CCC warnt vor Barcodes bei Kommunalwahl in Bayern

Am kommenden Wochenende finden in Bayern Kommunalwahlen statt. Der Chaos Computer Club weist in einer Pressemitteilung auf technische Probleme und Risiken hin: Computerisierte Auszählung mit Barcodes unsicher und intransparent

Der Chaos Computer Club (CCC) weist auf erhebliche Risiken beim Einsatz softwaregestützter Barcode-Auszählungssysteme bei den Bayerischen Kommunalwahlen hin. Bei den Wahlen am 2. März 2008 sollen mehr als 8.000 Barcode-Lesestifte und PCs für die Auszählung der Stimmzettel in den Wahllokalen verwendet werden. Bei der barcodegestützten Auszählung, die vor sechs Jahren bereits einen ersten Testlauf in Bayern absolvierte, handelt es sich um ein System bestehend aus Computer, Barcodescanner, USB-Stick und einer Software von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB). Die einzelnen Komponenten sind trotz Lizenzierung des Verfahrens durch das bayerische Innenministerium einfach manipulierbar; zusammen ergeben sie ein erhebliches Sicherheitsrisiko für die Kommunalwahl am 2. März.

Für den Wahlvorstand, die Wahlhelfer und den Wähler ist es bei Verwendung des Systems nicht möglich, die akkumulierten Stimmen bei der Auszählung jederzeit einzusehen; dies ist nur an den Auszählstationen mittels komplizierter Prozeduren machbar. Der Sprecher des CCC, Frank Rieger, sagte dazu: „Kein Wahlhelfer hat realistisch während der Auszählung einen fortlaufenden Überblick darüber, welcher Kandidat oder welche Partei wie viele Stimmen erhalten hat. Eine Manipulation im Hintergrund durch ein unsichtbares Schadprogramm ist unauffällig und ohne weiteres realisierbar.“ Zudem sind sowohl die Software als auch das Endergebnis auf einem tragbaren USB-Stick gespeichert – auch hier ist eine Manipulation einfach und mit geringem Entdeckungsrisiko durchführbar. Nach Aussage eines Schulungsleiters für das System könnten die Wahlhelfer bei Benutzung des neuen Systems „die Hirne ausschalten, die Software erledige alle Zählaufgaben“. Eine derartige Grundeinstellung ist sicher nicht förderlich für eine demokratische, transparente Wahl.[…]

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

23 Ergänzungen

  1. Hallo zusammen!

    Ich werde nächsten Sonntag hier in Bayern wählen gehen und wollte fragen, ob

    1.) jmd. bzgl. der Funktionsweise des barcode systems mal detaillierte Infos hat. wäre prima!

    2.) kann mir mal jmd. einen link geben, wo ich das bayrische wahlgesetz einsehen kann und mir sagen, wo dort steht, dass ich als Wähler so eine Weiteres eine Handnachzählung verlangen kann (das steht als Tipp in der ccc Pressemitteilung)? Hab gerade mal schnell gegoogelt, aber nix dolles dazu gefunden ….

    Vielen Dank!

    Grüße,
    Philipp

  2. Hab mich beim Anblick des Meeres von Barcodes auf meinen Wahlzettel (Briefwahl) auch schon gegruselt. Ich kann mir nicht einmal vorstellen, dass das viel schneller geht. Die Barcodes liegen sehr eng aneinandergedrängt. (Und dann kommen erst noch ein ganzer Haufen philosophischer wie praktischer Gründe gegen so ein Auszählverfahren dazu)

  3. Mein Kommentar ist etwas länger, sorry. Ich hoffe, er beantwortet ein paar Fragen und erklärt außerdem, weshalb ich diese Kritik für eher ungeschickt halte, deshalb werde ich das hier eventuell nochmal auf der debate-ccc-Mailingliste…

    Als Wahlhelfer für den kommenden Sonntag, der das System schon ausprobieren durfte, möchte ich vielleicht meine Erkenntnisse dazu beitragen.

