Elektronische Urwahl: Risiken verstehen und nicht einfach „mit der Zeit gehen“

In einem offenen Brief an den Bundesgeschäftsführer Michael Kellner und den Bundesvorstand von Bündnis 90/DIE GRÜNEN hat sich das Vorstandsmitglied von netzbegrünung e.V. Patrick Hanft kritisch zur möglichen Einführung eines elektronischen Abstimmungsverfahrens bei Urwahlen geäußert.

Dem Einsatz von digitalen Systemen bei Wahlen steht der Verein netzbegrünung e.V. insgesamt skeptisch gegenüber. Die vorhandene Technologie und die im Einsatz befindlichen Softwarelösungen bieten wenig Nachvollziehbarkeit für Außenstehende und entsprechen meist nicht den gängigen Sicherheitsstandards für kritische Systeme.

Lieber Michael,
lieber Bundesvorstand,

liebe Delegierte zum Länderrat, euch öffentlich zur Kenntnis!

Mit großer Sorge und auch einer gewissen Bestürzung habe ich gestern Abend euren Vorschlag an den Länderrat zur Kenntnis genommen, die Urwahlordnung des Bundesverbandes um die Möglichkeit eines elektronischen Abstimmverfahrens zu erweitern.

 

In eurer Begründung sprecht ihr davon, „mit der Zeit“ gehen zu wollen. Bei all den Herausforderungen, die der Digitale Wandel mit sich bringt, ist die aus meiner Sicht wichtigste Erkenntnis die, dass wir nicht einfach „nur mit der Zeit“ gehen dürfen, sondern dass gerade wir GRÜNE uns mit neuer Technologie soweit auseinandergesetzt haben müssen und dass wir die Risiken ihres Einsatzes soweit verstehen, dass wir die Rahmenbedingungen für ihren Einsatz gestalten können oder – wie bei der Atomenergie – lieber auf ihren Einsatz verzichten.

 

Die Frage nach diesen Rahmenbedingungen bleibt in eurem Antrag unbeantwortet. Euer Vorschlag definiert keine Mindestanforderungen an das elektronisches System, dessen Einsatz durch den Antrag ermöglicht werden soll. Das liegt nicht nur daran, dass durch die Urwahlordnung wohl keine Festlegung auf ein bestimmtes System erfolgen soll, das liegt auch daran, dass die Definition solcher Mindestanforderungen nicht trivial ist. In der IT-Security spricht man von einem „threat model“, also der umfassenden Analyse zu berücksichtigender Angriffsvektoren auf ein solches System, und die dürften in diesem Falle sehr vielfältig ausfallen.

 

Aber im Kern geht es nicht um Angreifbarkeit. Wir haben die Debatte zu elektronischen Wahl- und Abstimmungsverfahren bereits mehrfach in der Partei geführt und waren uns immer bewusst, dass Probleme damit verbunden sind. Nach 12 Jahren Debatte über elektronische Wahlsysteme gehe ich davon aus, dass die grundsätzliche Problematik beim Einsatz von Wahlcomputern verstanden ist. Trotzdem möchte ich im Folgenden noch einmal die Argumente gegen elektronische Abstimmungen zusammenfassen.

 

Eine Wahlurne ist ein primitives Gerät, in das zunächst Stimmen hineingesteckt und anschließend herausgenommen werden. Eine Urne ist so primitiv, dass jede Person sich sicher sein kann, dass die gleichen Stimmen, die zuerst in sie hineingehen, später wieder aus ihr herauskommen, ohne dass diese Stimmen in der Urne verändert werden, und ohne dass man sie hierbei in der Urne selbst beobachten müsste. Die Urne wendet exakt eine Operation auf die Stimmen an: Sie sorgt für eine Durchmischung, so dass die Verknüpfung eines Stimmzettels mit der Person, die sie eingesteckt hat, verloren geht. Die Reihenfolge, in der die Stimmen aus der Urne kommen, steht in keinem Zusammenhang zu der Reihenfolge, in der sie in die Urne gelangt sind. Das Wahlgeheimnis wird gewahrt, aber viel wichtiger: jeder versteht, dass keine Stimme in der Urne verändert werden konnte. Dementsprechend bleibt das Ergebnis nachvollziehbar korrekt und die so durchgeführte Abstimmung erfüllt die Grundsätze demokratischer Wahlen.

 

Ein Wahlcomputer ist nun wie die Urne eine Box, die in ihrem Inneren nicht beobachtet werden kann. Jedoch ist ein Wahlcomputer alles andere als primitiv. In seinem Inneren existieren eine große Zahl von unbeobachtbaren Werkzeugen, die alle nur denkbaren Operationen auf den eingegebenen Stimmen durchführen können. Noch viel schlimmer: ein Wahlcomputer kann keinen Stimmzettel entgegen nehmen, sondern er kann die Information über die Stimme nur einlesen, also eine Kopie der Information in seinem inneren erstellen und er wird Operationen auf diese Information anwenden, bevor er ein Ergebnis ausgibt. Alles ist eine Frage der Anweisungen, denen die Maschine folgt. Da aber kein Mensch den Computer beim Ausführen dieser Anweisungen beobachten kann und selbst bei Kenntnis der Anweisungen Programmierende kaum über die Korrektheit solch abstrakter Anweisungen befinden können, ist das Entstehen eines solchen Ergebnisses immer intransparent. Niemand weiß, ob die Verknüpfung zwischen abstimmender Person und abgegebener Stimme im Computer wirklich verschwunden ist, oder aber diese Information irgendwo noch ausgelesen werden kann. Manche Systeme werben sogar damit, dass eine Form dieser Verknüpfung erhalten bleibt, damit jeder die eigene Stimme verifizieren könne – was jedoch keine Verifizierbarkeit der gesamten Abstimmung bedeutet.

