1. November 2006

Wahlcomputer: Sicherheitsmerkmale und -Lücken

Nach dem sich Stefanolix und MartinM schon dem Thema “Wahlcomputer” angenommen haben, möchte ich nun noch einige andere Aspekte hinzufügen. Insbesondere soll dargestellt werden, dass die Manipulierbarkeit keine rein theoretische Gefahr ist sondern real realisiert werden könnte.
Deshalb geht es in diesem Artikel primär um die konkreten Sicherheitsmerkmale der eingesetzten Wahlmaschinen und deren Wirksamkeit

Natürlich kann auf diese Weise nicht gegen das Prinzip der Wahlmaschinen an sich argumentiert werden, sondern nur gegen konkrete Maschinen, aber wer sieht wie sorglos mit der Manipulierbarkeit umgegangen wird, sollte darüber nachdenken, ob man nicht prinzipiell die sichere Alternative (Papierwahl) wählen sollte.

Es gibt bei Wahlcomputern mehrere Sicherheitsmerkmale, die aber alle wenig überzeugt sind:

  1. In dem Prüfbericht der Physikalisch-Technischen Bundesanstalt (PTB) wird ein einziges Sicherheitsmerkmal der aktuell in Deutschland eingesetzten Wahlmaschinen erwähnt.
    Die Maschine zeigt beim Start eine Prüfsumme der Software an. Dies bedeutet, dass jede kleine Änderung der Software zu einer anderen Prüfsumme führen wurde und so jede Manipulation auffallen sollte.
    Bei jeder Wahl wird in einem geregeltem Verfahren durch den Wahlleiter kontrolliert, ob diese Anzeige mit dem Siegel der Maschine übereinstimmt.Aber man darf nicht vergessen, dass es sich bei der Wahlmaschine um einen frei-programmierbaren Computer handelt. Wenn man in der Lage ist die Software zu manipulieren, so kann man auch festlegen, welche Anzeige erfolgt. Insbesondere wird man als Angreifer natürlich festlegen, dass die Prüfsumme der ursprünglichen Software ausgegeben wird und nicht die ungültige Prüfsumme der aktuellen (manipulieren) Software. Laut den Beobachtungen des Chaos Computer Clubs (CCC) bei der aktuellen Wahl in Cottbus scheint man dieser Prüfsumme eh keine größe Beachtung zu schenken.
    Laut dem CCC hängt die gesamte Argumentation des PTB für Manipulationssicherheit der Maschinen von der Prüfung der Prüfsumme ab.
  2. Innenministerium sagt zwar, dass eine Manipulation theoretisch möglich wäre, aber in der Praxis extrem schwierig wäre, da der Quellcode ja nicht zur Verfügung steht. Für eine reale Durchführung einer Manipulation wäre aber der Quellcode notwendig.
    Zu dieser Argumentation braucht man eigentlich nur wenige Worte verlieren. Alle Sicherheitslücken von Windows wurden auch ohne Zugriff auf den Quellcode entdeckt. Gleiches gilt natürlich für Computerviren und für Software bei denen der Kopierschutz entfernt wurde. Die Argumentation auf Grund der Geheimhaltung der Softwaredie Sicherheit gewährleistet werden könne, ist ziemlicher Unsinn. In der Informatik wird als Kerckhoff Prinzip bezeichnet, dass die Sicherheit eines Systems (ursprünglich Kryptosystems) nicht von der Geheimhaltung des Verfahrens abhängen darf.
  3. Ein weiteres Argument für die Sicherheit der Software ist, es dass die Wahllisten erst im Wahllokal in die Maschine eingegeben werden (durch eine auswechselbares Speichermodul, eine Art Diskette). Auf diese Weise ist vor dem Beginn der Wahl nicht klar z.B. welcher Kandidat auf welchem Knopf liegt. Eine Manipulation wäre schon deshalb schwieriger. Laut dem Innenministerium ist dies einer der zentralen Gründe für die Sicherheit der Wahlmaschinen.Laut dem CCC zieht auch dieses Argument nicht. Man könnte eine Hintertür in die Wahlsoftware einbauen, so dass während der laufenden Wahl bestimmt werden kann, welcher Kandidat bevorzugt werden soll. Eine Möglichkeit wäre es eine Tastenkombination wie 5x Abbruch und danach die Kandidatentaste festzulegen. Die manipulierte Software könnte dies erkennen und danach den gewählten Kandidaten bevorzugt behandeln z.B. jede 10. Stimme manipulieren.

Eine weitere grundsätzliche Frage stellt sich auch:
Unabhängig von der nachträglichen Manipulationssicherheit, sollte man sich fragen, warum man einer einzelnen Firma so sehr vertrauen sollte, um ein so grundlegendes Element der demokratischen Ordnung in deren Hände zu geben. Besonders wenn nicht klar ist, wie die Prozesse innerhalb der “Black-Box” Wahlmaschine ablaufen. Das Öffentlichkeitsprinzip der Wahl ist damit kaum gewährleistet.