    Vielleicht kurz einige Grundzüge zum Wahlverfahren. Bei den Wahlen zu Gemeinderäten, Stadträten und Kreistagen, kann man ganz konventionell einen Listenvorschlag einer Partei oder Wählervereinigung ankreuzen. Statt einer Stimme hat man jedoch genauso viele Stimmen wie Sitze im zu wählenden Gremium zu vergeben sind, in meiner Gemeinde beispielsweise hat der Gemeinderat 16 Sitze. Bei einem einfachen „Listenkreuz“ werden nun auf einem Wahlvorschlag die 16 Stimmen von oben nach unten der Reihe nach vergeben, so dass jeder eine Stimme erhält.

    Zusätzlich oder alternativ zu diesem Listenkreuz, aber auch unabhängig davon, kann ich auch jedem einzelnen Kandidaten eine, zwei oder drei Stimmen geben („Kummulieren“). Dies deute ich mit einem Kreuz oder einer „1“, einer „2“ oder einer „3“ im Feld vor dem entsprechenden Kandidaten an. Außerdem müssen die einzeln gewählten Kandidaten weder der gewählten Liste noch einer gemeinsamen Liste angehören, es kann bunt durcheinander gewählt werden („Panaschieren“). Habe ich vorher ein Listenkreuz vergeben, so werden nur die Stimmen an diese Liste vergeben, die nach der Einzelvergabe noch übrig sind. Wähle ich beispielsweise die SPD, gebe aber ansonsten nur einem Kandidaten der CSU drei Stimmen, dann bekommen nur die Kandidaten eins bis einschließlich 13 der SPD-Liste je eine Stimme von mir. Zwei Listenkreuze machen alle „Listenstimmen“ ungültig, die direkt vergebenen Stimmen an Kandidaten bleiben gültig. Vergebe ich mehr Stimmen als zulässig direkt (bei mir also 17), so wird der Stimmzettel komplett ungültig.

    Lange Rede, nun zum Wahlsystem. Es handelt sich dabei um ein reines Auszählsystem. Die Wahl auf Papier und Stift bleibt vollständig konventionell. Einzig werden zusätzlich neben den Namen der Listen und der Kandidaten Barcodes abgedruckt.

    Nach dem Öffnen der Wahlurne und dem Sortieren womöglich falsch eingeworfener Stimmzettel (in nicht-kreisfreien Gemeinden finden am Sonntag vier unterschiedliche Wahlen mit unterschiedlich-farbenen Stimmzetteln statt. Da kann womöglich etwas in der falschen Urne landen) werden zunächst alle Stimmzettel individualisiert. Dies darf natürlich nicht vor der Wahl geschehen, damit das Wahlgeheimnis gewahrt bleibt. Dies bedeutet, dass jeder Stimmzettel zunächst in der linken oberen Ecke einen individuellen Barcode erhält. Diese Barcodes sind innerhalb einer Gemeinde absolut individuell, d.h. auch unterschiedliche Stimmbezirke (Wahllokale) bekommen unterschiedliche Nummernbereiche.