 

Wenn ihr von einem „elektronischen Verfahren“ sprecht, das für eine Urabstimmung zum Einsatz kommen soll, so läuft dies wohl zwangsläufig auf ein Verfahren über ein Computernetzwerk hinaus, vermutlich also ein webbasiertes Online-Voting. Konzeptionell unterscheidet sich dies nicht von einem Wahlcomputer, außer dass in diesem Fall die Blackbox das gesamte Internet umfasst, und die ganze Welt hat Zugriff darauf. Der Einsatz eines Online-Votings würde die Frage nach dem „threat model“ so kompliziert machen, wie überhaupt möglich. Darin spielen nicht nur virenverseuchte Computer von Abstimmenden eine Rolle, sondern unter anderem auch die Frage, welcher ausländische Geheimdienst ein Interesse an der Beeinflussung des Abstimmungsergebnis haben könnte. Da ein solches Online-Voting technisch wohl nicht von der Partei selbst, sondern von einem Dienstleistenden betrieben würde, würde es ein Vertrauen sämtlicher Abstimmenden in die Integrität dieses Dienstleisters voraussetzen, die schlicht nicht vorhanden ist.

 

Es gibt über die vergangenen Jahre einfach unzählige Beispiele für Schwachstellen in Online-Voting-Verfahren: vom Online-Primary-System der europäischen Grünen für die Europawahl mit Privacy- und auch Legitimationsproblemen, bis hin zum gelobten, aber dennoch mit schweren Mängeln versehenem Online-Voting in Estland, das vom namhaften IT-Sicherheitsforscher Alex Halderman zerlegt wurde. Kein Online-Voting-System kann dabei das grundsätzliche Problem der fehlenden Transparenz von digitalen, bzw. computerunterstützten Abstimmverfahren lösen.

Seit wenigen Wochen debattiert die IT-Security-Community in Deutschland über haarsträubende Mängel im Programm „PC-Wahl 10“, mit dem noch nicht einmal Wahlen durchgeführt, sondern nur Ergebnisse zusammengeführt werden und auf welches der CCC beispielhafte Angriffe zur Manipulation der gemeldeten Ergebnisse demonstriert hat. Der CCC sagt zurecht, dass allein der Vertrauensverlust, der durch die leichte Manipulierbarkeit eines Abstimmungsergebnisses mittels eines Angriffs auf eine Software zur Stimmauswertung entsteht, unsere demokratischen Institutionen in eine schwere Krise bringen würden. Als potentielles Mitglied eines Regierungsbündnisses gilt für unsere Partei erst Recht ein ähnlicher Maßstab, wenn Mitglieder zu Dingen wie etwa einem Koalitionsvertrag befragt werden sollen.

 

Nicht nur glaube ich, dass wir als BÜNDNIS 90/DIE GRÜNEN uns bei unseren Urwahlen und -abstimmungen an den Hürden orientieren sollten, die das BVerfG in seinem Urteil zu Wahlcomputern aufgestellt hat: auch „Laien ohne besondere technische Kenntnisse“ müssen die Ermittlung eines Wahlergebnisses nachvollziehen können. Dies ist abgeleitet aus dem Öffentlichkeitsprinzip einer Wahl. Ich glaube auch, dass wir als BÜNDNIS 90/DIE GRÜNEN in der Pflicht stehen, nicht nur die Beteiligung an einer wichtigen Entscheidung durch eine breite Basis zu ermöglichen, ich glaube auch, dass wir auch die Ermittlung des Ergebnisses einer solchen Entscheidung ebenso transparent und nachvollziehbar machen müssen. Diese prinzipielle Nachvollziehbarkeit macht den Kern der demokratischen Legitimation aus.

 

Seid ihr euch sicher, dass wir als BÜNDNIS 90/DIE GRÜNEN das Ergebnis der Entscheidung über ein Regierungsbündnis für eine der weltweit einflussreichsten Volkswirtschaften von einem technisches System auszählen lassen wollen, bei dem keiner von uns das Zustandekommen eines Ergebnisses persönlich nachvollziehen kann? Seid ihr euch sicher, dass wir ein solches „threat model“, wie wir es für den Einsatz eines Online-Votings entwickeln müssten, sicher abdecken könnten? Seid ihr sicher, dass ein von uns als Partei nicht prüfbares elektronisches Wahl- und Abstimmungsverfahren überhaupt die Grundsätze für die von uns eingefordertere basisdemokratische Beteiligung erfüllen kann?

 

Wenn ihr das nicht seid, dann bitte ich euch – trotz aller nur erdenklichen Gründe der Praktikabilität, die ich allesamt sehr gut verstehen kann! – aus einer prinzipiellen Risikoabwägung heraus und als Bekenntnis zu demokratisch nachvollziehbaren Prozessen auf den Einsatz eines elektronischen Verfahrens bei geheimen Urabstimmungen zu verzichten. Neben allen grundsätzlichen Bedenken, die gegen entsprechende Wahl- und Abstimmungsverfahren bestehen, täten wir damit außerdem unserer netzpolitischen Glaubwürdigkeit einen riesengroßen Gefallen. Für Nachfragen könnt ihr euch gerne an mich oder an viele andere netzpolitisch aktive GRÜNE wenden.

 

Patrick Hanft,
Schriftführer netzbegrünung e.V.

Der Vorstand von netzbegrünung e.V. ruft alle Delegierten für den am 30. September 2017 in Berlin stattfindenden 2. Ordentlichen Länderrät auf sich vor der Entscheidung zum Änderungsantrag des Bundesvorstandes zur Urabstimmungsordnung (UR-01) sich mit den Risiken eines digitalen Abstimmungsverfahrens zu befassen und im Zweifel gegen den Antrag zu stimmen.