21

Elektronische Wahlen sind auf jeden Fall aus theoretischer Sicht ein sehr interessantes Thema, aber - abgesehen von den Hürden, die das BVerfG setzt - die große Mehrheit der Sicherheitsforscher scheint sich einig, dass zumindest zum aktuellen Zeitpunkt keine Systeme existieren, die zuverlässig sowohl Geheimhaltung der Stimme und Unverfälschbarkeit der Wahl genügend gut garantieren können und dass die Methode der Papierwahl hinreichend gut bekannt ist und es auch durchaus moderne Möglichkeiten gibt, diese noch sicherer zu gestalten.

Zudem wurden, soweit ich weiß, in vielen (allen?) bisher untersuchten elektronischen Wahlsystemen, die zurzeit eingesetzt werden (z.B. Estland) erhebliche Mängel gefunden, sowohl in der Konstruktion als auch in der praktischen Umsetzung.

Ein Kernproblem besteht weiterhin darin, dass selbst solche Systeme, die theoretisch gute Eigenschaften haben (so dass man die beiden Ziele Anonymität und Fälschungssicherheit wenigstens zum Teil garantieren kann, solche Konstruktionen existieren), in der Praxis aufgrund der komplexen technologischen bzw. kryptographischen Prozesse oft nicht sicher umgesetzt werden (ein Beispiel aus dem estnischen Wahlsystem zeigte beispielsweise wie das W-LAN-Passwort eines internen Netzes einer Wahlzentrale öffentlich zugänglich auf einem Post-It stand). Das ist ja ohnehin eines der Hauptprobleme der Kryptographie, dass viele Probleme gar nicht in der Theorie sondern in der fehlerhaften Praxis entstehen.

Der Vollständigkeit halber sollte man aber auch noch erwähnen, dass die Geheimhaltung der Wahl auch bei der Briefwahl streng genommen nicht gegeben hat. Insbesondere kann ich jemanden dafür bezahlen, dass er das Kreuz an der Stelle macht, die ich möchte (Stimmkauf). Es ist aber natürlich unwahrscheinlich, dass sowas im großen Stil passiert ohne dass es auffällt. Eher vorstellbar sind Situationen wie „Rentner lassen sich ihren Stimmzettel von ihren Kindern ausfüllen“, aber vermutlich hat auch das keinen enormen Einfluss.

1 „Gefällt mir“
22

Es gibt viele Ansprüche an eine freie Wahl, die auch eine digitale Version von Wahlzetteln erfüllen muss:

1- Wenn ich bei Partei X ein Kreuz mache, muss auch bei X was stehen und danach gezählt werden. Deswegen gibt es auch keine Bleistifte in Wahlkabinen. Was im Computer nach dem Kreuz bei X passiert ist sagen wir mal nicht sicher zu sagen.
2. Man muss nachzählen können. D…h. die Wahlzettel des Ortes auf den Tisch kippen, und noch einmal zählen. Das geht zwar auch mit Wahlcomputern, die einen Paper-Trail hinterlassen, nur büsst man hier genau die Vorteile ein die man glaubt geschaffen zu haben.
3. Massenmanipulationen (also nicht nur in einem Wahlbüro, sondern eben z.B. in einem ganzen Bundesland) sind möglich. D.h. nicht dass sie wahrscheinlich sind, aber eben möglich.
4. Man braucht eine Menge IT-Fachwissen, um Software zu auditieren und die Computer sicher vor nachträglichem Zugriff zu machen. Diese Computer stehen oft unbewacht nächtelang irgendwo rum, wenn man die bewachen will braucht man viel Personal. Das kann man auch dazu nutzen manuell zu zählen.

und zuletzt 5.
Welchen Vorteil bringt eine elektronische Wahl in einem Land wie Deutschland? Ich verstehe wieso z.B. die USA oder Russland auf solche Systeme setzen, aber ich hatte bisher immer das Gefühl dass die Wahl mit Papier hier in Deutschland recht gut funktioniert.

23

Ich finde die Vorteile liegen doch auf der Hand. Der Weg zur Urne könnte ggf. entfallen, damit würden auch mehr Menschen ihre Stimme abgeben können. Ich denke es ist eher eine Frage der Zeit, bis so etwas eingesetzt werden wird.
Im betrieblichen Rahmen bei meinem Arbeitgeber werden Betriebsratswahlen zum Beispiel seit einigen Jahren digital durchgeführt. Auch diese unterliegen gesetzlichen Anforderungen an Geheimhaltung und und Sicherheit.

24

Aber die Wahlmanipulationen finden immer in einem Rahmen statt, in dem „die Wahl“ als solche ohnehin eine Farce ist. Belarus braucht keine Wahl. Belarus ist eine Diktatur. Diktatoren veranstalten aber immer gern Wahlen, weil sie sich damit international Legitimation erschleichen, indem sie so tun, als würde ihr eigenes Volk sie tatsächlich mit großer Mehrheit als Herrscher haben wollen. Beispiele dafür gibt’s unzählige in der Geschichte der undemokratischen Staaten der Erde. Wir haben in Deutschland in der DDR vor gerade ein paar Jahrzehnten genau denselben Käse gehabt.

