Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin.
Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der Stift wird anschließend in eine Auslesestation gesteckt, um das digitale Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle Stimmen zusätzlich auf einem USB-Stick gespeichert.
Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des Wählerwillens gelten, das Papier dient nur als wählerberuhigende Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in 17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als ungültig und werden aussortiert. Bei einer Differenz zwischen der Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit ebenfalls ein computergestütztes Ergebnis zu ermitteln.
Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP- Wahlcomputer, die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft wurden. [1]
Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria erstellt, einem Standard der eigentlich zur Standardisierung von Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft. Aufgrund dieses Schutzprofils soll nun eine Baumusterprüfung durch die Physikalisch-Technische Bundenanstalt (PTB) stattfinden. Gegenstand der Prüfung soll dabei die Auslesestation und der Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird, und die zentrale Auswertungssoftware beim Statistikamt Nord. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für Deutschland als sicher eingestuft, welche in den Niederlanden gerade aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen wurden.
Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer, Administratoren der Behörde für Inneres oder Mitarbeiter der Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der Sprecher des Chaos Computer Club, Dirk Engling sagte dazu: "Die Ignoranz gegenüber der Innentäter-Gefahr entlarvt das konzeptionell falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung vergisst und sich nachher wundert, dass das Flugzeug nicht abheben kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden, disqualifiziert die Sicherheitsannahmen für das System vollständig.
Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem CCC wurden als theoretisch oder populistisch abgetan. "Die Geheimniskrämerei erinnert fatal an das Vorgehen bei NEDAP- Wahlcomputern, offenbar unterschätzen die Hamburger Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster im Nachbarland Niederlande nichts gelernt", sagte CCC- Sprecher Dirk Engling.
Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes System für eine Analyse erhalten hat, konnten anhand der verfügbaren Informationen und durch Untersuchung der Basistechnologie des Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch den Wähler - überdeutlich.
Der CCC hat zur beispielhaften Illustration der vielfältigen Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt ins Wahllokal mitgebracht und statt dem echten Wahlstift in die Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert als ein sogenanntes Trojanisches Pferd zum Einschleusen von Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird, aktiviert sich ein Manipulationsprogramm, welches automatisch auf das Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird. Das Programm kann nun problemlos Manipulationen auf dem Auswertungslaptop vornehmen, indem es z. B. die Position der digital gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht, speichert und ausgibt.
"Der trojanische Wahlstift ist nur einer von vielen verschiedenen Angriffen gegen das Wahlstift-System. Es geht hier nicht um das eine oder andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine unsichere und intransparente Computerwahl ist", sagte CCC- Sprecher Dirk Engling.
Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit durch den Wähler, fordert der Chaos Computer Club den Hamburger Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen in Deutschland zu erfüllen.
[1]
http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert
--------
Pressemitteilung des Chaos Computer Club
Meldung online abrufbar unter:
http://www.ccc.de/press/releases/
2007/20071109/ Video abrufbar unter:
http://www.ccc.de/wahlstifthack/
Chaos Computer Club zeigt prinzipielle Sicherheitslücken beim Hamburger Wahlstift
Der Chaos Computer Club hat bei der Anhörung des Verfassungssausschusses der Hamburger Bürgerschaft einen grundlegenden Angriff gegen das Digitale Wahlstift System (DWS) vorgeführt. Die Demonstration zeigt, dass das für das DWS verwendete "Digitale Papier" manipulierbar und fälschbar ist.
Ein Wahlfälscher kann mit moderatem Aufwand und handelsüblichen Werkzeugen Wahlzettel erstellen, auf denen das elektronische Wahlergebnis nach seinen Vorgaben manipuliert wird. Frank Rieger, Sprecher des CCC, bemerkte: "Für den Wähler und für den Wahlvorstand gibt es keine praktikable Möglichkeit, gefälschte Wahlzettel zu erkennen." Der Wähler kreuzt etwa die Partei A an, seine Stimme wird aber für Partei B gezählt, ohne dass er darüber Kenntnis erlangt. "Dem Wähler wird also eine Papierwahl nur vorgegaukelt, die in Wirklichkeit eine manipulierbare Computerwahl ist", so Rieger. Probleme mit der komplizierten, unausgereiften Technik zeigten sich auch in einigen "Schnupperwahllokalen" in Hamburg, wo die Digitalen Wahlstifte wegen "technischer Mängel" keine korrekten Stimmen zählen konnten.
