E-Voting in Australien: Das mag den Lobbyisten freuen, nicht aber den Wähler

Nach der langwierigen Ergebnisfindung bei den Parlamentswahlen in Australien werden nun wieder Forderungen laut, mit elektronischem Wählen schneller zu einem Ergebnis zu kommen. Das könne gleichzeitig Einsparungen bei den Kosten bringen. Der Quellcode von Wahlsystemen ist jedoch auch in Australien ein Geschäftsgeheimnis der Hersteller.

wahlkabinenDie Anfang Juli durchgeführten Parlamentswahlen in Australien waren eine ausgesprochen knappe Sache. Die Koalition konnte nach länglichen Zählprozeduren zunächst nur 73 Sitze im Parlament, das aus insgesamt 150 Sitzen besteht, auf sich vereinen. Alles unter 76 Sitzen hätte Verhandlungen mit kleineren Parteien nötig gemacht, um an der Macht zu bleiben. Am Ende der Zählungen liegt die knappe Mehrheit bei drei Sitzen mehr, also insgesamt 76 Sitzen.

Der Lobbyverband der australischen IT-Industrie, die Australian Information Industry Association (AIIA), meldete sich bei der Gelegenheit mit einem Kommentar über das Wahlverfahren zu Wort: Election cliffhanger prompts e-Voting rethink. Man fordert die zuständige Wahlkommission auf, das zögerliche Verhalten in Bezug auf elektronische Stimmabgaben aufzugeben:

The federal election cliffhanger should be a wake-up call for the Australian Electoral Commission to shed its reluctance to embrace electronic voting.

(Das staatliche Wahl-Abenteuer sollte für die Australische Wahlkommission ein Weckruf sein, ihren Unwillen abzubauen, elektronische Abstimmungen anzunehmen.)

wahlurneDass es gerade bei einem knappen Ausgang der Wahl ein Vorteil ist, das Wählervertrauen durch transparentes Nachzählen zu stärken und gerade nicht durch den wiederholten schnellen Knopfdruck bei der elektronischen Strichliste eines Computersystems zu ersetzen, liegt eigentlich auf der Hand. Denn eine Kontrolle eines computerisierten Wahlprozesses ist auch professionellen Wahlbeobachtern nicht vollständig möglich. Papierwahlen mögen allerdings für die Mitglieder der AIIA nicht eben das beste Geschäftsmodell sein.

Die Australian Electoral Commission (AEC) hatte sich schon mehrfach mit den Pro- und Contra-Argumenten zu Computerwahlen (pdf) auseinandergesetzt, seit bei den Parlamentswahlen 2001 erstmals elektronische Systeme getestet wurden. Es ging um Fragen der technischen Machbarkeit und Bedienungsfehler, um Möglichkeiten der Wahlmanipulation und Probleme mit Sicherheitslücken. Zusätzlich wurden die australischen Wähler dazu befragt, wie sicher sie Online-Wahlen einschätzen. 2013 hielt nur knapp die Hälfte der Befragten diese Form des Wählens für sicher.

Nachdem es im Jahr 2000 über mechanische und elektronische Wahltechnologien und die Wahlcomputer-Hersteller wegen der Hängepartie und den Fehlauszählungen bei der Präsidentschaftswahl in den Vereinigten Staaten erstmals breite Presseberichterstattung gab, weil die Systeme defekt, unbenutzbar, unzuverlässig, teuer, manipulierbar oder alles davon waren, haben sich mehr Forscher, Hacker und Juristen des Themas angenommen. Immer wieder bestätigten sie seitdem die verschiedenen technischen und juristischen Probleme, die auch die AEC beleuchtet hatte.

Oft wiederholte Argumente

Der CEO der AIIA und frühere McKinsey-Mann Rob Fitzpatrick scheint all dies nie gehört zu haben und versucht sich völlig unbeleckt von den Diskussionen im letzten Jahrzehnt an Argumenten für die elektronische Stimmabgabe. Er wird mit den Worten wiedergegeben:

Under today’s archaic system, votes can still be miscounted, misread, or even simply misplaced. And on the issue of proof of identity, when was the last time you had to show ID at the ballot box?

(Mit dem heutigen archaischen System können Wählerstimmen noch immer falsch gezählt, falsch gelesen oder einfach verlegt werden. Und beim Thema Identitätsnachweis: Wann haben Sie das letzte Mal einen Ausweis an der Urne vorzeigen müssen?)