    Anschließend geht es ans Auszählen. Dabei sitzt ein Wahlhelfer mit Lesestift an einem Computer. Zwei weitere Wahlhelfer sehen ihm über die Schulter. Zunächst wird der Stimmzettel mit dem Einlesen des invdividuellen Aufklebers „geöffnet“, so dass die Software weiß, dass es sich um einen neuen Stimmzettel handelt. Nun liest der Wahlhelfer die Wahl des Wählers vom Stimmzettel ab und liest an den angekreuzten Stellen getätigte Listenkreuze und Kandidaten ein, indem er jeweils den Barcode der gewählten Liste oder des Kandidaten einliest. Steht eine „2“ oder „3“ neben einem Kandidaten, so fährt er mehrfach über den entsprechenden Barcode. Alle Eingaben können anhand eines Stimmzettel-Abbildes am Computerbildschirm dort nachvollzogen werden. Zusätzlich gibt es einen Bogen mit „Spezialbarcodes“, so dass beispielsweise die Streichung eines Kandidaten eingegeben werden kann (man fährt über den Barcode „gestrichen“ und anschließend über den des Kandidaten) oder um einen Fehler in der Eingabe korrigieren zu können, indem die Eingabe für einen Kandidaten oder eine Liste komplett zurückgesetzt werden kann. Nach Abschluss des Einlesens des Stimmzettels wird dieser wieder „geschlossen“, in dem wieder der aufgeklebte individuelle Barcode eingelesen wird. Anschließend akzeptiert der Scanner keine weiteren Eingaben für einzelne Kandidaten oder Listen, bis nicht ein neuer Stimmzettel „geöffnet“ wird. Wird versehentlich ein Stimmzettel ein zweites Mal eingelesen, so wird dies erkannt und die Software zeigt die bereits eingelesenen Daten an. Anschließend können Korrekturen vorgenommen werden. Sind alle Stimmzettel eingelesen, wird das Ergebnis durch die Software berechnet, im Wahllokal verkündet und anschließend dem Gemeindewahlleiter inklusive der Niederschrift übergeben. Abgesehen von der Ergebnisberechnung selbst entspricht das Verfahren dann der konventionellen Papierwahl.

    Ich gebe zu, dass ich bei prä-Scannerstift-Zeiten noch bei keiner Auszählung dabei war (zu jung), so dass ich hier auf die Erfahrungen und Aussagen früherer Wahlhelfer zurückgreifen muss. Bei der letzten Wahl 2002 wurde die Wahl zum Gemeinderat (16 Sitze, drei Listen) bei 2500 Wahlberechtigten (Wahlbeteiligung weiß ich leider nicht) in vier Stimmbezirken, sowie einem Briefwahlbezirk innerhalb von 2,5h ausgezählt noch am Wahlabend. Für die Wahl zum Kreistag (in unserem Landkreis sind das 70 Sitze mit in der Regel 5 bis 7 Listen, von denen einige nicht über 70 Kandidaten verfügen und Kandidaten teilweise doppelt oder dreifach auf der Liste stehen) soll montags innerhalb von 5h inklusive Mittagspause ausgezählt worden sein. In früheren Wahlen spricht man davon, dass für den Gemeinderat fast der ganze Montag, für den Kreistag der Dienstag und mindestens die Hälfte des Mittwochs zu veranschlagen waren. Die Auszählung des Bürgermeister und Landrat fällt nicht ins Gewicht, dies ist beides zusammen in weniger als einer Stunde ausgezählt, wenn es zu keinen Problemen kommt und wird auch vollkommen konventionell gemacht. Die Zeitersparnis ist folglich sehr groß, verglichen mit den lächerlichen Potentialen in Bezirkstags-, Landtags-, Bundestags- oder Europawahlen.

    Ich halte das System grundsätzlich für sehr gut durchdacht. Es vermeidet die meisten Manipulationsmöglichkeiten, die andere IT-gestützte Systeme bieten, denn es bleibt eine konventionelle Papierwahl, bei der jeder Stimmzettel zählt und die Wahl im Nachhinein auch vollkommen konventionell auszählbar ist, auch falls die Technik versagen sollte, ist dies kein Weltuntergang. Das System ist außerdem für den Wähler völlig transparent und für die Wahlhelfer bis zu einem gewissen Maße gut kontrollierbar. Die Zeitersparnis ist offensichtlich groß und das System an sich sehr günstig. Abgesehen von einem technologisch einfachen Barcode-Lesestift ist keine spezielle Hardware erforderlich. Aus meiner Sicht ist dies das beste IT-gestützte Wahlsystem, das ich bisher kenne und ich halte seine Anwendung nach Äbwägung für vertretbar, im Gegensatz z.B. zum Hamburger Wahlstift.

