 GG) erfüllen. Mit dem Wissen um die Komplexität der

2 Zur Chiffrierung von Nachrichten werden sogenannte Schlüssel eingesetzt. Während bei

symmetrischen Verschlüsselungsverfahren nur ein Schlüssel zum Ver- und Entschlüsseln

benötigt wird, gibt es bei der asymmetrischen Verschlüsselung ein Schlüsselpaar, bestehend

aus einem privaten und einem öffentlichen Schlüssel. Eine Botschaft, die mit einem öffentlichen

Schlüssel verschlüsselt wurde, kann nur mit dem dazugehörigen privaten Schlüssel wieder

lesbar gemacht werden. Wichtig ist, dass der private Schlüssel nicht aus dem öffentlichen

errechenbar ist. Das Modell wird als Public-Key-Kryptographie bezeichnet (vgl.

Fumy u.a.

1999:

S. 229ff.).

3 Bei der digitalen Signatur verschlüsselt eine Person den ,,Fingerabdruck" einer zu versenden-

den Nachricht mit ihrem privaten Schlüssel. Mit ihrem öffentlichen Schlüssel können andere die

Verschlüsselung wieder rückgängig machen und so überprüfen, ob der entschlüsselte Finger-

abdruck mit dem Fingerabdruck der erhaltenen Nachricht übereinstimmt. Auf diese Weise kann

die Authentizität und die Integrität einer Nachricht garantiert werden (vgl.

Stallings

2001: S.

99ff.).

Modelle können explizit die Probleme benannt werden, die diese Verfahren in

Abgleich mit den Wahlgrundsätzen und nach den grundlegenden Bestimmun-

gen im subkonstitutionellen Recht, wie im Bundeswahlgesetz, aufzeigen.

2 Die verschiedenen Verfahren von Onlinewahlen und Online-

abstimmungen

Im folgenden werden exemplarisch einige theoretische Modelle zu Onlinewahl-

verfahren und einige Implementierungen solcher Verfahren vorgestellt. Die

Sensibilisierung für die Abläufe und die Komplexität dieser Modelle hilft, um

anschließend ihre Probleme analysieren zu können. Der Begriff Onlinewahl

bezeichnet dabei eine elektronische Wahl über ein Verteiltes System4. Ent-

scheidend sind für eine Onlinewahl zwei Faktoren. Zum einen muss es sich bei

den Instrumenten dieser Wahl um eine Mischung aus Hard- und Softwarelö-

sung handeln. Zum anderen müssen diese Instrumente miteinander vernetzt

sein.

In der Literatur findet auch der Begriff ,,Internetwahl" synonym zu Onlinewahl

Verwendung. Die Internetwahl, bei der die Vernetzung durch das Internet ge-

schieht, ist aber eine Untermenge der Onlinewahl, bei der die Form der Vernet-

zung nicht von Belang ist. Somit ist eine Wahl über das Local Area Network

(LAN) einer Firma eine Online- aber keine Internetwahl. Nachfolgend wird der

Begriff Onlinewahl gewählt, um alle Formen der Vernetzung abzudecken. Wenn

die Stimmabgabe dabei nicht von einem Wahllokal oder einem anderen öffentli-

chen Zugang stattfindet, wird dies als Home-Onlinewahl bezeichnet. Home-

Onlinewahl ist somit die Onlinewahl von individualisierten Zugängen aus.

Die Theorie zu Onlinewahlverfahren ist bereits über 20 Jahre alt. Während

schon in den 1970er Jahren begonnen wurde, Kryptosysteme bei der Nachrich-

tenübermittlung über elektronische Netze einzusetzen, gab es Anfang der

1980er erste Entwürfe für kryptographische Protokolle zu elektronischen Wah-

4 In der Informatik bezeichnet ein Verteiltes System ein Datenverarbeitungssystem, das aus

mehreren Computern besteht, die durch Botschaftenaustausch kooperieren (vgl. Mühlhäuser

1999: S. 676). Eine abstraktere Definition bezeichnet ein System als verteilt, ,,wenn sich seine

Komponenten an räumlich getrennten Stellen befinden oder befinden könnten, hierdurch aber

die Funktionalität des Gesamtsystems nicht beeinträchtigt wird" (Engesser 1993: S. 768).

len.

David Chaum

entwickelte zu dieser Zeit mit der Idee eines anonymen Über-

tragungsweges für Emails und der Blinden Signatur5 (

Chaum

1981) die Grund-

lagen für spätere komplexere elektronische Wahlprotokolle.

Seitdem wurden viele verschiedene Protokolle veröffentlicht, von denen die für

diese Arbeit wichtigen unter 2.1 aufgeführt sind. Einige Implementierungen

solcher Protokolle finden sich unter 2.2.

Es sei noch kurz angemerkt, dass Wahlmaschinen, wie sie die Bundeswahlge-

räteverordnung (BWahlGV) definiert, und wie sie bei der letzten Bundestags-

wahl in Köln eingesetzt wurden, nicht unter den Begriff Onlinewahl fallen. Sie

sind nicht vernetzt und bestehen in den meisten Fällen aus einer reinen Hard-

warelösung.

2.1 Modelle elektronischer Wahlverfahren

In der Literatur werden verschiedene elektronische Wahlverfahren, genauge-

nommen Wahlprotokolle6, unterschieden. Einen Ansatz zur Einteilung nutzt

Schneier

, der grundsätzlich zwischen Verfahren mit und ohne zentrale Instanz

unterscheidet (vgl.

Schneier

1996: S. 149-159). Herkömmliche Abstimmungen

und Wahlen werden zumeist mit zentraler Instanz durchgeführt, sei es auf Mit-

gliederversammlungen des Sportvereins oder der Bundestagswahl. Die zentrale

Instanz soll hier als die Leitung der Wahl verstanden werden, die für die Orga-

nisation, die Durchführung und die Ermittlung des Ergebnisses zuständig ist. In

Kleingruppen kann es aber durchaus auch Verfahren geben, die ohne eine

solche Instanz auskommen, bzw. bei der Wählerschaft und Wahlleitung iden-

5 Bei der blinden Signatur ,,unterschreibt" der Empfänger eine Nachricht, ohne dessen Inhalt zu

kennen. Technisch erfolgt dies durch einen sogenannten Blinding-Faktor, mit dem der Absen-

der die Nachricht unkenntlich macht und den er anschließend wieder herausrechnen kann.

Vergleichbar ist dies Verfahren mit dem Unterschreiben auf einem verschlossenen Briefum-

schlag, in dem ein Kohlepapier und das Originaldokument enthalten sind. Die Unterschrift

drückt durch das Kohlepapier auf das Originaldokument durch, ohne dass der Unterschreiben-

de den Inhalt lesen kann (vgl.

Schneier

1996: S. 133ff.).

6 Im folgenden werden die Begriffe ,,Wahlverfahren" und ,,Wahlprotokoll" synonym verwendet,

was streng genommen nicht korrekt ist. Der Begriff ,,Protokoll" bezeichnet in der Informatik eine

,,Vereinbarung über den geordneten Ablauf einer Kommunikation" (

Engesser

1993: S. 555),

während ein Verfahren allgemeinsprachlich nicht an eine Kommunikation gebunden ist.

tisch sind. Denkbar wäre dies z.B. bei Vorständen o.ä., bei der unter den Augen

aller Anwesenden eine Wahlurne herumgereicht wird, die anschließend von

allen gemeinsam ausgezählt wird. Ein mögliches Anwendungsgebiet wären

auch mehrere Parteien, die sich nicht auf eine vertrauenswürdige zentrale In-

stanz einigen können, und bei denen deswegen jede Partei selbst die Kontrolle

über die Korrektheit des Protokolls haben will. Soll ein solches Verfahren verteilt

eingesetzt werden, z.B. weil ein Teil eines Vorstandes in Südamerika und ein

anderer in Europa weilt, könnte ein elektronisches Wahlverfahren ohne zentrale

Instanz in Frage kommen, wie es unter 2.1.2 vorgestellt wird.

2.1.1 Wahlen mit zentraler Instanz

Beim Versuch, sich elektronischen Wahlverfahren theoretisch zu nähern, kann

zunächst von einem ,,einfachen" (

Schneier

1996: S. 149f.) bzw. einem ,,naiven"

Verfahren (

Philippsen

2002: S. 142) ausgegangen werden. Dieses Verfahren ist

ein Versuch der Nachahmung eines Wahlvorganges aus der Realität, bei dem

sich der Wähler zur Überprüfung seiner Wahlberechtigung gegenüber dem

Wahlvorstand ausweist, seine Wahlentscheidung auf einem Papierstimmzettel

kennzeichnet und diesen anschließend gefaltet in eine Wahlurne wirft. Bei einer

elektronischen Abbildung dieses Vorgangs, werden die Voten der Wähler ver-

schlüsselt an eine zentrale Wahlinstanz gesendet, die sie zählt und veröffent-

licht. Durch die Verschlüsselung, analog zum Falten des Stimmzettels, würden

Dritte die Wahlentscheidung nicht einsehen können. Hier endet die Parallele

allerdings auch schon. Denn wenn sich der Wähler gegenüber der zentralen

Wahlinstanz identifiziert, ist diese in der Lage, Votum und Wähler einander

zuzuordnen. Eine Anonymisierung der Stimme, wie sie beim herkömmlichen

Verfahren durch die Wahlurne erreicht wird, findet beim ,,naiven" Verfahren

nicht statt. Die Identifizierung des Wählers ist aber zwingend erforderlich, da

ansonsten eine Doppel- oder Mehrfachwahl möglich wäre.

Hier kristallisiert sich das bereits in der Einleitung erwähnte große Paradoxon

der Onlinewahl heraus. Es muss sowohl eine eindeutige Identifizierung des

Wählers als auch die Geheimhaltung seiner Wahlentscheidung gewährleistet

werden. Das ,,naive" oder ,,einfache" Verfahren kann dies nicht leisten. Die

verschiedenen weitergehenden Wahlprotokolle nutzen daher teilweise kompli-

ziertere Kommunikationswege und reihenfolgen, um Geheimhaltung gewähr-

leisten zu können.

Ein Ansatz dabei ist, die zentrale Wahlinstanz aufzuteilen, um so eine Art Ge-

waltenteilung zu erreichen (vgl.

Philippsen

2002: S. 143). Oft wird dabei zwi-

schen einer registrierenden und einer auszählenden Stelle unterschieden.

Durch die Trennung soll es den einzelnen Stellen unmöglich gemacht werden,

einen Wähler einem Votum zuzuordnen. Einige Verfahren spalten die auszäh-

lende Stelle zusätzlich auf in eine, die die Wahlberechtigung prüft und eine, die

die Auszählung vornimmt. Insgesamt wird versucht, möglichst wenige sog.

vertrauenswürdige Instanzen zu haben, d.h. zentrale Wahlorgane, auf deren

korrekte Arbeit und Funktionsweise vertraut werden kann und muss, so wie auf

die richtige Arbeitsweise eines Wahlvorstandes vertraut wird. So existieren

Verfahren, bei denen zwei von drei zentralen Instanzen korrupt sein können

und trotzdem eine korrekte Wahl nachgewiesen werden kann.

Da es den Rahmen dieser Arbeit sprengen würde, alle Varianten solcher Mo-

delle aufzuführen, sollen hier kurz zwei Verfahren exemplarisch vorgestellt wer-

den: Zum einen das Modell der ,,Vertrauenswürdigen Schlüsselvergabe plus

anonyme Kommunikationskanäle" nach

Philippsen

(

Philippsen

2002: S. 144ff.)

und zum anderen das ,,Verbesserte [...] Wählen mit einer einzigen zentralen

Wahlleitung" nach

Schneier

(

Schneier

1996: S. 153ff.), das auf

Nurmi

und

Salo-

maa

zurückgeht (

Nurmi u.a.

1994). Das Wahlprotokoll von

Philippsen

nutzt die

Aufspaltung der zentralen Wahlinstanz, asymmetrische Verschlüsselung und

anonyme Kommunikationskanäle, um eindeutige Identifizierung und

Geheimhaltung der Stimmabgabe zu gewährleisten. Es ermöglicht dem Wähler

sogar, die korrekte Wertung seiner Stimme zu überprüfen. Dies ist auch bei

Schneiers

Verfahren möglich. Es setzt ebenso auf asymmetrische

Verschlüsselung und anonyme Kanäle, bedarf für die Geheimhaltung der

Wahlentscheidung allerdings keiner Aufspaltung der zentralen Wahlinstanz, da

die Anonymisierung bereits bei der Identifizierung geschieht. Im folgenden wird

zunächst das Verfahren von

Philippsen

und anschließend das von

Schneier

näher erläutert.

Stimmzettel (geblindet + verschlüsselt), Wahl-ID

Stimmzettel (blind signiert + verschlüsselt)

,,Wahlwirt"

Wähler

Stimmzettel (entblindet + verschlüsselt)

Quittungsnummer

Schlüssel für Stimmzettel

Auszähler

Anonymer Kanal

Abbildung 1 - ,,Vertrauenswürdigen Schlüsselvergabe plus anonyme Kommunikations-

kanäle" nach Philippsen

Philippsen

setzt bei seinem Verfahren auf drei zentrale Wahlorgane: die regist-

rierende Stelle, die überprüfende Stelle und die auszählende Stelle. Die Regist-

rierung der Wähler und ihre Ausstattung mit zwei asymmetrischen Schlüssel-

paaren muss vor der Wahl von der registrierenden Stelle vertrauenswürdig

durchgeführt worden sein. Das erste Schlüsselpaar identifiziert den Wähler, das

zweite wird ausschließlich für das Votum benötigt, es verbleibt vorerst geheim

beim Wähler. Im ersten Schritt erhält die überprüfende Stelle, von

Philippsen

,,Wahlwirt" genannt (2002: S. 142), das signierte und (mit dem zweiten Schlüs-

sel geheim) verschlüsselte Votum vom Wähler inklusive dessen ID (s.

Abbildung 1, Nr. 1). Da nur der Wähler den Schlüssel kennt, mit dem der elekt-

ronische Stimmzettel verschlüsselt wurde, kann der Wahlwirt die Wahlentschei-

dung nicht einsehen. Das Votum sendet er blind signiert7 an den Wähler zurück

(s. Abbildung 1, Nr. 2), der dieses anschließend über einen anonymen Kanal an

7 Zur Blinden Signatur s. Erläuterungen in Fußnote 5.

den Auszähler übermittelt (s. Abbildung 1, Nr. 3). Da das Votum nach wie vor

mit dem zweiten Schlüssel des Wählers verschlüsselt ist, kann die auszählende

Stelle den Stimmzettel ebenfalls nicht einsehen, sondern quittiert dem Wähler

über den anonymen Rückkanal lediglich den Erhalt, indem sie das Votum

(blind) signiert, inklusive einer Quittungsnummer, zurücksendet (s. Abbildung 1,

Nr. 4). Der Wähler ist nun dafür verantwortlich, den zweiten privaten Schlüssel

verbunden mit der Quittungsnummer wiederum anonym an den Auszähler zu

senden (s. Abbildung 1, Nr. 5), damit dieser das Votum entschlüsseln und zäh-

len kann. Die Ergebnisliste, die vom Auszähler veröffentlicht wird, enthält die

Quittungsnummer, das mit dem zweiten Schlüssel des Wählers verschlüsselte

und vom Wahlwirt signierte Votum, sowie den zweiten privaten Schlüssel, um

das Votum zu entschlüsseln. Jeder Wähler hat somit die Möglichkeit zu über-

prüfen, ob sein Votum korrekt berücksichtigt wurde. Dass diese Quittungs-

nummer nicht nur eine Stärke dieses Verfahren ist, sondern zeitgleich auch

seine Schwäche, behandelt 3.2.2.

Registrierung

Wahl-ID über ANDOS

Stimmzettel (verschlüsselt) + Wahl-ID

Schlüssel für Stimmzettel + Wahl-ID

Wahlleitung

Wähler

Veränderter Stimmzettel (verschlüsselt) +

Schlüssel für Stimmzettel + Wahl-ID

Veränderter Stimmzettel (verschlüsselt) +

Schlüssel für Stimmzettel + Wahl-ID

Stimmzettel

(verschlüsselt)

Wahlergebnis

mit allen

Stimmzetteln

Website

Anonymer Kanal

Abbildung 2 - ,,Verbessertes Wählen mit einer einzigen zentralen Wahlleitung" nach

Schneier

Während

Philippsen

bei seinem Verfahren auf die strikte Trennung von Wahl-

wirt und Auszähler in Verbindung mit anonymen Kanälen setzt, baut

Schneier

auf ein anderes Prinzip. Das Verfahren nach

Schneier

vereint die aufgespaltene

Wahlleitung wieder in einer Stelle (s. Abbildung 2). Weil die Anonymisierung bei

der Registrierung geschieht, ist eine Teilung der zentralen Wahlinstanz nicht

mehr nötig, um Geheimhaltung gewährleisten zu können. Die Idee ist, bei der

Registrierung Identifikationsnummern an die Wahlberechtigten zu verteilen,

ohne dass die Registrierungsstelle weiß, wer welche Nummer erhält.

Dazu veröffentlicht die Wahlleitung zunächst eine Liste mit allen Wahlberechtig-

ten. Innerhalb eines gewissen Zeitrahmens muss sich jeder Wähler, der an der

Wahl teilnehmen will, bei der Wahlleitung melden (s. Abbildung 2, Nr. 1). Am

Ende dieses Zeitraums veröffentlicht die Wahlleitung eine Liste mit allen Wahl-

beteiligten. Nach Ablauf einer Einspruchsfrist erhält jeder Wähler eine Identifika-

tionsnummer (ID) über das sogenannte ANDOS-Protokoll8 (s. Abbildung 2, Nr.

2). Dieses Protokoll gewährleistet, dass die Wahlleitung nicht weiß, welche

Identifikationsnummer zu welchem Wahlberechtigten gehört. Durch die Num-

mer kann der Wähler seine Wahlberechtigung nachweisen, ohne dass eine

persönliche Identifizierung notwendig wäre. Der Wähler verschlüsselt seine ID

zusammen mit seinem Votum und sendet es über einen anonymen Kanal inklu-

sive der ID als Klartext an die Wahlleitung (s. Abbildung 2, Nr. 3). Dort ist an-

hand der ID zu erkennen, dass das Votum von einem Wahlberechtigten kommt.

Die Wahlleitung bestätigt den Erhalt, indem sie das verschlüsselte Dokument

veröffentlicht (s. Abbildung 2, Nr. 4). Anschließend sendet der Wähler den pri-

vaten Schlüssel und seine ID wiederum anonym an die Wahlleitung (s.

Abbildung 2, Nr. 5). Diese entschlüsselt das Votum und veröffentlicht es (s.

Abbildung 2, Nr. 6). Sollte ein Wähler feststellen, dass sein Votum verändert

wurde, kann er durch erneutes Senden von ID, verschlüsseltem Dokument und

8 Das ANDOS-Protokoll (all-or-nothing-disclosure of secrets) wurde entworfen, um das geheime

Verkaufen von Geheimnissen zu ermöglichen. Dabei bietet der Verkäufer mehrere Geheimnis-

se (z.B. Uboot-Baupläne und Namen von Spionen) an, von denen der Käufer ein und nur ein

Geheimnis auswählen und entschlüsseln kann (entweder Uboot-Baupläne oder die Namen von

Spionen). Der Verkäufer weiß nicht, welches Geheimnis der Käufer gewählt hat, kann aber

sicher sein, dass es nur ein einziges ist (vgl.

Nurmi u.a.

1994: S. 193f.).

privatem zweitem Schlüssel dagegen ,,Einspruch" erheben (s. Abbildung 2, Nr.

5a). Nur der Wähler kennt alle diese drei Teile. Die Möglichkeit des Einspruch-

Erhebens kann selbstverständlich auch dazu genutzt werden, sein Votum nach-

träglich zu ändern (s. Abbildung 2, Nr. 6a). Hier zeigt sich ein wesentlicher

Unterschied zur herkömmlichen Wahl. Nach dem Einwurf des Papierstimmzet-

tels in die Wahlurne ist weder die Überprüfung der Wertung noch eine Revidie-

rung des Votums bei der herkömmlichen Wahl möglich, während die Online-

wahl technisch die Chance zu beidem bietet. Die rechtlichen Möglichkeiten und

Probleme einer solchen Änderung der Wahlentscheidung werden unter 4.1

behandelt.

Die beiden vorgestellten Wahlprotokolle zeigen im theoretischen Modell, auf

welche Weise bei einer Onlinewahl mit zentraler Instanz gleichzeitig die Identifi-

zierung des Wahlberechtigten und die Geheimhaltung seiner Wahlentscheidung

ermöglicht werden können. Probleme mit diesen Modellen und insbesondere

mit deren Umsetzung werden unter 3.2 bzw. 3.3 aufgezeigt. Insgesamt ist zu

erkennen, dass die Wahlabläufe bei einer Onlinewahl erheblich komplizierter

gestaltet sind als bei einer herkömmlichen Papierwahl.

2.1.2 Wahlen ohne zentrale Instanz

Grundsätzlich können Wahlen auch ohne zentrale Instanz durchgeführt werden.

Der Ablauf der Wahl und die Überprüfung des Ergebnisses geschehen dann in

einer Art Umlaufverfahren. Eine adäquate Analogie im realen Leben existiert zu

dem nachfolgend vorgestellten Verfahren wohl nicht. Grundsätzlich ist aber ein

Ablauf denkbar, in dem gewählt wird, ohne dass vorher ein Wahlvorstand be-

stimmt werden muss, z.B. wenn die gesamte Gruppe der Wähler gleichzeitig

die Aufgabe der Wahlleitung übernimmt. Umsetzen lässt sich ein Wahlprotokoll

ohne Zentralisierung allerdings nur für Kleingruppen, z.B. Vorstände oder klei-

nere Vereine, da die Komplexität bei solchen Umlaufverfahren von der Zahl der

Wähler abhängt. Auf elektronischem Wege kommt zudem das Problem der Ge-

heimhaltung hinzu. Wie kann ein Verfahren gewährleisten, dass jeder Wähler

das korrekte Ergebnis der Wahl verifizieren kann, aber zeitgleich nicht in der

Lage ist, die Voten einzelnen Personen zuzuordnen?

Schneier

führt dazu ein

Verfahren von

Merritt

an (vgl.

Merritt u.a.

1982, zit. nach

Schneier

1996: S.

155ff.). Hierbei werden die Voten verschlüsselt und verwürfelt mit den öffentli-

chen Schlüsseln aller Wähler und anschließend von Wähler zu Wähler gesen-

det, um dechiffriert und verifiziert zu werden. Das Protokoll ermöglicht es jedem

Wähler, Veränderungen an Voten zu bemerken, und bis zu einem bestimmten

Punkt sogar herauszufinden, von wem diese Manipulation ausgeht. Es garan-

tiert bis auf einen Sonderfall dabei auch die Geheimhaltung der Stimmabgabe.

Wenn in einer Gruppe von drei Wählern jemand kein Interesse am Ergebnis der

Abstimmung, dafür aber am Wählerverhalten eines anderen hat, kann er das

Votum desjenigen einfach doppeln, wodurch das Ergebnis der Wahl mit dem

Votum des anderen identisch ist.

Um eine Onlinewahl mit geheimer Stimmabgabe durchführen zu können, sind

sowohl bei Wahlprotokollen mit als auch bei denen ohne zentrale Instanz kom-

plexe Kommunikationsabläufe notwendig. Es liegt in der Natur der Sache, dass

die Komplexität, die bereits im theoretischen Modell vorherrscht, bei der Imple-

mentierung solcher Wahlprotokolle eher zu- als abnimmt. Die Umsetzung sol-

cher Protokolle stellt somit eine große technisch-organisatorische Herausforde-

rung dar.

2.2 Implementierungen elektronischer Wahlverfahren

Im angloamerikanischen Raum bestehen seit einigen Jahren Firmen, die Wah-

len verschiedener Art für Dritte durchführen. Diese Dritten sind meist private

Auftraggeber, wie Unternehmen, Gewerkschaften oder Vereine. Mit dem Jahr

2000 haben einige dieser Wahlfirmen begonnen, auch Online-Wahlen durchzu-

führen. Dabei wurden und werden verschiedene Verfahren eingesetzt. Die

Firma ,,votehere.net" beansprucht für sich, im Januar 2000 mit der technischen

Realisierung des sog. ,,Alaska Straw Poll", einer Art unverbindlicher Testwahl

für die Vorwahl zum Präsidenten der USA, die weltweit erste rechtsverbindliche

Online-Wahl durchgeführt zu haben (vgl.

Will

2002: S. 45f.). In Deutschland gibt

es mit der ,,

Forschungsgruppe Internetwahlen

" der Universität Osnabrück auch

einen Protagonisten, der im Februar 2000 die Wahlen zum Studierendenparla-

ment der Universität Osnabrück online durchführte und dabei ebenfalls die

weltweit erste rechtsverbindliche Online-Wahl für sich beanspruchte (vgl.

Lange

2002: S. 129).

Bezogen auf den Stellenwert der Wahl, scheint den Osnabrückern diese Aus-

zeichnung auch eher zuzustehen. Ein ,,Straw Poll" zieht als unverbindliche Ab-

stimmung weder eine unmittelbare Legitimierung für ein Amt nach sich, noch

wird, wie bei der Vorwahl, ein Kandidat dadurch gekürt (vgl.

Will

2002: S. 46).

Im Gesamtzusammenhang ist diese Wahl eher als eine Form der Meinungs-

umfrage zu sehen, womit sich die Frage nach der ,,Rechtsverbindlichkeit" gar

nicht stellt. In Osnabrück konnten die Wähler durch ihr Votum unmittelbar die

Besetzung des Studierendenparlaments, einem Organ der verfassten Stu-

dierendenschaft und als solches im niedersächsischen Hochschulgesetz veran-

kert, bestimmen.

Es darf selbstverständlich nicht übersehen werden, dass es durchaus schon

vorher Online-Abstimmungen und Online-Wahlen gegeben hat. Entscheidend

muss bei der Beurteilung, welches die erste Onlinewahl war, sicherlich die

rechtliche Tragweite einer solchen Abstimmung sein. Damit ist auch die mög-

liche Beständigkeit des Systems im Falle der Anfechtung im Bezug auf Ge-

heimhaltung, Sicherheit usw. gemeint (vgl.

Lange

2002: S. 129, Fn 6). Im fol-

genden werden einige Implementierungen von Onlinewahlen vorgestellt und

eingeordnet.

2.2.1

Forschungsgruppe Internetwahlen

,,i-vote"

Das i-vote-Protokoll wurde von der

Forschungsgruppe Internetwahlen

der Uni-

versität Osnabrück entwickelt und in Zusammenarbeit mit der Firma ivl GmbH

aus Leverkusen implementiert. Die Dokumentationen zum Protokoll wurden

allerdings der Öffentlichkeit nicht so umfassend zur Verfügung gestellt, wie man

dies von einer akademischen Institution erwartet hätte. So hält z.B. Martin

Will

seine Ausführungen über das i-vote-Verfahren mit der Anmerkung kurz, dass

der ausführliche Abschlussbericht von der Forschungsgruppe nicht zu erhalten

war (vgl.

Will

2002: S. 25 Fn. 30). Auch

Michael Philippsen

kritisiert, dass i-vote,

trotz anderer Ankündigung, bis jetzt nicht offengelegt worden ist (vgl.

Philippsen

2002: S. 147). Die Homepage der Forschungsgruppe

(http://www.internetwahlen.de) präsentiert lediglich eine Kurzfassung des Ab-

schlussberichtes. Eine Anfrage nach dem vollständigen Bericht wird mit Hinweis

auf Konvertierungsprobleme des Textes auf unbestimmte Zeit aufgeschoben.

Das Bild, das sich somit vom i-vote-Verfahren machen lässt, basiert auf eben

diesem Kurzbericht (

Forschungsgruppe Internetwahlen

2002), auf Angaben von

Prof.

Dieter Otten

, dem Leiter der Forschungsgruppe (

Otten

2002), und auf

Veröffentlichungen zu den mit i-vote durchgeführten Wahlen an der Universität

Osnabrück (

Hügelmeyer

2001;

Philippsen

2002: S. 147), im Landesbetrieb für

Datenverarbeitung und Statistik Brandenburg (

LDS Brandenburg

2002), bei der

Telekom Tochter T-Systems CSM (

Diehl u.a.

2002) sowie in modifizierter Form

in der Gemeinde Esslingen (

Steinbeis-Transferzentrum Mediakomm

2001;

Philippsen

2002: S. 148f.;

Will

2002: S. 31f.). Die einzelnen durchgeführten

Wahlen werden im folgenden kurz vorgestellt, da sie, obwohl durch das i-vote-

Protokoll von ein und demselben theoretischen Grundgerüst gestützt, in ent-

scheidenden Details variieren und auch die Schwierigkeiten in der Implementie-

rung eines Protokolls zeigen.

Zur Wahrung der Geheimhaltung findet bei i-vote grundsätzlich das Prinzip der

Aufspaltung der zentralen Wahlinstanz Anwendung, wie es in dem Verfahren

von

Philippsen

unter 2.1.1 vorgestellt wurde. In den folgenden Beispielen ist

ersichtlich, dass dabei aber die Detailbetrachtung von immenser Bedeutung ist.

Schon eine kleine Änderung innerhalb des Ablaufes der Kommunikation kann

die Geheimhaltung gefährden. Die Aufteilung findet bei i-vote statt, indem auf

Seiten der Wahlleitung zwei Server9 verwendet werden, der Wahlamt- und der

Urnenserver. Der Wahlamtserver ist vergleichbar mit dem bei

Philippsen

vorge-

stellten Wahlwirt, und der Urnenserver ähnelt dem Auszähler. Die Analogie

greift nicht hundertprozentig, da sich die Aufgabenverteilung zwischen den

Teilen der aufgespaltenen Wahlleitung bei i-vote und

Philippsen

doch in Fein-

heiten unterscheidet. Dies wird in den folgend dargestellten Implementierungen

des i-vote-Verfahrens deutlich.