Um Papierwahlen archaisch zu nennen, braucht man wohl ordentlich Chuzpe. Argumentativ aber stellt er indirekt die verwegene Behauptung auf, elektronische Stimmen könnten nicht falsch gezählt oder falsch interpretiert werden und auch nicht wegkommen. Dem ist natürlich nicht so. Auch dass der Identitätsnachweis eines Wählers bei Online-Wahlen kein Problem darstellt, fällt wohl eher in die Kategorie Wunschdenken ohne Beleg.

Fitzpatrick betont angesichts der langwierigen Ergebnisfindung in Australien:

Mr Fitzpatrick […] says the election results would already be out if electronic voting was in place today.

(Mr Fitzpatrick […] sagt, dass die Wahlergebnisse schon bekannt wären, wenn elektronisches Wählen heute bereits genutzt würde.)

Dass die Schnelligkeit des Zustandekommens des Ergebnisses schon ein Wert an sich sei, ist eine oft wiederholte Argumentation. Sie übersieht allerdings, dass Gründe für das langsamere Zählen von Menschen nicht allein deren Zählfähigkeiten sind, sondern auch der transparente Prozess an sich, den jeder einsehen und verstehen kann. Vor allem aber ist diese Öffentlichkeit und Überprüfbarkeit des Wahlablaufes ein hohes Gut, grundrechtlich geschützt in vielen Staaten. Anders das Tempo des Zählens: Es mag praktisch sein, das Ergebnis früher zu kennen, aber man misst zu Recht der Schnelligkeit im Vergleich zu den Fragen der Transparenz und Manipulationsfreiheit und damit dem Vertrauen in die Wahl keinen sonderlich hohen Wert bei.

Was die Schnelligkeit angeht, werden auch noch Brasilien und Estland als Vorzeigeländer angegeben, wo nur Minuten nach Ende der Stimmabgaben schon die Ergebnisse ermittelt würden:

Countries such as Brazil and Estonia are already ahead of the curve on electronic voting, with results tallied electronically within minutes after the polls close.

(Länder wie Brasilien und Estland sind im Rennen um elektronisches Wählen bereits voraus, mit elektronisch nachgezählten Ergebnissen innerhalb von Minuten, nachdem die Wahllokale schließen.)

estland e-votingTatsächlich wird schon seit dem Jahr 2000 in Brasilien an der „Urna Eletrônica“ gewählt. Mehrere tausend Wahlcomputer werden landesweit eingesetzt. Auch Estland hat seit Jahren die Möglichkeit der elektronischen Stimmabgabe (mit Hilfe eines Lesegeräts und einer ID-Karte, Foto rechts). Zur Wahrheit gehört aber auch, dass es in beiden Ländern seit Jahren Streit um den Quellcode, die Auditierung der verwendeten Software oder um Manipulationen gibt. Vollständige unabhängige Prüfungen der verwendeten Systeme werden zwar gefordert, finden aber bisher nicht statt.

Fitzpatrick hat aber noch ein weiteres Argument, das regelmäßig auftaucht, wenn es um computerisierte Wahlen geht:

Electronic voting not only saved time but could also potentially deliver significant cost savings.

(Elektronisches Wählen spart nicht nur Zeit, sondern könnte potentiell auch Einsparungen bei den Kosten bringen.)

Da lacht der Informatiker – mit einem hörbaren Seufzer –, denn IT-Sicherheit ist teuer, Tendenz steigend.

Herausgabe des Quellcodes?

Wo wir grade einen Blick auf australische Wahltechnologien werfen: Es ist nicht ohne Ironie, dass Lobby-Mann Fitzpatrick vergisst zu erwähnen, dass Forscher eines Teams um Alex Halderman letztes Jahr – während einer bereits laufenden Wahl – und im Juni dieses Jahres erneut einen Fehler in der Zähl-Software „iVote“ des Anbieters Scytl gefunden hatten. Diese Software war im Bundesstaat New South Wales (NSW) im Einsatz.

Auch um die Herausgabe des Quellcodes für das Wahlsystem „Easycount“ bei den Senatswahlen in Australien im Jahr 2013 gab es wegen vermuteter Stimmenabweichungen gerichtlichen Streit, der sich vor allem um die Frage drehte, ob der Quellcode ein Geschäftsgeheimnis sei. Das Gericht versagte übrigens die Herausgabe des Quellcodes, der mit Hilfe des australischen Informationsfreiheitsgesetzes (FOI Act) zur Überprüfung angefragt worden war:

The Easycount source code is a trade secret and is exempt from disclosure because of section 47(1)(a) of the FOI Act.