    Da ich an sich jedoch großer Wahlcomputergegner bin, war ich am Anfang sehr skeptisch und habe auch über die Möglichkeiten zur Manipulation nachgedacht.
    Am anfälligsten ist prinzipiell natürlich die Zählsoftware selbst, denn die kann natürlich für keinen Wahlhelfer transparent sein. Hier ist natürlich eine Veränderung der Software jeder Art denkbar, die man irgendwie auf den verwendeten Computer bekommt.
    Manipulationen am Scannerstift wären prinzipiell möglich, der Scannerstift könnte einfach andere Codes zurückliefern, als er einliest. Da jedoch die Eingabe permanent durch den Eingebenden und zwei weiteren Helfern überprüft wird, halte ich hier die Möglichkeit zur Manipulation ohne eine Softwaremanipulation für unwahrscheinlich. Gleiches gilt meiner Meinung nach für eine Manipulation der Barcodes auf dem Stimmzettel. Anders als beim Wahlstift im Hamburg gibt es keine zwei parallelen Ergebnisermittlungen, sondern die analoge Wahl, die sozusagen digital gewandelt wird. Das Ergebnis wird dann wieder bei der Eingabe überprüft, eine Softwaremanipulation wäre auch hier unumgänglich. Eine Manipulation bei der Individualisierung der Stimmzettel durch die Aufklebebarcodes halte ich auch für relativ schwierig. Ich wüsste nicht, in welcher Art und Weise hier auf ein bestimmtes Ergebnis hin-manipuliert werden könnte. Möglich wäre natürlich, dass man versucht, durch be/überkleben durch eigene Aufkleber man zwei unterschiedliche Stimmzettel als einen versucht auszugeben, wobei der eine natürlich den anderen überschreibt. Da jedoch die Barcodeaufkleber (mit aufgedruckter Nummer) fortlaufend vergeben werden, die Anzahl der Stimmzettel auch nachgezählt wird und mit dem Wählerverzeichnis verglichen wird, und das alles neben der Merkwürdigkeit, dass ein Stimmzettel offensichtlich „erneut“ aufgerufen wird, der laut Software erst ganz anderen Inhalt hatte, halte ich eine solche Manipulation für etwa genauso schwierig wie das „erschaffen“ falscher Stimmzettel und den eventuellen Austausch bei einer konventionellen Wahl. Alle Manipulationsversuche die nach dem Verkünden des Ergebnisses im Wahllokal ansetzen (durch die Weitergabe auf Datenträgern, etc.) ist von der bei einer konventionellen Wahl nicht zu unterscheiden. Auch bei der letzten Europawahl, bei der konventionell gewählt wurde, wurde das Ergebnis durch den Gemeindewahlleiter per Software weitergegeben. Das „nach oben“ durchgereichte Ergebnis kann im Nachhinein immer aus Veröffentlichungen in Zeitung oder vom Landeswahlleiter mit der öffentlichen Verkündigung im Stimmbezirk verglichen werden.

    Es bleibt aus meiner Sicht einzig die Manipulation der Software und auch hier sehe ich die Entdeckungsmöglichkeiten auch ohne Neuzählung als nicht unerheblich ein. Denn allzu große gefühlte Abweichungen der Software von den tatsächlich eingelesenen Stimmzetteln sollte bei mindestens einem der Wahlhelfer auch hier ein unangenehmes Gefühl auslösen, wie es sonst auch dazu führt, dass man sagt, man zählt etwas ein weiteres Mal. Wenn es bei Größenordnungen von rund 300 Stimmzetteln (bei angenommener Wahlbeteiligung von rund zwei Dritteln), dann sollte es IMHO schon auffallen, wenn die Software für einen Kandidaten 100 Stimmen ausspuckt, wenn gefühlt nur jeder 10. Wähler für diesen Kandidaten gestimmt hat und dann auch nicht mit je drei Stimmen.

