Heise berichtete am 4. Mai über eine Kleine Anfrage im Bundestag und die Antwort des Innenministeriums darauf. Es geht um Wahlcomputer und Zweifel an ihrer Brauchbarkeit. Das Ministerium hält die Geräte für hinreichend manipulationssicher. Die Sicherheit werde durch technische und organisatorische Maßnahmen gewährleistet, absolute Sicherheit sei auch bei Wahlen mit Stimmzettel und Stift nicht gegeben und überhaupt sei Wahlfälschung ja auch verboten.
Das Original der Antwort liegt leider nur den Heise-Redakteuren vor. Was in deren Bericht auffällt und in der Antwort des Ministeriums vermutlich nicht anders ist: mit den Sicherheitsanforderungen setzt man sich nicht auseinander. Ohne die aber ist Sicherheit ein leerer Begriff. Wenn ich nicht weiß, was ich vor wem schützen möchte, wie kann ich dann von hinreichender Sicherheit reden?
Anforderungen kann man auch implizit formulieren, etwa indem man sich vor bestimmten Angriffen schützt und vor anderen eben nicht. Als Grundlage für eine gesellschaftliche Debatte – es geht immerhin um ein zentrales Element der repräsentativen Demokratie – taugt dieser Ansatz freilich kaum.
Na schön, wenn’s nicht anders geht, lesen wir eben zwischen den Zeilen:
- Als Angreifer vermutet man offenbar ausschließlich Einzeltäter außerhalb des Staatsapparats. In der Antwort des Ministeriums ist die Rede von sorgfältigem Umgang mit den Geräten und ihrer sorgfältigen Verwahrung durch Behörden und Organe, von Unbefugten und von Dritten.
Solche Angriffe sind gewiss relevant, aber was ist mit den anderen, denen durch Befugte, durch Innentäter? Wer sind die Interessenträger, welche effektiven Angriffe sind zu berücksichtigen? Was einzelne Externe in einzelnen Wahllokalen oder Wahlkreisen anstellen könnten, würde in vielen (nicht allen) Fällen sowieso im statistischen Rauschen untergehen, jedenfalls bei den großen Wahlen. - Mit sorgfältig meint das Ministerium wohl: genauso sorgfältig wie mit Wahlzetteln und -urnen. Dass ein Wahlcomputer etwas anderes ist als eine Urne oder ein Packen Wahlzettel, ignoriert man.
In eine Urne kann ich am Morgen des Wahltages hineinschauen. Ist sie zu diesem Zeitpunkt leer, so werden jedenfalls in ihrem Inneren keine Wahlzettel entstehen. In einem Computer geht so etwas schon. - Die Prozess-Sicht fehlt völlig. Wählen ist aber keine Technik, sondern ein Vorgang, und Sicherheitsmechanismen gehören entsprechend auch in die Abläufe und Regeln dieses Vorgangs.
Mit Papier, Stift und Urne funktioniert das gut, weil der Prozess zur Technik passt. Mit Ausnahme der Briefwahl ist Wählen ein Vorgang, der aus einer Reihe einfacher, leicht zu durchschauender und leicht zu verstehender Schritte besteht. Das macht es schwer, unter Einhaltung der formalen Regeln oder unter Täuschung der Verantwortlichen und der Beobachter zu manipulieren. - Die Forderung nach Transparenz fehlt. Wahlen werden vom Staat organisiert, aber von den Bürgern kontrolliert. Oder, wenn es für ein Land mal richtig oder schlimm kommt, vielleicht von UN- oder OSZE-Beobachtern. Die müssen aber auch genug sehen können. Und zwar ohne besondere Anforderungen Anforderungen an die Beobachter. Ein gutes Wahlverfahren ist so gestaltet, dass eine kleine Anzahl von Menschen ohne besondere Kenntnisse und Fähigkeiten den Ablauf beobachten und zumindest umfangreichere Manipulationen aufdecken kann.
- Und was ist mit DoS? Nicht nur vor Manipulation müssen wir unser Wahlsystem schützen, es muss auch robust sein. Wenn wichtige Wahlen nicht funktionieren, etwa weil ihnen der Ruch der Fälschung anhaftet, dann ist das ganz schlecht. Staatskrise nennt man das, was dabei herauskommt: Organe verlieren ihre Legitimation, ohne auf legitime Weise ersetzt zu werden. Das ist das Letzte, was man als Bürger will.
Was also würde passieren, wenn sich ein paar Leute zusammentun, um Zweifel zu säen? Hier ein Siegel gebrochen, dort eine Machine manipuliert – das muss gar keinen Einfluss auf das Ergebnis haben, es genügt das Unwissen, ob es eins hatte. Und keiner, keiner kann was prüfen, vgl. Nr. 4. Denial of Service ist oft die am schwersten abzuwehrende Angriffsart.
Diese Analyse ist sicher nicht vollständig, sie enthält nur das Offensichtliche. Das genügt aber auch, um dagegen zu sein. Warum Standards und Zertifizierungen keine Lösung sind, erkläre ich ein andermal.
Sicher ist sicher? 
Für’s nächste Mal – http://www.bsi.bund.de/zertifiz/zert/reporte/PP0031b.pdf
Das Interessante an Sicherheitszertifikaten sind immer die Annahmen, im vorliegenden Fall zu finden in Abschnitt 3.1 des Dokuments. Sie schränken die Gültigkeit der Zertifikatsaussage ein. Dazu gehören hier unter anderem:
Da hat man wohl genau das zertifiziert, was man für so ein System eben ohne große Bauchschmerzen zertifizieren kann. Mit der Folge, dass ich weiter Bauchschmerzen habe, weil ich eben gern die Einhaltung der tatsächlichen Sicherheitsanforderungen zertifiziert sähe, und nicht die der erfüllbaren.
Das ist eigentlich noch mal ein eigenes Posting wert, wenn ich mal Zeit habe. Danke für den Link erst mal.
Ja, das würde mich echt interessieren. Der Wahlgang zeigt aber die Schwächen der CC-Zertifizierung besonders. Das merkt man auch daran, was die alles bei der Untersuchung nicht beachten – Drucker, elektronische Urne, etc. Zur Fälschungssicherheit bei der Wahl mit dem Stift trägt das Zertifikat wohl dementsprechend wenig bei.