#31c3: E-Voting ist und bleibt unsicher

Auf dem 31. Chaos Communication Congress gab es gleich mehrere Vorträge zu E-Voting in Europa. Zum einen referierte Alex Halderman über die Sicherheit von Online-Wahlen in Estland und zum anderen hielt Tor E. Bjørstad einen Vortrag, über die Kryptographie eines Testprojektes in Norwegen.

Seit 2005 ist es in Estland möglich seine Stimme bei Wahlen auch über das Internet abzugeben. Mittlerweile ist der Anteil der Bürger, die über den elektronischen Weg an der Wahl teilnahmen, auf über 30 % gestiegen (Europawahl 2014). In dem Vortrag Security Analysis of Estonia’s Internet Voting System berichtet J. Alex Halderman, Professor an der Universität Michigan, über sein Forschungsprojekt, in dem er das elektronische Abstimmungssystem in Estlands hinsichtlich seines Sicherheitskonzeptes überprüfte. Prinzipiell sei das System zwar gut durchdacht, jedoch gäbe es immer noch zu viele Angriffspunkte auf der Client-, sowie auf der Serverseite. Durch maleware-infizierte Rechner und Server sei es zum Beispiel möglich die Stimmverhalten nachträglich zu ändern. Selbst wenn beispielsweise der Server, der für die Auszählung der Stimmen zuständig ist, nicht mit dem Internet verbunden ist, sei es immer noch möglich die Wahlergebnisse zu manipulieren. Zudem haben die IT-Verantwortlichen des Projektes leichtfertige Fehler begangen, die allerdings schwerwiegende Folgen haben könnten. Um möglichst transparent zu arbeiten, ließen sie sich bei der Konfiguration der Server filmen und veröffentlichten diese Videos anschließend im Netz. So war es problemlos möglich an wichtige Passwörter zu gelangen. Halderman resümiert, dass die Manipulationsgefahr durch andere Länder und deren Geheimdienste relativ hoch ist. Es werde wohl noch Jahrzehnte dauern, bis Wahlen im Internet wirklich sicher sind.

Den gesamten Vortrag gibt es hier in diversen Formaten zum herunterladen und anschauen. Oder auf Youtube:
https://www.youtube.com/watch?v=JY_pHvhE4os

In Norwegen wurde E-Voting bisher nur testweise in einigen Wahlkreisen eingesetzt. Die Bestrebungen Onlinewahlen landesweit zu etablieren wurden allerdings 2013 aufgegeben und entsprechende Forschungsprojekte eingestellt. Wie es dazu kam erklärt Tor E. Bjørstad in seinem Vortrag The rise and fall of Internet voting in Norway. Der Informatiker beschäftigte sich vor allem mit der Kryptographie des E-Voting-Projektes und evaluierte diese.

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Der Vortrag kann in vielen Formaten beim CCC heruntergeladen werden. Dort wurden auch die Folien veröffentlicht.

3 Ergänzungen

  1. Dann macht es so sicher wie Onlinebanking. Denn was ist wichtiger als Geld? Ich habe keine Lust auf Briefwahl alle 4 Jahre. Ich will 4x im Jahr online über das Wichtigste direktdemokratisch und online abstimmen.

  2. Das Problem ist nicht nur der Wahlprozess an sich, die Fehler die da gemacht werden können nach und nach vielleicht behoben werden, darum sollte man sich nicht zu sehr daran aufhängen. Das Problem ist, das digitale Wahlen für Wahlbeobachter und einzelne Bürger einfach viel zu intransparent sind, das ist was komplett anderes als die analogen Zettel mit denen jeder klar kommt.

    Das System ist an sich krankhaft, da kann man auch nicht dran rumwerkeln sondern es einfach lassen.

    Sehr informativ dazu ist das hier:
    https://www.youtube.com/watch?v=5a2MNpLxK-8

  3. In einen demokratischen Rechtsstaat gehört auch immer die Möglichkeit der Abgabe einer ungültigen Stimme. Außerdem muss die eigentliche Stimmabgabe – also das Ankreuzen – grundsätzlich immer anonym erfolgen. Ich weiß nicht, wie man das elektronisch bewerkstellen kann, ohne dass diese Abstimmung mit Namen (Wahlregister) und IP abgeglichen werden kann.

    Bei der manuellen Wahl sind Stimmabgabe und Abhaken des Wahlregisters zwei getrennte Vorgänge.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.