Das Pentagon stoppt ihr eVoting Projekt. Im Interview erläutert Prof. Dieter Otten, Internetwahl-Experte Universität Osnabrück, wann das Internet für Wahlen geeignet ist und was in Deutschland sicher anders ist.

Das Pentagon stoppt ihr eVoting Projekt. Im Interview erläutert Prof. Dieter Otten, Internetwahl-Experte Universität Osnabrück, wann das Internet für Wahlen geeignet ist und was in Deutschland sicher anders ist.

Der Aufschrei war groß, als die IT-Experten einer unabhängigen Prüfkommission am Mittwoch letzter Woche ihr vernichtendes Urteil über das elektronische Wahlprogramm für die amerikanischen Streitkräfte mit dem Namen SERVE (Secure Electronic Registration and Voting Experiment) fällten: Das System sei so fehlerhaft, dass von einer Nutzung durch Soldaten in Auslandseinsätzen bei den Vorwahlen zu Präsidentschaftswahlen und den eigentlichen Präsidentschaftswahlen 2004 in den USA dringend abzuraten sei.

Prof. Dr. Dieter Otten, Leiter der Forschungsgruppe InternetwahlenProf. Dr. Dieter Otten, Leiter der Forschungsgruppe Internetwahlen und Manager des vom Bundesministerium für Wirtschaft und Arbeit (BMWA) geförderten Projektes W.I.E.N. (
Wählen in elektronischen Netzwerken) zeigt sich nicht verwundert über die Stellungnahme der Wissenschaftler, die sich über die Sicherheit des SERVE-Programms von Accenture äußern.

politik-digital.de: Herr Professor Otten, was sagen Sie zu den aktuellen Verwirrungen bezüglich der Sicherheit von Onlinewahlen, wie sie jetzt aufgrund des SERVE-Reports in den USA laut geworden sind?

Prof. Otten: Mich verwundert die Stellungnahme nicht. Es ist tatsächlich so, dass niemand Online-Wahlen von ungesicherten PCs mit Programmen verantworten könnte, deren Quellcode unbekannt ist und die von undurchsichtigen Serverstrukturen verwaltet werden. Wir sind schon vor Jahren zu diesem Ergebnis gekommen. Im Übrigen ist das auch in den USA nichts Neues, denn vor gut einem Jahr hat ein Gremium aus Wissenschaftlern des MIT und des CalTech, damals unter Mitarbeit von Ron Rivest, dem Vater der modernen Kryptologie, nahezu wortgleich argumentiert. Von daher ist die Aufregung eigentlich nur dem Umstand zu verdanken, dass diese Programme jetzt bei den Präsidentschaftswahlen eingesetzt werden und die GI`s ihren Präsidenten tatsächlich von überall in der Welt wählen sollen. Außerdem dürfte da ein gutes Stück Wahlkampf hinter stecken. Allgemein wird erwartet, dass die Bush-Administration einen starken Rückhalt bei den GI`s habe und deshalb daran interessiert ist, die Soldaten in großer Zahl an die Urnen zu bringen. Von daher pusht das Pentagon diese Wahlen. Die Kritiker wollen es der Bush-Administration offenbar nicht so leicht machen. Schließlich könnten die GI`s die Wahl entscheiden…

politik-digital.de: Wo liegen die grundsätzlichen Unterschiede zwischen dem SERVE-Wahlsystem und dem Wahlsystem »i-vote«, das Sie bereits seit mehreren Jahren einsetzen?