(Der Easycount-Quellcode ist ein Geschäftsgeheimnis und aufgrund von Paragraph 47(1)(a) des Informationsfreiheitsgesetzes von der Publizierung ausgenommen.)

Das mag den Lobbyisten freuen, nicht aber den Wähler. Denn die Abhängigkeit von Technologielieferanten stellt auch einen kritischen Unsicherheitsfaktor bei computerisierten Wahlen dar, der selten zur Sprache kommt.

Dies ist ein Crosspost von papierwahl.at. Alle Bilder von European Parliament, CC BY-NC-ND 2.0.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

  1. „The Easycount source code is a trade secret and is exempt from disclosure because of section 47(1)(a) of the FOI Act.“

    Unglaublich. Man stelle sich das Analogon zur Papierwahl vor: Ein privates Unternehmen wird mit dem Auszählen der Stimmzettel beauftragt. Der Zählvorgang darf nicht kontrolliert werden, da es sich um ein Geschäftsgeheimnis handelt. – Absolut undenkbar.

    Selbst Richard Stallman, der große IT-Guru und Gründer der Free Software Foundation, beharrt darauf, dass Wahlen auf Papier stattfinden müssen.

  2. Gibt es bei den elektronischen Wahlsystemen die Möglichkeit, eine ungültige Stimme abzugeben? In einem demokratischen Prozess muss das möglich sein, ohne dass einer einem was kann (Protestwahl), wenn man den Herrscher partout nicht wählen aber auch nicht durch Nichterscheinen auffallen möchte.

    1. Gibt es bei den elektronischen Wahlsystemen die Möglichkeit, eine ungültige Stimme abzugeben?

      Es gibt eine Vielzahl unterschiedlicher Wahlsysteme.

      Das scheint kaum möglich zu sein, weil diese Möglichkeit mit Absicht im Design nicht vorgesehen ist.

      In ungültigen Stimmen wird potentielles Betrugspotential gesehen (gezieltes Ungültigmachen gültiger Stimmabgaben), das es zu vermeiden gilt.
      Es wird als Vorteil gesehen, dass es keine ungültigen Stimmen mehr gibt, weil viele ungültige Stimmen Ansehen und Akzeptanz des Wahlergebnisses mindern.
      Das Wahlsystem soll Stimmverluste vermeiden.

      Manche Abstimmungs-Systeme per Druckknopf sehen „Enthaltung“ vor, was aber nicht die Intention einer absichtlich als ungültig abgegebener Stimme reflektiert, auch wenn es Im Ergebnis keinen Unterschied macht.

      http://ijircce.com/upload/2013/september/18_Detailed.pdf
      http://www.voteid15.org/accepted-papers/
      http://www.ijetae.com/files/Volume4Issue6/IJETAE_0614_104.pdf

    2. http://www.gesetze-im-internet.de/bwahlgv/anlage_1.html

      Verordnung über den Einsatz von Wahlgeräten bei Wahlen zum Deutschen Bundestag und der Abgeordneten des Europäischen Parlaments aus der Bundesrepublik Deutschland (Bundeswahlgeräteverordnung – BWahlGV)
      Anlage 1 (zu § 2)
      Richtlinien für die Bauart von Wahlgeräten
      Fundstelle des Originaltextes: BGBl. I 1999, 753 – 755

      A
      Gültigkeitsbereich

      Ein Wahlgerät, das gemäß § 1 der Abgabe und Zählung der Wählerstimmen dient, weist folgende Eigenschaften zur Durchführung der Wahl auf:

      .
      Darstellung der Wahlvorschläge gemäß Stimmzettel, der Bedienung zur Auswahl und Abgabe einer Stimme bzw. der Kennzeichnung und Bedienung für die Abgabe einer ungültigen Stimme,
      .
      Registrierung jeder vom Wähler aus den Wahlvorschlägen ausgewählten oder als ungültig gekennzeichneten und abgegebenen Stimme,
      .
      selbsttätige Zählung der insgesamt abgegebenen Stimmen mit zugehöriger Anzeige,
      .
      selbsttätige Zählung der abgegebenen Stimmen sortiert nach den Wahlvorschlägen bzw. nach ungültig gekennzeichneten Stimmen mit Anzeige des Zählergebnisses,
      .
      selbsttätige Speicherung der abgegebenen Stimmen solange, bis sie durch Bedienung gelöscht werden,
      .
      weitere Eigenschaften nur, soweit sie in unmittelbarem Zusammenhang mit der Wahl stehen.

