Normalerweise treffen sich die Mitglieder des EU-Parlaments im Sitzungssaal, wenn sie über Gesetzesvorlagen abstimmen. Aber die Corona-Pandemie lässt auch den Politikbetrieb auf europäischer Ebene nicht unberührt: Ab dieser Woche soll es keine Präsenzabstimmungen mehr geben, um die Übertragung von COVID-19 unter den Abgeordneten nicht zu befördern.
Stattdessen ordnet das Parlamentspräsidium ein Abstimmungsverfahren per E-Mail an. Vom 26. März an bis Ende Juli bekommen die Parlamentarier:innen ihre Stimmzettel zugemailt, drucken sie aus, setzen die entsprechenden Kreuze und unterschreiben. Dann schicken sie einen Scan zurück an eine sonders eingerichtete Parlamentsadresse, so erklärt es das Präsidium des EU-Parlamentes in einer Mitteilung.
Die Kommunikation erfolgt allerdings unverschlüsselt. Und das ist nicht das einzige Sicherheitsrisiko, warnt der EU-Parlamentarier Patrick Breyer (PIRATEN).
Vertrauen in Abstimmungen gefährdet
So berge das Verfahren die Gefahr der Manipulation durch Hacker, warnt der Pirat in einer Pressemitteilung. Außerdem könnten Abgeordnete auch einfach andere Personen an ihrer statt abstimmen lassen. „Ein [solches] Verfahren setzt das Vertrauen in die Integrität von wichtigen Abstimmungen aufs Spiel“, resümiert Breyer.
Auch Kirsten Fiedler, politische Beraterin der Grünen-Abgeordneten im EU-Parlament, Alexandra Geese, wundert sich auf Twitter über das geplante Verfahren. Dabei wäre es möglich, die Abstimmungen so zu organisieren, dass deren Integrität gesichert wäre.
Hierfür macht Breyer in seiner Pressemitteilung konkrete Vorschläge: Stimmzettel könnten auch per Post versendet werden oder Abgeordnete von den Parlamentsbüros in den Mitgliedstaaten aus abstimmen. Eine weitere Möglichkeit, für die die Politiker:innen ihre Wohnungen nicht verlassen müssten: Abstimmen per Video-Livestream. Um beizutreten, müssten Abgeordnete sich identifizieren und könnten dann mit Ja- oder Nein-Karten abstimmen. Gute Vorschläge, findet Fiedler. Sie glaubt aber nicht, dass das Präsidium diese noch diskutieren wird, schreibt sie in einer E-Mail an netzpolitik.org. Am Donnerstag wird die erste unsichere Abstimmung nach den neuen Regeln stattfinden.
Dass es IT-sicherheitstechnisch in deutschen und EU-Behörden nicht weit her ist, ist bekannt. Festhalten an Windows statt gehärtetem Linux, Idealisierung von Whatsapp statt sicherem Signal-Messenger, und jetzt Abstimmen per Mail – wo doch E-Mail seit langem als eines der unsichersten Kommunikationsverfahren längst klassifiziert wird (fachgerechte EzE-Verschlüsselung mal ausgenommen). Wir wundern uns über so viel geballtes Unwissen, Ignoranz und Lernunwilligkeit der Behörden und Parlamente – und diese sich dann über mangelndes Vertrauen der Menschen in Politik und Demokratie…
Ohne valide Authentifizierung der stimmberechtigten Abgeordneten dürften die Wahlen durchweg anfechtbar sein. Fast jeder hat schon emails mit gefaktem Absender gesehen.
Jetzt rächt sich, wenn nicht in abstimmungsbegelitende IT investiert worden sein sollte.
Die Abgeordneten dürfen überspitzt immer noch Papierstapel durchwühlen, um zu gucken, wie sie bei Punkt 173 abstimmen wollten.
Man hätte längst ein System entwickeln müssen, bei dem Abgeordnete ihre gesamten Referenzdaten millimetergenau zu den Abstimmungsschlüsseln und Kästchen positioniert kriegen, inklusive eigener Kommentare oder zumindest Umrandungen mit Einfärbungen. Ob das Kreuz von Hand passieren muss oder zumindest bestätigt werden soll oder direkt mit übertragen wird, kann man dann immer noch entscheiden. Das parlamentsseitige Gerät mag wohl einen „force offline“ Knopf haben,. mit dem man die Papieransicht erzwingen kann.
Natürlich ist das sicherheitstechnisch eine Herausforderung. Einerseits könnte man eine Reihe ausgewählter Farben und Kästchenumrandungen (ja/nein/enthalten) auf das Abstimmgerät, das dann natürlich einen Bildschirm hat, der einen Kontext anzeigt, übertragen, denn sowas ist locker machbar, andererseits würde bei der Autorisierung, wer was von wo wie übertragen kann dann komplizierter. Insofern wäre eine vollautomatische Abstimmung da nicht so gut.
Für spezielle Situationen und Krankheit könnte man die Prozedur extern freigeben. Dabei sollte man allerdings Abstimmungen überprüfbar machen, eventuell mehr Zeit zur Korrektur geben, voneinander abhängige Abstimmungen zeitlich auseinanderziehen, externe Geräte Tamper-proof mit Crypto-Protokoll-Chip, Zwecks Konsistenzprüfung.
Naja, hihi…
Überrascht mich ein wenig.
An meiner Uni zum Beispiel schreiben fast alle Mitarbeiter grundsätzlich signierte Mails (s/mime), die Zertifikate werden von der Uni verwaltet. Ich würde erwarten, dass andere Institutionen das auch auf die Reihe kriegten.
Verschlüsselung ist bei offenen Abstimmungen eigentlich nicht erforderlich, eher im Gegenteil.
Und dann bleibt noch das Problem, dass man sich nicht identifiziert. War dafür nicht der E-Perso da? xD
E-Mail ist die Form der Digitalisierung, die jetzt alle nachholen, auch in der Schule. Der digitalisierte Unterricht meiner Tochter sieht auch so aus: E-Mail werden an die Eltern zum Ausdrucken versendet. Rückmeldung, falls gewünscht (Korrekturen machen jetzt nämlich die Eltern) gehen ebenfalls als E-Mail zurück. Null Interaktivität! Mein Sprössling ist jetzt schon ohne Ende gelangweilt.
Und selbst dass läuft noch mies: unser Lehrer schafft es unter anderem nicht, alle Eltern anzuschreiben sondern sendet die E-Mail an eine Mutter, die dann die Verteilung übernimmt. Natürlich werden gerne Dokumente im proprietären Word-Format versendet (Windows und Office hat ja jeder zuhause). Hier fehlt eigentlich alles: Kompetenz und Werkzeuge.
Eingescannte Stimmzettel per E-Mail? Soll das ein Witz sein? Ist das EU-Parlament nicht in der Lage eine Infrastruktur elektronischer Unterschriften für seine Abstimmungen auf die Beine zu stellen? Armes Europa!
Es bleibt immer die Frage: „Wie genau“.
Wäre eine signierende Maillösung mit erzwungenem TLS und/oder VPN dhinter, dann ist die Unterschrift eben ein Zusatz, den ein Textproduzierender Bot nicht ohne weiteres hinbekommt.
Meine Befürchtung ist auch, dass es so ist wie es geschrieben steht :).