Tut mir leid, aber kein Wahlsystem der Welt kann unter solchen Bedingungen zu einer fairen demokratischen Wahl führen. Keins mit Papier, und auch keins mit Technik. Auch die Idee, sich irgendwie international auf „ein System“ zu einigen, das dann alle zu benutzen haben, ist sehr naiv. Das scheitert schon daran, dass jede Demokratie auch heute ihr eigenes Wahlverfahren hat, weil demokratische Systeme nun mal nach unterschiedlichen Regeln funktionieren. Die Gemeinsamkeit dieser sehr unterschiedlichen Systeme ist, dass bestimmte Grundprinzipien gelten; die wichtigste davon: alle Macht geht vom Volke aus. Vom Volke, nicht vom Betreiber eines „internationalen Wahlsystemsnetzwerk“!

„Technik ist keine Antwort auf organisatorische Probleme“ - das ist ein Grundsatz der nahezu immer gilt, und er gilt auch hier. Wahlbetrug ist nahezu immer ein organisatorisches Problem, und politische Animositäten zwischen Staaten sind grundsätzlich immer ein organisatorisches Problem. Es benötigt keine Technik, um diese zu lösen - ganz im Gegenteil, wenn man rein organisatorische Probleme lösen will, dann muss man Komplexitätsreduktion betreiben, nicht Komplexität durch mehr Technik erhöhen!

Das beste Beispiel lieferten letztes Jahr übrigens die Amerikaner, und zwar gleich mit einem Doppel-Fail:

  • Trotz viel Technik-Einsatz bei der Präsidentschaftswahl dauerte es fast eine geschlagene Woche, bis der Gewinner feststand. Die Amis setzen in einigen Staaten Wahlcomputer ein, und in nahezu allen Staaten kommen mindestens Stimmzettelscanner zum Einsatz. Besonders schnell wurde die Auszählung dadurch aber nicht gerade, und das bot Trump wunderbar viel Zeit, um an der Legende vom Wahlbetrug zu spinnen.
  • Der Wahlcomputereinsatz selbst war es außerdem, der Trump eine Steilvorlage bot, um eine seiner Legenden zu fabrizieren, gemäß derer der Hersteller der Maschinen irgendwelche angeblichen Verbindungen nach Venezuela haben soll und die Maschinen manipuliert gewesen seien. Ist ja auch schön praktisch, wenn man da so eine Black-Box stehen hat, der Leute „vertrauen“ müssen - wenn einem das Ergebnis nicht gefällt, behauptet man einfach, die Black-Box sei manipuliert, und wartet drauf, dass die politischen Gegner den schwierigen Gegenbeweis erbringen!

Faire demokratische Wahlen brauchen funktionierende Demokratien. Und funktionierende Demokratien zeichnen sich dadurch aus, dass die Macht tatsächlich und wirklich vom Volke ausgeht. Damit sie das kann, muss das Volk selbst - nicht „ein paar Experten“, nicht „Informatiker“, sondern das gesamte Volk - aber auch voll und ganz Herr über sein Werkzeug zur Verteilung der Macht sein - und das ist das Wahlsystem.

4 „Gefällt mir“
25

Ich denke wir können als Konsens festhalten, dass die Papierwahl in einer stabilen Demokratie, wie in Deutschland gut genug funktioniert, dass man keine elektronische Wahl benötigt. Und dass mit wachsendem Einfluss autokratischer Kräfte eine Papierwahl weniger und weniger zuverlässig ist, bis ein Kipppunkt erreicht ist, bei dem das Regime eine Papierwahl komplett kontrollieren kann. Die USA oder auch Polen wären Beispiele, bei denen ich mich nicht darauf verlassen würde, dass sie in 10 bis 20 Jahren nicht so einen Punkt erreichen können.

Und wir können uns darauf einigen, dass eine elektronische Wahlen einige Herausforderungen auftun, in die man jede Menge Gehirnschmalz investieren muss, um praktikable Optionen zu entwickeln. Die Herausforderungen, die du aufgelistet hast sind wahrscheinlich nicht einmal vollständig und wir werden diese ganz sicher nicht in einer Chatspalte lösen.

Worüber ich mich wundere, ist nun die Sicherheit, dass es auch in Deutschland niemals dazu kommen kann, dass so ein Kipppunkt überschritten wird. In Sachsen ist die AFD jetzt schon Volkspartei. Nach ein- zwei Flüchtlingskrisen dank fortlaufender Klimakrise ist sie vielleicht auch mal in der Regierung und zwei Legislaturen später vielleicht stärkste Kraft und stellt den Kanzler.
Ist sicherlich sehr schwarz gemalt aber innerhalb von Jahrzehnten kann einiges passieren, was man sich heute noch nicht vorstellen möchte. Ich hätte, wenn dieser Tag kommen sollte, aber lieber keine Papierwahl mehr.