    Ich bin sogar der Meinung, dass das System womöglich die Auszählfehler senken könnte. Denn im Gegensatz zum konventionellen Auszählen erspart man sich das fehleranfällige Führen (bei uns) sogenannter „A-, B- und C-Listen“, auf denen gesondert die getroffenen „Abweichungen“ von einer reinen Listenwahl vermerkt werden. Es entfällt sogar grundsätzlich die Bildung mehrer Stapel (von denen einzelne Stimmzettel versehentlich vermengt werden könnten) für die unterschiedlichen Parteien, und das versehentlich doppelte Auszählen eines Stimmzettels wird doch erkannt. Durch die Verkürzung der Zeit, die für das Auszählen benötigt wird, bleibt die Konzentration wohl hoffentlich auch etwas höher und außerdem bleibt beim erzwungenen Mehr-Augen-Betrieb der Überblick aller Wahlhelfer über die gezählten Stimmen besser erhalten, als wenn sich viele kleine Grüppchen bilden, die jeweils einen Teil aller Stimmen (mit vielen Extra-Stapeln) auszählen. Ich halte Manipulation für ähnlich schwierig wie bei einer konventionellen Wahl. Außerdem verspreche ich mir einen Vorteil für die Vereinheitlichung der Behandlung von Grenzfällen. Das Wahlsystem an sich ist so komplex, dass auch die Wahlhelfer sich nicht in jeder Situation sicher wären, ob ein Stimmzettel nun nur teilweise oder vollständig ungültig (oder evtl. doch komplett gültig) wäre. So wird beispielsweise vermieden, dass ein Wahlhelferteam einen Stimmzettel mit zwei Listenkreuzen als vollständig ungültig ab“heftet“, obwohl einzeln vergebene Kandidatenstimmen gültig bleiben würden. Oder was passiert, wenn bei einem Kandidaten eine „4“ oder „5“ steht? Auch das wäre womöglich nicht klar. Dies wird nun einheitlich so gehandhabt, dass vier oder fünf vergebene Stimmen wie drei vergebene Stimmen gehandhabt werden. Die Stimmangabe an sich wäre nicht wirklich korrekt, aber der Wählerwille ist im Rahmen des zulässigen Wahlverfahrens eindeutig, und die Software hilft hier womöglich in Grenzfällen bei der Entscheidungsfindung.

    Wenn ich alle mir bekannten Vorteile mit den Nachteilen abwäge, so kann ich für mich „ausnahmsweise“ nicht feststellen, dass ich in der Nutzung von Computerunterstützung in dieser Art bei einem derartigen Wahlverfahren eine Gefahr sehe. Vor allem kann ich keinen Unterschied im Manipulationsrisiko zwischen konventioneller Wahl und computergestützter Auszählung sehen. Aus diesem Grunde bin ich mir nicht Sicher, ob sich der CCC in diesem Fall einen Gefallen getan hat. Es ist nicht so, dass es hier keine Kritikpunkte gäbe, aber ich wäre äußerst vorsichtig, dieses System auf ein ähnliches Niveau zu setzen wie beispielsweise ein System wie den Hamburger Wahlstift oder noch schlimmer den NEDAP-Geräten. Hier muss der CCC meiner Meinung nach aufpassen, dass seine anerkannte hohe technische Kompetenz aufgrund von Fundamentalkritik nicht von einigen in Frage gestellt wird. Der Formulierung der Pressemitteilung des CCC zu urteilen, werden hier Probleme selbst oder der pragmatische Umgang mit diesen Problemen, die im konventionellen Auszählverfahren auch früher schon immer vorhanden waren ziemlich ignoriert. Wenn ich den Standpunkt des CCC, wie ich ihn verstehe, weiterverfolge, dann verstehe ich die Pressemitteilung des CCC hier entweder als Kritik am bayerischen Kommunalwahlsystem selbst, oder jedoch als Forderung nach deutlich ausgeweiteten manuellen Aus- und Nachzählungen. Dass es ohne Informationstechnologie möglich ist, ist klar, denn das ging früher auch. Jedoch ist dies bei diesen langwierigen Auszählungen aufwändig und teuer. Die Bereitschaft berufstätiger Menschen, bei tagelangen Auszählungen freiwillig das Wahlhelferamt zu übernehmen ist gering, und nach den Erfahrungen, die ich bisher als Wahlhelfer gemacht habe, ist kaum jemand außerhalb der politischen Parteien dazu bereit. Alle anderen begreifen das auch als Teil ihrer politischen Arbeit und eine demokratische Pflicht, aber grundsätzlich sehe ich hier Problemfelder angrenzen, über die sich der CCC womöglich keine Gedanken gemacht hat.