9 Server sind Programme, die Dienste zur Verfügung stellen, auf die von anderen Programmen,

den Clients, zugegriffen wird. Meist wird mit dem Begriff Server auch der Rechner bezeichnet,

auf dem das Programm läuft.

Wahlwebsite anwählen

Java-Applet

Wahl-ID

Stimmzettel

Wahlamtserver

Wähler

Stimmzettel (geblindet)

Stimmzettel (blind signiert)

Zertifikat

Wahl-ID

Wahlergebnis

Wahlvorstand

Quittungsnr.

LDAP-Server

Urnenserver

Abbildung 3 - Wahl zum Studierendenparlament an der Universität Osnabrück

In Osnabrück gab im Februar 2000 der Wähler sein Votum zum Studierenden-

parlament wahlweise von aufgestellten Rechnern des Wahlvorstandes oder von

individuellen Zugängen über ein Java-Applet10 ab, das von der Internetseite der

zentralen Wahlinstanz heruntergeladen wurde (Abbildung 3, Nr. 1 und 2). Das

Applet kommunizierte mit einem Wahlserver (Abbildung 3, Nr. 3), um die Wahl-

berechtigung des Wählers zu prüfen. Die Identifizierung erfolgte dabei über eine

Smart-Card11, die mittels eines Kartenlesers an den Rechner des Wählers an-

geschlossen war. Karte und Lesegerät mussten im Vorfeld der Wahl von den

Wahlberechtigten gesondert angefordert werden. Welche Daten auf dieser

Karte genau gespeichert wurden, ist nicht veröffentlicht. Da die Karten aber

10 Ein Java-Applet, oder kurz Applet, ist ein kleines Programm, das im Browser des Anwenders

ausgeführt wird.

11 Eine Smart-Card ist eine Plastikkarte in der Größe einer Kreditkarte, in die ein Computerchip

eingebettet ist. Breite Verwendung findet diese Technik bereits bei Telefonkarten (vgl.

Schneier

1996: S. 667f.).

offensichtlich nur für den Zweck der Wahl vorgesehen waren, wurden wahr-

scheinlich nur einzelne Schlüssel bzw. Schlüsselpaare ohne zusätzliche per-

sönliche Informationen darauf abgelegt. Von dem Server, der die Wahlberechti-

gung prüfte, erhielt der Wähler eine Wahl-ID, die darüber Auskunft gab, an

welcher Wahl der Wähler teilnahm (Abbildung 3, Nr. 4). Mit dieser Nummer

erhielt er dann den ,,Wahlzettel" vom Wahlamtserver (Abbildung 3, Nr. 5 und 6),

machte den Wahlzettel mittels Blinding unkenntlich, ließ sich diesen unkenntlich

gemachten Wahlzettel vom Wahlamtserver signieren (Abbildung 3, Nr. 7 und 8),

machte das Blinding rückgängig und sandte den so vom Wahlvorstand sig-

nierten Stimmzettel zum Urnenserver (Abbildung 3, Nr. 9) (vgl.

Hügelmeyer

2001: S. 107). Der Wähler erhielt eine Quittungsnummer (Abbildung 3, Nr. 10),

um später die korrekte Zählung seines Votums überprüfen zu können (vgl.

Philippsen

2002: S. 147). Im Abschlussbericht der

Forschungsgruppe Internet-

wahlen

wird hierbei die strikte physische und institutionelle Trennung des Wahl-

amtservers vom Urnenserver betont (vgl.

Forschungsgruppe Internetwahlen

2002: S. 22). Ob der Server, der die Wahlberechtigung prüfte, eine dritte In-

stanz war, oder ob es sich dabei um den Wahlamtserver handelte, ist nicht klar

ersichtlich.

Hügelmeyer

spricht von einem LDAP-Server12, der die Zertifikate

des Wählers prüfte (vgl.

Hügelmeyer

2001: S. 107). Auf welcher Maschine

dieser Server lief, wird nicht gesagt. Durch die beschriebene Trennung von

Urnen- und Wahlamtserver werde in jedem Fall ,,technisch unmöglich gemacht,

was im konventionellen Wahlverfahren nur durch Anordnung der Kompetenzen

geregelt ist" (

Otten

2002: S. 78). Nur der sich gegenseitig kontrollierende Wahl-

vorstand und die Öffentlichkeit hindere eine Person bei der herkömmlichen

Wahl daran, die Wahlurne vor Ablauf der Wahl zu öffnen. Beim i-vote-Verfahren

dagegen sei es technisch gar nicht möglich, die Voten vorher vom Urnenserver

zu lesen. Bewiesen wird diese Behauptung allerdings nicht.

Otten

verweist in

diesem Zusammenhang lediglich auf ,,hoch sichere IT-Umgebungen" (ebd.). In

ihrem Kurzbericht bezeichnet die

Forschungsgruppe Internetwahlen

diese si-

cheren Umgebungen als ,,Internet Service & Security Center". Das sind

12 Das Lightweight Directory Access Protocol (LDAP) ist ein Protokoll, dass einen Verzeichnis-

dienst unterstützt.

Dienstleister, die durch das Hosten13 von Servern in gesicherten Räumen mit

gesichertem Zugang höchsten Schutz der Daten versprechen

(

Forschungsgruppe Internetwahlen

2002: S. 16). Diese Einrichtungen seien so

konzipiert, dass sie selbst in kritischen Situationen, etwa beim Versagen der

Technik oder Korruption der Angestellten, die Sicherheit der Daten gewährleis-

ten können. Ob und inwieweit solche Sicherheitszentren bei der Wahl in Osna-

brück zum Einsatz gekommen sind, geht aus den unterschiedlichen Quellen

nicht hervor.

Der Urnenserver sandte die gesammelten Voten nach Ende der Wahlzeit an

den Wahlamtserver, wo diese vom Wahlvorstand gezählt wurden (Abbildung 3,

Nr. 11). Bei i-vote seien die Daten mit einem Zeitschloss gesichert, wodurch

eine Auszählung erst nach Ende der Wahlzeit möglich wäre (vgl.

Otten

2002: S.

79). Es ist nicht dokumentiert, dass diese Zeitschlossfunktionalität in Osnabrück

gegeben war. Unklar bleibt ferner, wie die Verschlüsselung bzw. Signierung der

Voten im Detail stattfand. Im Kurzbericht der

Forschungsgruppe Internetwahlen

der sich auf das gesamte Projekt bezog und nicht speziell über die Osnabrücker

Wahl berichtete, wird davon gesprochen, dass die Voten vom Wahlvorstand

,,entschlüsselt und gezählt" werden (

Forschungsgruppe Internetwahlen

2002: S.

23). Dies suggeriert, dass die Daten nicht einsehbar sind, obwohl der Wahlzet-

tel vom Wahlvorstand vorher lediglich blind signiert wurde.

An dieser Stelle ergibt sich ein Problem, zu dem ein kurzer Exkurs nötig ist. In

der Public-Key-Kryptographie14 wird mit der digitalen Signatur im Allgemeinen

die Verschlüsselung eines Hashwertes eines Originaldokuments mit einem

privaten Schlüssel bezeichnet. Das Originaldokument bleibt dabei lesbar, nur

dessen Authentizität ist jetzt durch die Signatur mit dem passenden öffentlichen

Schlüssel beweisbar (vgl.

Stallings

2001: S. 100f.). Die (blinde) Signatur des

Votums durch den Wahlvorstand, bei der der Wähler den Wahlzettel vorher

durch Multiplikation mit einer Zufallszahl unkenntlich macht (vgl.

Schneier

1996:

S. 134ff.), ist nur sinnvoll, wenn der Wähler den Wahlzettel nach der Signatur

durch Herausrechnen der Zufallszahl wieder in einen lesbaren Zustand ver-

13 ,,Hosten", vom Englischen ,,host", meint hier das Beherbergen und Betreiben von Servern.

14 s. Erläuterung unter Fußnote 2.

setzt. Wenn nun das Votum, zwar signiert aber dennoch lesbar, an den Urnen-

server gesendet wird, ist nicht ersichtlich, warum ein korrupter Urnenserver

nicht vorzeitig Wahlergebnisse veröffentlichen sollte.

Sicherlich ist im i-vote-Protokoll die Verschlüsselung des Votums durch den

Wähler mit dem öffentlichen Schlüssel des Wahlvorstandes vorgesehen, womit

das Problem gelöst wäre. Aus den verschiedenen Veröffentlichungen zur Wahl

in Osnabrück und selbst aus dem Abschlussbericht der

Forschungsgruppe

Internetwahlen

geht dies aber nicht hervor. Insgesamt enthalten die Veröffentli-

chungen der

Forschungsgruppe Internetwahlen

und ihres Leiters Prof.

Otten

viele Lücken, was die Bewertung erschwert. Aber auch die Darstellung Dritter

ist nicht frei von Widersprüchen. So behauptet

Hügelmeyer

in seinem Erfah-

rungsbericht zur Onlinewahl in Osnabrück, dass im Urnenserver nach Erhalt

des Votums Wahlzettel und Signatur voneinander getrennt würden und der

Wahlzettel dann in die virtuelle Urne käme (vgl.

Hügelmeyer

2001: S. 107). Dies

macht aber unter keinen Umständen Sinn. Die blinde Signatur des Wahl-

vorstandes muss am Stimmzettel bleiben, um beim Auszählen zu garantieren,

dass der Stimmzettel gültig ist. Wenn noch eine andere Signatur als die des

Wahlvorstandes an den Urnenserver übermittelt würde, z.B. die des Wählers,

wäre das Wahlgeheimnis in Gefahr. Denn dann hinge die Geheimhaltung nur

am Vertrauen darauf, dass im Urnenserver auch wirklich das Votum von der

Wählersignatur getrennt würde. Die blinde Signatur des Wahlvorstandes, die

Anonymität und Korrektheit gewähren soll, wäre damit überflüssig.

Wahlwebsite anwählen

Java-Applet

Wähler

hat Wahl-

Identifizierung

unterlagen

Stimmzettel

Stimmzettel (geblindet)

Wahlamtserver

Wähler

Stimmzettel (blind signiert)

8a?

Wähler

hat gewählt

Stimmzettel

(,,entblindet")

Bestätigung

Schlüssel

Wahlergebnis

Wahlvorstand

Urnenserver

Abbildung 4 - Personalratswahl im Landesbetrieb für Datenverarbeitung und Statistik

Brandenburg

Die Datenlage zur Personalratswahl im Landesbetrieb für Datenverarbeitung

und Statistik in Brandenburg (LDS), die ebenfalls mit dem i-vote-Protokoll

durchgeführt wurde, ist wesentlich detaillierter. Es gibt zwar keine gravierenden

Unterschiede im Wahlprotokoll zu der Wahl in Osnabrück, aber einige Fragen,

die sich bei der Osnabrücker Wahl auftaten, werden in der Dokumentation zur

Brandenburger Wahl beantwortet. Daraus lässt sich ein besseres Gesamtbild

über i-vote ermitteln. Zudem sind entscheidende Kleinigkeiten anders, die den

Ablauf der Wahl vereinfachten oder sicherer machten.

Die Wahl zum Personalrat im LDS wurde im Mai 2002 in Zusammenarbeit mit

der

Forschungsgruppe Internetwahlen

und einem Unternehmen der Privatwirt-

schaft (ivl GmbH, Leverkusen) durchgeführt. Die Voraussetzungen für die Wahl

waren erheblich besser als die in Osnabrück. So erfolgte im Vorfeld der Wahl

eine Ausstattung sämtlicher Mitarbeiter mit Signaturkarten, die den Bestimmun-

gen des deutschen Signaturgesetzes (in der Fassung vom 22.05.2001) genüg-

ten, und die danach für weitere Anwendungen im eGovernment eingesetzt

werden konnten (vgl.

LDS Brandenburg

2002: S. 21). Mittels dieser Karten war

es den Angestellten möglich, im Wahlzeitraum von verschiedenen Wahllokalen

aus ihre Stimme abzugeben. Eine Wahl von individuellen Zugängen war aus

Sicherheitsgründen nicht vorgesehen. Die Rechner im Wahllokal sollten hierbei

als Anonymisierer (keine IP-Adresse15 konnte einem bestimmten Wähler zuge-

ordnet werden) und als sichere Umgebung (die Wahlclients16 waren frei von

Viren17 u.ä. und nur für die Wahlanwendungen eingerichtet) fungieren. Das

Wahlprotokoll selbst scheint sich mit demjenigen in Osnabrück zu decken. Die

Dokumentation ist zwar sehr viel detaillierter, aber in Feinheiten ergeben sich

auch hier Fragen.

In Brandenburg wurde die Stimme ebenfalls über ein Java-Applet abgegeben

(s. Abbildung 4). Wie in Osnabrück identifizierte der Wahlamtserver dabei den

Wähler, überprüfte seine Wahlberechtigung bzw. seinen Wahlstatus und sandte

anschließend den entsprechenden Stimmzettel an den Wahlclient (Abbildung 4,

Nr. 1-4). Daraufhin wurde im Wählerverzeichnis des Wahlamtserver vermerkt,

dass der Wähler einen Stimmzettel erhalten hat (Abbildung 4, Nr. 5) (vgl.

LDS

Brandenburg

2002: S. 31f.). Der Wähler sandte wiederum einen von ihm sig-

nierten, aber geblindeten Hashwert18 seiner Wahlentscheidung an den Wahl-

amtserver (Abbildung 4, Nr. 6). Dort wurde diese Wahlentscheidung blind mit

der Signatur des Wahlvorstandes versehen und wieder an den Wähler zurück-

geschickt (Abbildung 4, Nr. 7). Der Wähler wurde nun durch das Applet gebe-

ten, seine Wahl zu bestätigen. Erst nach der Bestätigung wurde der signierte,

geblindete Hashwert wieder lesbar gemacht und zusammen mit dem Stimm-

15 Die IP-Adresse ist die eindeutige Adresse, mit der ein Rechner im Internet identifiziert wird,

vergleichbar mit einer Telefonnummer. Nähere Erläuterungen hierzu finden sich unter 3.3.1

(Anonyme Kanäle).

16 Als Wahlclient wird ein Rechner bezeichnet, von dem aus ein Wähler seine Stimme abgibt

bzw. abgeben kann. Vgl. Fußnote 9.

17 Ein Computervirus ist ein Stück Programm im Maschinencode, das sich vervielfachen, in

andere Programme hineinkopieren und gleichzeitig (schädliche) Funktionen in einem Rechner

ausüben kann.

18 Der Hashwert einer Nachricht ist quasi ihr ,,Fingerabdruck". Er ergibt sich durch das Ausfüh-

ren einer sog. Hashfunktion auf diese Nachricht. Vgl. Fußnoten 3 und 5.

zettel an den Urnenserver geschickt (Abbildung 4, Nr. 8). Im Abschlussbericht

wird hierbei explizit betont, dass der Stimmzettel zu diesem Zeitpunkt RSA-

verschlüsselt19 war (

LDS Brandenburg

2002: S. 34), d.h. es war im Urnenserver

nicht möglich, das Votum zu lesen. In Osnabrück gab es hierüber keine Anga-

be, was einem korrupten Urnenserver die Ermittlung von Zwischenergebnissen

ermöglichte. Bei der Wahl im LDS gibt es allerdings keine ausdrückliche Anga-

be darüber, mit welchem Schlüssel der Stimmzettel chiffriert wurde. Aus dem

Gesamtzusammenhang ist aber zu ersehen, dass es ein durch den Wahlvor-

stand nur für die Wahl generierter öffentlicher Softwareschlüssel sein muss,

dessen privates Pendant verschlüsselt und somit nicht nutzbar für Dritte auf

dem Urnenserver abgespeichert war. Die Verschlüsselung dieses privaten

Softwareschlüssels (der zum Entschlüsseln der Voten und somit zum Auszäh-

len benötigt wurde) erfolgte mit drei Signaturkarten des Wahlleiters, die bis zum

Wahlende unter Verschluss gehalten wurden (vgl.

LDS Brandenburg

2002: S.

24). Der Urnenserver überprüfte die Softwaresignatur des Wahlvorstandes und

speicherte die Stimme anschließend ab. Der Wahlstatus des Wählers wurde

dann auf ,,hat gewählt" gesetzt20 und zum Abschluss eine Meldung vom Urnen-

server an den Wahlclient gesendet, dass sein Votum in der Wahlurne abgelegt

ist (Abbildung 4, Nr. 9). Nach Wahlende wurde der im Urnenserver abgelegte

Softwareschlüssel durch den Wahlleiter mittels seiner Signaturkarten dechiffriert

(Abbildung 4, Nr. 10). Danach war es möglich, die Voten im Urnenserver zu ent-

schlüsseln und zu zählen (Abbildung 4, Nr. 11).

Bemerkenswert an der Wahl in Brandenburg waren die Sicherheitsbestimmun-

gen, die eingehalten werden mussten, um die Anforderungen der Wahlordnung

zu erfüllen. Die Wahlordnung wurde für die Wahl mit einer Erprobungsklausel

angepasst (s. 4.7.2). Die oben bereits kurz erwähnten ,,hoch sichere[n] IT-

Umgebungen" (

Otten

2002: S. 78) finden sich dadurch im Abschlussbericht

wieder. Dort wird mit Verweis auf §50 a der Wahlordnung des Landespersonal-

vertretungsgesetzes erwähnt, dass der Urnenserver ,,von dem Validator phy-

sisch und logisch getrennt in einem Sicherheitsbereich des RZ der ivl aufge-

19 RSA ist ein weitverbreitetes, asymmetrisches Verschlüsselungsverfahren, benannt nach

seinen Entwicklern

Rivest

Shamir

und

Adleman

20 Zum Problem, dass sich aus diesem Wahlstatus ergibt, siehe 3.4.2.

stellt" war (

LDS Brandenburg

2002: S. 26). Mit ,,Validator" wird der Wahl-

amtserver bezeichnet21, und die ivl GmbH war, wie bereits erwähnt, als Pro-

jektpartner bei der Wahl für die technische Realisierung zuständig.

Weitere Maßnahmen wurden ergriffen, um die Sicherheit zu erhöhen. So wurde

im Abschlussbericht zur Onlinewahl in Brandenburg mehrfach betont, dass ne-

ben der strikten Trennung des Wahlamt- vom Urnenserver auch der administra-

tive Zugang zu diesen Rechnern streng getrennt war. Der Zugriff auf die Sys-

teme erfolgte zudem im Vier-Augen-Prinzip, d.h. nur zwei Administratoren hat-

ten gemeinsam Zugriff auf den Server. Dabei kannte jeder Administrator nur

einen Teil des Passwortes, das den Zugang zum System ermöglichte (vgl.

LDS

Brandenburg

2002: S. 21). Das Wählerverzeichnis wurde direkt vom Wahlvor-

stand verwaltet. Der Zugang war dabei nur von einem im Wahllokal aufgestell-

ten Rechner möglich, der über eine gesicherte ISDN-Direktleitung22 mit dem

Wahlamtserver kommunizierte (vgl.

LDS Brandenburg

2002: S. 23). Die Wahl-

clients waren nur für die Wahl eingerichtet worden. Es durften keine Drucker

angeschlossen und keine weitere Software installiert sein, die über das für den

Wahlvorgang Notwendige hinausging. Das Java-Applet, das von der Firma ivl

heruntergeladen wurde, war zudem signiert, um die Integrität zu gewährleisten

und eventuelle Manipulationsversuche zu erkennen (vgl.

LDS Brandenburg

2002: S. 25). Gerade durch diese Punkte unterscheidet sich die Brandenburger

von der Osnabrücker Wahl, während das Wahlprotokoll im wesentlichen gleich

blieb.

21 Neben der Bezeichnung des Wahlamtservers als ,,Validator" wird der Urnenserver in den

Veröffentlichungen von

Otten

und der

Forschungsgruppe Internetwahlen

als ,,Psephor" be-

zeichnet.

22 Integrated Services Digital Network (ISDN) ist ein Telekommunikationsdienst, der für das

Telefon entwickelt wurde. Eine ISDN-Direktleitung ist somit nicht mehr als eine digitale Telefon-

verbindung.

Wahlwebsite anwählen

Java-Applet

Wähler

hat Wahl-

Identifizierung

unterlagen

Stimmzettel

Stimmzettel (geblindet)

Wahlamtserver

Wähler

Stimmzettel (blind signiert)

8a?

Wähler

hat gewählt

Stimmzettel

(,,entblindet")

Bestätigung

Schlüssel

Wahlergebnis

Wahlvorstand

Urnenserver

Abbildung 5 - Betriebsratswahlen bei T-Systems CSM

Mit dem i-vote-Protokoll wurden auch die Betriebsratswahlen bei der Telekom-

Tochter T-Systems CSM im Mai 2002 durchgeführt (

Diehl u.a.

2002). Es gab

kleine Unterschiede in der technischen Ausstattung, und die Mitarbeiter der

Niederlassung Darmstadt durften von ihren Arbeitsplätzen aus wählen. An-

sonsten war der Wahlablauf mit dem in Brandenburg identisch (s. Abbildung 5).

Insbesondere die Nutzung der betriebsinternen Signaturkarten kam der Wahl

zugute, da die Mitarbeiter im Umgang mit ihr geschult waren. Zerstörung von

Signaturkarten durch mehrfache falsche PIN-Eingabe kamen nicht vor (vgl.

Diehl u.a.

2002: S. 19). Die Wahlsoftware musste allerdings angepasst werden,

da zum Zeitpunkt der Wahl eine Umstellung der Signaturkarten stattfand und

noch nicht abgeschlossen war. So galt es, zwei Typen von Signaturkarten zu

unterstützen (ebd.). Zudem war es möglich, auch ohne eigene Signaturkarte zu

wählen, z.B. wenn die eigene vergessen wurde oder defekt war. Zu diesem

Zweck konnten im Wahllokal vom Wahlvorstand Blankokarten personalisiert

werden, die nach Abschluss des Wahlvorgangs zurückgegeben werden muss-

ten. Dieser Vorgang wurde ,,rolierendes System" genannt (

Diehl u.a.

2002: S.

19f.). Interessant bei der Betriebsratswahl ist zudem die Tatsache, dass die

Wahl im Gegensatz zu Brandenburg keine reine Onlinewahl war. Die Wähler

konnten sich zwischen der Online- und der herkömmlichen Wahl entscheiden.

Selbst Briefwahl war möglich (vgl.

Diehl u.a.

2002: S. 26). Dies erforderte eine

besondere Sorgfalt und Übersicht beim Wählerverzeichnis, um eine Mehrfach-

wahl einzelner Wähler zu verhindern.

Wahlwebsite anwählen

Wähler hat Wahl

-unterlagen

Java-Applet

Identifizierung

Stimmzettel

Stimmzettel (verschlüsselt + signiert)

Wahlamtserver

Wähler

Wahlstatusmeldung

Stimmzettel

(verschlüsselt +

Schlüssel1 + Schlüssel2

,,umsigniert")

Schlüssel2

Umverschlüsselung

Wahlvorstand

Wahlergebnis

Urnenserver

Abbildung 6 - Jugendgemeinderatswahl in Esslingen

Die Jugendgemeinderatswahl in Esslingen im Juli 2001 wurde zwar auch mit

dem i-vote-Verfahren durchgeführt, hebt sich aber von den anderen Wahlen ab.

Für die Wahl wurde das Protokoll leicht modifiziert (s. Abbildung 6), was im Be-

zug auf Integrität und Geheimhaltung enorme Auswirkungen hatte. Die strikte

Trennung zwischen Wahlamt- und Urnenserver wurde aufgehoben, die blinde

Signatur durch den Wahlvorstand entfiel (vgl.

Steinbeis-Transferzentrum Medi-

akomm

2001: S. 19). Der Wähler erhielt nach vorheriger Identifizierung der

Zertifikate seiner Signaturkarte vom Wahlamtserver über ein Java-Applet seine

Wahlunterlagen (Abbildung 6, Nr. 1-4). Dies wurde im Wählerverzeichnis ver-

merkt (Abbildung 6, Nr. 5). Sein Votum sandte er dann verschlüsselt und sig-

niert an den Wahlamtserver zurück (Abbildung 6, Nr. 6). Dort wurde die Signa-

tur des Wählers von seinem Votum getrennt, durch die Signatur des Wahlamt-

servers ersetzt und diese umsignierte Stimme an den Urnenserver gesendet

(Abbildung 6, Nr. 7). Nach einer Bestätigung des Urnenservers über den Ein-

gang der Stimme (Abbildung 6, Nr. 8), sandte der Wahlamtserver dem Wähler

ebenfalls eine Bestätigung, wonach seine Wahlentscheidung in der Urne abge-

legt war (Abbildung 6, Nr. 9) (vgl.

Steinbeis-Transferzentrum Mediakomm

2001:

S. 21). Zu den Sicherheitsvorkehrungen auf Serverseite ist im Erfahrungsbe-

richt des Steinbeis-Transferzentrum Mediakomm lediglich der Hinweis zu fin-

den, dass der Wahlamtserver bei der Firma ivl in Leverkusen stand, die auch

hier für die technische Realisierung verantwortlich zeichnete (vgl.

Steinbeis-

Transferzentrum Mediakomm

2001: S. 18, 49). Über die Administration dieser

Server wird nichts Näheres gesagt. Der Wahlvorstand hatte über eine direkte

ISDN-Verbindung Zugriff auf das Wählerverzeichnis des Wahlamtservers und

konnte dort nach Wahlende auch die Urne ,,abholen", die vom Urnenserver an

den Wahlamtserver geschickt wurde (vgl.

Steinbeis-Transferzentrum Media-

komm

2001: S. 22). Die Wahlzeit der Internetwahl endete eine Stunde vor

Schließung des Präsenzwahllokals. In der verbleibenden Stunde wurden die

Voten, die vom Urnen- über den Wahlamtserver bereits den Wahlvorstand

erreicht hatten, ,,umverschlüsselt" (ebd.) (Abbildung 6, Nr. 11). Hintergrund war,

dass der private Schlüssel, der zum Entschlüsseln der Voten benötigt wurde,

auf einer Signaturkarte des Wahlvorstandes gespeichert war. Der Zugriff auf die

Karte war allerdings derart zeitaufwendig, dass die Auszählungsdauer am Ende

der gesamten Wahlzeit zu hoch gewesen wäre. Daher entschloss man sich, die

Voten in dieser einen Stunde zu entschlüsseln und gleich wieder zu verschlüs-

seln, diesmal allerdings mit einem symmetrischen Schlüssel, der - wiederum mit

einer Signaturkarte des Wahlvorstandes asymmetrisch verschlüsselt - gespei-

chert wurde (Abbildung 6, Nr. 9: ,,Schlüssel1" bezeichnet den asymmetrischen,

,,Schlüssel2" den symmetrischen Schlüssel). Symmetrisch verschlüsselte Nach-

richten sind (bei Kenntnis des Schlüssels) wesentlich schneller zu dechiffrieren,

als asymmetrische. Deswegen macht es aus Gesichtspunkten der Performance

Sinn, eine solche Verschlüsselung vorzunehmen. Aus dem Blickwinkel der

Sicherheit ist dies allerdings eher bedenklich (s. 3.4.3). Die Angaben für die

Zugriffszeit auf die Signaturkarte bei einer Entschlüsselung lagen zwischen

zehn und sechzig Sekunden (vgl.

Steinbeis-Transferzentrum Mediakomm

2001:

S. 23). Warum für die Wahl nicht ein asymmetrisches Softwareschlüsselpaar

erzeugt wurde, dessen privater Teil mit der Signaturkarte des Wahlvorstands

verschlüsselt wurde, so wie dies bei der T-Systems oder in Brandenburg ge-

schehen ist, bleibt unklar.

Die Wahl in Esslingen ist auch besonders wegen des Registrierungsprozesses

im Vorfeld interessant. In Esslingen wurden die Wahlberechtigten über Dritte

mit Signaturkarten (in diesem Fall durch die Firma Deutsche Post Signtrust

GmbH) ausgestattet. Der zeitliche und logistische Aufwand pro Person war

dadurch höher als bei der T-Systems oder in Brandenburg. Zeitgleich war aber

die Situation mit Hinblick auf eine Kommunal-, Landtags- oder Bundestagswahl

realitätsnäher. Auch bei solchen Wahlen müssten die Wahlberechtigten wahr-

scheinlich mit Signaturkarten versorgt werden.

Einige Problembereiche in i-vote wurden in den Abschluss- und Erfahrungsbe-

richten zu den durchgeführten Onlinewahlen ausgeklammert, finden aber im

Abschlussbericht der

Forschungsgruppe Internetwahlen

, der keiner konkreten

Wahl zugeordnet ist, Erwähnung. So wäre es denkbar, dass die zwei Kommu-

nikationskanäle vom Wähler zum Wahlamtserver und vom Wähler zum Urnen-

server abgehört werden, und auf diesem Weg die Nachricht zur Identifizierung

des Wählers mit dem an den Urnenserver gesendeten Stimmzettel in Verbin-

dung gebracht wird. Dies würde durch kontinuierliches Versenden von (Schein-)

Nachrichten auf den Kommunikationskanälen verhindert. Zudem würden die

Zeiteinträge im Urnenserver gelöscht, wodurch auch hier die Reihung von Vo-

ten nicht mehr möglich wäre (vgl.

Forschungsgruppe Internetwahlen

2002: S.

21). Grundsätzlich sieht

Otten

bei einer Onlinewahl von individuellen Zugängen

die Verwendung von anonymen Kanälen als ,,absolut unerlässlich" an (

Otten

2002: S. 79). Bei keiner der dokumentierten Wahlen findet sich ein Hinweis auf

die Verwendung solcher Kommunikationswege, wodurch es theoretisch denk-

bar wäre, eine an den Urnenserver gesendete Nachricht bei entsprechender

Protokollierung bis zum Wähler zurückzuverfolgen. Die Problematik der anony-

men Kanäle wird unter 3.3.1 ausführlicher erläutert.

2.2.2 Election.com

Die Firma

Election.com

hat mit ihrem Wahlsystem verschiedene Wahlen durch-

geführt. Die bekanntesten darunter waren die weltweiten Wahlen zum Direkto-

rium der Internet Corporation for Assigned Names and Numbers (ICANN) und

die Vorwahl der Demokratischen Partei zur Präsidentschaftswahl 2000 im US-

Bundesstaat Arizona (vgl.