Prof. Otten: Die Frage kann ich nur bedingt beantworten, weil in der wissenschaftlichen Öffentlichkeit keiner so recht weiß, was sich hinter SERVE verbirgt. Ich muss mich also auf das verlassen, was ich lese und höre. Wenn ich es richtig verstanden habe, dann handelt es sich um ein System, mit dem man von irgendeinem PC aus wählen kann, der in keiner Weise besonders geschützt ist oder bei dem keinerlei Sicherheitsvorkehrungen ergriffen werden. Wir wissen nicht, wie die Identität des Wählers gesichert wird, vermutlich nicht über eine Signaturkarte. Wir glauben auch, dass die Server mit einer für uns nicht durchsichtigen Administrationsstruktur verwaltet werden, d. h. die Stimmen gehen irgendwo auf einem Server ein, der vielleicht den Sicherheitsansprüchen genügt, aber dessen Administrationsrechte unbekannt sind. Das deutsche Verfahren geht demgegenüber ganz anders vor. Es beruht auf vier technologischen Eckpunkten: Erstens auf dem Einsatz einer qualifizierten Signatur, zweitens auf einem speziellen Wahlbetriebssystem auf einer Boot CD, drittens auf einem blinden Verschlüsselungsverfahren und verdeckten Auswertungssystem nach dem Modell von David Chaum („nichts zur Identität, wenn man ein Votum abgibt und nichts über das Votum, wenn man seine Identität aufdeckt“) und viertens auf dem Prinzip der informationellen Gewaltenteilung, so dass auch von Innen keine Manipulationen stattfinden können. Hinzu kommt natürlich noch eine hochwertige Verschlüsselung, über deren Charakter wir uns im System selbst nicht festlegen. Das kann kryptographisch als auch steganografisch sein, es hängt sozusagen vom Sicherheitscharakter der jeweiligen Wahl ab.

politik-digital.de: Im Zusammenhang mit dem SERVE-Modell fällt immer wieder das Wort „ARP-Spoofing“, vor dem eindringlich gewarnt wird. Was bedeutet dies genau und wäre es auch ein Problem für Ihr Wahlsystem?

Prof. Otten: ARP-Spoofing, also das Senden von gefälschten Paketen im Address Resolution Protocol, um eine Nachricht abzufangen und zu verändern, ist eine Kategorie des »Man in the Middle Problems«. Es kann zwar bekämpft, aber in offenen Systemen nicht wirklich verhindert werden. Genauso lässt es sich nicht verhindern, dass jemand über die Straße läuft und von einer anderen Person beobachtet wird. Die Frage ist aber, ob das Spoofing in einem Wahlsystem zu etwas Nutze ist. In unserem System wäre ARP-Spoofing in geschlossenen Netzen ohnehin nicht möglich. In offenen Netzen wäre es bei unserem System völlig unsinnig, weil eine gefälschte Nachricht nirgendwo erfolgreich abgegeben werden kann. Was würde also passieren, wenn die Nachricht in einem solchen Wahlsystem gespooft würde? Der Spoofer säße vor einer unlösbaren Aufgabe. Wir können ARP Spoofing zwar nicht verhindern, aber wir machen es sinnlos! Das einzige was passieren könnte, wäre, dass der Wähler nach einer gewissen Zeit darüber informiert würde, dass seine Stimme nicht angekommen ist, und dass er die Wahl noch mal wiederholen bzw. die Stimme einfach neu abgegeben werden muss.

politik-digital.de: Wie stehen Sie zu der Aussage des amerikanischen Expertenberichts, das Internet eigne sich nicht als Medium für Wahlen?