    So jetzt habe ich extrem viel geschrieben, danke für die Aufmerksamkeit.

    Liebe Grüße

  4. Patrick: Wenn konventionelle Wahlen mit manuellem Auszählen zu teuer sind, warum nicht gleich konsequent sparen und gar nicht mehr wählen lassen? Deine Gedanken zur Sicherheit in allen Ehren, aber alleine die Lücken die alleine in der Fortbildung für die EDV Wahlhelfer erwähnt werden (Stichwort Temp-Verzeichnis) sind haarsträubend. Mal ganz abgesehen davon das du zu jung bist um überhaupt die nötigen Qualifikationen zu haben das abschliessend beurteilen zu können. Und das jemand den allmächtigen Stift samt angeschlossenen Computer hinterfragt wenn das Ergebnis nicht total absurd ist, glaubt ja wohl auch nur deine Oma, oder?

  5. @6: Es bleibt dabei, dass nicht nachvollziehbar bleibt, was der Rechner macht. Eine kleinere Blackbox ist auch eine Blackbox.

  6. Allgemeine Paranoia:
    Wenn ich mir die Wahlzettel mit dieser maximalen Anzahl an Barcodes so vorstelle, stellt sich mir schon eine wichtige Frage:
    Wer garantiert uns denn, daß nicht irgendeiner dieser Barcodes meinen Wahlzettel personalisiert?
    Soll/kann ich denn vorher alle Barcodes überprüfen um z.B. sicher zu gehen, daß sich nicht hinter einem davon die Nummer meines Eintrags ins Wählerverzeichnis des Abstimmungsbezirks verbirgt?

  7. Hallo zusammen,

    Stalin sagte mal: Nicht der Wähler sondern der der die Stimmen zählt, entscheidet die Wahl.
    Eine gute Frage stellt doch, wenn die Computergestüzte Wahl nicht nur aufwendiger, teurer und undurchsichtiger ist, warum wird denn von den Obrigkeiten so daran festgehalten?
    Es kann doch nur um Manipulation gehen. Einen anderen Sinn macht das ganze doch überhaupt nicht. Ich denke man darf sich nicht zu sehr in die Sache verstriken, sondern muss es als ganzes betrachten. Wozu soll die Technik gut sein, wenn es jahrzehnte ohne, sicherer und besser ging? Es kann nur ein Hintergedanke sein, der das Wahlsystem zu seinen Gunsten ändern will. Daher sollte ein technisch unterstüztes System grundsätzlich abgelehnt werden. Man sollte vielmehr darauf achten, wer ein solches System ändern will. Meist können diese Leute den Wähler nicht direkt in die Augen schauen. Warum wohl?

  8. Die Wahlbenachrichtigungskarte hat einen Barcode und ebenso jeder Stimmzettel!
    Es ist doch ein Leichtes, diese beiden Codes zusammen zu führen und damit den Wähler zu identifizieren – ist diese Wahl dann noch geheim?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.