Lange

2002: S. 137ff.).

Die ICANN-Wahlen im Oktober 2000 waren die ersten weltweit durchgeführten

reinen Internetwahlen und riefen seinerzeit ein großes Medieninteresse hervor.

Dies lag zum einen an der Einschätzung der zukünftigen Rolle des Gremiums

(vgl.

Ermert

2000: S. 32f.;

Schumann

2000: S. 198f.) und zum anderen an den

zahlreichen organisatorischen und technischen Pannen, die den Registrie-

rungs- und Wahlvorgang begleiteten (vgl.

Lange

2002: S. 137f.;

Philippsen

2002: S. 148). Wahlberechtigt waren alle Internetnutzer, die über 16 Jahre alt

waren, eine gültige E-Mail- und Postadresse besaßen und sich über das Inter-

net als ,,At-Large-Member" registrieren ließen (vgl.

Will

2002: S. 63). Der Wähler

wählte dann über einen Standardbrowser auf einer Website der Firma

Electi-

on.com

. Dort musste er seine Mitgliedsnummer, ein Passwort und eine PIN

eingeben. Mitgliedsnummer und Passwort wurden über E-Mail, die PIN über

Post zugestellt. Durch die unterschiedliche Laufzeit und Zuverlässigkeit in der

Postzustellung weltweit, gab es eine erhebliche Differenz zwischen Registran-

ten und Wählern. Zudem waren die Registrierungs- und Wahlserver nicht für die

große Nachfrage ausgelegt und brachen unter der Last mehrfach zusammen,

so dass sowohl im Registrierungs- als auch im Wahlprozess die Server zeitwei-

se nicht erreichbar waren. Die Anzahl der Personen, die sich online registrieren

ließen, betrug über 176000, während im Vorfeld lediglich mit einer Zahl zwi-

schen fünf und zehntausend gerechnet wurde (vgl.

Lange

2002: S. 138;

Will

2002: S. 64). Von den Online-Registranten aktivierten23 ca. 76000 ihre ,,At-

Large"-Mitgliedschaft, waren somit wahlberechtigt, von denen wiederum knapp

über 34000 eine gültige Stimme abgaben (vgl.

Will

2002: S. 64). Das einge-

setzte Wahlprotokoll und die eingesetzte Technik ist trotz der vielen Ver-

öffentlichungen zum Thema nicht detailliert dokumentiert. Es findet sich der Hin-

23 Die Registrierung wurde auf einer Webseite durch die Eingabe einer per Mail zugestellten

PIN abgeschlossen. Erst danach war die Mitgliedschaft ,,aktiviert".

weis, dass aus finanziellen Gründen nur eine einfache Software programmiert

wurde, die bereits Probleme mit der Darstellung unterschiedlicher Zeichensätze

besaß (vgl.

Lange

2002: S. 137).

Getrenntes Speichern

von Votum und ID

Wahlwebsite anwählen

Wahlunterlagen

Stimmzettel + Wahl-ID (verschlüsselt)

election.com

Wähler

Alle Stimmzettel

(verschlüsselt)

Wahlergebnis

Entschlüsseln der Voten

Wahlvorstand

KPMG

Abbildung 7 - Arizona Democratic Party′s Presidential Preference Primary

Eine weitere Wahl, die von

election.com

betreut wurde, war das ,,Democratic

Party′s presidential preference primary" im März 2000 die Vorwahlen der De-

mokratischen Partei zur Präsidentschaftswahl 2000 im US-Bundesstaat Arizona

(Abbildung 7). Der Wahlablauf wurde dabei von unabhängigen Dritten beobach-

tet, darunter Bürgerrechtsorganisationen und Firmen aus der IT-Branche (vgl.

Mohen u.a.

2001: S. 75). Zur Wahl erhielt jeder Wahlberechtigte eine eindeutige

siebenstellige PIN. Diese Nummern wurden zufällig generiert, um nicht auf die

nächste logisch folgende PIN schließen zu können; ein wichtiger Punkt, wenn

Wahlberechtigte dicht beieinander wohnen und voneinander wissen. Zusätzlich

wurden zwei von fünf möglichen persönlichen Fragen gestellt, z.B. nach dem

Geburtsdatum oder nach den letzten vier Stellen der Sozialversicherungs-

nummer des Wahlberechtigten (vgl.

Mohen u.a.

2001: S. 76). Mit dieser Kombi-

nation aus PIN und persönlichen Fragen konnte der Wahlberechtigte sich dann

bei der Wahl authentifizieren. Gewählt wurde über einen Standardbrowser mit

einem Java-Applet, das von der

election.com

Website über eine SSL-gesi-

cherte24 Verbindung heruntergeladen wurde (Abbildung 7, Nr. 1-2). Das Votum

wurde mit dem öffentlichen Schlüssel eines Wirtschaftsprüfungsunternehmens

(KPMG), das die Funktion des Auszählers übernahm, verschlüsselt und an den

election.com

Server geschickt (Abbildung 7, Nr. 3). Die gesammelten Voten

wurden nach Wahlende offline über einen Datenträger zu KPMG gebracht

(Abbildung 7, Nr. 5) (vgl.

Mohen u.a.

2001: S. 77). Dabei hatte

election.com

nach eigenen Angaben keinen Zugriff auf den privaten Schlüssel von KPMG

und war somit auch nicht in der Lage, die Voten zu entschlüsseln (vgl.

Mohen

u.a.

2001: S. 78).

Election.com

fungierte gleichzeitig als Wahlamt- und als Ur-

nenserver, denn sowohl die Identifizierung der Wähler als auch die Aufbewah-

rung der Stimmen bis Wahlende wurden über den

election.com

Server durchge-

führt. Zusätzlich sorgte das Unternehmen durch Trennung von Stimmzettel und

Wählersignatur für die Anonymisierung der Wahlentscheidung (Abbildung 7, Nr.

4).

Auch

election.com

setzte zur Wahrung der Geheimhaltung auf das Aufspalten

der zentralen Wahlleitung. Im Gegensatz zu den mit i-vote durchgeführten Wah-

len geschah dies durch eine sowohl physische als auch institutionelle Tren-

nung, indem die Rolle des Auszählers von einem Dritten übernommen wurde.

Die Offline-Übermittlung der Daten an den Auszähler ist eine Besonderheit des

Verfahrens von

election.com

, das bei größeren Wahlen sicher nicht angewen-

det werden könnte. Für die Wahl zu den Primaries war es ein probates Mittel,

um zu verhindern, dass durch Nachrichtenaustausch zwischen den beiden

Wahlinstanzen

election.com

und KPMG das Wahlgeheimnis fällt.

2.2.3 Weitere Implementierungen

Weitere bekannte Firmen, die Onlinewahlen durchgeführt haben, sind

safe-

vote.com

und

votehere.net

. Die Auflistung dieser Wahlen würde aber keine

neuen Problemfälle aufzeigen. Zudem ist die Datenlage über die durchgeführ-

ten Wahlen von

safevote

und

votehere

noch dünner als die von i-vote und

elec-

24 Secure Socket Layer SSL bezeichnet ein Verfahren zur sicheren Datenübertragung

zwischen einem Webserver und einem Browser.

tion.com

Votehere.net

ist dafür aber besonders aktiv innerhalb der theore-

tischen Debatte. Mitarbeiter der Firma publizieren auch in einschlägigen Kryp-

tologie-Veröffentlichungen. Dies ist bei den anderen Firmen nicht in diesem

Maße der Fall.

3 Die verschiedenen Problemlagen

Onlinewahlen haben sich denselben Wahlgrundsätzen wie die herkömmlichen

Wahlen zu unterwerfen. Dies ergibt sich aus Art. 38 des Grundgesetzes, der

besagt, dass eine Wahl in allgemeiner, unmittelbarer, freier, gleicher und ge-

heimer Weise stattzufinden hat. Sie bilden die Grundlage, auf denen die Proto-

kolle für Onlinewahlen zu bewerten bzw. ihre Probleme zu identifizieren sind,

und werden unter 3.1 kurz dargelegt. Die vorgestellten Onlinewahlverfahren

genügen den grundgesetzlichen Anforderungen teilweise nicht. Ihre Probleme

in den unterschiedlichen Bereichen werden im folgenden betrachtet und zu-

sammengefasst. Die weiteren grundlegenden Bestimmungen des subkonstituti-

onellen Rechts inklusive der ungeschriebenen Wahlgrundsätze werden an-

schließend unter 4 behandelt.

Die Probleme bei Onlinewahlen verteilen sich über drei Ebenen. Auf der ersten

Ebene stehen die Probleme der theoretischen Modelle, d.h. der kryptographi-

schen Protokolle, die in den meisten Fällen das Thema Geheimhaltung beinhal-

ten (s. 3.2). Diese Modelle sind auf eine abstrakte Art und Weise formuliert und

beschreiben das Verhalten bzw. die Interaktion einzelner Kommunikationspart-

ner. Wenn nun aus der Abstraktion eine Implementierung werden soll, entste-

hen auf der zweiten Ebene Probleme, die innerhalb des abstrakten Modells

nicht berücksichtigt werden konnten oder sollten (s. 3.3). Auf der letzten Ebene

befinden sich die Probleme, die bei bereits durchgeführten Wahlen auftraten.

Sie sind somit empirisch nachgewiesen bzw. weisen im Bezug auf die vorherige

Ebene eindeutige Gefahren auf. Sie beinhalten vor allen Dingen auch Punkte

jenseits der technisch theoretischen Sicht (s. 3.4).

3.1 Die Wahlrechtsgrundsätze im Grundgesetz

Die Wahlrechtsgrundsätze für die Wahl zum deutschen Bundestag sind im

Grundgesetz unter Art. 38 Abs. 1 verankert. Danach werden die Abgeordneten

in ,,allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl" gewählt.

Durch Art. 28 Abs. 1 gilt dies auch für die Wahl der Vertreter in Ländern, Krei-

sen und Gemeinden. Selbstverständlich müssen diese Grundsätze auch für

Onlinewahlen bindend sein und erfordern daher eine genauere Betrachtung.

3.1.1 Allgemeine Wahl

Die Allgemeinheit der Wahl verbietet "den unberechtigten Ausschluss von

Staatsbürgern von der Teilnahme an der Wahl überhaupt. Er verbietet dem

Gesetzgeber, bestimmte Bevölkerungsgruppen aus politischen, wirtschaftlichen

oder sozialen Gründen von der Ausübung des Wahlrechts auszuschließen"

(BVerfGE 36, 139 (141); 58, 202 (205)). Dies verpflichtet den Gesetzgeber,

Maßnahmen zu treffen, um einerseits einen gesellschaftlich bedingten (s.u.

4.2.2) und andererseits einen technisch bedingten "de facto" Ausschluss ein-

zelner Gruppen (s. 4.2.1) zu verhindern (vgl.

Will

2002: S. 76). Bei einem be-

rechtigten Ausschluss einzelner Personen, z.B. in Folge einer rechtskräftigen

Verurteilung, muss allerdings auch sichergestellt sein, dass diese nicht wählen

können25. Die deswegen nötige Identifizierung und Legitimierung des Wählers

führt wiederum zu Problemen mit der Geheimhaltung (s. 3.1.4).

3.1.2 Gleiche Wahl

Der Wahlrechtsgrundsatz der gleichen Wahl hat sowohl für das aktive als auch

für das passive Wahlrecht Bedeutung. So urteilt das BVerfG in Bezug auf das

aktive Wahlrecht, dass "jedermann sein Wahlrecht in formal möglichst gleicher

Weise soll ausüben können" (BVerfGE 16, 130 (138)). Die abgegebenen Stim-

men der Wähler müssen alle den gleichen Zählwert haben, d.h. jeder Wähler

verfügt über die gleiche Anzahl von Stimmen, und jeder Wähler hat auch den

gleichen Einfluss auf das Ergebnis (vgl. BVerfGE 79, 161 (166); 1, 208 (246)).

Die formale Gleichheit der Stimmabgabe, die sich z.B. auch auf die gleiche

Gestaltung des Stimmzettels bezieht, gewinnt bei einer Wahl über das Internet

besondere Bedeutung. Bezogen auf das passive Wahlrecht muss z.B. gewähr-

leistet sein, dass die verschiedenen Kandidaten in Schrift und Form gleich dar-

gestellt werden (s. 4.2.3).

25 § 13 BWG legt fest, wer vom Wahlrecht ausgeschlossen ist.

In Bezug auf den gleichen Zählwert und die gleiche Anzahl von Stimmen, die

jeder Wähler hat, ist es durch diesen Grundsatz unbedingt geboten, eine Dop-

pel- oder Mehrfachwahl einzelner Wähler zu verhindern. Dass es u.U. sinnvoll

sein kann, bei der Mehrfachwahl, unter Einhaltung der Zählwertgleichheit, eine

Ausnahme zu machen, wird unter 4.1 diskutiert. Eine Mehrfachwahl, die im

Ergebnis einem Wähler mehr Stimmen zugesteht, ist bei einer Internetwahl

allerdings sowohl im technischen Zugang bei der Onlinewahl, als auch im orga-

nisatorischen Rahmen zu verhindern26.

3.1.3 Freie Wahl

Die freie Wahl steht in engem Zusammenhang mit der geheimen Wahl. Der

Grundsatz der freien Wahl soll den Wähler gegen Einflussnahme Dritter bei der

Stimmabgabe sichern. So spricht das BVerfG in einer Entscheidung aus dem

Jahr 1957 davon, ,,daß jeder Wähler sein Wahlrecht frei, d. h. ohne Zwang oder

sonstige unzulässige Beeinflussung von außen ausüben kann" (BVerfG 7, 63).

Der Gesetzgeber schützt den Wähler dabei durch die Straftatbestände der

Wählernötigung, -täuschung und -bestechung (§§ 108, 108a, 108b StGB). Zu-

dem ist nach § 32 Abs. 1 BWG während der Wahlzeit in dem Gebäude, in dem

sich der Wahlraum befindet, ,,jede Beeinflussung der Wähler durch Wort, Ton,

Schrift oder Bild (...) verboten".

3.1.4 Geheime Wahl

Die zentrale Aufgabe der geheimen Wahl ist es, die freie Wahl zu garantieren.

Es bedeutet, dass lediglich der Wähler von seiner Wahlentscheidung Kenntnis

haben darf (vgl.

Will

2002: S. 133). Der Gesetzgeber hat dafür Sorge zu tragen,

dass diese Geheimhaltung gewährleistet wird. Bei der Präsenzwahl geschieht

dies durch die im Bundeswahlgesetz (BWG) und der Bundeswahlordnung

(BWO) detailliert beschriebene Ausstattung des Wahlraums mit Wahlzellen und

Wahlurnen sowie der ebenfalls genau beschriebenen Vorgehensweise bei der

Wahl inklusive dem Verhalten des Wahlvorstandes (§§ 49-60 BWO). Die Ge-

heimhaltung ist als Einrichtung des objektiven als auch des subjektiven Rechts

26 Auch der Versuch, sowohl online als auch im Wahllokal zu wählen, muss erkannt und unter-

bunden werden.

zu verstehen (vgl.

Buchstein

2002: S. 60). Auch für den Wähler ist es strafbar,

das Wahlgeheimnis zu verletzen (§ 107c StGB). Stimmen, die nicht geheim

abgegeben werden, dürfen nicht gezählt werden. So ist nach § 56 Abs. 6 Satz 1

BWO ein Wähler zurückzuweisen, der die Geheimhaltung verletzt, sei es z.B.

durch das Kennzeichnen außerhalb der Wahlzelle oder dem Nichtfalten des

Stimmzettels. Die Problematik, die sich aus dieser Tatsache für eine Wahl-

durchführung außerhalb von Wahlräumen ergibt, behandelt 4.1.

Eine wichtige Forderung im Bezug auf Online-Wahlen, die sich aus dem Grund-

satz der geheimen Wahl ergibt, ist die der dauerhaften Geheimhaltung (vgl.

3.2.1).

3.1.5 Unmittelbare Wahl

,,Nur wenn die Wähler das letzte Wort haben, haben sie auch das entscheiden-

de Wort; nur dann wählen sie unmittelbar", so urteilte das BVerfG 1957 (BVerf-

GE 7, 63). Demnach gilt in der Bundesrepublik das Verbot von Wahlmännern.

Es darf keine zwischengeschaltete Instanz geben, das Votum der Wähler muss

immer direkt, eben ,,unmittelbar" erfolgen. Die Unmittelbarkeit der Wahl ist für

die Betrachtung der Onlinewahl aber nebensächlich.

3.2 Probleme im theoretischen Modell

Die theoretischen Modelle zu Onlinewahlen wurden bereits unter 2.1 behandelt.

Trotz der mittlerweile sehr weit entwickelten Protokolle zu Onlinewahlen beste-

hen noch grundsätzliche Probleme, die den derzeitig verwendeten kryp-

tographischen Praktiken immanent sind oder den Widersprüchen zwischen

Identifizierung, Anonymität, Geheimhaltung und Überprüfbarkeit entspringen.

3.2.1 Verschlüsselung und dauerhafte Geheimhaltung

Die Kryptologie als ein Wissenschaftszweig der Mathematik beinhaltet sowohl

die Kryptographie als auch die Kryptanalyse. Während sich die Kryptographie

mit der Absicherung von Nachrichten beschäftigt, bildet die Kryptanalyse das

Gegenstück und versucht, diese Chiffrierungen wieder rückgängig zu machen.

Im Laufe der Jahre wurden viele komplexe Algorithmen entwickelt, die mit

Schlüsseln die Chiffrierung und Dechiffrierung von Nachrichten ermöglichen.

Grundsätzlich geschieht dies über mathematische Verfahren, die als solche

nicht unbedingt geheim sind, aber derart konstruiert wurden, dass eine Ent-

schlüsselung der chiffrierten Nachrichten nur bei Kenntnis des richtigen Schlüs-

sels möglich ist. Selbstverständlich gibt es unterschiedliche Qualitäten von

Algorithmen, die an ihrer Beständigkeit gegenüber ,,Angriffen"27 gemessen

werden. Aber auch die Angriffe können unterschiedlicher Schwere sein. Bei

einem sog. Cyphertext-only-Angriff hat der Kryptanalytiker nur verschiedene

chiffrierte Nachrichten zur Verfügung, die mit demselben Verschlüsselungsalgo-

rithmus verschlüsselt wurden, um daraus entweder die Originalnachrichten oder

sogar den Schlüssel, der verwendet wurde, abzuleiten. Dabei gilt ein Algorith-

mus als ,,uneingeschränkt sicher, wenn der Klartext auch dann nicht ermittelt

werden kann, wenn Chiffretext in beliebigem Umfang vorhanden ist" (

Schneier

1996: S. 9). Dies ist unter der Annahme von unbegrenzten Ressourcen nur der

Fall, wenn zur Verschlüsselung ein sogenanntes One-Time-Pad verwendet

wird, eine nur für diese Chiffrierung einmalig verwendete Zufallsfolge von Zah-

len (vgl. ebd.), ,,Alle anderen Kryptosysteme können mit einem Cyphertext-only-

Angriff gebrochen werden" (ebd.). Die schlechteste Methode, die dabei zum

Einsatz kommen kann, ist der Brute-Force-Angriff, das Einsetzen aller denkba-

ren Schlüsseln, bis irgendwann Klartext aus der chiffrierten Nachricht erzeugt

werden kann.

Alle in dieser Arbeit besprochenen kryptographischen Methoden sind also

grundsätzlich entschlüsselbar. Entscheidend ist dabei aber, welcher Aufwand

zur Entschlüsselung nötig ist. Bei Verwendung eines besonders ,,starken" Algo-

rithmus, für dessen Brechung die beste Methode ein Brute-Force-Angriff ist,

kann bei entsprechender Schlüsselgröße das Ausprobieren sämtlicher Schlüs-

sel mehrere Milliarden Jahre dauern, selbst wenn alle derzeit auf der Welt ver-

fügbaren Rechner parallel eingesetzt würden (vgl.

Stallings

2001: S. 44). Dies

zeigt aber, dass die Geheimhaltung einer Nachricht, die mit einem Krypto-

system verschlüsselt ist, wie es bei Protokollen zu Onlinewahlen Verwendung

findet, von der Entwicklung der Technik abhängig ist. Niemand kann sicher

27 ,,Angriff" meint hier den Versuch, die Originalnachricht wieder herzustellen.

sagen, ob ein heute als ,,berechnungssicher"28 geltendes Verfahren, morgen

nicht durch eine Innovation der Technik gebrochen werden kann. Die Geheim-

haltung bei einer Wahl darf aber nicht von zeitlichen oder materiellen Faktoren

abhängig sein, sondern muss ,,ewig" gewährt werden (vgl. 3.1.4). Dementspre-

chend müsste ein Onlinewahlsystem auch gegen etwaiges Protokollieren und

späteres Entschlüsseln gewappnet sein. Dies ist allerdings nicht möglich, so-

lange die Verbindungen bei Onlinewahlen über SSL oder ähnliche Verfahren

gesichert sind.

Anwendungs-

Schicht 7

Schicht 7 schicht

Schicht 6

Schicht 6 Darstellungs-

schicht

SSL

Schicht 5

Schicht 5 Sitzungs-

schicht

Schicht 4

Schicht 4 Transport-

TCP/IP

Schicht

Schicht 3

Schicht 3 Netzwerk-

schicht

Schicht 2

Schicht 2 Leitungs-

schicht

physikalische

Schicht 1

Schicht 1 Schicht

Rechner A

Rechner B

= tatsächlicher Kommunikationsfluss

= logischer Kommunikationsfluss

Abbildung 8 - ISO-OSI-Schichtenmodell

28 Als ,,berechnungssicher" gilt ein Verschlüsselungsverfahren, wenn entweder der Aufwand

zum Entschlüsseln der Nachricht ihren Wert übersteigt, oder wenn die benötigte Dauer zum

Entschlüsseln über dem der Brauchbarkeit der Information liegt (vgl. Stallings 2001: S. 43).

SSL liegt im Schichtenmodell oberhalb von TCP/IP29 (s. Abbildung 8). Dieses

Schichtenmodell beschreibt Kommunikation zwischen zwei Rechnern bzw. zwei

Prozessen auf zwei Rechnern in verschiedenen Schichten. Dabei bilden alle

Prozesse einer Schicht eine Kommunikationsprotokollebene, die nur durch

Prozesse der direkt unterliegenden Schicht realisiert werden (vgl.

Engesser

1993: S. 185f.). TCP/IP bietet auf der Transportschicht ein Protokoll für eine

verlässliche Kommunikation, die aber keinerlei Sicherheitsmechanismen be-

sitzt. Somit können alle Protokolle, die in diesem Modell oberhalb von TCP/IP

liegen, zwar durch Verschlüsselung inhaltlich geschützt sein, die Verbindungs-

daten sind aber einsehbar. Wer mit wem kommuniziert, kann jedoch auch

schon eine schützenswerte Information sein, z.B. wenn ein Angreifer nur eine

zielgerichtete Sabotage im Sinn hat. In jedem Fall wäre es möglich, die Kom-

munikation zwischen einem Wahlclient und dem Wahlserver gezielt zu protokol-

lieren30, um sie zu einem späteren Zeitpunkt zu entschlüsseln. Dies ist ein

grundsätzlicher Nachteil einer Onlinewahl, deren Kommunikation drahtgebun-

den (oder sogar nicht drahtgebunden) abläuft, gegenüber einer herkömmlichen

Urnenwahl.

Die Frage ist sicherlich, wieso jemand Wahlhandlungen protokollieren sollte, um

sie später zu dechiffrieren. Die konkrete Gefahr bei einer Onlinewahl besteht

eher in der Sabotage der Kommunikationskanäle. Trotzdem steht die beschrie-

bene Möglichkeit zur Unterwanderung der Geheimhaltung im Gegensatz zu

ihrer geforderten Dauerhaftigkeit.

Bei i-vote wird versucht, dem Problem des Abhörens aus dem Weg zu gehen,

indem nie Identifizierungsdaten und Wahlentscheidungen gemeinsam übertra-

gen werden. Einzeln dürften beide Informationen jeweils bekannt sein. Zudem

soll einem Angreifer das zeitliche Inbezugsetzen dieser unterschiedlichen Nach-

richten unmöglich gemacht werden, indem auf den Kommunikationskanälen

ständig Botschaften gesendet werden (vgl.

Otten

2002: S. 78).

29 Das Transmission Control Protocol/ Internet Protocol (TCP/IP) ist das grundlegenden Proto-

koll für das World Wide Web (WWW).

30 Selbstverständlich nur, wenn man den Zugang zu einem Knotenpunkt besitzt, über den die

Kommunikation zwischen Client und Server läuft.

Die Sicherung der Daten durch Verschlüsselung kann, insgesamt betrachtet,

nicht das einzige Mittel zur Gewährleistung von Geheimhaltung sein. Die Dau-

erhaftigkeit wäre durch Kryptographie nicht gewährleistet. Wenn die bestehen-

de Infrastruktur des Internets genutzt werden soll, lägen zumindest die Verbin-

dungsdaten offen, weswegen es weitergehender Überlegungen beim Entwurf

eines Wahlprotokolls bedarf, die dieses Problem beheben.

3.2.2 Quittungsfreie Protokolle

Jedes Wahlsystem wird immer auch vom Vertrauen der Wähler in die Korrekt-

heit des Ablaufes abhängen. Bei einem Onlinewahlsystem ist dies umso wichti-

ger, da viele Teile des Wahlprotokolls für den Wähler nicht sichtbar im Hinter-

grund ablaufen. Dementsprechend wurde in Entwürfen versucht, den Wähler

überprüfen zu lassen, ob sein Votum korrekt und unverändert gezählt worden

ist. Dies ist auf verschiedene Arten möglich. Unter 2.1.1 wurden zwei Verfahren

vorgestellt, die eine solche Überprüfung gestatten.

In dem Verfahren von

Philippsen

veröffentlicht der sogenannte Auszähler eine

Ergebnisliste, in der der Wähler anhand einer zuvor erhaltenen Nummer über-

prüfen kann, ob sein Votum in das Endergebnis eingegangen ist (vgl.

Phi-

lippsen

2002: S. 145). Die Quittungsnummer gibt dem Wähler Gewissheit über

seine Wahlentscheidung.

Die Chance, die korrekte Wertung der eigenen Stimme überprüfen zu können,

wäre ein enormer Mehrwert der Onlinewahl gegenüber der herkömmlichen

Urnenwahl. Dieser Mehrwert würde aber mit einer ebenso großen Problematik

erkauft werden. So könnte die Quittungsnummer, der Beweis der Wahlent-

scheidung, zum Stimmenverkauf genutzt werden. Rechtlich gesehen würde

sich der Wähler wahrscheinlich allein durch den Besitz einer solchen Quittung

strafbar machen, da die Wahrung des Wahlgeheimnisses auch für ihn bindend

ist (§ 107c StGB)31.

Aus diesen Gründen haben Kryptologen versucht, Modelle und Protokolle zu

entwickeln, die es erlauben, die Korrektheit der Wahl, und somit auch der Wer-

tung der eigenen Stimme, zu überprüfen, ohne dass die Wahlentscheidung

31 Zum Wahlgeheimnis vergleiche auch die Ausführungen zu Brief- und Onlinewahl unter 4.1.

belegbar ist. Ein Beispiel ist das Verfahren von

Niemi

und

Renvall

(

Niemi u.a.

1994). Die Voraussetzung für das Verfahren bildet eine Registrierung des Wäh-

lers in einer gesicherten Umgebung. Nach dieser Registrierung kann der Wäh-

ler mit einem erhaltenen ,,eligibility token" mehrere Wahlen durchführen. Um zu

verhindern, dass auf der Seite der Wahlzentrale das Votum dem Wähler zuge-

ordnet wird, schlagen

Niemi

und

Renvall

eine Spaltung der Wahlzentrale in

mehrere kleinere Einheiten vor, wie dies auch schon bei anderen vorgestellten

Wahlprotokollen praktiziert wurde (vgl.

Niemi u.a.

1994: S. 166). Praktisch

könnten dies jeweils die verschiedenen Kandidaten sein, die zur Wahl stehen.

Der Unterschied zu den anderen dargestellten Verfahren besteht darin, dass

diese Untereinheiten, die zusammen die zentrale Wahleinheit bilden, nur ge-

meinsam das Wahlergebnis bestimmen können. Sie sind aber auch zusammen

nicht in der Lage, einzelne Voten einzelnen Wählern zuzuordnen. Das Verfah-

ren, das dabei zum Einsatz kommt, nennt sich ,,multiparty computations" und

geht zurück auf

Chaum

Damgard

und

van de Graaf

(1988). Für den einzelnen

Wähler bildet somit allein die Ermittlung des Wahlergebnisses die Gewissheit,

dass seine Stimme richtig gewertet wurde. Genau das ist auch der unbefriedi-

gende Punkt an dieser Lösung, die sich doch auf einem sehr abstrakten Level

bewegt, obwohl die Autoren in ihren Ausführungen versuchen, den praktischen

Ansatz zu betonen. Der Wähler kann nicht anhand einer eigenen Vorgehens-

weise die Korrektheit überprüfen, sondern muss sich hier auf die exakte und

fehlerfreie Implementierung des Protokolls verlassen.

Anderen veröffentlichten Wahlverfahren, die Quittungsfreiheit versprechen,

werden meist im Laufe der Zeit Fehler nachgewiesen.

Philippsen

führt z.B.

Benaloh

und

Tuinstra

(1994) oder

Sako

und

Kilian

(1995) an, bei denen

Mi-

chels

und

Horster

(1996) Fehler in ihren Überlegungen entdecken. Er kommt

daher zu der Überzeugung, dass derzeit wohl durch ein Wahlverfahren alleine

keine Quittungsfreiheit gewährleistet werden kann, sondern dass es dazu ande-

rer Hilfsmittel, wie eben der Wahlkabine, bedarf (vgl.

Philippsen

2002: S. 146).