Auch nicht verstehen kann ich die hier oft gepostete Ansicht: „Wenn die Papierwahl nicht mehr funktioniert, kann man halt nichts machen. Korrupt ist halt korrupt - Dictators do what dictators do.“
Sicher kann man den Menschen in Belarus nicht nächste Woche mit einem tollen neuen Wahlsystem vor der Diktatur retten. Falls in den nächsten 10 Jahren Lukaschenko aber doch mal abdanken sollte, oder der Opposition ein Putsch gelingen sollte, würde ich einiges darauf wetten, dass die Belarussen von dort an lieber auf ein von Expert:innen als sicher bewertetes Wahlsystem setzen würden als auf eins das „jeder versteht“.

In dem Fall wäre es doch toll, wenn es bereits einen ausgearbeiteten internationalen Standard gäbe, der nach ein paar Dutzend Doktorarbeiten so rund geschliffen wurde, dass er den besten Kompromiss zwischen Sicherheit, Geheimhaltung und Praktikabilität bietet.
Noch besser, wenn es dann schon eine Implementierung gäbe, die schon einige Dutzend Überarbeitungen hinter sich hat und schon mehrfach erfolgreich eingesetzt wurde. Und noch besser, wenn es bereits bestehende internationale Infrastruktur gäbe, die sich ihre Wahlergebnisse gegenseitig verifizieren, auf die man einfach aufspringen könnte.

Stattdessen wären die Belarussen gezwungen sich schnell ein eigenes System zu basteln, falls sie sich wünschen würden die Papierwahl abzulösen. Dass die Qualität sicher deutlich geringwertiger sein wird, ist abzusehen.

Und genau das scheint ja immer zu passieren. Die Wahlsysteme, die im Einsatz sind, scheinen mir immer Insellösungen von einzelnen Unternehmen zu sein, die sehr naiv an das Thema herangehen.

Hast du Verweise hierzu. Auch wenn es sicher keine Lösung geben kann, 100%ige Sicherheit und Geheimhaltung garantiert, fände ich es spannend zu sehen was der beste Kompromiss ist, den man bekommen kann, wenn man bereit ist die Nachvollziehbarkeit für Laien aufzugeben. Gibt es dazu konkrete Projekte oder Systeme, dir dir bekannt sind?

1 „Gefällt mir“
26

Dies ist sehr einfach zu überprüfen, so wie jetzt auch. Die Anzahl der Wahlstimmen muss natürlich = der Anzahl der Wähler sein, sprich Strichliste führen. Dann ist das nicht mehr möglich. Das wird Meineswissen auch heute bei der Papierwahl bei uns so gemacht.

Zudem darf man nicht vergessen, dass ein Datum individuell sehr einfach in Erfahrung zu bringen ist: Wann gewählt wurde. Es ist also möglich die Anzahl der Stimmen pro Wahllokal/-maschine in Echtzeit auszugeben. Damit kann man Problemlos die überprüfen, ob Stimmen hinzugeschummelt wurden. Natürlich nur, wenn man zählen kann.

27

Ach so, ich soll also immer noch ins Wahllokal laufen, dort sitzt jemand mit einer Liste und hakt mich ab, und dort muss ich dann statt ein Kreuz zu machen jetzt mir irgendwo einen Hash abholen und dann einen Knopf auf einer Maschine drücken? Ja dann fallen aber nahezu alle überhaupt denkbaren Vorteile einer elektronischen Wahl (wie z.B. dass man die Stimmabgabe ohne Postweg und mit demselben Level an „Nachvollziehbarkeit“ wie bei der Präsenzwahl aus der Ferne durchführen könnte) weg! Wozu soll man den ganzen Bohei dann überhaupt tun? Um mehr Elektroschrott zu produzieren?

1 „Gefällt mir“
28

Wollt ihr nicht langsam aufhören? Ich habe das Gefühl, dass eigentlich alle Argumente ausgetauscht sind und sie jetzt so lange wiederholt werden, bis jeder Mensch, der hier neu dazukommt, Post für Post schlechtere Laune kriegt. Der Tonfall wird auch gerade auf beiden Seiten rüder.
Ich schätze, dass keine Seite die andere überzeugen kann, aber das muss ja vielleicht auch nicht sein.
Ist nicht bös oder von oben herab gemeint, ich hoffe, es kommt auch nicht so an, aber ich schätze auch eure Laune und die Stimmung im Forum bleibt besser, wenn ihr von dem Thema lasst.