Prof. Otten: Es gibt einen Punkt, in dem wir mit den Kollegen nicht übereinstimmen und das betrifft die grundsätzliche Einschätzung, das Internet sei für Wahlen womöglich überhaupt nicht einsatzfähig. Hier wird mit dem Begriff Internetwahlen völlig unpräzise gearbeitet. Es bleibt offen, ob hier von einer naiven Nutzung des Webs ohne jede Sicherheitsvorkehrung die Rede ist, oder von der Nutzung der Internettechnologien für Wahlen. Wenn wir von Internetwahlen reden, dann meinen wir, dass wir die Internet-Technologie nutzen, um Wahlen durchzuführen, also TCP/IP, Webtechnologie, Java, Applets, Servelets, eine bestimmte Server-Client-Struktur usw.. Das heißt aber nicht, dass wir deswegen in jedem Falle das u. U. unsichere, hundsgemeine Web nutzen werden. Das kann auch heißen, geschlossene Systeme, etwa ein Intranet oder besonders geschützte Netzwerke zu benutzen, offenbar etwas, das die amerikanischen Kollegen ausdrücklich befürworten würden. Unabhängig davon glauben wir allerdings, dass es durchaus Möglichkeiten gibt, Systeme zu entwickeln mit denen selbst über das einfache Web mindestens so sicher gewählt werden kann, wie bei einer Briefwahl, wo man bestimmte Sicherheitsfeatures auch nicht will. Welche Lösung man schließlich wählt, hängt also nicht nur davon ab, was man unter Internet versteht, sondern auch welches Sicherheitsniveau angestrebt wird. Bei nationalen Wahlen oder bei Präsidentschaftswahlen wie in den USA würden wir niemals einer naiven Nutzung des Webs zustimmen, sondern nur einem Modus, bei dem aus geschlossenen Architekturen und vernetzten Wahllokalen gewählt wird – etwas, dass die US Kollegen mit ihrem Hinweis auf Kiosksystem auch im Auge zu haben scheinen. Also: Wenn man unter Internetwahlen versteht, von ungesicherten PCs, einer unsicheren Verschlüsselung ohne jede Sicherheitsarchitektur zu wählen, dann haben die Kollegen Recht. Wenn man aber darunter versteht, die Internettechnologie innerhalb einer Sicherheitsarchitektur zu nutzen, dann ist die Aussage in einer für mich unverständlichen Weise unpräzise und eines wissenschaftlichen Gremiums von solcher Qualität auch eigentlich nicht angemessen.

politik-digital.de: Sehen Sie Internetwahlen durch solche Berichte in Deutschland zukünftig in Gefahr?

Prof. Otten: Eigentlich nicht! Zwar werden undifferenzierte Argumente, wie sie in der journalistischen Rezeption des SERVE Berichts aufgetreten sind, im politischen Alltag schnell aufgesogen und könnten bestehende Vorurteile verfestigen, wogegen wir die Stimme der Vernunft erklingen lassen müssen! Aber mit diesem Bericht ist nichts Neues festgestellt worden und unpräzise Debatten in dieser Form wird es immer wieder geben. Die wesentlichen Punkte sind ja gar nicht kontrovers. Das sollten die politisch Verantwortlichen kühl zur Kenntnis nehmen. Wir in Deutschland haben in der Praxis längst umgesetzt, was die Amerikaner jetzt monieren. Unsere Regierungen sind eben sehr viel kritischer und sehr viel präziser im Umgang mit solchen Problemen – ein Vorteil der oftmals gerügten preußischen Tradition. Wir sind aber auch nicht so euphorisch wie die Amerikaner. Im Übrigen sind die Autoren des SERVE Reports in einem zentralen Punkt gewiss weit über das Ziel geschossen. Ihr Hauptargument ist nämlich, man dürfe nicht mit dem Internet wählen, weil das Web grundsätzlich nicht sicher sei und man vor allem nicht wissen könne, ob überhaupt ein Angriff geführt worden wäre bzw. Stimmen gefälscht worden seien oder nicht. Wenn dieses Prinzip auf unsere herkömmlichen Wahlen angewendet wird, käme man schnell zu einem absurden Ergebnis: Gerade die letzten US-Präsidentenwahlen waren besonders leicht zu fälschen und niemand kann ausschließen, dass Fälschungen stattfinden, die nie festgestellt werden oder an die Öffentlichkeit kommen. Also müsste man mit der Logik unserer amerikanischen Kollegen fordern, das Wählen überhaupt zu untersagen, weil es zu gefährlich wäre. Das ist für meine Begriffe nicht ernst zu nehmen. Aber wir sind in Sicherheitsfragen vielleicht auch nicht so paranoisch.

politik-digital.de: Vielen Dank für das Gespräch!

Das Interview wurde am 4. Februar von Sonja Weddeling geführt. Sie ist beim Landesbetrieb für Datenverarbeitung und
Statistik Brandenburg (LDS) im Bereich eGovernment als Managerin Business Development für das Forschungsprojekt W.I.E.N. zuständig.