3.3 Probleme in der Implementierung

Wahlprotokolle, die zumeist von Kryptologen entworfen werden, beschreiben

den Ablauf einer Onlinewahl auf einer abstrakten Ebene. Viele Teile in einem

solchen Protokoll werden als ,,Black-Box", als abgeschlossener, optimal funktio-

nierender Teil gesehen. Daher können bei der Umsetzung solcher Wahlproto-

kolle Probleme in diesen Einzelteilen entstehen, und zwar dann, wenn sie der

ihnen angedachten Funktionalität nicht oder nicht ganz entsprechen. Als zwei

entscheidende Punkte kommen dabei die anonymen Übertragungskanäle zur

Übermittlung der Voten vom Wähler zum Server der Wahlleitung und die Wäh-

ler selber in Frage.

3.3.1 Anonyme Kanäle

In den unter 2.1.1 beschriebenen Verfahren werden von

Philippsen

und

Schneier

direkt oder implizit anonyme Kanäle bei der Übertragung der Wahlent-

scheidung an den Auszähler vorausgesetzt.

Otten

sieht im Falle einer Online-

wahl von individuellen Zugängen anonyme Kanäle als ,,absolut unerlässlich" an

(

Otten

2002: S. 79). Die Bedeutsamkeit ist relativ schnell ersichtlich. Im Internet

können Rechner wegen sogenannter IP-Adressen miteinander kommunizieren.

Jeder Rechner im Internet hat eine eindeutige IP-Adresse und ist somit in der

Lage, an andere Rechner sog. IP-Pakete zu schicken oder solche zu empfan-

gen. In jedem dieser Pakete ist der Absender und der Empfänger vermerkt.

Wenn also der Wahlserver ein Votum erhält, ist für ihn ersichtlich, von welcher

IP-Adresse es stammt. Würde im Wahlserver protokolliert welches Votum zu

welchem Zeitpunkt von welcher IP kam, könnte z.B. durch Abgleich mit Daten

von Internet Service Providern der Name des Wählers herausgefunden werden.

Um dies zu verhindern müssen die Daten über anonyme Kanäle gesendet

werden.

Die oben beschriebene Struktur der Internet-Kommunikation macht das Einrich-

ten eines anonymen Kanals schwierig. Ein Möglichkeit wurde von

David Chaum

vorgestellt (1981). Das von ihm so betitelte MIX-Modell geht von einer Kommu-

nikation über Dritte aus. Ein Sender sendet seine Nachricht nicht direkt an den

Empfänger, sondern schickt sie an einen dritten Rechner, den ,,MIX". Dabei sind

die Informationen wie folgt verschlüsselt. Der Sender chiffriert die Botschaft mit

dem öffentlichen Schlüssel des Empfängers und ergänzt das Resultat mit der

Adresse des Empfängers. Diese Nachricht wird mit dem öffentlichen Schlüssel

des MIX verschlüsselt und an den MIX gesendet. Im MIX kann die Adresse des

Empfängers dechiffriert und die Botschaft an den Empfänger ausgeliefert wer-

den. Je nach Bedarf kann dieses Verfahren auch auf MIX-Netze, d.h. mehrere

hintereinander geschaltete MIXe, erweitert werden. Somit ist die Nachricht

selber nur für den Empfänger lesbar und die Kommunikationsdaten werden

vom MIX ,,geschluckt". Ein MIX muss dabei selbstverständlich ein ,,vergessli-

cher" Dienst sein, d.h. die Informationen über die Datenpakete, die durch den

MIX gegangen sind, dürfen nur für einen kurzen Zeitpunkt gespeichert bzw.

protokolliert werden. Bei der Verwendung mehrerer MIXe reicht es aus, wenn

nur ein einziger ordnungsgemäß funktioniert32.

Das Problem besteht darin, zu garantieren, dass ein MIX auch wirklich keine

Kommunikationsdaten speichert oder gar an Dritte weitergibt. Hier ist der Sen-

der vom Vertrauen in den verwendeten MIX abhängig. Ein kompromittierter MIX

stellt immer eine Gefahr für die Geheimhaltung dar.

Ullmann

Koob

und

Kelter

Mitarbeiter im Bundesamt für Sicherheit in der Informationstechnik, halten daher

die Verwendung von MIX-Netzen zur Anonymisierung ,,hinsichtlich der Dauer-

haftigkeit der Trennung von Wähleridentität und Votum [für] problematisch"

(

Kelter u.a.

2001: S. 645).

Eine weitere Idee, um anonyme Kommunikation in einem Netzwerk zu ermögli-

chen, stellt

Schneier

vor (

Schneier

1996: S. 163ff.). Sie basiert auf dem von

Chaum

(1988) vorgestellten und von

Waidner

und

Pfitzmann

(1989) verbesser-

ten ,,Dining Cryptographers Problem". Zwischen den Kommunikationspartnern

werden ständig Nachrichten ausgetauscht, die sich auf ein Zufallsbit beziehen,

ähnlich einem Münzwurf in der Realität. Es wird ein ,,Kreis" gebildet, in dem

jeder nur seine beiden Nachbarn sieht. In Runden verkündet jeder, ob die

Ergebnisse der Münzwürfe zu seiner linken und rechten gleich oder ungleich

sind. Botschaften werden binär übermittelt, d.h. eine falsche Aussage über das

Ergebnis wird als 1, die richtige als 0 gewertet.

Als Implementierung spielt dieses Verfahren in der Literatur keine weitere Rolle.

Sein Einsatz bei Onlinewahlen wird daher auch nicht zu erwarten sein. Trotz-

32 Der Versuch, einen solchen Anonymisierungsdienst für alle Internet-Surfer anzubieten, wird

gerade an der TU Dresden durchgeführt (s. http://anon.inf.tu-dresden.de). Über ein Java Pro-

gramm, das auf dem eigenen Rechner als Proxy fungiert, wird mit dem MIX kommuniziert. Die

Entwickler weisen selber darauf hin, dass ihr eigener Anspruch an die Sicherheit derzeit noch

nicht erfüllt wird, und dass das Funktionieren des Systems von der Selbstverpflichtung der

unabhängigen Betreiber der einzelnen MIXes abhängig ist.

dem zeigt das Beispiel, dass anonyme Kanäle durchaus auf unterschiedliche

Weise implementiert werden können, wodurch auch nicht auszuschließen ist,

dass eine für Onlinewahlen akzeptable Lösung gefunden wird. Bis dahin bieten

die MIX-Netze einen guten Ansatz, der aber von weiteren institutionellen Lö-

sungen, z.B. einer öffentlichen Überwachung der Korrektheit der MIXe, begleitet

werden müsste.

3.3.2 Secure Platform

In den meisten kryptographischen Wahlprotokollen wird der Wähler gleichge-

setzt mit dem Rechner, von dem aus er sein Votum abgibt. Dabei wird davon

ausgegangen, dass diese Benutzerschnittstelle als ,,trusted agent" korrekt funk-

tioniert und somit den Wählerwillen innerhalb des Wahlprotokolls immer richtig

abbildet (vgl.

Gerck u.a.

2002: S. 245f.). Dass diese ,,Secure Platform" eine

idealisierte Vorstellung ist, soll im folgenden gezeigt werden, denn das Einga-

bemedium selbst bietet eine große Angriffsfläche.

Viele Autoren, insbesondere aus dem Bereich der Informationssicherheit,

bemängeln, dass herkömmliche Computer und Betriebssysteme zu viele

Lücken und Sicherheitsrisiken haben, um sie bei einer Onlinewahl einsetzen zu

können. Die Gefahr geht dabei von Angreifern aus, die sich über Programme

Zugriff auf den Rechner des Wählers verschaffen. Ein solches

Angreiferprogramm könnte auf dem System als versteckter Prozess laufen, so

dass es selbst von erfahrenen Systemadministratoren nur schwer aufzuspüren

wäre (vgl.

Rubin

2002: S. 40). Beispiele für solche Programme wären

Fernadministrationswerkzeuge wie Back Orifice 2000 oder PCAnywhere. Diese

Programme könnten als Viren ohne Wissen des Anwenders ins System

gelangen und ermöglichten dann bei einer Wahl die Einsichtnahme und sogar

Änderung von Voten. Ein durchschnittlicher Nutzer könnte einen solchen Angriff

nicht erkennen, und selbst eine Virenscanner-Software täte sich schwer, wegen

der meist einfachen Suche nach bekannten Signaturmustern (ebd.). Ferner

könnten sogenannte Trojanische Pferde, d.h. scheinbar harmlose

Computerprogramme, die aber versteckten Code enthalten, den Fernzugriff auf

den angegriffenen Rechner ermöglichen (vgl.

Stallings

2001: S. 395f.).

Die Verteilungsmechanismen für solche Angreiferprogramme sind vielfältig und

können von physikalischer Installation mittels Diskette, z.B. bei einem Woh-

nungseinbruch, bis hin zu einer Verteilung durch einen Internet-Wurm gehen.

Aber Email-Viren sind nicht der einzige Weg, auf dem ein Betriebssystem von

außen angreifbar gemacht werden kann. Die Betriebssysteme selber, Pro-

gramme mit Millionen Zeilen von Quellcode, haben bekannte Fehlfunktionen

und Sicherheitslücken, die es ermöglichten, in den Rechner einzubrechen. Ein

einfaches Beispiel wäre der sog. buffer overflow, der eintritt, wenn ein Prozess

mehr Speicher benötigt, als vom Programmierer vorgesehen. Weitere Möglich-

keiten, in fremde Rechner einzubrechen, bieten ActiveX-Controls, über die

Trojaner ins System geschleust werden können. Auch Installer, Programme, die

bei der Installation von Software helfen, können mit böswilligem Code behaftet

sein (vgl. alle Beispiele

Rubin

2002: S. 41f.).

Eine weitere Sicherheitslücke tut sich in den verbreitetsten Browsern, dem

Microsoft Internet Explorer und dem Netscape Navigator, auf. So wäre es mög-

lich über eine geringe Modifikation der Konfigurationsdatei den gesamten Inter-

netverkehr dieser Browser umzulenken und über sogenannte Proxies laufen zu

lassen. Auf diesen Proxies könnte dann ein Angreifer die Daten bei der Über-

mittlung abhören, modifizieren oder umleiten (vgl.

Rubin

2002: S. 41). Die ent-

wickelten Sicherheitsvorkehrungen, die eine solche Manipulation verhindern

sollen, werden u.U. von durchschnittlichen Nutzern nicht richtig angewendet.

Als Beispiel kann über eine SSL-Verbindung die Ende-zu-Ende-Sicherheit der

Übertragung und die Authentizität des angewählten Servers gewährleistet wer-

den. Einige Autoren sind davon überzeugt, dass ein durchschnittlicher Internet-

nutzer aber nicht in der Lage ist, eine verschlüsselte von einer nicht-

verschlüsselten Verbindung zu unterscheiden bzw. generell Verteidigungsstra-

tegien gegen Angreifer richtig zu beherrschen (vgl.

Phillips u.a.

2001: S. 74;

Rubin

2002: S. 43).

Die angesprochenen Probleme entspringen zumeist aus einer Mehrfachnutzung

der PC-Systeme. Bei Benutzerschnittstellen, die rein auf den Zweck der Wahl

ausgelegt sind, meinen Experten, diese Gefahren technisch in den Griff be-

kommen zu können (vgl.

Hoffman u.a.

2001: S. 70). Dies wäre allerdings nur in

einer gesicherten Umgebung wie dem Wahllokal möglich. Aus diesem Grund

schlägt die ,,California Internet Voting Task Force" einen Stufenplan zur Einfüh-

rung der Onlinewahl vor, der zunächst die Wahl vom eigenen Wahllokal, dann

von jedem beliebigen Wahllokal, anschließend von öffentlichen Kiosksystemen

und erst in letzter Stufe von jedem Internetzugang aus ermöglichen soll (vgl.

Jones

2000: S. 15). Um die Sicherheit auch auf den individuellen Internetzu-

gängen gewährleisten zu können, gibt es Vorschläge, Wahlbetriebssysteme zu

entwickeln. Diese wären auf einem read-only-Datenträger gespeichert (z.B. CD-

ROM) und würden auch von diesem Medium aus gestartet, was eine Sabotage

durch bereits eingespielte Viren und Trojaner ausschlösse (vgl.

Forschungs-

gruppe Internetwahlen

2002: S. 27f.;

Otten

2002: S. 83).

Die angeführten Probleme mit der Sicherheit der Systeme sind keine spezifi-

schen Onlinewahl-Probleme sondern betreffen alle sicherheitsrelevanten An-

wendungen im Netz. Ein Kritiker fasst daher die Sorgen und Ängste bezüglich

Onlinewahlen etwas polemisch aber pointiert zusammen: ,,We can′t let democ-

racy melt down like an e-commerce startup" (

Rothke

2001: S. 14).

3.4 Empirisch vorfindbare und potenzielle Probleme

Von den bisher durchgeführten Onlinewahlen gab es wohl keine, die ohne

Komplikationen abgelaufen ist. Die Auflistung der empirisch vorfindbaren Prob-

leme ist dementsprechend lang. Dies reicht allerdings noch nicht aus, da neben

den aufgetretenen Problemen bei den Wahldurchführungen zahlreiche poten-

zielle Gefahren und Risiken nachgewiesen werden können. Diese theoretisch

denkbaren Probleme sind aber keineswegs weniger wichtig für die Gesamtbe-

trachtung als die wirklich aufgetretenen. Ein Vergleich mit der herkömmlichen

Wahl könnte hier vielleicht helfen. So ist eine gläserne Urne, in die die Wahlzet-

tel ungefaltet hineingeworfen werden, auch dann mit dem Wahlgeheimnis un-

vereinbar, wenn niemand vom Wahlvorstand hinschauen würde. Ähnlich verhält

es sich mit den Onlinewahlen. Die Möglichkeit der Unterwanderung des Wahl-

geheimnisses in einem Wahlsystem ist auch dann eine Gefahr, wenn sie nicht

ausgenutzt wurde. Lücken und Schwächen in den einzelnen Wahlprotokollen

und insbesondere in den Implementierungen finden sich reichlich.

3.4.1 Wahlen zum Studierendenparlament in Osnabrück

Im Vorfeld der Wahl zum Studierendenparlament in Osnabrück kam es zu Prob-

lemen bei der Auslieferung der Chipkarten und PINs an die Wahlberechtigten.

Zum einen waren an der Ausgabestelle in der Universität nicht genügend Kar-

tenlesegeräte für alle Wahlberechtigten verfügbar, zum anderen wurden die per

Post und Kurierdienst zugestellten Karten und PINs nicht überall rechtzeitig

ausgeliefert (vgl.

Hügelmeyer

2001: S. 106).

Darüber hinaus war die Software nur auf das Betriebssystem Windows95 aus-

gelegt. Um die Kartenlesegeräte auf anderen Systemen zum Laufen zu be-

kommen, bedurfte es eines tieferen technischen Know-hows. Eine Wahl über

Macintosh-Rechner war überhaupt nicht möglich (vgl.

Hügelmeyer

2001: S.

107;

Philippsen

2002: S. 147). Zusätzlich waren einige digitale Signaturen auf

den Chipkarten trotz erfolgreicher Installation aus unbekannten Gründen nicht

lesbar (vgl.

Lange

2002: S. 132).

Bei der Wahl erhielt der Wähler eine Quittungsnummer, mit der er nach Ablauf

der Wahl überprüfen konnte, ob seine Stimme richtig ins Ergebnis eingeflossen

ist (vgl.

Philippsen

2002: S. 147). Die Problematik wurde bereits unter 3.2.2

diskutiert und erfährt ihre rechtliche Bewertung im Zuge der Einordnung von

Brief- und Präsenzwahl unter 4.1.

Offensichtlich machte die Software den Wählern auch nicht transparent, dass

sie für den endgültigen Abschluss der Wahl warten mussten, bis die Daten zwei

Mal hin- und hergeschickt wurden. Dementsprechend brachen einige Wähler

ihren Wahlvorgang unwissend vorzeitig ab, wodurch auf dem Rechner des

Wählers eine temporäre Datei mit der Wahlentscheidung zurückblieb. Dieser

Fehler war darauf zurückzuführen, dass das Java-Applet anscheinend nicht mit

der Verschlüsselungssoftware der Firma Secure kommunizieren konnte. Des-

wegen wurde bei der Programmierung die Lösung über die Zwischenspeiche-

rung in einer Datei gewählt. Über das Problem der verbleibenden Datei hinaus,

hatte das Wahl-Applet somit vollen Zugriff auf die Festplatte des Benutzers,

was zusätzlich bedenklich ist. Durch die verbleibende Datei war es möglich,

dass bei öffentlichen und halböffentlichen Rechnern der nachfolgende Benutzer

Einsicht in die Wahlentscheidung seines Vorgängers bekam (vgl.

Hügelmeyer

2001: S. 107;

Philippsen

2002: S. 147).

In Osnabrück war die Onlinewahl neben den Wahllokalen von individuellen

Zugängen aus möglich. Die Gefahren, die daraus erwachsen, wurden schon

unter dem Stichwort Secure Platform dargelegt (3.3.2). Von derartigen Manipu-

lationsversuchen wurde in den Quellen allerdings nichts berichtet. Da scheinbar

auch keine anonymen Kanäle benutzt wurden, wäre ferner eine Zuordnung von

Wähleridentität zu Votum über die IP-Adresse (s. 3.3.1) u.U. möglich gewesen.

Während der Wahlzeit wurde die Wahlseite vom Wahlvorstand für eine Stunde

vom Netz genommen, um die Korrektheit des Stimmzettels zu überprüfen (vgl.

Hügelmeyer

2001: S. 107). Zusätzlich kam es während der Wahl zu Ausfällen

im Universitätsnetz, wodurch die Wahlserver für eine Zeit nicht erreichbar wa-

ren (vgl.

Lange

2002: S. 132).

Trotz der Verschlüsselung des Votums und der blinden Signatur wäre es mög-

lich, über einen Rückschluss die Wahlentscheidung offen zu legen.

Ullmann

Kelter

und

Koob

führen dazu ein Beispiel an (vgl.

Kelter u.a.

2001: S. 45). Man

benötigt lediglich den Wahlzettel und den öffentlichen Schlüssels des Wahlvor-

standes. So könnten alle möglichen gültigen Voten als verschlüsselte Doku-

mente erzeugt werden, um sie danach mit dem auszuspähenden Votum zu

vergleichen. Ist das Votum gültig, muss es mit einem der erzeugten ausgefüll-

ten Wahlzettel übereinstimmen, wodurch das Wahlgeheimnis gefallen wäre.

Bei der Auszählung der Wahl durch den Wahlvorstand war ein Skript fehlerhaft

und lieferte zunächst falsche Ergebnisse. Erst durch eine Auszählung per Hand

konnte der Wahlausgang festgestellt werden (vgl.

Hügelmeyer

2001: S. 107;

Philippsen

2002: S. 147). Wegen der vielen Probleme und Sicherheitsbedenken

wurde die erfolgreiche Durchführung der Onlinewahlen in Osnabrück von der

Studierendenschaft nicht bestätigt (vgl.

Lange

2002: S. 132).

3.4.2 Personalratswahl im Landesbetrieb für Datenverarbeitung und Statistik

Brandenburg

Im Abschlussbericht zur Online-Personalratswahl in Brandenburg werden meh-

rere Probleme und Verbesserungsvorschläge zur Wahl vermerkt. So stellten

Wähler und Wahlhelfer fest, dass eine sechsstellige PIN für die Signaturkarte

den Zugang zur Online-Wahl erschwert (vgl.

LDS Brandenburg

2002: S. 6).

Zudem waren die Karten für viele Wähler technisches Neuland. Es kam mehr-

fach vor, dass die PIN dreimal falsch eingegeben wurde, was zur Zerstörung

der Signaturkarte führte (vgl.

LDS Brandenburg

2002: S. 37).

Der Wahlvorstand bemängelte, das es an ,,Steuerungs- und Informationsin-

strumente[n] zum aktuellen Status der im Einsatz befindlichen Systeme" fehle

(vgl.

LDS Brandenburg

2002: S. 6). Dies bezieht sich wahrscheinlich auf die

kurzzeitigen Ausfälle im LDS-Netz, die von Bauarbeiten vor dem Gebäude

herrührten (

LDS Brandenburg

2002: S. 7). So muss für den Wahlvorstand

schnell ersichtlich sein, ob die Fehlerquelle für den Ausfall des Systems im

eigenen Verantwortungsbereich liegt oder nicht. Hervorstechend ist noch die

Bemerkung, dass ein ,,Standard-PC nur bedingt für [den] Wahlkabinen-Einsatz

geeignet" sei (

LDS Brandenburg

2002: S. 7). Eine nähere Begründung bleibt

aus. Es ist anzunehmen, dass die Eingabegeräte (Maus und Tastatur) den

Grund lieferten. Denn im Rahmen der sozialwissenschaftlichen Begleitfor-

schung kam über Interviews heraus, dass einzelne Mitarbeiter, die nicht am PC

geschult sind, Probleme im Umgang mit der Maus gehabt hätten (vgl.

LDS

Brandenburg

2002: S. 41).

Ein entscheidender Punkt zur Bewertung eines Wahlprotokolls ist in den

theoretischen Modellen immer, ob im Falle der Kooperation zweier

Wahlinstanzen (hier Wahlamtserver und Urnenserver) die Integrität und

Geheimhaltung noch gewährleistet werden kann. Dies ist im Falle von i-vote zu

verneinen. Denn auch wenn das Problem der Reihung von

Wahlentscheidungen durch ständiges ,,Befeuern" der Kommunikationskanäle

unterbunden werden soll, wäre es trotzdem möglich, dass Wahlzettel

hinzugefügt oder gelöscht werden könnten. Wenn die gezählten Stimmen nicht

die Zahl der Wahlberechtigten übersteigen, ist der Nachweis einer Manipulation

schwer möglich. Hierbei ist entscheidend, wie die Protokollierung während der

Wahlhandlung gehandhabt wird, um eine eventuelle Wahlanfechtung bestehen

zu können. Daher wurden z.B. in Brandenburg die Transaktions- und

Datenbankprotokolle bis zum Ende der Einspruchsfrist aufbewahrt und

anschließend vernichtet. Es scheint aber noch keinen Präzedenzfall gegeben

zu haben, bei dem diese Protokollierungen einer Wahl vor einem Gericht hätten

in Anspruch genommen werden müssen. Dementsprechend ist unklar, ob die

Logfiles und Protokolle, die während einer Wahl erstellt werden, wirklich

ausreichen, eventuelle Zweifel auszuräumen bzw. zu bestätigen. So ist im

Abschlussbericht zur Onlinewahl in Brandenburg z.B. vermerkt, dass im

Wählerverzeichnis 383 Wahlvorgänge registriert, in der Urne allerdings 385

Stimmen enthalten waren (vgl.

LDS Brandenburg

2002: S. 36f.). Die Autoren

vermuten, dass die Differenz durch das manuelle Ändern eines Eintrags in der

Wählerliste hervorgerufen wurde. Allerdings stellte der Wahlvorstand fest, dass

stand fest, dass bewusst weder durch ihn, noch durch die administrativen Kräfte

bzw. Wahlhelfer diese Änderung vorgenommen wurde. Es bleibt ungeklärt,

worauf der Unterschied zurückzuführen ist. Im Abschlussbericht zur Onlinewahl

in Brandenburg wird daher auch gefordert, ebenfalls die Zugriffe auf das Wäh-

lerverzeichnis zu protokollieren (vgl.

LDS Brandenburg

2002: S. 36). Ob dies

ausgereicht hätte, die Differenz zu erklären, bleibt ungewiss.

Eine Ungereimtheit bleibt bei der Brandenburger Wahl. So heißt es im Ab-

schlussbericht, dass ,,Der Wahlstatus des Wählers [...] auf "hat gewählt" ge-

setzt" wurde, nachdem der Wähler sein Votum an den Urnenserver gesendet

hat (

LDS Brandenburg

2002: S. 34). Diese Aussage beinhaltet ein Problem.

Zunächst wird das Wählerverzeichnis im Wahlamtserver geführt. Nur dort könn-

te der Status des Wählers auf ,,hat gewählt" gesetzt werden, nachdem dort

vorher auch vermerkt wurde, dass der Wähler einen Stimmzettel erhalten hat

(

LDS Brandenburg

2002: S. 32). Der Urnenserver ist allerdings vom Wahlamt-

server ,,physisch und logisch getrennt" (

LDS Brandenburg

2002: S. 26). Sollte

der Urnenserver eine Meldung an den Wahlamtserver über die Statusänderung

eines Wählers erteilen, wäre diese Trennung aufgehoben oder zumindest gelo-

ckert. Es wäre bei Kenntnis von Signaturen einzelner Wähler möglich, über den

Urnenserver an den Wahlamtserver falsche Meldungen zu senden und damit

diesen Wählern die Wahl zu verwehren. Viel entscheidender ist allerdings, dass

der Urnenserver normalerweise in keinem Fall davon Kenntnis erhalten darf,

von welchem Wähler ein empfangener Stimmzettel stammt. Denn wäre dies der

Fall, könnten korrupte Administratoren im Urnenserver selbst ohne Kollaborati-

on mit ihren Kollegen vom Wahlamtserver das Wahlgeheimnis fallen lassen. Im

Abschlussbericht wird zudem besonders hervorgehoben, dass die Wahlclients

in den Wahllokalen auch als Anonymisierer fungieren, und somit der Urnenser-

ver nicht erfährt, von wem er welchen Stimmzettel empfangen hat. Zudem wäre

die gesamte blinde Signatur des Wahlvorstandes im Vorfeld überflüssig, wenn

der Wähler seinen Stimmzettel ,,unterschrieben" abgeben würde. Die angeführ-

ten Überlegungen lassen nur zwei Schlüsse zu. Entweder ist die Angabe im

Abschlussbericht einfach falsch und der Status ,,hat gewählt" wird in Wirklichkeit

gar nicht vermerkt oder es existiert eine technische Variante, die diese Proble-

me zu umgehen vermag, aber nicht dokumentiert sind. Dass eine solche Si-

cherheitslücke übersehen wurde, ist eher unwahrscheinlich.

Die implizite ,,Gewaltenteilung" zwischen Wahlvorstand und Urne, die durch

Trennung von Wahlamtserver und Urnenserver auch bei der Online-Wahl er-

reicht werden soll, sei nach Ansicht von

Otten

und der

Forschungsgruppe Inter-

netwahlen

bei der herkömmlichen Wahl lediglich durch unterschiedliche Zu-

ständigkeiten und gegenseitige Kontrolle der Mitglieder des Wahlvorstandes

gewährleistet (vgl.

Forschungsgruppe Internetwahlen

2002: S. 21; gleicher

Wortlaut:

Otten

2002: S. 78). Der Wahlvorstand hindere sich somit nur selber

daran, nicht nach jedem eingeworfenen Wahlzettel die Wahlurne zu öffnen und

das Votum dem Wähler zuzuordnen. In vielen Berichten zu durchgeführten

Onlinewahlen ist vom ,,Vier-Augen-Prinzip" beim Zugriff auf die Server die Re-

de. D.h. für viele Wahlen hätte es lediglich einer Kollaboration von vier Perso-

nen (zwei für den Wahlamt-, zwei für den Urnenserver) bedurft, um z.B. das

Wahlgeheimnis fallen zu lassen oder Voten hinzuzufügen bzw. zu verwerfen.

Dies relativiert selbstverständlich die Aussage über die Stärke der Technik von

Onlinewahlen im Gegensatz zu herkömmlichen Verfahren.

3.4.3 Jugendgemeinderatswahl in Esslingen

Das veränderte i-vote-Protokoll, das in Esslingen zum Einsatz kam33, beinhaltet

etliche Probleme. Dem Wahlamt- und dem Urnenserver war es möglich,

Stimmzettel zu verwerfen, zu ersetzen oder neue hinzuzufügen. Bei Kooperati-

on von Urnen- und Wahlamtserver war eine Zuordnung von jedem Wahlzettel

zu seinem entsprechenden Wähler möglich. Das Wahlgeheimnis wäre somit

komplett aufgehoben gewesen. Eine Überprüfung, ob der eigene Stimmzettel

korrekt gewertet wurde, war nicht vorgesehen. Ein Wahlbetrug wäre insgesamt

nur schwer nachzuweisen gewesen. So hätte Auszähler- und Wahlwirtsoftware

vertrauenswürdig sein und sämtliche Datenbankzugriffe protokolliert werden

müssen (vgl.

Philippsen

2002: S. 148).

Die Signaturkarte, die für die Wahl benötigt wurde, war nur im ersten Jahr kos-

tenlos und danach an eine jährliche Gebühr von 25 ¼JHEXQGHQ (vgl.

Philippsen

2002: S. 148). Dies hielt nach eigenen Angaben etliche Jugendliche davon ab,

online zu wählen (vgl.

Steinbeis-Transferzentrum Mediakomm

2001: S. 25). Die

Treibersoftware für das Kartenlesegerät war nur in der Kombination von einem

33 Für die Details der Veränderung s.o. 2.2.1.

Microsoft Windows Betriebssystem mit einem Microsoft Internet Explorer funkti-

onsfähig. Obendrein gab es noch erhebliche Installationsprobleme (vgl.

Phi-

lippsen

2002: S. 148).

Nach Angaben von

Philippsen

wurde die Onlinewahl bereits vor dem Ende der

Präsenzwahl ausgezählt, wodurch Zwischenergebnisse bekannt gewesen wä-

ren (vgl.

Philippsen

2002: S. 148). Aus dem Erfahrungsbericht zur Wahl ist dies

allerdings nicht zu ersehen. Dort wird lediglich die ,,Umverschlüsselung" der

Onlinewahldaten eine Stunde vor Schließung der Präsenzwahllokale angege-

ben. Die Auszählung hätte gemeinsam mit der Präsenzwahl stattgefunden (vgl.

Punkte E.7 und E.8

Steinbeis-Transferzentrum Mediakomm

2001: S. 22f.). Die

,,Umverschlüsselung" an sich beinhaltet aber auch Probleme. So ist es allein

von der Korrektheit der zur Umverschlüsselung eingesetzten Software abhän-

gig, ob die Voten unverändert bleiben.