1 „Gefällt mir“
29

[quote=„Guenter, post:14, topic:9940, full:true“]
Der wichtige Punkt ist doch: bei der Wahl mit Zettel und Stift kann man Betrug nicht skalieren. [/quote]

Zettel und Stift skalieren aber auch schlecht, wenn viele Menschen wählen wollen, zu wenige Wahlzettel geliefert wurden und der Nachschub im Berlin-Marathon-Stau steckt.

https://www.rbb24.de/politik/wahl/abgeordnetenhaus/agh-2021/beitraege/berlin-wahl-landeswahlleiterin-stimmen-ungueltig.html

Vielleicht für eine nächste LdN würde ich mir wünschen, dass dieses Thema nochmal beleuchtet wird.

30

Ja. An diesem Kipppunkt ist es aber höchst wahrscheinlich, dass das Regime die Kontrolle über elektronische Wahlsysteme bereits lange vorher hätte erlangen können. Nebenbei ist es aber bei elektronischen Wahlverfahren auch so, dass es u.U. nicht nur dem Regime, sondern auch anderen Kräften Manipulation ermöglicht, z.B. fremde state-sponsored actors oder eine radikale Minderheit, die gerne das Regime wäre, es aber noch nicht ist, aber einige Institutionen bereits teilweise unterwandert hat. Und jetzt denk da mal an die AfD.

Ja, dann entwickel halt ein System, und Experten bewerten das dann. Kommt mir ein bisschen so vor wie die Diskussion, dass wir ja gar keine Wind- und Solarkraft gegen den Klimawandel brauchen, denn man müsste ja bloß endlich mal Kernfusion zur Marktreife bringen.

https://wahlcomputer.ccc.de/

https://www.schneier.com/blog/archives/2018/04/securing_electi_1.html

Ich gehe im Gegenteil erstmal prophylaktisch davon aus, dass jeder Politiker, der elektronische Wahlverfahren einführen möchte, plant früher oder später selbst Wahlen zu manipulieren. ^^

4 „Gefällt mir“
31

Berlin ist halt ein failed state. Da kann man nix machen.

32

Zum Beispiel, weil eine derartige Wahl sicher vor Wahlmanipulation ist, im Gegensatz zur Papierwahl.
Eine Wahl kann nicht gleichzeitig komplett Geheim und Sicher sein, auch eine Papierwahl nicht. Damit sich fälschungssicher ist muss ich feststellen können, wie meine Stimme gezählt wird und dass ist nicht möglich da geheim. Wenn ich meine Stimme verfolgen kann, kann das auch jemand anderes. Es ist aber notwendig, dass ich genau sagen kann wie meine Stimme gezählt wird. In dem Moment wo nämlich meine Stimme aus meinen Augen verschwindet, kann ich nicht mehr sagen, was genau mit meiner Stimme passiert. So könnte sie z.B. in der Wahlurne ausgetauscht werden. Jeder Bühnenmagier macht dir vor wie einfach so etwas sein kann. Auch beim Zusammenzählen der Stimmen können Fehler entstehen, da verweise ich einfach mal auf dem Vortrag vom 3C (Wo sie die unter anderem in Bayern verwendete Software zum Zusammenzählen der Wählerstimmen untersucht haben, letztes oder vorletztes Jahr)
Dass heißt nicht, dass es nicht möglich wäre ein Papierverfahren fälschungssicherer zu gestalten. Man könnte z.B. jeden Wahlzettel mit einer eindeutigen Nr. versehen und diesen mit einem Siegel schließen, sodass die Wahlhelfer nicht die Nr. sehen können, die Wahlzettel werden zusätlich gemischt. Nach der Wahl werden die Nr und Stimme veröffentlicht und jeder kann überprüfen, wie die eigene Stimme gezählt wurde.

33

Ich habe gerade keine Zeit für eine umfangreiche Literaturrecherche, aber hier ist zB das Paper, das die elektronische Wahl in Estland kritisch beleuchtet hat: https://jhalderm.com/pub/papers/ivoting-ccs14.pdf

Da kann man sich dann auch mal durch die Referenzen durchhangeln. Ansonsten findet man zum Begriff „e-voting“ allerhand Literatur (einfach mal bei google scholar eingeben).

Ich möchte gar nicht ausschließen, dass es irgendwann ein solches System geben kann, das „sicher genug“ ist und irgendwie auch praktisch umsetzbar, aber davon sind wir momentan deutlich weiter als „4 Doktorarbeiten“ entfernt (zumal das Thema nun wirklich nicht neu ist).

Zum Abschluss noch die Anmerkung, dass irgendein von Laien mal eben so ausgedachtes System mit ziemlicher Sicherheit nicht die erforderlichen Anforderungen wird erfüllen können. Der Vorschlag, etwa einfach jeder Stimme einen Hash zu assoziieren, wird nicht funktionieren. Unter anderem kann ich ja damit niemandem nachweisen, dass meine Stimme manipuliert wurde (was dann natürlich einfach jeder behaupten kann). Stellt man dann aber wieder eine Möglichkeit dieses Nachweises her, so kann dieser Nachweis wieder ganz einfach benutzt werden, um Leute für ihre Stimme zu bezahlen.