      Erst- und Zweitstimme für Bundestagswahlen können (auch) an zwei Wahlgeräten derselben Bauart getrennt abgegeben werden. Am selben Wahlgerät abgegebene Zweitstimmen können zugeordnet zur abgegebenen Erststimme gespeichert werden.

    3. Mir wäre kein einziges Wahlsystem bekannt, egal ob Wahlcomputer oder Online-Wahl, dass keine Möglichkeit gehabt hätte, ungültig abzustimmen. Es könnte aber möglich sein, dass in Staaten, wo es eine Wahlpflicht statt eines Wahlrechts gibt (wie beispielsweise früher in Teilen von Österreich und heute in Italien und Teilen der Schweiz), diese Möglichkeit nicht existiert.

  3. Papierwahl mag konserverativer, bekannter und damit vertrauter sein aber sie ist keineswegs zuverlässig. Vor nicht allzu langer Zeit haben gutmeinende Wahlhelfer in Deutschland Stimmzettel für die Afd verschwinden lassen (Gut, Afd sind das „Böse“, also werden viele hier das bejubelt haben). In Österreich konnte die Präsidentenwahl aufgrund verschiedener Unregelmäßigkeiten angefochen werden. Fast immer wenn Auszählungen geprüft werden, werden auch Unregelmäßigkeiten gefunden. Die vielen freiwilligen, unerfahrenen und schlimmstenfalls politisch überengagierten (wie in Hamburg) Helfer, die nach einem langen Wahltag einfach nur nach Hause wollen, sind sicher keine zuverlässigen Wahlhelfer.
    In diesem Sinne bin ich mir also nicht sicher, ob nicht ein ordentlich audititiertes E-Voting System nicht zuverlässiger ist. Open Source ist zwar eine Möglichkeit jedem dieses Audit zu erlauben, aber wie verschiedene Probleme (Heartbleet) gezeigt haben, bedeutet Open Source eben nicht, dass wirklich eine sorgfältige Prüfung stattfindet.

  4. Papierwahl … ist keineswegs zuverlässig
    Das bestreitet auch niemand. Elektronisch zu betrügen ist aber wesentlich einfacher zu bewerkstelligen, es gibt weniger Zeugen, und der Nachweis ist schwieriger wenn nicht gar unmöglich: Vor und nach der Wahl einen Chip mit manipulierter Software austauschen.

    Persönlich eine Bank zu plündern ist deutlich riskanter und die Beträge, die man raus tragen kann, sind relativ begrenzt. Vom Computer aus lassen sich in aller Ruhe Konten hacken und Millionenbeträge auf Auslandskonten verschieben.

    Elektronische Abwicklung ist eleganter aber auch das Bescheißen wird einfacher.

    1. Einen Stimmzettel verschwinden zu lassen oder einfach ungültig zu machen ist recht einfach und kaum nachweisbar. Und wie gesagt, Unregelmäßigkeiten werden bei Papierwahlen fast immer gefunden, wieviele geplannte Betrugsversuche erfolgreich waren, kann niemand sagen.
      Eine ordentlich auditierte Software mit einer zuverlässigen Krypto, die Manipulation stark erschwert (nach Art einer Blockchain zum Beispiel) ist da wesentlich vertrauenswürdiger. Den man muss nicht tausende Wahlhelfer und ihre (allein aus menschlichen Gründen) fehlerhafte Arbeit überprüfen sondern nur eine Software.

      1. Die Manipulation einer einzelnen Stimme (oder einzelner Stimmen) dürfte bei Papierwahlen wohl tatsächlich einfacher sein.
        Das Problem ist: Wenn es erstmal eine Möglichkeit zur Manipulation eines E-Voting-Systems gibt, dürfte diese wunderbar skalieren und somit die Wahl flächendeckend manipulieren. Eine gezielte flächendeckende Manipulation ist bei Papierwahlen hingegen ungleich schwieriger (zu verstecken) – gerade weil so viele Menschen beteiligt sein müssten.

        1. Ich finde, es hat noch einen anderen Aspekt: Wir wissen recht viel über Wahlmanipulationen (also Papier jetzt), weil sie in der Geschichte und auch heute noch regelmäßig auffliegen. Dann untersucht man das, meistens werden danach auch die Prozeduren angepasst, um das in Zukunft möglichst zu vermeiden.
          Bei elektronischen Wahlsystemen gibt es fast keine Forschung dazu, wir wissen schlicht nicht, ob und welcher Art durchgeführte bewusste oder unbewusste Manipulationen waren und wie häufig sie sind. Ausnahmen sind eidliche Aussagen, die Wahlmanipulierer abgegeben haben, oder ganz plumpe Manipulationen, die deswegen auffielen, weil das Ergebnis zu auffällig war.
          Insofern ist die Tatsache, dass Papierwahl-Manipulationen oft aufgedeckt werden können, auch ein klarer Vorteil gegenüber elektronischen Systemen.