Auch in Esslingen war die Onlinewahl von individuellen Zugängen aus möglich.

Da keine anonymen Kanäle benutzt wurden, wäre eine Zuordnung über die IP-

Adresse auch hier möglich gewesen. Ebenso wie in Osnabrück hätte im Wahl-

amtserver schon aus dem verschlüsselten Votum die Wahlentscheidung abge-

leitet werden können.

3.4.4 Arizona Democratic Primary

Bei der Vorwahl der demokratischen Partei zur Präsidentschaftswahl 2000 in

Arizona, die von der Firma

election.com

betreut wurden, traten auch verschie-

denste Probleme auf. So habe es Denial-of-Service Angriffe gegeben, die am

ersten Wahltag den Wahlserver für mehrere Stunden lahm gelegt hätten (vgl.

Philippsen

2002: S. 148;

Will

2002: S. 48). Eine andere Darstellung sieht aller-

dings den Ausfall eines Routers als Problem. Durch die strenge Sicherheits-

doktrin im Netzwerk von

election.com

hätte eine entsprechende Warnmeldung

nicht gesendet werden können, wodurch das Technik-Team eine Stunde benö-

tigte, um die fehlerhafte Hardware zu identifizieren (vgl.

Mohen u.a.

2001: S.

82). Denial-of-Service-Attacken hätte es zwar gegeben, diese wären aber alle-

samt abgewehrt worden (vgl.

Mohen u.a.

2001: S. 79f.). Unabhängig von der

Ursache, wird die Feststellung, dass der Wahlserver aus technischen Gründen

mehrere Stunden nicht erreichbar war, aber bestätigt.

Es traten bei der Wahl ferner Probleme mit älteren Browsern auf, die die Wahl-

webseite nicht anzeigten. Bei Apple Macintosh Computer war darüber hinaus

die Darstellung der Seite nicht korrekt (vgl.

Lange

2002: S. 139;

Philippsen

2002: S. 148;

Will

2002: S. 48). Dies ist insbesondere unter dem Gesichtspunkt

der gleichen Wahl ein erhebliches Problem (s. 4.2.3). Zudem bestehen auch bei

dieser Wahl die allgemeinen Probleme, die bei Wahlen über Internetbrowser

von individuellen Zugängen auftreten können (s. 3.3.2).

Hervorzuheben ist, dass die Wahlsoftware als nicht kompatibel mit den Soft-

warebestimmungen für Blinde bemängelt wurde (vgl.

Phillips u.a.

2001: S. 80).

Hier zeigt sich eine mögliche Stärke von Onlinewahlverfahren, da es Behinder-

ten ermöglicht werden könnte durch besondere Benutzerschnittstellen selbst-

ständig, ohne Hilfe und Mitwissen Dritter, ihre Wahlentscheidung zu treffen.

Unter dem Aspekt der Förderung der Allgemeinheit der Wahl ist dies sicherlich

ein entscheidendes Plus für die elektronische Wahl im Allgemeinen, und unter

Transportgesichtspunkten für die Onlinewahl im Speziellen. Dagegen wird der

Grundsatz der Gleichheit der Wahl im Bezug auf die formal gleiche Stimmab-

gabe (s. 4.2.3) hier sicherlich strapaziert.

In Arizona war der Wahlamtserver für die Anonymisierung der Voten zuständig.

Der Wähler sandte seine Wahlentscheidung zwar verschlüsselt und somit nicht

lesbar an den Wahlamtserver, aber trotzdem wäre es wie schon in anderen

angeführten Fällen möglich, von allen gültigen Wahlentscheidungen verschlüs-

selte Dokumente zu erstellen, um diese dann mit der Nachricht zu vergleichen.

Darüber hinaus ist die Wahl nur sicher, wenn beide zentralen Instanzen,

electi-

on.com

und KPMG vertrauenswürdig sind. Kooperieren sie, fällt das Wahlge-

heimnis. Für Wähler, die sich zwar registriert aber nicht gewählt haben, hätte

election.com

eigene Stimmzettel einschmuggeln können. Um sich diesem Vor-

wurf nicht aussetzen zu müssen, hatte die Firma unabhängige Wahlbeobachter

eingesetzt (vgl.

Mohen u.a.

2001: S. 75).

3.5 Ergebnisse der Betrachtung der verschiedenen Problemlagen

Bei den beschriebenen Problemen, die bei bereits durchgeführten Onlinewah-

len aufgetreten sind, lassen sich sechs Arten unterscheiden. Dabei ist es nicht

möglich, die Problemarten einzelnen Wahlgrundsätzen zuzuordnen, da in vielen

Bereichen gleichzeitig mehrere Grundsätze tangiert sind. Trotzdem werden in

den einzelnen Punkten gleichgeartete Problemlagen zusammengefasst:

- Geheimhaltung auf Seiten des Benutzers,

- Gleichheit auf Seiten des Benutzers,

- Verfügbarkeit des Netzwerks,

- Korrektheit auf Seiten der zentralen Wahlleitung,

- Geheimhaltung auf Seiten der zentralen Wahlleitung,

- Überprüfbarkeit der Wahl.

Alle Probleme, die im Zusammenhang mit individuellen Zugängen stehen, z.B.

die Gefahr von Viren, Trojanern u.ä. (s. 3.3.2) oder der Fehler in der Wahlsoft-

ware in Osnabrück, der eine Quittung auf dem Rechner des Wählers hinterließ,

können unter ,,Geheimhaltung auf Seiten des Benutzers" zusammengefasst

werden. Sie kollidieren mit dem Wahlgrundsatz der Geheimhaltung.

Unter ,,Gleichheit auf Seiten des Benutzers" fallen alle Probleme, die mit den

Signaturkarten auftraten, und die mit der Darstellung der Wahlseiten zu tun

haben. Insbesondere die Installationsprobleme in Osnabrück oder Esslingen

und die Einschränkung auf bestimmte Browsertypen und Betriebssysteme bei

allen Wahlen sind hier zu erwähnen. Gleichheit aber auch Allgemeinheit der

Wahl sind hier tangiert, so haben gerade bei Installationsproblemen Menschen

mit einer Affinität zum Computer klare Vorteile. Dasselbe gilt für die Nutzung

von Signaturkarten, auch hier ist die Bedienung für geschulte Anwender einfa-

cher. Als generelles Problem bei Wahlen über verschiedene Medien ist noch

die Gefahr der Doppel- oder Mehrfachwahl zu nennen. Dies muss besonders

bei der Führung des Wählerverzeichnisses beachtet werden.

,,Verfügbarkeit des Netzwerks" bezieht sich auf die Kommunikationskanäle

zwischen Wahlclient und Wahlserver. Es sind sowohl die bei fast jeder Wahl

aufgetretenen Ausfälle der Netzverbindung (Brandenburg, Arizona, Osnabrück)

als auch das Fehlen von anonymen Kanälen bei allen Wahlen gemeint. Wäh-

rend anonyme Kanäle die Geheimhaltung verbessern würden, berühren die

Netzwerkausfälle eher die Allgemeinheit und die Gleichheit der Wahl.

Die potentiellen Risiken, die von möglicherweise korrupten Administratoren

ausgehen, und die es z.B. in Esslingen erlauben, Stimmzettel hinzuzufügen

oder zu verwerfen, werden unter ,,Korrektheit auf Seiten der zentralen Wahllei-

tung" zusammengefasst. Als bestes Beispiel dient hier wohl die Differenz zwi-

schen Wählerverzeichnis und Wahlurne in Brandenburg. Manipulationen am

Wahlergebnis verletzen immer die Gleichheit der Wahl.

Die ,,Geheimhaltung auf Seiten der zentralen Wahlleitung" meint alle Gefahren

in Zusammenhang mit der möglichen Zuordnung von Wähleridentitäten zu

Voten. Das beinhaltet auch die mögliche Einsichtnahme, ohne die Voten ent-

schlüsselt haben zu müssen, wie bei

Ullmann

Kelter

und

Koob

beschrieben.

,,Überprüfbarkeit der Wahl" bezeichnet sowohl die Quittungsnummer in Osna-

brück, als auch die Probleme in Brandenburg, die Differenz zwischen Urne und

Wählerverzeichnis zu erklären.

Diese Zusammenfassung ermöglicht es, die Onlinewahl und insbesondere die

Home-Onlinewahl zu bewerten. Die herausgearbeiteten Problembereiche las-

sen eine systematische rechtliche Überprüfung zu, die unter Punkt 4 folgt.

4 Rechtliche Beurteilung

Die Frage nach der Durchführbarkeit einer Home-Onlinewahl, eines Wählens

,,in Unterwäsche", hängt davon ab, ob die technisch-verfahrensmäßigen Umset-

zungen den rechtlichen Anforderungen standhalten. Unter 3.5 wurden sechs

Problembereiche identifiziert, anhand derer nun die Beurteilung stattfinden soll.

Die sechs Problembereiche korrespondieren nicht notwendigerweise mit jeweils

bestimmten Rechtsgrundsätzen, sondern tangieren unterschiedliche Rechts-

grundsätze, sei es allein oder gemischt mit anderen, wobei derselbe Rechts-

grundsatz durchaus bei verschiedenen Problembereichen zum Tragen kommen

kann.

4.1 Geheimhaltung auf Seiten des Benutzers

Das Hauptproblem der Onlinewahl über individuelle Zugänge, d.h. nicht von

einem Wahllokal oder einem öffentlichen Zugang aus, besteht in dem Grund-

satz der Geheimhaltung. Die Problematik ist nicht neu, sondern wurde schon

seit der Einführung der Briefwahl diskutiert.

Für die Beurteilung der Home-Onlinewahl aus verfassungsrechtlicher Sicht ist

daher entscheidend, ob sie als Pendant zur Briefwahl oder als Erweiterung der

Präsenzwahl eingesetzt werden soll. Die Wichtigkeit dieser Unterscheidung

erwächst aus der strengen Auslegung des Grundsatzes der Geheimwahl (s.

3.1.4) im bundesdeutschen Verfassungsrecht.

In der Bundesrepublik gilt die obligatorische Geheimwahl, deren Bedeutsamkeit

im Vergleich mit der früheren Wahlpraxis in der DDR deutlich wird. Dort war

zwar auch das Geheimhaltungsprinzip im Wahlrecht verankert, wurde aber als

fakultatives Recht ausgelegt. Somit kam es bei Abstimmungen zu quasi-offenen

Stimmabgaben (vgl.

Buchstein

2002: S. 59f.). Die Menschen falteten lediglich

die vorgefertigten Stimmzettel und warfen sie unverändert in die Urne. Demge-

genüber ist die Geheimhaltung im bundesdeutschen Wahlrechtsverständnis als

Geheimhaltungspflicht zu verstehen. Die Verletzung des Wahlgeheimnisses ist

ein Straftatbestand gemäß § 107c StGB. Dies gilt auch für den Wähler. Zudem

muss ein Wähler, der seinen Stimmzettel nicht geheim gekennzeichnet oder

gefaltet hat, vom Wahlvorstand zurückgewiesen werden (vgl. § 56 Abs. 6 Satz 1

BWO).

Es liegt auf der Hand, dass das Wahlgeheimnis bei der Briefwahl von staatli-

cher Seite aus nicht in dem Maße garantiert werden kann, wie bei der Prä-

senzwahl. Eine Kontrolle wie sie im Wahllokal vorherrscht, ist außerhalb dieses

Raumes schwer möglich. So verbietet sich z.B. die Überwachung der Wohnung

des Wählers allein aus verfassungsrechtlichen Gründen (Art. 13 GG), ganz

davon abgesehen, dass es technisch kaum möglich wäre, alle Briefwähler zu

beobachten. Wegen dieses Defizits in der Geheimhaltung hat das Bundesver-

fassungsgericht die Briefwahl nur als Ausnahme zur Förderung der Allgemein-

heit der Wahl akzeptiert und an Auflagen gebunden34. Die Vorschriften beinhal-

ten das Vorliegen eines wichtigen Grundes für die Verhinderung am Wahltag

und die Versicherung an Eides statt, dass der Wähler den Stimmzettel persön-

lich35 und unbeobachtet36 gekennzeichnet hat. Entscheidend für den Ausnah-

34 Vgl. dazu die beiden BVerfG-Urteile zur Briefwahl: BVerfGE 21, 200 und BVerfGE 59, 119.

35 Wenn der Wähler nicht in der Lage ist, den Stimmzettel selbständig zu kennzeichnen, versi-

chert die Hilfsperson an Eides statt, ihn ,,gemäß dem erklärten Willen des Wählers gekenn-

zeichnet" zu haben (§ 36 Abs. 2 Satz 1 BWG; § 66 Abs. 6 Satz 3 BWO).

mecharakter der Briefwahl war für das BVerfG bei den Urteilen auch, dass es

nur eine geringe Zahl an Briefwählern geben darf. In der Realität ist dies aller-

dings bereits überholt. Durch den lockeren Umgang mit den Auflagen zur Brief-

wahl in der Praxis und den steigenden Briefwählerzahlen hält z.B.

Buchstein

nach den Urteilen von 1967 und 1981, den Gedanken einer erneuten Überprü-

fung der Briefwahl durch das Bundesverfassungsgericht für interessant (vgl.

Buchstein

2002: S. 61f.). Einige Staatsrechtler gehen noch weiter und sehen

die Briefwahl gar als ,,problematisch" (

Isensee u.a.

1987: S. 277) oder ,,bedenk-

lich" (

Maunz u.a.

1994: Art. 38, Rdnr. 54) an. Für die Home-Onlinewahl bleibt

festzuhalten, dass sie die Wahlrechtsgrundsätze nicht stärker strapazieren darf

als dies für die Briefwahl vom BVerfG vorgesehen ist, ansonsten wäre sie ver-

fassungswidrig.

Grundsätzlich liegen die Gefahren bei Wahldurchführungen außerhalb des

Wahllokals in der Möglichkeit des Stimmenkaufs und einer etwaigen Beeinflus-

sung durch Dritte. Wenn diese Gefahren bei der Home-Onlinewahl durch tech-

nische Mittel verringert oder gar ausgeschaltet werden könnten, hätte sie einen

Vorteil gegenüber der Briefwahl und wäre möglicherweise nicht an dieselben

Auflagen gebunden. Es existieren verschiedene Ansätze, die die Sicherheit des

Wahlaktes erhöhen sollen.

Ein Beispiel wäre die Idee eines Alarmknopfes, (,,duress-alarm"), der bei der

Nötigung des Wählers über eine bestimmte Tastenkombination den Wahlzettel

ungültig macht und die Strafverfolgungsbehörden alarmiert37.

Eine weitere Möglichkeit wäre es, bewusst eine Mehrfachwahl in Betracht zu

ziehen. Demnach könnte der Home-Onlinewähler die Möglichkeit haben, mehr-

fach zu wählen, wobei die letzte abgegebene Stimme zählt. Dies soll möglichen

Stimmenkauf und/oder Zwang durch Dritte vermeiden, denn der Wähler kann

bis Wahlende seine Stimmabgabe ändern. Allerdings entstünde hier ein Konflikt

mit dem Grundsatz der Gleichheit, der besagt, dass alle Wähler in formal mög-

lichst gleicher Weise ihre Stimmen abgeben sollen (vgl. BVerfGE 16, 130

36 vgl. § 66 Abs. 3 Satz 1 BWO

37 vgl. Riera-Jorba 1999, zit. nach Buchstein, Hubertus: Online-Wahlen und das Wahlgeheim-

nis, in: Buchstein, Hubertus / Neymanns, Harald: Online-Wahlen, Opladen 2002: S. 64.

[138]). Denn während für Home-Onlinewähler auf diese Weise auch eine Kor-

rektur ihrer Voten möglich wäre, hätten die Wähler im Wahllokal nicht die Chan-

ce, ihre Stimme zu revidieren. Die Freiheit der Wahl wäre dabei aber sicherlich

das höhere Rechtsgut, das es zu schützen gelte, wodurch es u.U. legitim wäre,

eine Mehrfachwahl nur für Home-Onlinewähler zuzulassen (vgl.

Will

2002: S.

123f.). Bei der Wahl zur Studierendenvertretung an der schwedischen Universi-

tät Umeå im Mai 2001 ist diese Variante bereits getestet worden. Dort war es

möglich, durch erneute Wahl sein vorheriges Votum zu überschreiben (vgl.

Buchstein

2002: S. 64). Berichte über die Erfahrungen mit diesem Instrument

liegen allerdings nicht vor.

Eine dritte Variante wäre, den heimischen PC so umzuprogrammieren, dass die

Wahl für die Partei ,,X" auf dem Bildschirm in Wirklichkeit die Wahl für die Partei

,,U" bedeutet. Auf diese Weise könnte der Zwangausübende über die Wahlent-

scheidung des Wählers getäuscht werden.

Die Schwächen all dieser Verfahren liegen allerdings auf der Hand. So kann

man Wähler zu Hause oder auf sogenannten Wahlparties derart unter Druck

setzten, dass weder eine Alarmmeldung noch das erneute Wählen möglich ist.

Der umprogrammierte PC lässt sich einfach durch die Nutzung eines anderen

Rechners umgehen, zumal hier auch die Gefahr besteht, dass der Wähler sel-

ber die Übersicht über die echte und die vorgetäuschte Bildschirmansicht ver-

liert.

Die vorgestellten Mittel sind offensichtlich nicht geeignet, Wähler vor Zwang und

Druck zu bewahren oder von Stimmenverkäufen abzuhalten. Die Home-

Onlinewahl zeigt diesbezüglich keine nennenswerte Verbesserung gegenüber

der Briefwahl, allerdings auch keine Verschlechterung.

Neben der offensichtlichen Beeinflussung gibt es noch eine weitere Form, die

der Ausübung der freien Wahl entgegensteht: die unterschwellige Beeinflus-

sung. So ist Werbung oder Propaganda im Bereich von Wahllokalen verboten

(§ 32 Abs. 1 BWG). Bei der Briefwahl liegt die Vermeidung von solch ungewoll-

ter Beeinflussung in der Hand des Wählers, und das BVerfG sieht die Möglich-

keit dazu durch jeden Wähler gegeben (BVerfGE 59, 119 (126f.)). Bei einer

Home-Onlinewahl könnte es dem Wähler dagegen größere Schwierigkeiten

bereiten, sich ungewollter Beeinflussung zu entziehen. Als Beispiel wären Wer-

bebanner in Browserfenstern oder spezielle Werbesoftware anzubringen. Der

Einsatz dieser Instrumente wäre insbesondere denkbar, wenn man davon aus-

geht, dass sich der Wähler vor der Wahl noch Webseiten der Kandidaten an-

schaut. Nach Auffassung von

Will

müsste der Wähler daher verpflichtet werden,

etwaige Werbesoftware an seinem Rechner vor Durchführung der Wahl auszu-

schalten. Ebenso dürfe er während des Wahlaktes keine weiteren Internetseiten

besuchen (vgl.

Will

2002: S. 124ff.). Mit solchen Verhaltensmaßregeln wäre der

Wähler auch bei der Home-Onlinewahl in der Lage, ungewollte Beeinflussung

zu verhindern.

Um dem Wahlgrundsatz der gleichen Wahl zu genügen, darf keine Doppel-

oder Mehrfachwahl durch einen Wähler möglich sein. Jede Stimme muss gleich

gewertet werden. Bei der Briefwahl sorgt eine Versicherung an Eides statt für

die notwendige Sicherheit, dass der Wahlberechtigte (und niemand anderes)

das Votum abgegeben hat. Bei der elektronischen Stimmabgabe könnte als

Ersatz für die Unterschrift unter eine solche eidesstattliche Erklärung die elekt-

ronische Signatur genutzt werden. Allerdings ist die Technik der elektronischen

Signatur noch nicht besonders weit verbreitet (vgl.

Will

2002: S. 101f.). Auf der

anderen Seite kann davon ausgegangen werden, dass ein eingesetztes Onli-

newahlverfahren, z.B. nach dem Vorbild von i-vote, Signaturkarten als wichtigen

Bestandteil des Wahlvorganges beinhaltet, wodurch die Wähler auch in der

Lage wären, ihre eidesstattliche Erklärung digital abzugeben. In diesem Fall

wären die Auflagen, die an die Briefwahl gestellt werden, im Grunde auch von

der Home-Onlinewahl erfüllt.

Johannes Hahlen

, Präsident des Statistischen Bundesamtes und damit auch

Bundeswahlleiter, sieht jedoch die Wahl über das Internet nicht einfach als eine

andere Form der Briefwahl an, da die Kommunikationswege, wegen der Unter-

schiede zwischen Briefgeheimnis und Telekommunikationsüberwachungsver-

ordnung (TKÜV), völlig unterschiedlichem (rechtstaatlichen) Zugriff unterliegen

(vgl.

Sietmann

2001a: S. 71). Wenn es auch ein höchst interessanter Aspekt ist,

muss die genaue Überprüfung an dieser Stelle leider offen bleiben.

Hubertus Buchstein

und

Martin Will

dagegen vertreten nur unterschiedliche

Auffassungen bezüglich der Anerkennung der Home-Onlinewahl als Wahlmög-

lichkeit neben der Briefwahl, zweifeln aber nicht an der rechtlichen Nähe der

beiden Wahlformen.

Unter dem Grundsatz der freien Wahl kommt

Will

nämlich zu dem Schluss,

dass eine als Ergänzung der Briefwahl durchgeführte Home-Onlinewahl, sofern

sie an dieselben Anforderungen, wie einen wichtigen Verhinderungsgrund und

die Erklärung an Eides Statt geknüpft ist, unbedenklich ist. Die Argumente ord-

nen sich den Briefwahlargumenten unter. Eine parallele Durchführung von

Brief- und Internetwahl sei möglich, da das Bundesverfassungsgericht in seinen

Entscheidungen zur Briefwahl den Gestaltungsspielraum des Gesetzgebers

betont und die Briefwahl nicht als das alleinige geeignete Mittel für die Förde-

rung der Allgemeinheit der Wahl bewertet. Die in diesem Fall kollidierenden

Verfassungsgrundsätze der allgemeinen und der freien bzw. geheimen Wahl

wären nur für den Fall einer übermäßigen Nutzung eines Internetwahlangebots

neu zu bewerten. Ansonsten gelten die Grundsätze der Briefwahl entsprechend

(vgl.

Will

2002: S. 120ff.).

Buchstein

betont, dass trotz aller technischer Versuche, die Geheimhaltung bei

einer Home-Onlinewahl zu garantieren, die Gewährleistung dafür beim Wähler

liege und daher die Wahl zu einer fakultativen Geheimwahl geändert werden

würde (vgl.

Buchstein

2002: S. 65). Verschiedene vorgeschlagene Möglichkei-

ten führten seiner Ansicht nach nicht zum Ziel. Nach

Buchstein

s Standpunkt

kann daher die Home-Onlinewahl nicht als Erweiterung für die Präsenzwahl

fungieren, sondern maximal als Ersatz für die Briefwahl, wobei

Buchstein

hier

der Briefwahl die alleinige Berechtigung für die Förderung der Allgemeinheit der

Wahl zuspricht. Nach seiner Darstellung scheint es nur entweder Briefwahl oder

Home-Onlinewahl zu geben. Zur Möglichkeit der Ergänzung beider Verfahren

ist bei ihm nichts zu finden (vgl.

Buchstein

2002: S. 63).

Trotz aller Kritik sieht

Buchstein

es aber als legitim an, über die Änderung der

obligatorischen hin zu einer fakultativen Geheimwahl zu diskutieren. Am Ende

einer solchen Diskussion stehe eine Verfassungsänderung, ohne die eine Um-

wandlung der Geheimwahl nicht möglich sei (vgl.

Buchstein

2002: S. 65). Er

stellt vier Argumente vor, die seiner Ansicht nach für eine Aufhebung der obliga-

torischen Geheimwahl sprechen. Das älteste Argument in dieser Reihe geht

zurück auf

John Stuart Mill

, nach dem die offene Stimmabgabe für den Willens-

bildungs- und Entscheidungsfindungsprozess von Vorteil wäre. Denn die des-

wegen erforderliche Rechtfertigung der Wahl und die öffentliche Debatte förde-

re Entscheidungen, die stärker am Gemeinwohl orientiert seien (vgl.

Buchstein

2002: S. 66).

Buchstein

selbst hält dieses Argument angesichts einer modernen

Massendemokratie mit individualisierenden Tendenzen für wenig überzeugend.

Das zweite Argument entspringt dem amerikanischen Wahlsystem und geht auf

Christoph Bieber zurück. Dieser hatte in einer Untersuchung im Jahr 2001 die

Tauschbörsen für Wahlstimmen, bezogen auf das Mehrheitswahlrecht der USA,

als ,,Wahlrechtsreform von unten" (

Buchstein

2002: S. 67) bezeichnet. Dem-

nach könne hier bei offener Stimmabgabe der Stimmentausch erleichtert und

ein Schritt in Richtung Verhältniswahlrecht gegangen werden, der kleineren

Parteien größere Chancen gibt. Allerdings lehnt

Buchstein

auch dieses Argu-

ment wegen der kurzfristigen Ziele, die damit verfolgt werden, ab (vgl.

Buch-

stein

2002: S. 67). Das dritte Argument geht auf die gewachsene und

mittlerweile gefestigte demokratische Grundhaltung der Wählerschaft ein. Dem-

nach ist eine obligatorische Geheimhaltung als Abwehr gegenüber repressiven

Gruppen in der heutigen ausdifferenzierten Gesellschaft nicht mehr zwingend

notwendig. Ferner greife, als viertes Argument, die Aufrechterhaltung der obli-

gatorischen Geheimhaltung aus Gründen des Stimmenkaufs nicht.

Buchstein

stellt dabei die These auf, dass in einer modernen Massendemokratie der

Marktmechanismus dazu führe, Stimmenkäufe als politisch unprofitabel daste-

hen zu lassen (

Buchstein

2002: S. 68).

Zusammenfassend lässt sich sagen, dass die Home-Onlinewahl der Briefwahl

in den Fragen der Abwehr von Druck, Zwang oder ungewollter Beeinflussung

weder über- noch unterlegen ist. Daher kann auch sie nur als Ausnahme unter

Auflagen und nicht regelmäßig eingesetzt werden. Als Ersatz der Briefwahl ist

sie nicht vorstellbar, aber als deren Erweiterung allemal. Bei einer möglichen

Lockerung des Geheimhaltungsgrundsatzes könnten beide Wahlformen mehr

Gewicht bekommen.

4.2 Gleichheit auf Seiten des Benutzers

Neben der gefährdeten Geheimhaltung auf der Benutzerseite ist die Gleichheit

ein wichtiger Punkt. Gleichheit im Sinne des Wahlgrundsatzes aus Art. 38 GG

bedeutet die Gleichheit der Stimmenwertung. Alle Wähler haben mit ihrer

Stimme den gleichen Einfluss auf das Wahlergebnis. Im Falle der Manipulation

von Wahlen ist diese Gleichheit gefährdet, weswegen der Gesetzgeber straf-

rechtliche Sanktionen androht. Deren Anwendung auf die Onlinewahl behandelt

4.2.1, denn die Manipulation der Benutzerschnittstelle ist ein Eingriff in den

Gleichheitsgrundsatz, der ebenfalls Strafandrohungen bedarf.

Der Grundsatz der Gleichheit der Wahl ist eng mit dem der Allgemeinheit der

Wahl verwandt. Es handelt sich bei beiden ,,um spezialgesetzlich normierte

Ausprägungen der vom Grundgesetz in Art. 3 Abs. 1 allgemein gewährleisteten

Gleichheit der Bürger" (BVerfGE 99, 1 [10]). Die allgemeine Wahl sichert somit

die Gleichheit beim Zugang zur Wahl (vgl.

Will

2002: S. 75). Diese Gleichheit

hängt bei der Onlinewahl von einer individuellen Befähigungsvoraussetzung ab,

sowohl materiell als auch soziokulturell, und wird unter 4.2.2 diskutiert.

Fraglich bleibt, ob eine Home-Onlinewahl die Gleichheit und Allgemeinheit der

Wahl sicherstellen kann. Dies gilt nicht nur für den Zugang zur Wahl, sondern

auch für deren Ablauf. Denn wenn eine Wahl als Papier- und Onlinewahl paral-

lel durchgeführt wird, stellt dies besondere Anforderungen an die Gestaltung

der Wahlvorschläge. Gleichheit bedeutet hier auch die Gleichheit zwischen

Urnen- und Onlinewählern.

4.2.1 Manipulationen und Strafrecht

Die Hauptargumente, die gegen Onlinewahlen vorgebracht werden, betreffen

die Sicherheit der Systeme, sei es die Benutzerschnittstelle, der Übertragungs-

weg oder aber die Seite der Wahlserver. Neben der Gefahr, dass dabei das

Wahlgeheimnis unterlaufen wird und Voten mit Wähleridentitäten in Verbindung

gebracht werden können, ist auch die Angst vor Manipulationen groß. Ein er-

folgreicher Manipulationsversuch, der den Wahlausgang verschiebt, wäre bei

einer Onlinewahl vielleicht an weniger Mitwisser gekoppelt als im herkömmli-

chen Wahlverfahren, befürchten Kritiker (vgl.

Sietmann

2001b). Manipulationen

können bei einer Onlinewahl verschiedener Gestalt sein. Sie reichen von der

Änderung einzelner Voten bis zur gezielten Sabotage von Netzwerkverbindun-

gen. Gegen solche Einflussnahmen auf Wahlen müssen neben den techni-

schen auch strafrechtliche Vorkehrungen getroffen werden. Ob die derzeitige

Gesetzeslage die möglichen Angriffe auf Onlinewahlsysteme abdeckt, soll im

folgenden untersucht werden.

In der bisherigen Wahlgeschichte der Bundesrepublik sind keine Fälle bekannt,

in denen versucht worden wäre, flächendeckend den Ausgang einer Wahl zu

manipulieren. Die Wahlprüfungsverfahren beschäftigten sich meist mit einzel-

nen Vorfällen in Wahllokalen oder der Doppelwahl einzelner Personen (vgl.