Der große Vorteil der Papierwahl ist dass sie verteilt stattfindet und deswegen ein zielgerichteter Angriff auf diese schwer durchzuführen ist, ohne dass das auffällt (deswegen ist ja auch jedem außenstehenden Beobachter klar, dass die Wahlen in Belarus nicht frei sind). Um eine ähnlich „verteilte“ Lösung auf digitalem Wege zu erreichen wären schon deutlich ausgefeiltere Konzepte nötig.

3 „Gefällt mir“
34

Bitte träume gern weiter von solchen absolut „sicheren“ Computersystemen. Aber irgendwo, wo es nicht um demokratische Wahlen geht.

Okay, jetzt wird es absurd. Wir sind also bei Zaubertricks als „Argument“ angelangt, mittels derer in einer verschlossenen und versiegelten und dauerhaft beobachteten Wahlurne eine ganz bestimmte Stimme, nämlich meine, durch einen anderen Zettel ausgetauscht wird.

Tut mir leid, aber die Magier der heutigen Zeit sind Hacker, und was die mit vermeintlich „sicheren“ Computersystemen anstellen, um diese Systeme völlig unbemerkt und nicht nachvollziehbar Dinge tun zu lassen, für die sie nicht gedacht waren, dagegen wäre selbst deine hypothetische Stimmentauschnummer kalter Kaffee.

Es geht auch gar nicht um „komplett“. Es geht um hinreichend hohe Wahrscheinlichkeit! Auch dein tolles System ist nicht „komplett“ gefeit vor Manipulation, so lange nicht wirklich restlos jeder Wähler seine Stimme nachträglich kontrolliert, und gefeit vor Bruch der Geheimhaltung ist es absolut gar nicht, im Gegenteil, durch den unnötigen Einsatz von IT-Technik schaffst du unzählige neue Möglichkeiten, die von dir absichtlich geschaffene - und ebenfalls unnötige - Verbindung zwischen Wähler und dokumentierter Stimme zu exfiltrieren. Wie gesagt, Hacker sind diesbezüglich kreativ.

Wir haben kein Problem mit sich auf magische Weise verändernden Stimmen in Wahlurnen, also brauchen wir auch keine Lösung für dieses Nicht-Problem.

5 „Gefällt mir“
35

Danke. Deine Antwort hat mich ein Stück näher gebracht das Mindset nachvollziehen die Papierwahl als einzig sinnvolles Wahlsystem anzusehen.

Bei ein paar Sachen muss ich aber trotzdem noch erwidern:

Ein internationales Netzwerk, bzw. der Aspekt, dass ein Akteur nicht Kontrolle über die gesamte Infrastruktur hat, ist ein wesentlicher Sicherheitsfaktor von z.B. Tor oder verschiedenen Kryptowährungen. Mir ist jedenfalls nicht bekannt, dass ein solches System für elektronische Wahlen zumindest schon mal zu Ende gespielt und evaluiert wurde.

Um abzuschätzen wie realistisch es wäre, dass es wirklich eingeführt wird, müsste man zunächst mal wissen welche Vor- und Nachteile man sich damit einkauft. Vorher kann die Diskussion meiner Meinung nach gar nicht fair stattfinden.

Mit dem Grundprinzip “alle Macht geht vom Volke aus” zu argumentieren, sehe ich als zweischneidiges Schwert: In einer funktionierenden Demokratie, in der man davon ausgeht, dass die vom Volke gewählte Regierung auch einzig diesem dient, stimme ich dir völlig zu. Wenn aber diese Regierung ab einem Punkt gegen das Volk arbeitet, muss es möglich sein, diese mit einer fairen Wahl abzuwählen ohne sein Leben zu riskieren.

Ganz böse ausgelegt könnte man behaupten du würdest sagen, die Belarussen sind selbst schuld, wenn sie ihre Demokratie nicht in den Griff bekommen.

Die Aussage “in autokratischen Systemen würde ein manipulationssicheres Wahlsystem auch nichts ändern”, würde ich erstmal als Behauptung stehen lassen. Hätte die Wahl in Belarus seit Jahrzehnten mit einem “Sicheren Wahlsystem ™” stattgefunden - automatisch ausgelöst und von der internationalen Gemeinschaft verifiziert - und Lukaschenko hätte nur 10-20% der Stimmen bekommen, wäre ich gespannt gewesen wie er sich trotzdem gehalten hätte. Für eine Zeit sah es ja so aus, als hätten die Proteste wirklich Erfolg haben können und mit einem solchen Ergebnis hätte das Volk und auch die internationale Gemeinschaft ganz andere Druckmittel gehabt.