Der CCC dokumentiert auf einem Video [1], das die einfache Manipulationsmöglichkeit zeigt, dass das Misstrauen der Hamburger Bürger gegen den Wahlstift berechtigt ist. Ebenso wie bei den NEDAP- Wahlcomputern, denen über 45.000 Menschen kein Vertrauen mehr entgegen bringen [2], bleibt auch beim Wahlstift das grundlegende Problem, dass der Wähler nicht in den Computer hineinsehen kann.
Das Bundesinnenministerium (BMI) hält unterdessen weiterhin an computerisierten Wahlen fest. Es erteilte trotz der Ergebnisse der niederländischen Untersuchungskommission und dem Aus der NEDAP- Wahlcomputer im Nachbarland [3] sogar einer neuen Version der umstrittenen Computer eine Zulassung für Bundestags- und Europawahlen. Zwar räumt das BMI ein, die massive internationale Kritik an computerisierten Wahlen zur Kenntnis genommen zu haben, glaubt aber weiterhin, dass der Wahlcomputer den "Anforderungen an demokratische Wahlen voll entspricht". [4] "Das grundlegende Problem der fehlenden Überprüfbarkeit des Ergebnisses und der mangelnden Transparenz der Computerwahl wird vom Bundesinnenministerium weiterhin ignoriert", kommentierte CCC-Sprecher Frank Rieger.
Dennoch werden nun neue Sicherheitsplacebos durch Änderung der prozedurale Sicherheitsvorkehrungen eingeführt. Dazu wurden nur die Bedienungsanleitungen überarbeitet, jedoch ohne verbindliche rechtliche Vorgaben für die Gemeinden. Damit räumt das BMI indirekt die Manipulierbarkeit der Computer ein, zieht jedoch nicht die notwendige Konsequenz: die Rücknahme der Verwendungsgenehmigung. Ein Nachzählen der Stimmen und damit die Aufklärung von Wahlbetrug ist weiterhin unmöglich. Daher erneuert der CCC seine Forderung an das BMI, den Einsatz der unsicheren und undurchsichtigen Wahlcomputer und die damit verbundene Verschwendung von Steuergeldern umgehend zu unterbinden.
Der Chaos Computer Club ruft alle seine Mitglieder und Sympathisanten auf, sich bei zukünftigen Kommunal-, Landtags-, Europa- und Bundestagswahlen als freiwillige Wahlhelfer in ihren Gemeinden zu melden. Immer wieder wird als Begründung für den Einsatz der Wahlcomputer die mangelnde Bereitschaft von Bürgern betont, diesen wichtigen ehrenamtlichen Beitrag zur Sicherung unserer Demokratie zu leisten. Deshalb: Hacker zu Wahlhelfern! CCC-Sprecher Frank Rieger betont jedoch: "Gerüchte, dass der CCC e. V. zur Zeit die Gründung einer Partei erwägt, entbehren jeder Grundlage."
[1]
http://www.ccc.de/wahlstifthack/ (Video Wahlstift-Manipulation)
[2]
http://www.ccc.de/updates/2006/petition-ende (Anti-Wahlcomputer- Petition endet mit großem Erfolg)
[3]
http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert
(Wahlcomputer ausgemustert: Niederlande wählt wieder auf Papier)
[4]
http://www.bmi.bund.de/cln_028/nn_662928/Internet/Content/ Nachrichten/Pressemitteilungen/2007/11/Wahlgeraete.html
(Pressemitteilung des BMI zu Wahlcomputern)
http://freepage.twoday.net/search?q=ccc.de
http://freepage.twoday.net/search?q=NEDAP