Blankenagel u.a.

2000: S. 10ff.). Dies mag für die Festigkeit der Demokratie

aber auch für die Sicherheit des herkömmlichen Verfahrens sprechen und setzt

einen hohen Maßstab für die Onlinewahl. Deren Abwehrmöglichkeiten gegen

Manipulationen müssen sich erst noch bewähren.

Auf der Seite der Benutzerschnittstelle sind die Gefahren bei einer Home-

Onlinewahl sicherlich am größten, da dies der Punkt ist, bei dem die Kontrolle

und Gewährleistung des korrekten Ablaufs am schwierigsten ist. Die Gefahr

geht dabei von Betriebssystemen und Anwenderprogrammen aus, die durch

Fehler in der Programmierung oder gar mit Absicht den Zugriff von außen zu-

lassen. Die Fernadministrationswerkzeuge Back Orifice 2000 oder PCAnywhere

gelten als gute Beispiele. Sie können über Computerviren in das System gelan-

gen und Fremden den Zugriff auf die gesamte Funktionalität des Rechners

ermöglichen. Die Gefahr geht dabei über das Ausspähen von Wahlentschei-

dungen hinaus. Mittels solcher Software könnte der Angreifer ohne das Wissen

des Wählers dessen Votum vor der Verschlüsselung ändern (vgl.

Rubin

2002:

S. 40). Ein Vergleich zur herkömmlichen Wahl kann hierbei kaum gezogen

werden, es sei denn, man ginge davon aus, dass, nachdem der Wähler seine

Kreuze auf dem Stimmzettel gemacht hat, ein Dritter diese ausradiert und durch

seine eigenen ersetzt, ohne dass der Wähler davon etwas bemerkte. Vielleicht

wäre ein Vergleich mit der in § 33 Abs. 2 Satz 1 BWG erwähnten Hilfsperson

möglich, wenn diese den Wahlzettel nicht nach dem erklärten Willen des Wäh-

lers kennzeichnet. Andererseits kennt der Wähler dabei denjenigen, der u.U.

sein Votum manipuliert. Außerdem hat er nach Ansicht des BVerfG die Mög-

lichkeit, sich ,,den Stimmzettel vor oder nach der Wahl erläutern zu lassen und

so zu überprüfen, ob ihn die Vertrauensperson an der richtigen Stelle ange-

kreuzt hat" (BVerfGE 21, 200 [207]). Im Falle der virenbehafteten Benutzer-

schnittstelle bleibt wahrscheinlich der Täter und eventuell sogar die Manipulati-

on selber unerkannt.

Grundsätzlich ist das Ändern von Voten auf der Ebene der Benutzerschnittstelle

ein Eingriff in die Gleichheit der Wahl, da derjenige, der manipuliert, entweder

mehrfach oder ohne Wahlberechtigung wählt. Beides verstößt gegen das Ge-

bot, dass alle Wähler ,,mit den Stimmen, die sie abgeben, den gleichen Einfluß

auf das Wahlergebnis haben" sollen (BVerfGE 79, 161 [166]). Die Handlung ist

darüber hinaus nach § 107a StGB (Wahlfälschung) strafbar. Dort heißt es, dass

jemand, der ,,unbefugt wählt oder sonst ein unrichtiges Ergebnis einer Wahl

herbeiführt oder das Ergebnis verfälscht" (§ 107a Abs. 1 StGB), mit Freiheits-

oder Geldstrafe belegt wird. An eine konkrete mediale Form muss die Wahlfäl-

schung dabei offensichtlich nicht gebunden sein und kann demzufolge sowohl

auf Papier- als auch auf Onlinewahlen angewendet werden. Auch § 108a StGB

(Wählertäuschung) ist in diesem Zusammenhang tangiert. Demnach wird eine

Person, die ,,bewirkt, daß jemand bei der Stimmabgabe über den Inhalt seiner

Erklärung irrt oder gegen seinen Willen nicht oder ungültig wählt" (§ 108a Abs.

1 StGB), ebenfalls mit einer Freiheits- oder Geldstrafe bestraft. Wenn der An-

greifer den Rechner des Onlinewählers kontrolliert und, wie oben beschrieben,

das Votum ohne das Wissen des Wählers ändert, irrt dieser über seine tatsäch-

liche Entscheidung. Auch hier ist, wie im Falle des § 107a, diese Täuschung

nicht von einer bestimmten Form abhängig und kann ebenfalls auf die Online-

wahl Anwendung finden.

Auch wenn in den §§ 107a und 108a die Wahl nicht an eine bestimmte Ausfüh-

rungsform gebunden zu sein scheint, kennt das StGB Begriffe wie Computerbe-

trug (§ 263a), Computersabotage (§ 303b) und Datenveränderung (§ 303a) die

explizit neben Betrug (§ 263) oder Sachbeschädigung (§ 303) genannt werden.

Ob daraus zu schlussfolgern ist, dass es für das Ausspähen oder die Verände-

rungen von Onlinewahldaten einen Extra-Paragraphen geben muss, kann an

dieser Stelle nicht endgültig geklärt werden. Die Vermutung geht dahin, dass

dies nicht unbedingt der Fall sein muss, zumal durch die bereits erwähnten §§

263a, 303a, 303b und zusätzlich 202a (Ausspähen von Daten) fast alle wesent-

lichen Tatbestände aufgelistet sind, die bei Manipulationen von Onlinewahlen

erfüllt werden können38.

38 Anders verhält es sich bei der Sabotage der Wahl mittels DoS und dDoS (s.u.).

4.2.2 Onlinewahlen und der Digital Divide

Der Grundsatz der Allgemeinheit der Wahl legt fest, dass keine Gesellschafts-

schicht von der Wahl ausgeschlossen werden darf, insbesondere nicht ,,aus

politischen, wirtschaftlichen oder sozialen Gründen" (BVerfGE 58, 202 [204]).

Der Gesetzgeber hat somit dafür Sorge zu tragen, dass ein solcher Ausschluss

nicht stattfindet. Im Bezug auf politische Gründe sind bei der Onlinewahl, bzw.

genauer der Home-Onlinewahl, keine Besonderheiten zu beachten, wohl aber

bei Betrachtung der wirtschaftlichen und der sozialen Motive.

Zunächst wäre die Frage der Kosten einer Wahl zu klären. Das Bundeswahlge-

setz geht grundsätzlich davon aus, dass der Staat die Wahlkosten trägt. So ist

nach § 50 Abs. 1 BWG der Bund verpflichtet, den Ländern ihre Wahlkosten zu

erstatten. Die Kosten für die Versendung von Wahlbenachrichtigung und Brief-

wahlunterlagen sind ebenfalls von ihm zu begleichen (§ 50 Abs. 2 BWG). Das

Zurücksenden der ausgefüllten Briefwahlstimmzettel ist für den Wähler kosten-

frei (§ 36 Abs. 4 Satz 1 BWG), da der Bund die Abrechnung der Entgelte mit

der Deutschen Post übernimmt (§ 36 Abs. 4 Satz 3 BWG). Dies gilt allerdings

nur für die normale Versendungsform. Wenn der Wähler, um z.B. Sicherheit

über das korrekte Eintreffen seiner Wahlentscheidung beim Wahlleiter zu ha-

ben, sein Votum per Einschreiben senden will, ,,hat der Absender den das je-

weils für die Briefbeförderung gültige Leistungsentgelt übersteigenden Betrag

zu tragen" (§ 36 Abs. 4 Satz 2 BWG). Somit geht das Gesetz von einer Grund-

kostentragung des Staates aus, sieht aber bei Mehrkosten den Wähler in der

Pflicht (vgl.

Blankenagel u.a.

2000: S. 30). Entscheidend ist daher, wie die ent-

stehenden Kosten bei einer Onlinewahl eingeordnet werden. Gelten z.B. die

Signaturkarten und entsprechende Kartenlesegeräte als Zusatzleistungen, die

vom Wähler übernommen werden müssen, hätte dies in Bezug auf die Allge-

meinheit der Wahl enorme Auswirkungen. Es würde wirtschaftlich Besserge-

stellte bevorteilen bzw. finanziell Schwächere benachteiligen. Die Signaturkarte,

die auch für andere E-Government-Anwendungen genutzt werden kann, wird

mit Sicherheit nicht zu den Grundkosten einer Wahl gezählt.

Der finanzielle Aspekt stellt aber nur eine Seite des Problems dar. Zusätzlich

muss auch die ,,soziokulturelle Anschlussfähigkeit" von Onlinewahlen und Nut-

zern beachtet werden (vgl.

Kubicek, Westholm u.a.

2002: S. 24ff.). Die Diffe-

renz, die durch die Nutzung bzw. Nichtnutzung neuer Kommunikationstechni-

ken aus sozialen, wirtschaftlichen oder Bildungsgründen zwischen Bevölke-

rungsschichten entsteht, wird als ,,Digital Divide" oder digitale Spaltung be-

zeichnet. In der Literatur herrscht Einigkeit darüber, dass der Zugang zu Infor-

mationen nicht bestimmten Bevölkerungsgruppen vorbehalten bleiben darf,

sondern allen Gesellschaftsteilen, unabhängig von Bildung oder Einkommen,

möglich sein muss (vgl.

Tauss u.a.

2001: S. 234). Diese Forderung gilt auch

und besonders im Bezug auf Onlinewahlen. Es müsse darauf geachtet werden,

dass es nicht zu einer stärkeren Berücksichtigung einzelner Wählergruppen

und zu einem Rückgang der Wahlbeteiligung anderer kommt. Insbesondere

dürfe der Bildungsstand nicht ein ausschlaggebendes Indiz werden (vgl.

Ney-

manns

2002: S. 32).

Ein Beispiel für den Digital Divide und seine Auswirkung auf Onlinewahlen gibt

es bereits: Bei der Vorwahl der Demokratischen Partei in Arizona hatte die

Interessensgruppe Voting Integrity Project gegen das Wahlergebnis geklagt.

Nach ihrer Ansicht waren einzelne Bevölkerungsgruppen, wie die Lateinameri-

kaner oder Afroamerikaner, nur unterdurchschnittlich mit Internet-Zugängen

ausgestattet, weshalb sie die Vorteile der Stimmabgabe per Onlinewahl nicht

nutzen konnten und dementsprechend benachteiligt gewesen wären. Das Ge-

richt folgte dieser Argumentation, maß ihr aber nicht genügend Gewicht bei, um

deswegen die Wahl auszusetzen (vgl. Kubicek, Wind 2002: S. 100).

Sicherlich kommt die digitale Spaltung auch nicht unter allen Umständen in

vollem Umfang zum Tragen. So unterscheidet

Will

z.B. die "Intensität der dro-

henden Benachteiligung" nach dem Einsatz der Home-Onlinewahl (Will 2002:

S. 76), je nachdem, ob sie als ausschließliche Wahl, als Alternative zur Prä-

senz- oder als Alternative zur Briefwahl eingesetzt wird. Eine ausschließliche

Home-Onlinewahl ist mit Hinblick auf den Digital Divide vor dem Grundsatz der

Allgemeinheit nicht vertretbar. Alle bereits angeführten Probleme der digitalen

Spaltung würden die Wahl beeinflussen. Als (ergänzende) Alternative zur Prä-

senzwahl wäre die Onlinewahl allerdings auch verfassungsrechtlich bedenklich,

sowohl im Bezug auf die Allgemeinheit der Wahl als auch in Anbetracht der

Gleichheit. Denn dem Bundesverfassungsgericht zufolge muss jeder Bürger in

formal ,,möglichst gleicher Weise" abstimmen (BVerfGE 58, 202 [205]; 16, 130

[138]). Wenn die Home-Onlinewahl allerdings nicht an einen Verhinderungs-

grund gebunden wäre, sondern eben als Alternative zur Präsenzwahl fungierte,

würde die Vorgabe der gleichen Art der Stimmabgabe verletzt. Die Wahlbeteili-

gung bei einer Wahl hängt von vielen äußeren Faktoren, selbst vom Wetter, ab.

Diese Faktoren würden Präsenz- und Onlinewähler in unterschiedlichem Maße

treffen, was eben diesem Gebot widerspräche (vgl.

Will

2002: S. 79). Mit Hin-

blick auf den Digital Divide ist die Home-Onlinewahl somit maximal als ergän-

zende Alternative zur Briefwahl, aber nicht als deren Ersatz, zu sehen. Auch die

Home-Onlinewahl müsste wegen der Allgemeinheit und Gleichheit der Wahl an

einen Verhinderungsgrund gebunden sein. Lediglich Verfahrensfragen wären in

diesem Bereich zu klären, z.B. ob die Online-Stimme bis zum Ende der Prä-

senzwahlzeit abgegeben werden darf oder ob die Stimmabgabe online, mit

Blick auf die Postlaufzeiten der Briefwahlstimmen, vor diesem Zeitpunkt been-

det wird.

Grundsätzlich wird die Onlinewahl nur dann Erfolg haben, wenn sie innerhalb

der Bevölkerung genügend Rückhalt besitzt. Dazu ist es notwendig, dass die

Bürger die dabei ablaufenden Prozesse in genügender Weise nachvollziehen

können. Das Schließen des Digital Divides ist dafür eine wichtige Vorausset-

zung (vgl.

Kubicek, Wind

2002: S. 107).

4.2.3 Onlinewahlen und das Gebot der formal gleichen Stimmabgabe

Nach Urteil des Bundesverfassungsgerichts erfordert der Wahlgrundsatz der

Allgemeinheit, ,,dass grundsätzlich jeder sein Wahlrecht in möglichst gleicher

Weise soll ausüben können" (BVerfGE 58, 202 [205]). In Bezug auf die gleiche

Wahl heißt es noch etwas strenger ,,in formal möglichst gleicher Weise" (BVerf-

GE 16, 130 [138]). Diese Auslegung hat zur Folge, dass Stimmzettel bei Brief-

und Präsenzwahl identisch sind und dass die Stimmzettel gemäß Bundeswahl-

ordnung ,,in jedem Wahlbezirk von gleicher Farbe und Beschaf-

fenheit sein" müssen (§ 45 Abs. 1 Satz 5 BWO). Die Betonung der forma-

len Gleichheit gilt sicher auch für die Onlinewahl. Hier ergeben sich einige Prob-

leme, da es u.U. nicht möglich ist, die Eingabemaske der Benutzerschnittstelle

exakt dem amtlichen Stimmzettel nachzuempfinden. In der Bundeswahlgeräte-

verordnung wird daher der Begriff der ,,gerätespezifischen Darstellung der

Wahlvorschläge" verwendet (§ 6 Abs. 1 Satz 2 BWahlGV) und betont, dass

diese inhaltlich mit dem amtlichen Stimmzettel übereinstimmen muss (§ 10 Abs.

1 Satz 1 BWahlGV). Wichtig ist, dass am Wahlgerät und auch bei der Online-

wahl ein ungültiges Votum möglich ist. Denn der Grundsatz der freien Wahl

gesteht dem Wähler auch das Recht zu, bewusst ungültig zu wählen (vgl.

Will

2002: S. 129f.). Die Bundeswahlgeräteverordnung weist den Wahlvorstand an,

den Wähler auf die Möglichkeit der Abgabe einer ungültigen Stimme hinzuwei-

sen (§ 8 Abs. 2 BWahlGV).

Während davon ausgegangen werden kann, dass innerhalb einer Baugruppe

von Wahlgeräten die Wahlvorschläge identisch präsentiert werden, kommen bei

der Onlinewahl verschiedene Techniken zum Einsatz, die auch die Darstellung

der Wahlvorschläge beeinflussen. In Anbetracht von unterschiedlichen Bild-

schirmgrößen, insbesondere bei der Vorstellung einer Onlinewahl über portable

Kleingeräte wie Mobiltelefone oder PDAs, kann nicht garantiert werden, dass

die Darstellung immer gleich ist.

Als Beispiel aus der Praxis lässt sich die Vorwahl der Demokratischen Partei in

Arizona anführen. Dort zeigten ältere Browser die Wahlwebseite überhaupt

nicht an, und auf Apple-Computern konnte sie nicht ordnungsgemäß aufgerufen

werden (vgl.

Lange

2002: S. 139). Während der erste Punkt einen ,,de facto"-

Ausschluss von der Wahl bedeutet und somit den Grundsatz der Allgemeinheit

verletzt, berührt der zweite Punkt der falschen Darstellung die Gleichheit der

Wahl. Die Software in Arizona war zudem nicht an Hilfsmittel für Behinderte

angepasst, eine Sprachausgabe für Blinde war nicht implementiert (vgl.

Phillips

u.a.

2001: S. 80).

Inwieweit Sonderdarstellungsformen der Wahlvorschläge für Behinderte den

Grundsatz der Gleichheit tangieren, muss aber an dieser Stelle offen bleiben.

4.3 Verfügbarkeit des Netzwerks

Die Verfügbarkeit des Netzwerkes ist ein besonderer Fall, da hier kaum eine

Parallele zur herkömmlichen Wahl gezogen werden kann. Der Übertragungs-

weg, der elementar für eine Onlinewahl ist, ist bei der Papierwahl nicht vorhan-

den. Das Netz, über das die Kommunikation mit der zentralen Wahlinstanz läuft

und durch das die Wahlentscheidung übermittelt wird, ist im Falle des Internets

ein unsicherer Übertragungsweg. Manipulationsversuche müssen aber auch

hier wirksam verhindert bzw. unter Strafe gestellt werden.

Wie bereits oben angeführt (s. 3.2.1), kann die Kommunikation zwischen Wahl-

client und Wahlserver durch Dritte abgehört werden. Dabei ist durch die Ver-

schlüsselung der Übertragung der Inhalt für den Abhörenden nicht zu erkennen.

Der Inhalt wäre, wie in § 202a StGB gefordert, ,,gegen unberechtigten Zugang

besonders gesichert". Sollte nun ein Angreifer diese Übertragung protokollieren,

um zu einem späteren Zeitpunkt eine Entschlüsselung zu versuchen, würde er

sich dabei nach § 202a StGB strafbar machen. Das Ausspähen ist auf dem

Kommunikationskanal aber auch das maximal Mögliche. Die Manipulation von

Voten würde voraussetzen, dass der Angreifer in der Lage wäre, die verschlüs-

selte Botschaft zu entschlüsseln, sie zu verändern und sie anschließend wieder

zu verschlüsseln. Bei einem genügend großen und somit berechnungssicheren

Schlüssel ist dies innerhalb der Wahlzeit unmöglich (s. Definition der Berech-

nungssicherheit, Fußnote 28). Allerdings existiert die Möglichkeit des soge-

nannten Webspoofings. Dabei täuscht der Angreifer vor, der Wahlserver zu sein

und lenkt die gesamte Kommunikation um. Dies wäre z.B. möglich, indem er

einen falschen Link angibt, der nicht auf die Seite des Wahlservers, sondern auf

eine gleich aussehende Seite führt, die allerdings vom Angreifer kontrolliert

wird. Je nach Wahlprotokoll wäre er dann in der Lage, Passworteingaben im

Klartext zu lesen und vielleicht sogar gesendete Stimmzettel durch eigene zu

ersetzen. Dies würde wiederum gegen den Wahlgrundsatz der Gleichheit ver-

stoßen und nach §§ 107a, 108a strafbar sein. Webspoofing setzt voraus, dass

der Nutzer die Authentizität des Wahlservers nicht überprüft oder aus Mangel

an technischem Sachverstand nicht überprüfen kann. Grundsätzlich ist dies ein

Problem, das wohl nur bei der Home-Onlinewahl auftreten und dort durch eine

entsprechende Aufklärungsarbeit verhindert werden könnte.

Eine weitaus größere und realistischere Gefahr als die bisher beschriebenen

Szenarien, stellt das Sabotieren der Verbindung dar. Bei einer parlamentari-

schen Wahl wäre es denkbar, dass Angreifer gezielt Netzwerkverbindungen

blockieren, um bestimmte Wohngegenden oder gar bestimmte gesellschaftliche

Schichten von der Wahl abzuhalten. Es wären hier verschiedene Szenarien

denkbar, die von einfacher, breiter Blockade bis hin zu perfiden Angriffen gegen

Einzelne reichen. So könnte das Ziel von Angreifern sein, die zentrale Wahllei-

tung lahm zu legen, indem die Wahlserver attackiert werden. Eine gefürchtete

Methode dabei ist der Denial-of-Service-Angriff (DoS) bzw. distributed-Denial-

of-Service-Angriff (dDoS). Dabei werden die Server mit sinnlosen Anfragen

überflutet, was den Kommunikationsdurchsatz dieses Netzwerkteils verringert

und im schlimmsten Fall durch überlaufende Arbeitsspeicher o.ä. zum Absturz

des Systems führt (vgl. Stallings 2001: S. 24 u. 269). Während diese Art von

Angriff relativ leicht auch von sog. script-kiddies39 ausgeführt werden kann,

wären selbstverständlich noch andere Kategorien von Sabotageakten denkbar.

Wenn auch sehr viel unwahrscheinlicher als eine dDoS-Attacke, könnten gezielt

Kommunikationsknotenpunkte ausgeschaltet werden. Ein (physikalisches)

Abschalten von z.B. Telefonverteilern könnte in ganzen Straßenzügen oder

Stadtvierteln die Wahl behindern. Selbst Befürworter der Onlinewahl gestehen

ein, dass sich Angriffe gegen die Infrastruktur, insbesondere DoS, nicht ,,wirklich

und dauerhaft ausschalten lassen" (

Otten

2002: S. 80). Vielleicht noch ein we-

nig unwahrscheinlicher aber dennoch theoretisch denkbar wäre das gezielte

Sabotieren bestimmter Personengruppen. So wäre es vorstellbar, Kategorien

von Internetnutzern zu bilden. Diese Kategorien könnten sich z.B. aus dem

Surfverhalten der Nutzer ableiten, denn besuchte Webseiten und Uhrzeit des

Zugriffs lassen bereits einen groben Rückschluss zu. Eine Studenten-WG wäre

so vielleicht von einer Familie mit einem Alleinverdiener zu unterscheiden. Der

Internet-Service-Provider könnte dann die Zugriffe auf den Wahlserver für ge-

wisse Benutzerkategorien sperren. Bei großen Anbietern wie T-Online oder

AOL wäre auf diese Weise bereits eine erkennbare Wahlbeeinflussung zu er-

warten. Auch wenn für diesen Fall diverse datenschutzrechtliche Bestimmun-

gen umgangen werden müssten und es insgesamt vielleicht etwas konstruiert

wirken mag, technisch ist dies nicht ausgeschlossen. Interessant wäre in die-

sem Zusammenhang zu überprüfen, ob nicht die Telekommunikationsüberwa-

chungsverordnung (TKÜV) durch die Vorschrift des Bereithaltens von Verbin-

dungsinformationen (§ 7 TKÜV), ein solches Vorgehen erst ermöglicht oder

begünstigt.

Sicher ist, dass derartiges Einwirken auf die Kommunikationswege gesondert

gesetzlich geregelt werden sollte. In Australien wird z.B. derzeit über die Einfüh-

39 Script kiddie ist die etwas geringschätzige Bezeichnung für meist jugendliche Angreifer, die

ohne großes eigenes Know-how mithilfe von vorgefertigten Werkzeugen und Skripten solche

Attacken wie dDoS ausführen (vgl.

Rubin

2002: S. 42).

rung eines Straftatbestandes dDoS nachgedacht (vgl.

Will

2002: S. 87, Fn.

321). Zudem sind die §§ 107 (Wahlbehinderung) und 108 (Wählernötigung) an

die Ausübung oder Androhung von Gewalt bzw. sonstigen Repressalien ge-

bunden. Eine solche Druckausübung ist bei der Beeinträchtigung der Infrastruk-

tur durch dDoS oder Blockieren von Internetzugängen nicht gegeben, wodurch

beide Tatbestände wohl nicht erfüllt wären. § 317 StGB (Störung von Telekom-

munikationsanlagen) bezieht sich auf eine ,,öffentlichen Zwecken dienende[n]

Telekommunikationsanlage" (§ 317 Abs. 1 StGB), was im Falle der Internet-

Service-Provider bei Onlinewahlen zutrifft, an denen jemand ,,eine dem Betrieb

dienende Sache zerstört, beschädigt, beseitigt, verändert oder unbrauchbar

macht" (ebd.). Streng genommen nimmt ein Angreifer bei einer DoS-Attacke

den Dienst aber nur über Gebühr in Anspruch, indem er eben Anfragen stellt.

Eine Beschädigung tritt hier maximal als Folge ein. So müssten für einen wirk-

samen rechtlichen Schutz bei einer Onlinewahl die Rechtsvorschriften ange-

passt werden, um Angriffe gegen die Infrastruktur ahnden zu können.

Insgesamt betrachtet, ist das Netzwerk die Achillesferse aller Onlinewahlverfah-

ren. Mit seiner Sicherheit und Verfügbarkeit steht und fällt die Zuverlässigkeit

der Onlinewahl. Wenn nicht garantiert werden kann, dass ein Ausfall der Wahl

durch eine ausreichende Backup-Lösung praktisch ausgeschlossen ist, wäre

eine Onlinewahl nicht zu verantworten. Hier muss, im Falle der Wahl aus Wahl-

lokalen, eine Offline-Speicherung der Daten möglich sein. Bei Durchführung

einer Home-Onlinewahl bedeutet ein Backup-System eine ausreichende Ver-

sorgung mit Wahllokalen, in die der Wähler ausweichen kann.

Es ist festzustellen, dass die derzeitigen Rechtsvorschriften zur Ahndung von

Manipulationen noch nicht ausreichend sind. Insbesondere im Bereich der

Sabotage einer Wahl mittels dDoS oder subtileren Varianten greifen die Vor-

schriften nur bedingt.

4.4 Korrektheit auf Seiten der zentralen Wahlinstanz

Beim Verlust der Wählerstimme durch Angreifer ist zu unterscheiden, unter

welchen Grundsatztyp dies einzuordnen ist. Wenn die Stimme, z.B. wegen

Sabotageakten, nicht zum Wahllokal gelänge, wäre dies ein ,,de facto"-

Ausschluss von der Wahl und somit unter dem Grundsatz der Allgemeinheit zu

subsumieren. Wenn die abgegebene Stimme allerdings ankäme, aber nicht

gezählt würde, berührte dies den Grundsatz der Gleichheit (vgl.

Will

2002: 83f.).

Auf Seiten der Wahlserver können einige Probleme letzterer Art auftreten.

In diesem Zusammenhang lohnt sich noch einmal die Betrachtung der Wahl

zum Jugendgemeinderat in Esslingen. Dort wäre es, wie bereits beschrieben,

im Wahlserver möglich gewesen, Stimmzettel hinzuzufügen oder zu verwerfen

(s. 3.4.3). Dass dies in höchstem Maße bedenklich ist, liegt auf der Hand. In der

Bundeswahlordnung ist der Ablauf der Wahl bis ins kleinste Detail geregelt.

Selbst die Anzahl der zu bildenden Stapel an Stimmzetteln bei der Auszählung

ist festgelegt (§ 69 BWO). Diese präzisen Formulierungen in der Vorschrift

sollen einen korrekten Ablauf der Wahl sicherstellen und die Möglichkeit von

Manipulationen verringern.

Philippsen

gibt an, dass eine korrekte Wahl in Ess-

lingen nur dann hätte garantiert werden können, wenn sowohl Wahlamt- als

auch Urnenserversoftware vertrauenswürdig gewesen und sämtliche Daten-

bankzugriffe reglementiert und protokolliert worden wären (vgl.

Philippsen

2002:

S. 148). So waren Wahlfälschung (§ 107a StGB), Wählertäuschung (§ 108a

StGB) und bei Kooperation von Wahl- und Urnenserver auch die Verletzung

des Wahlgeheimnisses (§ 107c StGB) möglich.

Das angeführte Beispiel zeigt, dass die korrekte Wahl bei einigen Onlinewahl-

verfahren von der Korrektheit der Software auf Seiten der zentralen Wahlin-

stanz abhängt. Die Zertifizierung der Wahlsoftware (4.4.1) hat deswegen eine

große Bedeutung.

Bei einer Bundestagswahl stellt sich für die zentrale Wahlinstanz auch noch die

Frage nach der Verwaltung der Wahlberechtigung. Software für die Wählerver-

zeichnisse muss nicht nur korrekt funktionieren, sondern auch korrekt bedient

werden (4.4.2).

4.4.1 Zertifizierung von Wahlsoftware

Der Grundsatz der gleichen Wahl stellt besondere Anforderung an die bei

Onlinewahlen verwendete Hard- und Software, Fehler bei der Zählung der

Stimmen müssen ausgeschlossen werden. Dies erfordert eine Überprüfung der

verwendeten Technik, um zu gewährleisten, dass das Wahlergebnis nicht

verfälscht wird. Es sind dabei verschiedene Szenarien vorstellbar.

Zunächst gibt es die Forderung nach der Offenlegung des Quellcodes der ver-

wendeten Software, bzw. der Verwendung von Open-Source-Software (vgl.

Rüß

2002: S. 45f.;

Will

2002: S. 113). Dies würde dafür sorgen, dass die Funk-

tionsweise der Software für die Öffentlichkeit40 nachvollziehbar ist. Gleichzeitig

müsste aber auch gewährleistet werden, dass nur genau diese Software zum

Einsatz kommt. Es wäre in jedem Fall notwendig, die verwendeten Komponen-

ten zu zertifizieren.

Für Wahlgeräte existiert mit der Bundeswahlgeräteverordnung (BWahlGV)

bereits eine Vorschrift zur Erteilung einer solchen Zertifizierung. Diese Verord-

nung bezieht sich allerdings nur auf Geräte, die offline arbeiten und sozusagen

Stimmzettel und Wahlurne ersetzen. Schon deren Testierung ist ein aufwendi-

ges und zeitraubendes Verfahren, das von der Physikalisch-Technischen Bun-

desanstalt durchgeführt wird (vgl.

Kubicek u.a.

2001: S. 104). Bei den Wahlge-

räten handelt es sich zumeist um hardwarebetonte Lösungen, was die Bauzu-

lassung vereinfacht. Bei den dokumentierten Onlinewahlen kommt dagegen

eine Zusammenstellung von Standard-Komponenten an Hard- und Software

zum Zuge (vgl.