Und auch in Russland, welches ich noch nicht als Diktatur bezeichnen würde, bei dem aber offensichtlich auch massiv bei der Papierwahl betrogen wurde, hätte Putin sicher Schwierigkeiten gehabt, wenn beim “Sicheren Wahlsystem ™” keine Mehrheit mehr rausfällt. Neben den schwachen Alternativen, ist auch wegen fehlendem Vertrauen zur Papierwahl die Wahlbeteiligung in Russland extrem niedrig. Wenn ich nach jeder Wahl sehen würde, wie massiv betrogen wird ohne dass Konsequenzen gezogen werden, würde ich mir ehrlich auch überlegen, ob ich noch zur Wahl gehen würde.

Wie manipulationssicher man ein praktikables System bekommt oder wie (un-)praktikabel ein ausreichend manipulationssicheres System ist, steht dabei auf einem anderem Blatt. Mir ist jedenfalls keine Arbeit bekannt, bei verschiedene Abwägungen zwischen Sicherheit, Geheimhaltung und Praktikabilität bis zum Ende durchgespielt und ausoptimiert wurden. Das habe ich in meinem vorherigen Post aber schon ausformuliert.

36

Ich finde es schade, dass ich jetzt angefangen werde mit Klimaleugnern in eine Schublade gesteckt zu werden. Ich kann mich nicht mehr gewählter ausdrücken als in dem bisher geschriebenen. Die Artikel, die du gepostet hast, heben genau das hervor, dass ich selbst auch kritisiere und auch gewürdigt habe: Firma X/ Staat X baut ein Wahlsystem und wurde gehackt.

Ich kann es nicht besser, weil ich anerkenne, dass es ein sehr komplexes Problem ist. Und das Problem gehört auch nicht in die Hände einer Firma und auch nicht in die Hände eines Staates, sondern in die Hände der Wissenschaft.

Was mir fehlt, um die Diskussion überhaupt fair führen zu können ist eine Auswahl an konkreten Wahlsystemen, die versuchen verschiedene Optima bei der Abwägung zwischen Sicherheit, Geheimhaltung und Praktikabilität zu erreichen. Sodass die Konsequenzen bei der Einführung der verschiedenen Systeme, wie Threadmodels, zusätzlicher Aufwand bei der Wahlbenachrichtigung, eventuelle Hürden bei der Stimmabgabe etc. aber auch eventuell gewonnene Sicherheit, Flexibilität, etc. im Vorfeld bekannt sind.

Die Papierwahl ist auch ein Wahlsystem, das verschiedene Threadmodels und andere Vor- und Nachteile hat.

Sieht man letztlich, dass diese verschiedenen ausoptimierten Systeme alle Threadmodels haben, die gefährlicher einzuschätzen sind als die Threadmodels der Papierwahl oder ein System, welches sicher genug ist stattdessen nicht barrierefrei ist und zu viele technische Kenntnisse erfordert, bin ich auf eurer Seite. Ich habe aber letztlich nicht das Gefühl, dass diese Optima ausgeschöpft wurden.

Die Diskussion werden ja meist schon mit dem Verweis auf die Entscheidung des Bundesverfassungsgerichts beendet oder damit, dass die Schwächen einer Papierwahl gar nicht erst gewürdigt werden. Ich kann mich jedenfalls nicht erinnern, in einer Diskussion jemals konkrete Verweise zu ausgearbeiteten kryptographischen Wahlsystemen wahrgenommen zu haben. Noch habe ich in einer Diskussion je von einer Arbeit gehört, die erschöpfend alle Optionen bis zum Ende durchgespielt hat und zum Schluss kommt, dass es halt nicht funktioniert.

Was aber in Zukunft passieren wird ist, dass immer mal wieder ein Staat sich ein System von einer lokalen Softwareklitsche zusammenbalstelt lässt, das nicht peer-reviewed und closed-source ist. Ich denke wir sind uns einig, dass das Müll ist.

Wenn sich Staaten für elektronische Wahlen entscheiden, sollten sie wissen, was sie bekommen und was sie dafür zahlen.

37

In der Informatik gibt etwas, dass nennt sich verifizierende Algorithmen. Ein Algorithmus spuckt nicht nur das Ergebnis zu einem Algorithmus aus, sondern auch Informationen zum Verifizieren, dass die Berechnungen korrekt sind. (wie zum Beispiel bei der Kreuzungsfreien Einbettung planarer Graphen)

Selbiges gilt auch bei den von mir angeschriebenen Verfahren. Jeder kann trivial überprüfen: Wurde meine Stimme korrekt gezählt und jeder kann überprüfen, wie setzt sich das Endergebnis aus allen Stimmen zusammen. Auch das Überprüfen, dass keine Stimmen hinzugefügt wurden, ist Problemlos möglich, so wie es heute gemacht wird, mit Strichliste. Jedes Angriffsszenario kann also erkannt werden. Man muss gar nicht auf ein absolut sicheres System hoffen, weil man das Ergebnis verifizieren kann.
Es muss auch nicht jeder seine Stimme überprüfen. Es reichen tatsächlich schon eine kleine Anzahl von Personen aus, um mit extrem hoher Sicherheit einen Wahlfehler zu erkennen.