          Ich muss bei der Gelegenheit noch eine Anekdote loswerden, die sich bei der Anhörung in Karlsruhe abgespielt hat: Der Landeswahlleiter von Hessen (das Bundesland hatte damals noch Wahlcomputer im Einsatz) wurde von den Richtern befragt, auch danach, ob es in der Vergangenheit Verdachtsmomente gegeben hätte, dass es bei den Computerwahlen zu Manipulationen gekommen sei. Er sagte, dass er keine Anhaltspunkte hätte. Dann fragte einer der Richter, woher er wisse, dass die Ergebnisse in der Vergangenheit nicht manipuliert gewesen seien, man könne schließlich nicht wie bei Papierwahlen die (jahrelang aufzubewahrenden) Stimmzettel nochmals prüfen. Der hessische Landeswahlleiter meinte daraufhin, da sei die Antwort einfach, denn man müsse nur auf die Ergebnisse schauen, dann würde man doch merken, dass die abgegebenen Stimmen im Rahmen des Erwartbaren seien und nichts Ungewöhnliches auffiel. (Der Saal kicherte.)

        2. Manipulationen an oder mit Wahlzetteln beim Auszählen werden dadurch erschwert, daß die Gefahr der Beobachtung besteht. Die Auszähler sitzen ja nicht für sich alleine im Kabäuschen. Und im Falle des Erwischtwerdens sind hierzulande bis zu 5 Jahre Knast ausgelobt:
          https://dejure.org/gesetze/StGB/107a.html

          Was aber im Kabäuschen steht, bzw. an etwa 364 Tagen im Jahr irgendwo eingelagert ist und nur an einem Tag im Jahr herausgeholt wird (hierzulande, wo im Durchschnitt etwa einmal im Jahr eine der Wahlen auf den verschiedenen Ebenen stattfindet) sind die Wahlcomputer. Viel Zeit für entsprechende Aktivisten, sich da Zugang zu verschaffen und an den Geräten Manipulationen durchzuführen.

    1. Ne, das habe ich wohl missverständlich formuliert: Zunächst war es eine Hängepartie, weil sie zusammen nur 73 Stimmen hatten, am Ende der ganzen Zählungen haben sie jetzt drei Stimmen mehr, also die denkbar knappste Mehrheit (nämlich genau die 76 Sitze). Ich werde das mal etwas präzisieren im Text.

  5. Mir ist hier was aufgefallen. Also was die Intranzparenz von Quellcodes angeht. Hier wird auf Easycode verwiesen. Aber es gibt ja auch andere Wahl-Systeme. Bei Polyas, einem deutschen Online-Wahlding, wird der Quellcode aktuell von Cert in einem Forschungsprojekt mit der Universität Bremen evaluiert. Wäre das genug oder was müsste in dieser Sache noch gemacht werden?

    1. POLYAS hat eine ganz eigene Geschichte, die nicht eben rühmlich ist. Die Gesellschaft für Informatik beispielsweise setzt das Online-Wahlverfahren des Kasseler Dienstleisters Micromata für seine Mitgliederwahlen seit Jahren ein (neben der Briefwahl). Das DFKI (Deutsches Forschungszentrum für Künstliche Intelligenz GmbH) und die notorische PTB (Physikalisch-Technische Bundesanstalt) haben es zertifiziert, bereits im Jahre 2005 durch ein Schutzprofil nach Common Criteria.

      Schon bei den ersten Einsätzen von POLYAS wurden mehrere an die Online-Wahlzentrale verschickte Wahlnach­richten in einem Phishing-Netz festgestellt. Wie es dazu kam, wurde nie aufgeklärt. Kein Zertifikat kann so etwas ausschließen, die Vorkommnisse sind allerdings belegt. Die Ursachen sind zwar nicht klar, aber ein Wahlmangel ist das allemal.

      Wenn nach Jahren nun eine Quellcode-Prüfung stattfindet, ist das ein guter Schritt. (Ich kann das nicht verifizieren, gehe aber mal davon aus, dass das stimmt.) Den Anforderungen des Bundesverfassungsgerichtes für parlamentarische Wahlen entspricht POLYAS damit aber noch lange nicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.