Diehl u.a.

2002: S. 13f.;

LDS Brandenburg

2002: S. 24). Das

Problem bei der Überprüfung ist, dass es nicht ausreicht, einzelne Teile des

Systems zu bewerten, sondern dass auch das Zusammenspiel dieser Bestand-

teile zertifiziert werden muss. Zusätzlich müsste das Onlinewahlprotokoll über-

prüft werden, das selbst beim perfekten Zusammenwirken der Einzelteile

Schwächen besitzen kann, die die Sicherheit gefährden.

Wie bei Wahlgeräten nach § 3 BWahlGV die Bauartzulassung zurückgenom-

men werden kann, so müsste auch bei Onlinewahlsystemen eine Dezertifizie-

rung möglich sein. Grundsätzlich liegt daher ein Zertifizierungssystem mit konti-

nuierlicher Überwachung am nächsten (vgl.

Will

2002: S. 113).

Gründe dafür, Onlinewahlsysteme auf Korrektheit zu überprüfen, liefern die

bereits durchgeführten Wahlen genug. Die Wahl zum Jugendgemeinderat in

Esslingen z.B. verlangte für die korrekte Durchführung, dass sowohl Wahlamt-

als auch Urnenserver vertrauenswürdig hätten sein müssen, da ansonsten das

Hinzufügen, Ersetzen oder Löschen von Stimmzetteln möglich gewesen wäre.

40 Zumindest die sachkundige Öffentlichkeit.

Diese Vertrauenswürdigkeit hätte über eine Zertifizierung hergestellt werden

können. In Osnabrück wäre der Auszählfehler bei einer Überprüfung der Soft-

ware zu vermeiden gewesen. Wiederum in Esslingen wurden vor der eigentli-

chen Auszählung die Voten ,,umverschlüsselt" (vgl.

Steinbeis-Transferzentrum

Mediakomm

2001: S. 22). Ein solcher Vorgang ist in höchstem Maße bedenk-

lich, wenn der verwendete Rechner und die eingesetzte Software nicht von

unabhängiger Seite auf Virenfreiheit und Korrektheit überprüft werden.

4.4.2 Harmonisierung der Rechtsvorschriften für die Wählerverzeichnisse

Der Zugriff auf die Wählerverzeichnisse stellt bei Online-Bundestagswahlen

mehr ein organisatorisches als ein rechtliches Problem dar. Die Durchführung

der Wahl obliegt den Kommunen. Gemäß § 17 Abs. 1 Satz 1 führen sie ein

Verzeichnis aller Wahlberechtigten in ihren Wahlbezirken. Dies geschieht der-

zeit aber mit unterschiedlicher Technik. Für eine Onlinewahl müsste, zumindest

wenn die Wähler auch in ,,fremden" Wahllokalen wählen dürfen, hier eine tech-

nische Lösung gefunden werden, die es dem Wahlvorstand ermöglicht, vor Ort

den Wahlstatus der betreffenden Person zu überprüfen (vgl.

Kubicek, Westholm

u.a.

2002: S. 29).

Grundsätzlich stehen zwei Lösungsmöglichkeiten für die Vereinheitlichung der

Wählerverzeichnisse zur Auswahl. Entweder wird ein bundesweit einheitliches

Verzeichnis angelegt, in das die Kommunen ihre Daten einpflegen, oder nur

das Format der Daten wird vereinheitlicht und die Kommunen haben dafür

Sorge zu tragen, dass der Online-Zugriff auf ihr Verzeichnis möglich ist. Beide

Varianten haben Vor- und Nachteile. So ist ein zentrales Register sicherlich

wirtschaftlicher, aber schon unter datenschutzrechtlichen Gesichtspunkten nicht

vertretbar. Zudem wäre es mit der Praxis der kommunalen Selbstverwaltung

schwer in Einklang zu bringen. Die Lösung, nur das Datenformat zu vereinheit-

lichen, ist allerdings ebenfalls illusorisch, da die nötigen Kosten zur Umstellung

aller Wählerverzeichnisse den Kommunen nicht zuzumuten sind (vgl.

Kubicek,

Wind

2002: S. 102).

Zu klären wären auch etliche organisatorische Fragen. Was passiert, wenn

jemand seine Wahlberechtigung vergessen hat und sich nur mit seinem Perso-

nalausweis ausweisen kann? Wie wäre es möglich, anhand der Adresse online

den richtigen Wahlkreis zu ermitteln (vgl.

Kubicek, Wind

2002: S. 95)? Wie wird

eine Mehrfachwahl z.B. von Online- und Papierwahl verhindert? Zudem wäre

das vom LSD Brandenburg geforderte Vier-Augen-Prinzip beim Führen des

Wählerverzeichnisses dringend erforderlich (

LDS Brandenburg

2002: S. 36).

Insbesondere die Frage, was in diesem Wählerverzeichnis vom Wahlvorstand

während der Wahl verändert werden kann, ist von enormer Bedeutung. Wenn

nur der Status eines Wählers geändert werden kann, ist das weniger folgen-

reich, als wenn Wähler zusätzlich eingetragen werden könnten. Insbesondere §

107b StGB (Fälschung von Wahlunterlagen) käme hier zum Tragen, wobei das

elektronisch geführte Wählerverzeichnis wahrscheinlich noch einer rechtlichen

Gleichstellung zu der in Abs. 1 Nr. 1 erwähnten ,,Wahlkartei" bedarf.

Ein Argument gegen die Zentralisierung und für die Vielfältigkeit der Technik bei

einer Wahl bringt

Rivest

ins Spiel (vgl.

Gerck u.a.

2002: S. 247f.). Vom starken

Föderalismus der USA geprägt, vergleicht er die Wahl mit einem wilden Wald-

gebiet, das sich durch die Vielfalt der Pflanzen viel besser gegen Krankheitser-

reger zur Wehr setzen könnte, als dies einer landwirtschaftlichen Monokultur

möglich wäre. Angreifer hätten es bei nicht einheitlicher Technik schwerer,

flächendeckende Manipulation zu betreiben.

4.5 Geheimhaltung auf Seiten der zentralen Wahlinstanz

Das Wahlgeheimnis ist durch Art. 38 GG verfassungsrechtlich geschützt. Die

Strafbarkeit bei einem Verstoß gegen diesen Wahlgrundsatz aber bedarf einer

genaueren Betrachtung. Der Tatbestand in § 107c StGB ist so formuliert, dass

einer ,,dem Schutz des Wahlgeheimnisses dienenden Vorschrift" zuwider ge-

handelt werden muss. Die Vorschriften in Bundeswahlgesetz, Bundeswahlord-

nung und dem Strafgesetzbuch, die das Wahlgeheimnis betreffen, beziehen

sich alle auf die Kennzeichnung des Stimmzettels und dessen Abgabe. Da bei

der bisherigen Urnenwahl nicht davon ausgegangen wird, dass nach korrekter

Stimmabgabe eine Zuordnung des Votums zum Wähler noch möglich ist, müss-

te in diesem Punkt eine Anpassung der Rechtsvorschriften vorgenommen wer-

den. Denn in vielen Onlinewahlprotokollen wäre die Verletzung des Wahlge-

heimnisses auch nach dem Ende der Wahlhandlung theoretisch möglich.

Einige Onlinewahlverfahren haben die Schwäche, eine vorzeitige Ermittlung

des Wahlergebnisses bzw. von Zwischenergebnissen durch den Auszähler

zuzulassen. Nach Bundeswahlgesetz ist aber selbst die Veröffentlichung von

Wählerbefragungen vor Ablauf der Wahl verboten (§ 32 Abs. 2 BWG). Bei der

herkömmlichen Urnenwahl wird gar nicht davon ausgegangen, dass

Zwischenergebnisse ausgezählt werden könnten, da durch § 53 Abs. 3 Satz 3

BWO die Wahlurne bis zum Ende der Wahlhandlung verschlossen bleiben

muss. Auch hier müsste somit eine Anpassung der Rechtsvorschriften

stattfinden.

4.6 Überprüfbarkeit der Wahl

Alle bereits beschriebenen Manipulationsmöglichkeiten bei Onlinewahlen wie-

gen umso schwerer, je weniger man sie nachweisen kann. Das Zustandekom-

men des Ergebnisses einer Onlinewahl muss in jedem Fall verifizierbar sein.

Bei der herkömmlichen Wahl geschieht dies über die Öffentlichkeit der Wahl-

handlung. Sie schafft ein solches Vertrauen in den Wahlvorgang, dass inner-

halb der Bundesrepublik wahrscheinlich kaum ein Wähler daran zweifelt, dass

sein Votum, ist es erst einmal in der Wahlurne, nicht korrekt gezählt würde. Der

Stellenwert der Öffentlichkeit ist daher auch für die Onlinewahl von Bedeutung

(4.6.1).

Sollte das Vertrauen in die Richtigkeit des Wahlergebnisses einmal nicht gege-

ben sein, muss die Wahlanfechtung auch bei der Onlinewahl möglich sein

(4.6.2).

4.6.1 Öffentlichkeit und Vertrauen

Die Öffentlichkeit der Wahl kann als ein ungeschriebener Wahlgrundsatz ange-

sehen werden. Sie ist im Grundgesetz nicht beschrieben, findet in der Literatur

aber durchaus Fürsprecher, die ihr einen Verfassungsrang einräumen (vgl.

Blankenagel u.a.

2000: S. 33ff.). Für diese leitet sich der Verfassungsrang aus

allgemeinen Öffentlichkeitsprinzipien wie z.B. der parlamentarischen Auseinan-

dersetzung und Entscheidungsfindung ab. Die Gerichtsöffentlichkeit, die in der

Literatur als verfassungsrechtliches Prinzip anerkannt wird, aber nur einzelge-

setzlich geregelt ist, dient ferner als Beispiel (ebd.).

Nach § 31 Abs. 1 Satz 1 BWG ist die Wahlhandlung öffentlich. Dass die Wahl

insgesamt stärker eine öffentliche als eine staatliche Angelegenheit darstellt,

ergibt sich darüber hinaus aus der Besetzung der Wahlvorstände. Gemäß § 11

Abs. 1 BWG ist die Tätigkeit in einem Wahlvorstand ein Ehrenamt, zu dessen

Übernahme jeder Wahlberechtigte verpflichtet ist. Die Wahl wird somit nicht

ausschließlich mit Beamten oder Angestellten des Staates durchgeführt, son-

dern explizit auch mit anderen Personen der Öffentlichkeit. Aber nicht nur die

Wahlhandlung und die Besetzung der Gremien, auch die Sitzungen der Wahl-

vorstände und ausschüsse sind öffentlich (§ 10 Abs. 1 Satz 1 BWG). Durch

diese explizite Festschreibung im Bundeswahlgesetz würde ein Zuwiderhandeln

gegen das Prinzip der Öffentlichkeit der Wahl einen Verfahrensmangel darstel-

len und zur Ungültigkeit der Wahl führen (vgl.

Blankenagel u.a.

2000: S. 5).

Der wichtigste Grund für die Betonung der Öffentlichkeit der Wahl liegt in ihrer

Kontrollfunktion. Jeder Bürger hat die Möglichkeit, den korrekten Ablauf der

Wahl zu verifizieren. Die technischen Vorgänge bei der Onlinewahl entziehen

sich allerdings dem Blick der Öffentlichkeit. Selbst wenn eine sichere Wahl über

das Internet möglich wäre, ist das Vertrauen der Benutzer das entscheidende

Moment. Auch bei überraschenden Wahlergebnissen darf das nötige Vertrauen

in die Korrektheit der Wahl nicht fehlen (vgl.

Buchstein

2000: S. 890).

Der Mangel an Öffentlichkeit bei der Onlinewahl kann zu einem Vertrauensver-

lust der Bürger in die Wahl führen. Das Vertrauen in die Verfahren der Demo-

kratie ist aber existenziell wichtig für ihre Legitimität (

Buchstein

2001: S. 153).

Schon wenn eine Sicherheitsproblematik nur befürchtet würde, könnte dies

Legitimationsprobleme aufwerfen. Der Schritt zur Onlinewahl führte dann zu

einer ,,prozeduralen Legitimationskrise in Permanenz" (ders.: S. 154). Daher

muss entweder ein Weg gefunden werden, die Öffentlichkeit der Onlinewahl zu

ermöglichen, oder das Vertrauen in das Wahlverfahren so zu stärken, dass es

der Kontrollfunktion der Öffentlichkeit in diesem Maße nicht bedarf41.

Um dem zweiten Punkt zu genügen, ist vielleicht das Vertrauen in die Be-

herrschbarkeit der Mängel elektronischer Wahlsysteme viel wichtiger als ihre

perfekte Funktionsweise (vgl.

Sietmann

2001a: S. 71). Auf jeden Fall hängt das

Vertrauen in ein elektronisches Verfahren nicht von zusätzlicher Repräsentation

in gedruckter Form z.B. durch gleichzeitigen Ausdruck ab. Als Beispiel kann die

Elektronik eines Verkehrsflugzeuges dienen, das aus Gründen der Redundan-

zen im System Vertrauen auch bei den Passagieren genießt (vgl.

Gerck u.a.

41 Selbstverständlich muss es trotzdem eine Kontrolle über die Onlinewahl geben, allein in der

Form, wie sie unter 4.4.1 (Zertifizierung von Wahlsoftware) beschrieben wurde.

2002: S. 261). Wenn es möglich wäre, dies auch für die Onlinewahl zu errei-

chen, könnte eine Kontrollfunktion der Öffentlichkeit u.U. zurückstehen.

Auf der anderen Seite wurde oben die Wichtigkeit der Öffentlichkeit bei einer

Wahl betont, und ihre Funktion geht sicher über die eines Kontrollorganes hin-

aus. Neymanns spricht von einer Symbolik der Wahl, die sich u.a. im Wahlakt,

dem Gang zu einem öffentlichen Platz, dem Ankreuzen von Stimmzetteln in

einer Wahlkabine usw. manifestiert. Diese Symbolik, die dem demokratischen

Wahlverfahren anhaftete und es somit zu mehr macht als einer reinen Amts-

bestellung, führt zusätzlich zu einer Festigung der Bürgergemeinschaft (vgl.

Neymanns

2002: S. 25f.). Der integrative Charakter der Öffentlichkeit der Wahl

hat gewiss auch vertrauensbildende Funktion. Die Grenze für diese Aufgabe

der Öffentlichkeit der Wahl verläuft jedoch eher zwischen Präsenzwahl und

Briefwahl, d.h. zwischen öffentlicher und privater Stimmabgabe, als zwischen

Online- und Urnenwahl. Der integrative Aspekt kommt bei einer öffentlichen

Wahl im Wahllokal zum Tragen, unabhängig davon, ob die Stimme auf Papier

oder elektronisch abgegeben wird.

Deswegen gilt es, den speziellen onlinespezifischen Teil noch einmal kurz zu

betrachten. Bei den meisten Onlinewahlprotokollen wird die zentrale Wahlin-

stanz in mehrere Einheiten unterteilt. Diese Aufteilung findet sich in den Imple-

mentierungen meist in unterschiedlichen Servern, die bei verschiedenen Institu-

tionen aufgestellt sind, wieder. Die Kontrolle dieser Server bedarf im Grunde

der Kontrolle der Öffentlichkeit.

Dieter Otten

, Leiter der

Forschungsgruppe

Internetwahlen

, schlägt dazu die Bildung eines neuen Typs von Institution vor.

Diese Institution müsse stellvertretend für die Öffentlichkeit die öffentliche Kon-

trolle übernehmen. Sie dürfe dabei weder staatlicher noch privatwirtschaftlicher

Natur sein. Sie müsse die Werkzeuge und das Know-how besitzen, um Wahl-

systeme und Software zu überprüfen und u.U. sogar zu zertifizieren. Zusätz-

lich könne diese Institution einen Bildungsauftrag übernehmen, um möglichst

viele Bürger in die Lage zu versetzen, die Vorgänge der Onlinewahl nachzuvoll-

ziehen. Dies könne auch auf andere, insbesondere datenschutzrechtliche Be-

reiche der virtuellen Welt ausgedehnt werden (vgl.

Otten

2002: S. 86f.).

4.6.2 Wahlanfechtung

Bei einer Bundestagswahl ist gemäß Art. 41 GG der Bundestag für die Wahl-

prüfung zuständig. Gegen dessen Entscheidung kann Beschwerde beim Bun-

desverfassungsgericht eingereicht werden. Das zugehörige Bundesgesetz ist

das Wahlprüfungsgesetz (WPrüfG). Eine Wahlprüfung erfolgt nur auf Einspruch

durch einen oder mehrere Wahlberechtigte, die Landes- oder den Bundeswahl-

leiter bzw. den Bundestagspräsidenten (§ 2 WPrüfG). Im Hinblick auf Wahlprü-

fungsverfahren sind in der Bundeswahlordnung genaue Anweisungen vorhan-

den, welche Unterlagen auf welche Art wie lange aufbewahrt werden und wann

sie vernichtet werden dürfen bzw. müssen (§§ 73, 74 u. 90). Bei der Onlinewahl

sind derartig detaillierte Vorschriften noch nicht vorhanden. Klar ist aber, dass

auch bei einer Onlinewahl die Überprüfbarkeit gewährleistet sein muss, da sie

eine wesentliche Bedingung für demokratische Wahlen darstellt (vgl.

Rüß

2002:

S. 49). Einzig die Wahlordnung zum Personalvertretungsgesetz des Landes

Brandenburg beinhaltet bis jetzt Vorschriften zum Umgang mit den Wahldaten

aus der Onlinewahl. In § 50 Abs. 10 wird festgelegt, dass ,,Sämtliche Datensät-

ze der elektronischen Internetwahl [...] durch den Wahlvorstand zu signieren

und in geeigneter Weise zu speichern" sind. Was dies im Detail zu bedeuten

hat, ob auch Kommunikations- und Zugriffsprotokolle oder nur die elektroni-

schen Stimmzettel gemeint sind, bleibt offen. Bei der Wahl in Brandenburg

wurden ,,Alle vom Betriebssystem oder der Datenbank automatisch erzeugten

Log-Files vom Psephor und vom Validator" (

LDS Brandenburg

2002: S. 26) bis

zum Ende der Einspruchsfrist aufbewahrt und anschließend vernichtet.

Für die Onlinewahl stellen sich zwei Fragen. Zum einen wäre zu klären, ob die

Protokoll-Dateien, die vom Onlinewahlsystem generiert werden, ausreichen, um

den Wahlablauf nachvollziehen zu können. Zum anderen besteht die Frage, ob

und wie die Einspruchsberechtigten feststellen können, dass es Wahlmängel

innerhalb des Systems gegeben hat. Hierbei sind keine Einspruchsgründe von

Interesse, die auch bei der herkömmlichen Wahl zutage treten können, wie z.B.

ob eine Wahlzelle vor der Einsichtnahme ausreichend geschützt war oder ob

einzelne Kandidaten das passive Wahlrecht besaßen. Interessant ist alles, was

innerhalb der ,,Black Box" des Wahlsystems passiert, d.h. alle Dinge, die zwi-

schen Benutzerschnittstelle und Wahlserver vom Beginn der Wahlhandlung bis

zur Bekanntgabe des Ergebnisses geschehen.

Ein dokumentiertes Beispiel gibt es bei der Personalratswahl in Brandenburg.

Dort wurde beim Auszählen eine Differenz festgestellt zwischen registrierten

Wahlvorgängen im Wählerverzeichnis und Stimmen in der Urne. Demnach

waren 385 Stimmen in der Wahlurne, aber nur 383 Wahlvermerke im Wähler-

verzeichnis (vgl.

LDS Brandenburg

2002: S. 36). Ein Einspruchsgrund hat der

Wahlvorstand daraus allerdings nicht ableiten können, da zwei Stimmen nach

dem d′Hondtschen Berechnungsverfahren keine Änderung des Wahlausgangs

ergeben hätten (ebd.). Trotzdem wurde versucht, diese Differenz zu erklären,

wobei die Vermutung nahe lag, dass im Wählerverzeichnis der Status von zwei

Wählern von ,,hat gewählt" auf ,,hat noch nicht gewählt" gesetzt wurde. Interes-

santerweise stellte der Wahlvorstand aber fest, dass bewusst niemand vom

Wahlvorstand oder den administrativen Kräften eine solche Änderung vorge-

nommen hatte. Die Zugriffe auf das Wählerverzeichnis wurden auch nicht pro-

tokolliert. Ebenso konnte beim technischen Projektpartner der Wahl, der die

Wahlserver hostete, die Ursache für die Differenz nicht geklärt werden. Der

Abschlussbericht nimmt daher einen Bedienungsfehler durch einen Zugriffsbe-

rechtigten an und verbleibt mit der Forderung, dass auch der Zugriff auf das

Wählerverzeichnis im Vier-Augen-Prinzip stattfinden und dass jeder Zugriff auf

das Wählerverzeichnis automatisch protokolliert werden muss. In diesem Fall

ist eindeutig, dass die Protokollierung nicht ausreichte, um Unregelmäßigkeiten

aufzuzeigen.

Grundsätzlich ist zu fragen, ob ein Wähler selber auf irgendeine Weise feststel-

len kann, dass seine Stimme korrekt gezählt wurde. Im herkömmlichen Verfah-

ren vertraut der Wähler nach Einwurf des Stimmzettels in die Wahlurne darauf,

dass der sich gegenseitig kontrollierende Wahlvorstand bei der Auszählung

keine Fehler macht oder gar bewusste Änderungen vornimmt. Die Wahlhand-

lung ist nach § 31 Abs. 1 Satz 1 BWG öffentlich und der Wahlvorstand tagt42 in

öffentlicher Sitzung (§ 10 Abs. 1 Satz 1 BWG). Somit könnte der Wähler der

Auszählung beiwohnen und sich des korrekten Ablaufs vergewissern. Die Öf-

fentlichkeit, die auch in der Erprobungsklausel der Wahlordnung zur Personal-

ratswahl in Brandenburg verankert wurde (§ 50a Abs. 9), kann sich bei der

Onlinewahl aber nur auf die Tätigkeit von Personen beziehen. Die technischen

42 Das Tagen beinhaltet auch die Stimmauswertung.

Vorgänge bleiben per se nicht-öffentlich.

Dieter Otten

, Leiter der

Forschungs-

gruppe Internetwahlen

, fordert daher die öffentliche Kontrolle der Wahlserver

durch neu zu schaffende Institutionen, die weder staatlicher noch privatwirt-

schaftlicher Natur sein dürfen (vgl.

Otten

2002: S. 86f.). Die Notwendigkeit einer

solchen Kontrolle wird bei Betrachtung der Wahl zum Studierendenparlament in

Osnabrück deutlich. Dort kam es offenbar auf Serverseite zu Problemen, wenn

mehrere Personen gleichzeitig wählen wollten (vgl.

Hügelmeyer

2001: S. 107).

Zudem war durch einen Fehler im Auszählskript zunächst ein (offensichtlich)

falsches Ergebnis ermittelt worden. Einspruch wurde gegen die Osnabrücker-

Wahl eingelegt, da sie zu kompliziert gewesen sei und zu wenig Transparenz

geboten hätte (vgl.

Hügelmeyer

2001: S. 107). Über den Verlauf dieses Ein-

spruches ist leider nichts bekannt. Da er aber nicht gegen die Korrektheit der

Wahl und des Ergebnisses gerichtet war, dürfte er keinen Erfolg gehabt haben.

Um dem Wähler Gewissheit über seine Wahlentscheidung zu geben, werden in

manchen Wahlprotokollen Quittungen an den Wähler ausgestellt, mit denen der

Wähler die korrekte Wertung seiner Stimme nachvollziehen kann. Unter dem

Gesichtspunkt der Geheimhaltung und eines möglichen Stimmenkaufs ist dies

natürlich bedenklich. Auf der anderen Seite sehen selbst Verfechter der obliga-

torischen Geheimwahl durchaus Argumente, die die Umwandlung in eine fakul-

tative Geheimwahl rechtfertigen würden (vgl.

Buchstein

2002: S. 65f.). Nach

dem Vorbild des von

Schneier

vorgestellten Modells "Verbessertes Wählen mit

einer einzigen zentralen Wahlleitung" (s. 2.1.1) wäre die Revidierung des Vo-

tums möglich. Der Wähler legt sozusagen schon während der Wahlhandlung

Einspruch gegen die Wertung ein. Nachdem seine Stimme (verschlüsselt) von

der Wahlleitung veröffentlicht wurde, kann er überprüfen, ob sie korrekt ist. Die

Entschlüsselung des Votums ist der zentralen Wahlinstanz erst möglich, wenn

der Wähler den privaten Schlüssel dazu übermittelt hat. Die Gefahr eines Ermit-

telns von Zwischenergebnissen würde dabei nicht bestehen. Dies ist wahr-

scheinlich die einzige Art und Weise, auf die der Wähler die Korrektheit des

Wahlablaufes anzweifeln könnte. Bei anderen Protokollen bliebe ihm diese

Möglichkeit nicht.

Aus Mangel an praktischer Erfahrung kann noch nicht gesagt werden, ob die

Protokollierungen, die bei Onlinewahlen durchgeführt werden, ausreichen,

einen Einspruch gegen die Wahl zu überstehen. Kein Onlinewahlverfahren

musste sich bis jetzt einem Wahlprüfungsverfahren stellen. Trotzdem zeigt das

Beispiel Brandenburg, dass die dort protokollierten Daten nicht ausreichten, um

eine Unstimmigkeit zwischen Wählerverzeichnis und Wahlurne zu erklären. Für

die Wähler würde nur ein Wahlverfahren ähnlich dem von

Schneier

vorgestell-

ten Ablauf die Möglichkeit bieten, zu überprüfen, ob ihr Votum richtig gezählt

wurde.

Offen bleiben muss zudem die Frage, wie mit Netzwerkproblemen in der Wahl-

prüfung umzugehen ist. Ab welchem Zeitpunkt eine Onlinewahl nicht mehr

korrekt durchgeführt werden kann, wenn es zu DoS-Attacken oder sonstigen

Ausfällen in der Infrastruktur kommt, kann an dieser Stelle nicht geklärt werden.

4.7 Ausblick

Die vielen beschriebenen Besonderheiten von Onlinewahlen fordern auf rechtli-

cher Seite neue Herangehensweisen an Fragen der Identifizierung von Wahlbe-

rechtigten. Digitale Pseudonyme oder das Konzept des ,,Civis Digitalis" (4.7.1)

bieten hierzu Lösungen an, die derzeit aber nur einen Ausblick darstellen. Die

Umsetzung solcher Ideen bedürfte sicherlich einer langen Zeit.

Letztlich stellt sich die Frage, wie die Zukunft der Onlinewahl jenseits von par-

lamentarischen Wahlen im subkonstitutionellen Recht aussieht. Leicht verän-

derte Wahlvoraussetzungen oder die kontrollierten, überschaubaren Wahlbe-

dingungen, wie sie z.B. im

LDS Brandenburg

vorherrschten, bieten die Voraus-

setzung, angeführte Probleme in den Griff zu bekommen. Die bisherigen

Einsatzgebiete und weiteren möglichkeiten werden unter 4.7.2 beschrieben.

4.7.1 Digitale Pseudonyme und das Konzept des ,,Civis Digitalis"

Ein wesentliches Problem bei Onlinewahlen ist die eindeutige Überprüfung der

Wahlberechtigung. In den angeführten Implementierungen wurden dazu entwe-

der Identifizierungsnummern (Arizona) oder Signaturkarten (Osnabrück, Bran-

denburg, Esslingen) verwendet, die den Wahlberechtigten vor der Wahl ausge-

händigt wurden.

Die Signaturkarten wären in der Lage, ein Konzept zu unterstützen, das

Kelter

Koob

und

Ullmann

vorstellen (

Kelter u.a.

2002). Die Autoren sehen die Mög-

lichkeit, den Wählern digitale Pseudonyme zu zuordnen, durch die sie anonym

wählen könnten. Als Pseudonym kann ein öffentlicher Schlüssel eines asym-

metrischen Schlüsselpaares dienen, wie er auf Signaturkarten gespeichert ist.

Lediglich bei der Zuteilung dieser Schlüssel muss garantiert sein, dass die

ausgebende Stelle sich nur den Erhalt des Schlüssels und alle gültigen ausge-

gebenen Schlüssel vermerkt, aber die Daten nicht verknüpfen kann. Danach

wird eine Liste aller gültigen Schlüssel den Wahlvorständen der Wahllokale für

die Überprüfung der Wahlberechtigung zur Verfügung gestellt (vgl.

Kelter u.a.

2002: S. 45). Der Wähler signiert den gekennzeichneten Stimmzettel mit sei-

nem privaten Schlüssel, wodurch für den Wahlvorstand die Gültigkeit des Vo-

tums ersichtlich ist. Problematisch ist nur der mögliche Verlust oder Diebstahl

des Pseudonyms. Denn dadurch, dass es keine Zuordnung zwischen Wahlbe-

rechtigten und Pseudonym gibt, ist eine Sperrung eines bestimmten Pseudo-

nyms schwerlich möglich.

Bei einigen vorgestellten Wahlprotokollen ist eine Trennung zwischen öffentli-

chem Schlüssel und Person gar nicht notwendig, um trotzdem die Anonymität

zu gewährleisten. Bei garantierter Vertrauenswürdigkeit des Urnen- und Wahl-

amtservers ist dies selbst bei i-vote der Fall. Daher kommt von der

Forschungs-

gruppe Internetwahlen

eine Erweiterung dieses Konzeptes ins Spiel. Sie for-

dern, der Chipkarte, bzw. der Signatur darauf, noch mehr Rechte zuzugeste-

hen, sie somit zu einem ,,digitalen staatsbürgerlichen Repräsentanten" zu ma-

chen. Diese Konzeption eines ,,Civis Digitalis" kann unter datenschutzrechtli-

chen Bestimmungen allerdings nur existieren, wenn die Architektur der Signa-

turkarte so gewählt ist, dass die Daten in der Verfügung des Nutzers verbleiben.