Bei dem vom mir beschriebene Papierwahlsystem zur Verifizierung werden die Stimmzettel zufällig auf die Wähler verteilt (z.B. durch Mischen), dadurch kennt nur man selbst, weil man den Wahlzettel selbst sieht, die eigene Nummer. Für andere Menschen ist es nicht möglich, die Nr. auf die Person zurückzuführen.

Zum Thema Bruch der Geheimhaltung: Es ist heutzutage genau so einfach die Geheimhaltung zu umgehen. Alles was man braucht ist eine Kamera in der Wahlkabine, oder dahinter. Die sind heutzutage so klein, dass man die gar nicht bemerkt. Allerdings ist in keinem von mir beschriebenen Verfahren eine Identifikation an der Wahlmaschine vorgesehen.

38

Ich verstehe nicht, wieso du forderst, dass diese Debatte „in der Öffentlichkeit“ ausgetragen wird. Selbstverständlich wird in der kryptograpischen Fachwelt auch immer wieder auf das Problem der elektronischen Wahl eingegangen. In der Regel folgt dann auf jeden neuen Vorschlag schnell auch die Analyse, wieso dieser nicht sicher und/oder praktikabel ist, was aber auch ganz einfach der normale Wissenschaftsbetrieb ist.

Irgendwelche „Denkverbote“ gibt es also nicht, stattdessen begründet sich die eher ablehnende Haltung durchaus auf Fakten.

2 „Gefällt mir“
39

Ich könnte da jetzt drauf antworten, und es würde sicher eine interessante und kontroverse Diskussion, aber sie würde in die völlig falsche Richtung führen, daher verkneife ich mir das.

Das kann aber nur sichergestellt werden, so lange die Institutionen, die sowohl die Wahl als auch die Machtübergabe danach durchführen, intakt sind. Ein „sicheres“ Wahlsystem alleine hilft überhaupt nicht, wenn der Machthaber später notfalls einfach entscheiden kann, das Ergebnis zu ignorieren, und die Institutionen des Landes nicht die nötige Macht haben, ihn zur Anerkennung des Ergebnisses und Abgabe der Macht zu zwingen.

Das ist alles überhaupt kein technisches Problem, sondern ein organisatorisches. Das Wahlsystem ist dabei gar nicht sonderlich relevant. Es ist maximal eine Möglichkeit (für den Machthaber), um Verwirrung zu stiften, und das funktioniert umso besser, je komplizierter und intransparenter das System ist. Deswegen ist Transparenz das absolut wichtigste Kriterium, wenn es um die Bewertung eines demokratischen Wahlsystems geht! Jegliche Kompromisse in Bezug auf die Transparenz müssen extrem gut begründet sein und müssen unbedingt signifikanten Nutzen im Sinne des Primärzieles eines demokratischen Wahlsystems haben. Dieses Ziel ist, eine nachvollziehbare, zuverlässige, faire, gleiche und geheime Wahl zu veranstalten. Dieses Ziel ist NICHT…

  • möglichst billig zu sein
  • möglichst schnell zu sein
  • möglichst „hip“ zu sein

Das sind maximal Sekundärziele, wenn überhaupt. Sekundärziele dürfen nicht zu Kompromissen beim Erreichen der Primärziele führen.

Die Briefwahl ist ein gutes Beispiel dafür: die ist eindeutig ein Kompromiss, bei dem man die Geheimhaltung der Stimmabgabe nicht mehr im selben Maße gewährleisten kann wie bei der Stimmabgabe im Wahllokal. Sie wird trotzdem angeboten, und zwar, weil sie eindeutig dazu beiträgt, die Ziele „fair“ und „gleich“ zu erreichen: per Briefwahl können wahlberechtigte Personen an der Wahl teilnehmen, die aufgrund Abwesenheit nicht an der Präsenzwahl teilnehmen können. Das macht sie zu einem wertvollen Kompromiss.

Der Aspekt, dass ein Akteur nicht die Kontrolle über die gesamte Infrastruktur hat, ist auch ein wesentlicher Sicherheitsfaktor einer Papierwahl. Und zwar ein wesentlicher Sicherheitsfaktor, der gern von Leuten, die sich elektronische Wahlsysteme zusammenspinnen, auf dem Altar der Technisierung geopfert wird.