Der Hersteller versichert zwar, dass alle Geräte bauart-gleich (inkl. Software) sind, aber kontrolliert und sei es auch nur durch Stichproben wird dies nicht. Selbst wenn Stichproben durchgeführt werden würden, dann wäre es für die Prüfer immer noch schwierig die Änderungen in der Software aufzuspüren, da es sich ja um kleine Änderungen in kleineren Modulen handeln könnte.

Ehre wem Ehre gebührt:
Die hier verwendeten Informationen wurden weitgehend einem Interview zwischen Markus Beckedahl und dem CCC-Aktivist Andreas Bogk entnommen. Das Interview ist hier verfügbar.
Im Moment gibt es bei dem Thema einige interessante Entwicklungen, die ebenfalls auf netzpolitik.org dargestellt werden.

Unsere Serie wird in dieser Woche fortgesetzt. Bisher haben 20.147 Bürger die Petition gegen Wahlcomputer unterschrieben.

Was wir bisher zu diesem Thema geschrieben haben:
MartinM über die Petition gegen Wahlcomputer (am 28. Oktober).
Stefanolix über die Begriffe Wahlcomputer und Wahlmaschine (am 29. Oktober) und das Wahl(computer)geheimnis (am 31. Oktober).

* Verfasst von dirkmeister um 20:24 Uhr in der Kategorie Grundsatzfragen, Innenpolitik, Politik (Trackback)

Ähnliche Beiträge


7 Kommentare zu “Wahlcomputer: Sicherheitsmerkmale und -Lücken”

  1. Sgt. Hartman
    2.11.2006 | 0:11

    Ich halte die Wahlmaschinen in ihrer jetzigen Ausführung sowie den zugehörigen (bzw. nicht vorhandenen) organisatorischen Kontrollen für nicht ausreichend sicher und daher eine grundsätzliche und reale Gefahr für die Demokratie.

    Der CCC spricht die entscheidenden Schwächen ja schon an, schießt dabei in seiner Art der Argumentation wohl teilweise auch über das Ziel hinaus. Unbewiesene Unterstellungen zu Bordellbesuchen machen die ganze Aktion gerade für technikferne Schichten, die die Detailargumente nicht eigenständig verifizieren können, nicht seriöser. Andererseits sei’s ihnen nachgesehen,um aufzurütteln muss man manchmal eben auch ein wenig provozieren.

    Punkt 2 in Deiner Darstellung wirft dann aber doch einiges durcheinander, z.B. ist eine Argumentation mit Kerckhoffs Prinzip sowohl überflüssig als auch unschlüssig, da es sich eher um eine (übrigens nicht unumstrittene) Meinung und kein Naturgesetz handelt, aus dem man irgendetwas ableiten könnte.

    Weiterhin geht es bei dem Argument mit den Sicherheitslücken im Interview nicht darum, dass sie auch ohne Kenntnis des Quelltexts gefunden werden (denn das bestreitet ja - hoffentlich - auch die PTB nicht), sondern dass eben auch über solche Lücken das Einschleusen von zusätzlichem Code möglich ist, ohne den restlichen verändern, geschweige denn überhaupt kennen zu müssen.

  2. dirkmeister
    2.11.2006 | 8:54

    Die Unterstellung der Bordellbesuche ist auch mir negativ aufgefallen.

    Bei Wahlen gibt es ein “Öffentlichkeitsprinzip”, wie es ja auch im Podcast erklärt wird. Gerade deshalb ist es in meinen Augen auch sinnvoll, dieses Öffentlichkeitsprinzip auch auf den Quellcode der Maschinen auszudehnen. Das Öffentlichkeitsprinzip heisst ja, dass jeder Bürger die Möglichkeit haben soll den korrekten Ablauf der Wahl zu beobachten. Wenn aber nur der Hersteller und der PTB den Sourcecode kennen, ist für den einfacher Bürger diese Kontrolle nicht mehr möglich.

  3. stefanolix
    2.11.2006 | 9:17

    Ich würde die Diskussion nicht auf dem Feld der Technik führen. Für sehr viele Wähler ist es völlig egal, ob der Quelltext der Software offenliegt: für sie ist ein Linux-Rechner ein unbekanntes Wesen und ein Windows-Rechner auch. Wenn Du ihnen die Möglichkeit des Nachzählens von Zetteln nimmst, dann fühlen sie sich von der demokratischen Kontrolle ausgeschlossen. Wenn wir also bei Wahlen überhaupt ein technisches Werkzeug zulassen, dann muss es ein “Backup” jeder Stimme in Form eines Wahlzettels geben. Und diese Wahlzettel müssen im Zweifelsfall nachgezählt werden.

    Aber bleiben wir mal bei der Technik: Für den “einfachen Bürger” ist die Kontrolle des Wahlcomputers auch nicht möglich, wenn der Sourcecode offenliegt. Er könnte zwar theoretisch die Kontrolle an jemanden delegieren, der sich mit Computern sehr gut auskennt. Der Quellcode der Software auf dem Wahlcomputer wird jedoch nie ganz offenliegen: Die in Holland gerade aus dem Verkehr gezogenen Wahlcomputer hatten eine Windows-Version als Betriebssystem. Keiner glaubt ernsthaft, dass Microsoft den Quellcode offenlegen würde, nur weil das Windows auf einem Wahlcomputer installiert wurde.