Der Bürger muss in der Lage sein, zu steuern, welche Informationen er von sich

bei der digitalen Signatur preisgibt. Die Hoffnung, die

Otten

und die

For-

schungsgruppe Internetwahlen

damit verbinden, liegt in einer massenhaften

Verbreitung der digitalen Signatur, wenn ihre Pflege in die öffentliche Hand

gelegt wird. Auf diese Art könnten die Kosten für die Signaturkarten gesenkt

und somit die gesamte Onlinewahl wirtschaftlicher gestaltet werden (vgl.

Otten

2002: S. 85).

Wenn auch mit der Einführung des Signaturgesetzes und der digitalen Unter-

schrift der Beweis erbracht wurde, dass es möglich ist, eine derartige Entwick-

lung in Gang zu setzen, würde ein solcher Prozess eine sehr lange Zeit in An-

spruch nehmen. Eine Lösung, um Signaturkarten kurzfristig rentabler zu ma-

chen, ist dies sicher nicht.

4.7.2 Onlinewahlen im subkonstitutionellen Recht

Im subkonstitutionellen Recht bietet sich ein weites Feld für Anwendungen der

Onlinewahl, die in manchen Formen nicht den strengen Wahlrechtsgrundsätzen

des Grundgesetzes folgen müssen.

Das Kombinationsmodell von Präsenz- und Onlinebeteiligung auf Hauptver-

sammlungen (HV) von Aktiengesellschaften bietet ein Beispiel. Das Aktienge-

setz wurde 2001 durch das Gesetz zur Namensaktie und zur Erleichterung der

Stimmrechtsausübung (NaStraG) geändert und sieht seitdem nicht mehr zwin-

gend die schriftliche Form zur Bevollmächtigung bei der Stimmabgabe in der

HV vor (§ 134 Abs. 3 Satz 2 AktG). Die Aktiengesellschaft kann somit in ihrer

Satzung festschreiben, dass eine Vollmacht zur Stimmrechtsausübung auch

elektronisch erfolgen kann. Allerdings bedeutet dies für den Aktionär nicht die

Möglichkeit, selber online abzustimmen, denn die Aktionäre üben ihre Rechte

"in der Hauptversammlung" aus (§ 118 Abs. 1 AktG). Lediglich die Bevollmäch-

tigung kann, auch noch während der HV, elektronisch erfolgen. Die Stimmab-

gabe selber muss aber durch eine auf der Versammlung anwesende Person

geschehen. Durch diese Regelungen und die Möglichkeit, die HV audiovisuell

zu übertragen (§ 118 Abs. 3 AktG), hat sich eine Hybrid-Form aus ,,Präsenz-HV

mit Online-Mitwirkung" (

Noack

2002) entwickelt. Wenn es sich hier auch nicht

um eine Onlinewahl im eigentlichen Sinne handelt, ist die Vollmachtenerteilung

auf elektronischem Weg doch ein erster Schritt in diese Richtung. Sie wird bei

den großen Aktiengesellschaften bereits intensiv genutzt, so dass bis zu 7,5

Prozent des präsenten Kapitals ihre Willenserklärung über das Internet senden

(vgl.

N.N.

2003). Die Sicherheit einer solchen Vollmachtenerteilung bedarf nicht

der Stärke eines Onlinewahlverfahrens, da die Geheimhaltung hier zu vernach-

lässigen ist. Lediglich die Legitimation des Anwesenden für die Stimmabgabe

muss beweisbar sein, was eine qualifizierte Signatur nach deutschem Signatur-

gesetz erfordert (,,digitale Unterschrift"). Komplexere Verfahren müssen in die-

sem Bereich erst Einzug erhalten, wenn die Stimmabgabe direkt möglich ist

oder wenn sogar die gesamte Hauptversammlung als virtuelle Versammlung im

Internet stattfindet.

Hierfür könnte der ,,Virtuelle Parteitag" des Landesverbandes Baden-

Württemberg von Bündnis 90/DIE GRÜNEN als Vorbild dienen. Ende 2000

wurde er von der Partei das erste Mal durchgeführt. Als Organ fand er aller-

dings erst 2003 Aufnahme in die Satzung (

Mausch

2003). Somit verlief der

Parteitag 2000 als Experiment, brachte aber trotzdem verwertbare Beschlüsse

hervor, denn neben intensiven Diskussionen waren auch Abstimmungsrunden

vorgesehen. Die Technik für die Abstimmungen war sehr kosteneffizient und

praxisnah, dafür allerdings nicht so sicher. Die Delegierten wurden mit asym-

metrischen Software-Schlüsseln ausgestattet, die ihnen auf Diskette zugingen

(vgl.

Mausch

2002: S. 123f.). Mit diesen Schlüsseln war es ihnen möglich, an

den Abstimmungsrunden teilzunehmen. Das Wahlprotokoll ähnelte den in Ari-

zona oder in Esslingen verwendeten Varianten. Der Wähler sandte ein von ihm

signierten und mit dem öffentlichen Schlüssel des Auszählers bzw. Urnenser-

vers verschlüsselten Stimmzettel an den Wahlvorstand, der die Signatur von

der Wahlentscheidung trennte und das Votum an die Urne weiterleitete. Dieses

Verfahren unterliegt allen Gefahren, die bereits unter 3.4.3 bzw. 3.4.4 angeführt

wurden. Zusätzlich ist eine Diskette als Träger der Signaturschlüssel anfälliger

gegen Manipulationen als eine Signaturkarte.

Die Bewertung der Rechtmäßigkeit dieses virtuellen Parteitags fällt schwer,

wenn man davon absieht, dass er zum Zeitpunkt der Durchführung noch nicht

satzungsrechtlich verankert war. Es wurden eindeutig Anstrengungen unter-

nommen, Sicherheit, Anonymität und Integrität der Daten zu gewährleisten. Die

Daten unterliegen somit dem Schutz des § 202a StGB. Die Frage ist zudem, ob

die Manipulation oder Sabotage des virtuellen Parteitags schwieriger gewesen

wäre, als die eines realen Parteitags. An diesem Punkt und dem Versamm-

lungsbegriff ist die Bewertung aufzuhängen. Denn wenn der virtuelle Parteitag

den realen Parteitag ersetzen soll, ist zu klären, ob ein virtueller Parteitag auch

als Mitglieder- bzw. Vertreterversammlung gemäß § 9 PartG gilt. Wenn beide

Fragen zu bejahen sind, wäre dies wohl ausreichend für eine bundesweite

Einführung solcher Instrumente.

Durch die fehlenden rechtlichen Bestimmungen zu Onlinewahlen in vielen Be-

reichen handeln die Durchführenden oftmals in einer Grauzone. Bis dato exis-

tieren nur wenige Beispiele für solche rechtlichen Vorgaben.

Für die Wahl zur Personalvertretung des Landesbetriebs für Datenverarbeitung

und Statistik Brandenburg wurde eine Erprobungsklausel in die Wahlordnung

zum Personalvertretungsgesetz Brandenburg (WO PersVG BB) mit aufgenom-

men43. Derzeit ist dies bundesweit aber die einzige Änderung, die in dieser

Richtung vorgenommen wurde. Weder im Bundes- noch in den anderen Lan-

despersonalvertretungsgesetzen gab es Anpassungen in dieser Richtung. Im

Bundespersonalvertretungsgesetz ist die Abgabe der Stimme ausdrücklich an

Stimmzettel und Wahlumschlag gebunden (vgl.

Schneider

2002: S. 136).

§ 50a der WO PersVG BB beinhaltet jetzt die rechtlichen Vorgaben zur ,,Erpro-

bung der elektronischen Internetwahl im Landesbetrieb für Datenverarbeitung

und Statistik Brandenburg". In diesem Paragraphen ist festgelegt, dass ein

Verfahren mit zwei Servern (Wahl- und Urnenserver) eingesetzt, der Schutz

bzw. die Integrität der Daten und die Geheimhaltung der Wahlentscheidung des

Einzelnen zu jedem Zeitpunkt gewährleistet und die Speicherung sämtlicher

Datensätze der Wahl in geeigneter Weise sichergestellt werden muss.

Eine solche Änderung einer Wahlordnung kann auch Rechtssicherheit für ande-

re Bereiche bringen. So sieht das Betriebsverfassungsgesetz derzeit keine

Klausel für Onlinewahlen vor. Im Zuge der letzten Novellierung wurde keine

Anpassung diesbezüglich durchgeführt (vgl.

Kubicek u.a.

2001: S. 104). Bei T-

Systems wurde dennoch eine Onlinebetriebsratswahl durchgeführt (s. 2.2.1).

Interessant ist dabei der Abschlussbericht zur Wahl, in dem ausdrücklich darauf

hingewiesen wird, dass eine Erprobungsklausel, wie sie im Personalvertre-

tungsgesetz des Landes Brandenburg für die Onlinewahl im Landesbetrieb für

Datenverarbeitung und Statistik eingefügt wurde, im Betriebsverfassungsgesetz

fehlt. Die Autoren vertreten aber die Ansicht, dass ,,Was [...] bei der öffentlichen

Hand (LDS) ausdrücklich erlaubt ist, [...] nicht gleichzeitig zur Nichtigkeit der

Wahl in der privaten Wirtschaft (T-Systems CSM) führen [kann]" (

Diehl u.a.

2002: S. 10). Es erfolgte kein Einspruch gegen die Wahl, was aus rechtlicher

Sicht zu bedauern ist, da es dementsprechend zu keiner (gerichtlichen) Klärung

der Frage kam.

43 § 50a Wahlordnung zum Landespersonalvertretungsgesetz des Landes Brandenburg vom

26. August 1994 (GVBl.II/94 S. 716) geändert durch Verordnung vom 29. Januar 2002

(GVBl.II/02 S.102)

Onlinewahlen unterhalb der parlamentarischen Ebene werden meist als Test-

wahlen für eventuelle Bundes- oder Landtagswahlen gesehen (vgl.

Schily

2001). Innerhalb ihres überschaubaren Rahmens könnten Erfahrungen ge-

sammelt werden im Umgang mit technischen und organisatorischen Proble-

men. Die Gegenmeinung sieht grundlegende Unterschiede zwischen dem par-

lamentarisch-politischen Bereich und z.B. Personalratswahlen (vgl.

Schneider

2002: S. 140f.). Gerade die Übersichtlichkeit der technischen Komponenten sei

bei einer Bundestagswahl nicht gegeben. Das Ausbleiben von erfolgreichen

Attacken auf die Server bei bisher durchgeführten Onlinewahlen kann auf die

Sicherheit der Systeme zurückzuführen sein. Es kann aber auch an der Unatt-

raktivität der kleineren Wahlen liegen. Bei einer Bundestagswahl wäre die Me-

dienwirkung einer Attacke größer und daher auch interessanter für Angreifer.

5 Fazit

,,Vote in your underwear!", eine fast provozierende Werbung einer amerikani-

schen Firma für Onlinewahlen lässt die Frage aufkommen, wie realistisch Ho-

me-Onlinewahlen vom heutigen Standpunkt aus sind.

Es gilt, das Paradoxon von eindeutiger Wähleridentifizierung und gleichzeitiger

Geheimhaltung seiner Wahlentscheidung zu lösen. Das Wahlverfahren muss

darüber hinaus eine ähnliche Transparenz wie die herkömmliche Wahl gewähr-

leisten.

Die theoretischen Modelle für Onlinewahlen, die von Kryptologen entwickelt

wurden, zeigen in der Implementierung verschiedene Probleme, wenn man sie

mit den Wahlrechtsgrundsätzen aus Art. 38 des Grundgesetzes abgleicht. Bei

bereits durchgeführten Onlinewahlen auf der subkonstitutionellen Ebene kön-

nen diese nachgewiesen werden. Die verschiedenen Problembereiche lassen

eine differenzierte Analyse der rechtlichen Möglichkeiten von Onlinewahlen zu.

Die Betrachtung der Geheimhaltung auf Seiten des Benutzers ergibt, dass

keine Instrumente existieren, die eine Home-Onlinewahl gegenüber den Gefah-

ren, die auch bei einer Briefwahl bestehen, resistent machen könnte. Die Ho-

me-Onlinewahl kann daher maximal als Ergänzung zur Briefwahl, gekoppelt an

Verhinderungsgründe, durchgeführt werden.

Die Frage nach der Gleichheit auf Seiten des Benutzers stützt dies. Der Digital

Divide steht einer ausschließlichen Home-Onlinewahl entgegen. Dies ist eben-

so der Fall in Bezug auf die Gefahren durch Angriffe auf die Benutzerschnittstel-

le. Sie lassen sich technisch nur durch Experten verhindern, auch wenn die

strafrechtlichen Sanktionen zum Schutz der Wähler in diesem Bereich ausrei-

chend sind.

Ebenso verhält es sich mit der Verfügbarkeit des Netzwerkes. Sabotageakte

gegen die Infrastruktur sind im Strafrecht derzeit nicht bedacht, stellen aber die

weitaus größte Gefahr für die Onlinewahl und insbesondere für die Home-

Onlinewahl dar.

Zusätzlich erfordert ein korrekter Wahlablauf auf Seiten der zentralen Wahlin-

stanz, dass die Wahlsoftware zertifiziert wird. Das Vorgehen hierbei ist bislang

ebenso ungeklärt, wie bei der Zentralisierung der Wählerverzeichnisse.

Die Transparenz durch die Öffentlichkeit der Wahl im herkömmlichen Verfahren

ist bei einer Onlinewahl schwer zu erfüllen. Eine Forderung nach Institutionen

neuen Typs, die die Kontrolle der Wahl im Auftrag der Öffentlichkeit überneh-

men, scheint akzeptabel, erfordert aber sicherlich eine längere Zeit der Instituti-

onalisierung. Derzeit kann das Vertrauen in die Onlinewahlverfahren nicht in

dem Maße hergestellt werden, wie es durch die öffentliche Wahl möglich ist.

Insbesondere die Frage nach der Wahlanfechtung bleibt auch aufgrund man-

gelnder Präzedenzfälle ungeklärt. Ob die automatisch erstellten Protokolle bei

einem Onlinewahlverfahren ausreichen, um Unregelmäßigkeiten oder Manipu-

lationen aufzudecken, ist fraglich.

Die Wahl im Pyjama bleibt somit in der nächsten Zeit eine Illusion, da die tech-

nischen Umsetzungen derzeit noch nicht den rechtlichen Anforderungen genü-

gen können. Der von der California Internet Voting Task Force vorgeschlagene

Weg einer Umsetzung in Stufen, von der Vernetzung der Wahllokale bis hin zur

Wahl von individuellen Zugängen aus, bietet die einzige Vorgehensweise, um

irgendwann einmal auf parlamentarischer Ebene sagen zu können: ,,Vote in

your underwear!". Die Quintessenz der vorangegangenen Betrachtung wäre

somit in die Formel zu pressen: ,,Die Idee ist gut, doch die Welt noch nicht be-

reit" (

von Lowtzow

1995).

6 Literatur

Benaloh, Josh Cohen/ Tuinstra, Dwight

(1994): Receipt-Free Secret-Ballot

Elections, in:

Leighton, F. Tom/ Goodrich, Michael

(Hrsg.):

Proceedings of the 26th ACM Symposium on Theory of

Computing. New York:

544-553.

Blankenagel, Alexander/ Breidenbach, Stephan

(2000): Rechtliche Probleme

von Internetwahlen, abrufbar unter:

http://www.wahlkreis300.net/fgiw/uploader/data/blankenagel

.pdf (Stand: 16.5.2003).

Buchstein, Hubertus

(2000): Präsenzwahl, Briefwahl, Onlinewahl und der

Grundsatz der geheimen Stimmabgabe, in: Zeitschrift für

Parlamentsfragen, 31 (4): 886-902.

Buchstein, Hubertus

(2001): Modernisierung der Demokratie durch e-Voting?,

in: Der Leviathan, 29 (2): 147-155.

Buchstein, Hubertus

(2002): Online-Wahlen und das Wahlgeheimnis, in:

Buch-

stein, Hubertus/ Neymanns, Harald

(Hrsg.): Online-Wahlen.

Opladen:

51-70.

Chaum, David

(1981): Untraceable Electronic Mail, Return Addresses, and

Digital Pseudonyms, in: Communication of the ACM, 24 (2):

84-88.

Chaum, David

(1988): The Dining Cryptographers Problem: Unconditional

Sender and Receiver Untraceability, in: Journal of Cryptol-

ogy, 1 (1): 66-75.

Chaum, David/ Damgard, Ivan Bjerre/ van de Graaf, Jeroene

(1988): Multiparty

computations ensuring privacy of each party′ s input and

correctness of the result, in:

Pomerance, Carl

(Hrsg.): Ad-

vances in cryptology: CRYPTO ′ 87.

Berlin u.a.:

87-119.

Diehl, Klaus/ Causse, Oliver/ Corigliano, Eva

(2002): Onlinewahlen T-Systems

CSM, abrufbar unter: http://www.forschungsprojekt-

wien.de/pdf/t_systems.pdf (Stand: 22.4.2003).

Engesser, Hermann

(Hrsg.) (1993): Duden Informatik: Ein Sachlexikon für Stu-

dium und Praxis. Mannheim u.a.

Ermert, Monika

(2000): Qual der Wahl, in: C′ t: Magazin für Computer

-Technik,

2000 (17): 32-33.

Forschungsgruppe Internetwahlen

(2002): i-vote Report. Osnabrück.

Fumy, Walter/ Kessler, Volker

(1999): Kryptologie und Datensicherheit, in:

Re-

chenberg, Peter/ Pomberger, Gustav

(Hrsg.): Informatik-

Handbuch. München u.a.:

217-238.

Gerck, Ed/ Neff, C. Andrew/ Rivest, Ronald L./ Rubin, Aviel D./ Yung, Moti

(2002): The Business of Electronic Voting, in:

Syverson,

Paul F.

(Hrsg.): Financial Cryptography. Berlin u.a.:

243-

268.

Hoffman, Lance J./ Cranor, Lorrie

(2001): Internet Voting for Public Officials -

Introduction, in: Communication of the ACM, 44 (1): 69-71.

Hügelmeyer, Philipp

(2001): Sind Wahlen über das Netz einfacher?, in: C′ t :

Magazin für Computer-Technik, 2001 (3): 106-107.

Isensee, Joseph/ Kirchhof, Paul

(Hrsg.) (1987): Handbuch für das Staatsrecht

der Bundesrepublik Deutschland, Band 2. Heidelberg.

Jones, Bill

(2000): California Internet Voting Task Force - A Report on the Fea-

sibility of Internet Voting, abrufbar unter:

http://www.ss.ca.gov/executive/ivote/final_report.pdf (Stand:

23.5.2003).

Kelter, Harald/ Koob, Frank/ Ullmann, Markus

(2001): Anonyme Online-Wahlen,

in: Datenschutz und Datensicherheit, 25 (11): 643-647.

Kelter, Harald/ Koob, Frank/ Ullmann, Markus

(2002): Digitales Pseudonym bei

Online-Wahlen, in: Computerwoche, 29 (13): 44-45.

Kubicek, Herbert/ Westholm, Hilmar/ Wind, Martin

(2002): Wahlen und Bürger-

beteiligung via Internet, in: HMD: Praxis der Wirtschaftsin-

formatik, 39 (226): 21-36.

Kubicek, Herbert/ Wind, Martin

(2001): Couchpotatoes zu Netizens, in: C′ t :

Magazin für Computer-Technik, 2001 (3): 100.

Kubicek, Herbert/ Wind, Martin

(2002): Bundestagswahl per Computer?, in:

Buchstein, Hubertus/ Neymanns, Harald

(Hrsg.): Online-

Wahlen. Opladen:

91-112.

Lange, Nico

(2002): Click′ n′ Vote

- Erste Erfahrungen mit Online-Wahlen, in:

Buchstein, Hubertus/ Neymanns, Harald

(Hrsg.): Online-

Wahlen. Opladen:

127-144.

LDS Brandenburg

(2002): Erste verbindliche Online-Wahl im LDS, abrufbar

unter: http://www.forschungsprojekt-wien.de/pdf/lds.pdf

(Stand: 22.4.2003).

Maunz, Theodor/ Dürig, Günter

(Hrsg.) (1994): Grundgesetz: Kommentar. Mün-

chen.

Mausch, Marc

(2002): Wahlen und Abstimmungen auf dem virtuellen Parteitag,

in:

Buchstein, Hubertus/ Neymanns, Harald

(Hrsg.): Online-

Wahlen. Opladen:

113-126.

Mausch, Marc

(2003): § 10: Der Virtuelle Parteitag, abrufbar unter:

http://www.politik-

digital.de/netzpolitik/weboffensive/vip.shtml (Stand:

25.5.2003).

Merritt, Michael/ DeMillo, Richard/ Lynch, Nancy

(1982): Cryptographic Proto-

cols, in:

N.N.

(Hrsg.): Proceedings of the 14th Annual Sym-

posium on the Theory of Computing. New York:

383-400.

Michels, Markus/ Horster, Patrick

(1996): Some remarks on a receipt-free and

universally verifiable mix-type voting scheme, in:

Kim,

Kwangjo

(Hrsg.): Advances in Cryptology - ASIACRYPT

′ 96.

Berlin u.a.:

125-132.

Mohen, Joe/ Glidden, Julia

(2001): The Case for Internet Voting, in: Communi-

cation of the ACM, 44 (1): 72-85.

Mühlhäuser, Max

(1999): Verteilte Systeme, in:

Rechenberg, Peter/ Pomberger,

Gustav

(Hrsg.): Informatik-Handbuch. München u.a.:

675-

708.

N.N.

(2003): Abstimmung per Mausklick, in: Frankfurter Allgemeine (26.4.2003):

23-24

Neymanns, Harald

(2002): Die Wahl der Symbole: Politische und demokratie-

theoretische Fragen zu Online-Wahlen, in:

Buchstein, Hu-

bertus/ Neymanns, Harald

(Hrsg.): Online-Wahlen.

Opladen:

23-38.

Niemi, Valtteri/ Renvall, Ari

(1994): How to Prevent Buying of Votes in Com-

puter Elections, in:

Pieprzyk, Josef/ Safavi-Naini, Reihanah

(Hrsg.): Advances in Cryptology - ASIACRYPT ′ 94.

Berlin

u.a.:

164-170.

Noack, Ulrich

(2002): Zukunft der Hauptversammlung - Hauptversammlung der

Zukunft, abrufbar unter: http://www.jura.uni-

duessel-

dorf.de/dozenten/noack/Texte/Noack/HV%20der%20Zukunf

t.htm (Stand: 25.5.2003).

Nurmi, Hannu/ Salomaa, Arto

(1994): Conducting secret ballot elections in

computer networks: Problems and solutions, in: Annals of

operations research, 51: 185-194.

Otten, Dieter

(2002): Modernisierung der Präsenzwahl durch das Internet, in:

Buchstein, Hubertus/ Neymanns, Harald

(Hrsg.): Online-

wahlen. Opladen:

71-90.

Philippsen, Michael

(2002): Internetwahlen, in: Informatik Spektrum, 25 (2):

138-150.

Phillips, Deborah M./ von Spankovsky, Hans A.

(2001): Gauging the Risks of

Internet Elections, in: Communication of the ACM, 44 (1):

73-85.

Riera-Jorba, Andreu

(1999): Design of Implementable Solutions for Large Scale

Voting Schemes. PhD Thesis, Universitat Autonoma de

Barcelona, Department d′ Informàtica Barcelona

. Barcelona.

Rothke, Ben

(2001): The Pipe Dream of Internet Voting, in: IEEE spectrum, 38

(2): 14.

Rubin, Aviel D.

(2002): Security considerations for remote electronic voting, in:

Communication of the ACM, 45 (12): 39-44.

Rüß, Oliver Rene

(2002): Rechtliche Voraussetzungen und Grenzen von Onli-

ne-Wahlen, in:

Buchstein, Hubertus/ Neymanns, Harald

(Hrsg.): Online-Wahlen. Opladen:

39-50.

Sako, Kazue/ Kilian, Joe

(1995): Receipt-Free Mix-Type Voting Scheme, in:

Guillou, Louis C./ Quisquater, Jean-Jacques

(Hrsg.): Ad-

vances in Cryptology - EUROCRYPT ′ 95. Berlin u.a.:

393-

403.

Schily, Otto

(2001): Politische Partizipation in der Informationsgesellschaft.

Kongress "Internet - eine Chance für die Demokratie", Ber-

lin.

Schneider, Peter

(2002): Zur rechtlichen Bewertung von Online-Wahlen im

Bundespersonalvertretungsrecht, in: Die Personalvertre-

tung, 45 (3-4): 136-142.

Schneier, Bruce

(1996): Angewandte Kryptographie : Protokolle, Algorithmen

und Sourcecode in C. München u.a.

Schumann, Harald

(2000): INTERNET: Wettlauf der Wähler, in: Der Spiegel, 54

(31): 198-199.

Sietmann, Richard

(2001a): Der virtuelle Wähler, in: C′ t: Magazin für Computer

Technik, 2001 (8): 70-71.

Sietmann, Richard

(2001b): Verführerischer Charme ... in: C′ t : Magazin für

Computer-Technik, 2001 (11): 22.

Stallings, William

(2001): Sicherheit im Internet. München.

Steinbeis-Transferzentrum Mediakomm

(2001): Erfahrungsbericht (Online-)

Jugendgemeinderatswahl in Esslingen am Neckar 09. bis

12. Juli 2001, abrufbar unter:

http://www.jgrwahl.esslingen.de/4072013_auswertungsberic

ht_jgwahl_mamr.pdf (Stand: 21.4.2003).

Tauss, Jörg/ Kollbeck, Johannes/ Fazlic, Nermin

(2001): Die Modernisierung

des Informationsrechts als Reformprojekt zur elektroni-

schen Demokratie, in: Zeitschrift für Gesetzgebung, 16 (3):

211-245.

von Ilsemann, Siegesmund

(2000): "Bush, Clinton, Bush, Clinton", in: Der Spie-

gel, 54 (49): 230.

von Lowtzow, Dirk

(1995): Die Idee ist gut, doch die Welt noch nicht bereit, in:

Tocotronic: Digital ist Besser (Audio-CD). Hamburg.

Waidner, Michael/ Pfitzmann, Birgit

(1989): The Dining Cryptographers in the

Disco: Unconditional Sender and Recipient Untracebility

with Computationally Secure Serviceability, in:

Quisquater,

Jean-Jacques/ Vandewalle, Joos

(Hrsg.): Advances in

Cryptology - EuroCrypt ′ 89. Berlin u.a.

Will, Martin

(2002): Internetwahlen. Stuttgart u.a.

7 Abbildungsverzeichnis

Abbildung 1 - ,,Vertrauenswürdigen Schlüsselvergabe plus anonyme

Kommunikationskanäle" nach

Philippsen

Abbildung 2 - ,,Verbessertes Wählen mit einer einzigen zentralen Wahlleitung"

nach

Schneier

Abbildung 3 - Wahl zum Studierendenparlament an der Universität Osnabrück

Abbildung 4 - Personalratswahl im Landesbetrieb für Datenverarbeitung und

Statistik Brandenburg 21

Abbildung 5 - Betriebsratswahlen bei T-Systems CSM 25

Abbildung 6 - Jugendgemeinderatswahl in Esslingen 26

Abbildung 7 - Arizona Democratic Party′ s Presidential Preference Primary

Abbildung 8 - ISO-OSI-Schichtenmodell 37

Ich erkläre hiermit an Eides Statt, dass ich die vorliegende Magisterarbeit "′Vote

in your underwear!′ - Rechtliche und technische Aspekte von Wahlen und Ab-

stimmungen via Internet" selbständig verfasst sowie die benutzten Quellen und

Hilfsmittel vollständig angegeben habe und dass die Arbeit nicht bereits als

Prüfungsarbeit vorgelegen hat.

Braunschweig, den 26.6.2003

Stefan Henze

Wendenring 38

38114 Braunschweig

Comments

No comments yet

Other users also were interested in the following titles:

Formatvorlage / Vorlage für eine Diplomarbeit - Formatvorlage / Vorlage für eine Hausarbeit für Microsoft Word

Author: GRIN Verlag
Presentations, Models, Tutorials, Instructions, 2005 Download as PDF-file for 6,99 EUR

Formatvorlage / Vorlage für eine Diplomarbeit - Formatvorlage / Vorlage für eine Hausarbeit für OpenOffice.org

Author: GRIN Verlag
Presentations, Models, Tutorials, Instructions, 2005 Download as PDF-file for 9,99 EUR

Formatvorlage zur Erstellung einer Diplomarbeit / Vorlage zur Erstellung einer Hausarbeit

Author: Marco Feindler
Presentations, Models, Tutorials, Instructions, 2005 Download as PDF-file for 6,99 EUR

Formatvorlage / Vorlage für eine Diplomarbeit / Hausarbeit

Author: GRIN Verlag
Presentations, Models, Tutorials, Instructions, 2008 Download as PDF-file for 6,99 EUR

Anleitung zum Erstellen schriftlicher Arbeiten: Der Aufbau einer wissenschaftlichen Arbeit

Author: Zoran Zivkovic
Presentations, Models, Tutorials, Instructions, 2004 Download as PDF-file for 5,99 EUR

Erstellen einer schriftlichen Hausarbeit

Author: Claudia Nickel
Presentations, Models, Tutorials, Instructions, 2006 Download as PDF-file for 4,99 EUR

Grundtechniken wissenschaftlichen Arbeitens

Author: Maik Philipp
Presentations, Models, Tutorials, Instructions, 2004 Download as PDF-file for 5,99 EUR

Ratgeber zur Erstellung wissenschaftlicher Arbeiten. Diplomarbeiten - Hausarbeiten - Seminararbeiten

Author: Mark Richter
Presentations, Models, Tutorials, Instructions, 2008

This text can be quoted and accessed from this url:

http://www.grin.com/e-book/108623/vote-in-your-underwear-rechtliche-und-technische-aspekte-von-wahlen

Author of this text

Stefan Henze

Related Texts

Comments

No comments yet

Add Comment

This Text

Embed

Bookmark