Immerhin muss ich dir zumindest den Punkt lassen, dass du das nicht zwangsläufig tust. Deine Idee einer internationalen gegenseitigen Kontrolle ist an und für sich auch nicht falsch - und übrigens etwas, was auch jetzt schon versucht wird, siehe OECD-Wahlbeobachter. Das Problem daran ist aber auch (also neben dem bereits erwähnten praktischen Problem, dass Wahlen nach sehr unterschiedlichen Regeln verlaufen und es schwer sein dürfte, ein einzelnes System zu finden, das alle diese Varianten erlaubt), dass man auch in diesem Fall anzweifeln kann, dass es hier um ein technisches Problem geht, das mit technischen Mitteln (wie einem elektronischen Wahlsystem) zu lösen ist. Immerhin weiß man auch jetzt von diversen Staaten, dass deren Wahlen eine Farce sind - Belarus ist genau ein solches Beispiel. Aber was macht man jetzt mit der Erkenntnis? Reitet man jetzt mit Militär ins Land ein und zwingt den Belarussen „saubere Demokratie“ auf? Wir haben nun mal keine Weltpolizei, bei der man den offensichtlichen Wahlbetrug zur Anzeige bringen könnte. Wieso sollte man also in der Lage sein, selbst wenn es ein hypothetisches supersicheres „internationales Wahlsystem“ gäbe, den Staaten, die von autokratischen Herrschern geführt werden dieses aufzuzwingen? Und wenn man - wieder hypothetisch gesprochen - in der Lage wäre, das zu tun, warum sollte man dann nicht auch in der Lage sein, denselben Staaten bei Durchführung einer „klassischen“ Farce-Wahl gemäß eines vom Land selbst bestimmten Verfahrens auf die Finger zu hauen und sie dazu zu zwingen, ein besser taugliches Verfahren zu wählen und Betrug effektiv zu unterbinden?

4 „Gefällt mir“
40

Diesen Punkt möchte ich auch gerne nochmal beantworten, aber mehr in Richtung @Lambda gerichtet als an @anon65531953.

Es gibt faktisch keine Denkverbote in der Diskussion elektronischer Wahlsysteme, das kann ich bestätigen. Lass dich nicht vom Tonfall von Leuten wie z.B. mir in auf ein allgemeines Publikum ausgerichteten Foren wie diesem auf die falsche Fährte leiten. Das ist lediglich ein Ausdruck einer gewissen Resignation.

Es ist halt so: in anderen Kontexten werden potenzielle elektronische Wahlsysteme durchaus diskutiert und auf Schwachstellen abgeklopft. Die passenden Orte dafür sind aber nicht eigentlich eher politisch ausgerichtete Allgemein-Foren wie dieses hier. Ich halte es für sehr nützlich, in einer solchen Diskussion zunächst technische und politische Aspekte strikt zu trennen - etwas, was in einem Kontext wie hier vollkommen unmöglich ist, da es der Grundausrichtung der Diskussion hier, nämlich Technik immer auch im Zusammenspiel mit Gesellschaft und Politik zu betrachten, massiv widerspricht.

Allerdings gilt auch: bislang hat noch niemand ein über alle Zweifel erhabenes technisches Konzept vorgelegt, das den hohen Ansprüchen an politische Wahlen tatsächlich gerecht wird - geschweige denn dass die organisatorischen Aspekte und die Widersprüche zur verfassungsmäßigen Grundlage der meisten demokratischen Wahlen gelöst wären. Für andere Szenarien als ausgerechnet die wichtigsten politischen Wahlen einer Demokratie hingegen werden durchaus schon länger auch rein elektronische oder hybride Wahlsysteme eingesetzt, das ist also keine komplette Unmöglichkeit, nur die ultimative „Nuss“ der demokratischen Parlamentswahl wurde eben noch nicht geknackt, und es gibt abstrakt betrachtet durchaus Aspekte, die die Vermutung nähren, dass es prinzipbedingt so sein könnte, dass wir mit der Papierwahl schon ein Optimum in dieser Fragestellung gefunden haben (siehe meine vergangenen Postings bezüglich Komplexität, mangelnder Transparenz etc.).

Das hält jedoch Leute nicht davon ab, immer wieder mit denselben hemdsärmeligen Ideen um die Ecke zu kommen, die schon in diversen Variationen x-mal durchgekaut worden sind, und das Problem „einfach“ für gelöst zu erklären - meist ohne das Problem auf abstrakter Ebene überhaupt verstanden zu haben. Und an dem Punkt kommt die Resignation ins Spiel: wenn man diese Diskussionen um immer dieselben Vorschläge schon x-mal geführt hat, seitenlang, bis zu ihrem unweigerlichen Ende - der Erkenntnis, dass der Vorschlag entweder nicht funktioniert oder an dem Punkt, an dem er funktionieren würde, keinen Sinn mehr ergibt, da er so weit „kastriert“ wurde, dass jegliche mal angenommenen Vorteile sich verflüchtigt haben und nur noch tonnenweise Nachteile verbleiben - dann wird man irgendwann (leider) ungeduldig und bemüht sich darum, den Diskussionsverlauf schneller in Richtung des unweigerlichen Endes zu treiben.

5 „Gefällt mir“