  4. dirkmeister
    2.11.2006 | 9:38

    Leider ist IMHO das Thema “Wahlmaschinen” aus einer falschen Technikbegeisterung entstanden.

    Ich glaube deshalb ist es auch sinnvoll, wenn man die Technikexperten (hier den CCC) zu Wort kommen läßt. Die beteiligten Politker und Wahlmaschinenhersteller argumentieren häufig mit der Sicherheit der Maschinen. Der normale Bürger ist damit verständlicherweise durchaus beruhigt.
    Selbst wenn die Kritik der Technikexperten nicht in allen Punkten verstanden wird, so macht die deutlich dass die Befürworter vielleicht nicht Recht haben. An dem Punkt ist es eine Art Vertrauensfrage. Wem glaubt der Bürger mehr den Wahlmaschinenhersteller oder den Kritikern.

    Wir brauchen eine grundsätzliche Diskussion, die die Folgen für die Demokratie aufzeigt. Darauf wird aber erwidert, man würde sich etwas zusammenspinnen, aber real wäre das nicht möglich. Deshalb brauchen eine etwas technisch angehauchte Debatte, die darlegt, dass
    die grundsätzlichen Erwägungen keine Spinnerei sind.

    Ich habe versucht die technische Argumentation so klar wie möglich darzulegen. Kritische Begriffe, die normalen Computerbenutzer nicht bekannt sind, habe ich deshalb auch auf die entsprechenden Wikipedia-Artikel verlinkt.

    Natürlich ist es dem Wähler erstmal egal, ob der Quelltext offen liegt oder nicht. Aber geschlossener Quellcode verbindert jede Möglichkeit für Bürger zur Kontrolle, selbst von denen, die es nachvollziehen könnten.
    Du hast aber Recht: Letztendlich würde auch ein offener Quelltext keine grundsätzliche Verbesserung darstellen, da große Teile der Bevölkerung nicht mehr in der Lagen die Kontrollmöglichkeiten wirklich zu nutzen.

    Wenn ich höre, dass auf Wahlmaschinen Windows läuft, dann mache ich mir echt Sorgen. Vielleicht ist das aber etwas, was jeder normale Computernutzer, der sich schon Trojaner und ähnliches eingefangen hat, nachvollziehen kann.

  5. R.A.
    2.11.2006 | 11:54

    Mal nebenbei halte ich das Kostenargument für ganz nützlich. Offenbar machen die Wahlcomputer die ganze Sache ja teurer - das kann eigentlich niemand verantworten.

    Insbesondere, weil als einziger Vorteil bei der ganzen Sache nur die etwas frühere Ergebnisbereitstellung rauskommt - das ist schon mager bei so viel Bohei und so viel Risiko.

  6. stefanolix
    2.11.2006 | 12:47

    Dirk, der Artikel ist für eine bestimmte Zielgruppe absolut in Ordnung. Natürlich muss man über die Sicherheitsprobleme der aktuell verfügbaren Wahlcomputer reden. Aber wir fassen das Problem von der falschen Seite an, wenn wir uns darauf versteifen.

    Bevor man über die Qualität eines technischen Gerätes diskutiert, muss man doch erst mal eine Grundsatzentscheidung über den Einsatz dieses Gerätes treffen. Eine Wahl ist in der Demokratie so wichtig, dass man auf keinen Fall hinter den Ist-Zustand zurückfallen darf.

    Also muss es etwa in den folgenden Schritten ablaufen: Analyse des Ist-Zustands, Analyse der Anforderungen, Formulierung eines Pflichtenheftes, Ausschreibung für einen Prototyp auf der Basis des Pflichtenheftes. Am Ende dieser Vorgänge kann als Ergebnis herauskommen, ob ein solches Gerät aus technischer und wirtschaftlicher Sicht möglich oder unmöglich ist.

    In der Praxis ist es doch offensichtlich ganz anders gelaufen: die Unternehmen kamen zu den Politikern und haben versucht, sie von den fertigen (offenbar sehr unvollkommenen) Geräten zu überzeugen. Oder gab es die oben genannten Schritte und wir wissen nichts davon? Wenn es diese Schritte gegeben haben sollte, dann wäre es interessant, mal in das Pflichtenheft zu schauen ;-)

    Wenn wir also das Ziel haben, liberale Politiker von unserer Position zu überzeugen, müssten wir doch etwas anders argumentieren als der CCC. Wir dürfen natürlich die technischen Schwächen der bisher konstruierten Geräte nicht unter den Tisch fallen lassen. Aber nach meiner Überzeugung gehören diese Schwächen in den Anhang. Denn wenn es nach wirklich demokratischen Gesichtspunkten und nach dem Wahlrecht ginge, könnten wir die aktuellen Geräte alle nach /dev/Schrottplatz verschieben und müssten ganz neu anfangen.

  7. wahlleiter.de
    19.01.2007 | 9:50

    Wo hat sich die Seele meiner Deutschen Leitkultur denn versteckt ?

Bad Behavior has blocked 666 access attempts in the last 7 days.