„Die Nicht-Lösung eines nicht existierenden Problems“

Der erfolgreiche Hack eines Nedap-Wahlcomputers sechs Wochen vor der Parlamentswahl am 22. November hat Politik und Öffentlichkeit in den Niederlanden aufgeschreckt. Den Aktivisten gelang es, auf dem Wahlgerät Nedap ES3B - dem Typ, an dem 90 Prozent der Holländer bei der kommenden Parlamentswahl ihre Stimme abgeben werden - ein kleines Schachprogramm zum Laufen zu bringen. Zur Demonstration, dass man auch ohne Kenntnis des Quellcodes die Zählung der Wählerstimmen manipulieren kann, platzierte die Initiative „Wij vertrouwen stemcomputers niet“ (Wir vertrauen Wahlcomputern nicht) ein kleines Zusatzprogramm in der Steuerung (siehe dazu c't 22/2006, S.52). Kurzfristig werden nun für den bevorstehenden Urnengang in allen 8000 Nedap-Wahlgeräten die EPROMs mit der Steuerungssoftware ausgetauscht und versiegelt. Langfristig soll eine vom holländischen Innenministerium eingesetzte E-Voting-Kommission unter Beteiligung technischer Experten sämtliche Fragen rund um die elektronische Stimmerfassung neu aufrollen.

Über die Konsequenzen des gelungenen Hacks sprach c't mit dem Amsterdamer Aktivisten Rop Gonggrijp, dem Kopf hinter der Initiative, die gemeinsam mit dem Chaos Computer Club Berlin die Schwachstellen des Gerätes aufdeckte.

c't: Austausch der EPROMs und amtliche Versiegelung - stellen Euch diese Maßnahmen gegen mögliche Manipulationsversuche an den elektronischen Wahlmaschinen jetzt zufrieden?

Rop Gonggrijp: Nein, es gibt Möglichkeiten, auch einen versiegelten Nedap-Wahlcomputer zu manipulieren. Wir haben inzwischen eine Attacke entwickelt, die nur über den Tastaturteil des Gerätes läuft und bei der man in den Hauptkasten gar nicht rein muss. Die Probleme sind also sehr viel grundsätzlicher zu sehen. Was wir möchten, ist, dass jeder Bürger prinzipiell überprüfen kann, ob eine Wahl korrekt abläuft. Die jetzige Situation ist völlig unakzeptabel; selbst die Wahlvorstände können die tatsächliche Zählung nicht mehr prüfen. Der Quellcode sämtlicher Software gehört offengelegt und muss publiziert werden. Und noch viel wichtiger: Es muss eine vom Wähler bestätigte Papierkopie von jeder abgegebenen Stimme geben, und diese Papierstimmen müssen regelmäßig gezählt werden. Im Moment sieht es allerdings so aus, als ob die Rückkehr zum Papierstimmzettel der einfachste Weg wäre.

c't: Was ist denn so falsch an elektronischen Zählgeräten?

Gonggrijp: Die Hersteller reden zwar lieber von „Wahlgeräten“ als von „Wahlcomputern“, aber das ist eine absichtliche Irreführung. Auf den Kisten läuft stinknormale Software. Die sollte, wenn alles mit rechten Dingen zugeht, zwar in einem Zulassungsverfahren geprüft sein, doch was sagt das schon? Wie stellt beispielsweise der Vorstand im Wahllokal sicher, dass die getestete Software tatsächlich auf der Kiste läuft? Mit Papierstimmzetteln brauchte man bei der Stimmerfassung oder bei der Auszählung schon eine außerordentlich weitverzweigte Konspiration, um eine Wahl zu stehlen. Mit Computern ist das anders. Die Stimmzählung ist ein geschlossener Prozess, der den Augen der Wahlvorstände entzogen wurde. Im ganzen Land gehen sie nun am Wahlabend zu einem Computer, den sie nicht verstehen, und drücken auf einen Knopf, damit dieser ihnen das Resultat ausdruckt. Früher war die Verifikation der Wahl die Sache von vielen tausend Helfern; jetzt liegt sie in der Hand einiger anonymer Techies und Bürokraten bei den Herstellern, Zertifizierungsinstituten und Regierungsstellen.

c't: Seid Ihr nicht ein bisschen paranoid?

Gonggrijp: Unserer Ansicht nach hatten die Schöpfer des ursprünglichen Wahlgesetzes in Holland ein gesundes Misstrauen gegen alles und jeden. Das gesamte Wahlverfahren ist so aufgebaut, dass einer den andern kontrolliert. Und das mit Bedacht: In Wahlen geht es immer um Macht, und ein besseres Motiv zu betrügen, kann man sich wohl kaum vorstellen. Heute fallen mit dem Verschwinden der ideologischen Blöcke, den vielen unentschlossenen Wählern und den ständigen Meinungsumfragen die Ergebnisse oft sehr knapp aus, sodass ein erfolgreicher Wahlbetrug sehr subtil vonstatten gehen kann. Wir behaupten ja nicht, dass es so etwas schon in den Niederlanden gegeben hätte, aber wir wissen genug über Computer und IT-Sicherheit, um uns über die Möglichkeiten zu einem groß angelegten Betrug mit Wahlcomputern ernsthafte Sorgen zu machen. Eine Wahl muss korrekt sein, selbst wenn die Regierung es nicht ist. Als Mitglied internationaler Organisationen wie der EU, der OSZE und der UN verlangt die niederländische Regierung von anderen Ländern verifizierbare Wahlen. Weshalb sollte diese Forderung für uns selbst nicht gelten?

c't: Holland wählt bereits flächendeckend mit Computern. Glaubt Ihr ernsthaft, dass der Kampf noch zu gewinnen ist?

Gonggrijp: Sicher, wir sind spät dran. Aber viele von uns sind aus Amsterdam, und hier wurden Wahlcomputer erst 2006 eingeführt. Und dass die Dinge schon so weit aus dem Ruder gelaufen sind, kann doch nur heißen, dass wir tätig werden müssen. Es gibt noch 13 kleine Gemeinden mit Papierwahl, die werden wir am 22. November demonstrativ aufsuchen. Das Roll-Back wird nicht einfach sein. Die Wahlorganisation bei uns ist schon zu 90 Prozent von einem Hersteller - Nedap - abhängig. Die restlichen zehn Prozent entfallen auf die ehemalige Staatsdruckerei SDU. Bei der kauft man die Kisten nicht, sondern mietet sie; die Gemeinde kauft die Dienstleistung „outsourced Wahlen“ für einen pauschalen Betrag pro Wahl und stellt nur noch die Wahlhelfer. SDU betreibt die Touchscreen-Kisten mit Embedded XP und lässt sich die Stimmen über ein eingebautes GPRS-Modem auf ihren Server übermitteln. Von dem rufen die Wahlämter am Abend das Ergebnis ab. Das ist noch viel schlimmer als das nicht vernetzte Nedap-System.

c't: Sind sichere Wahlcomputer überhaupt vorstellbar?

Gonggrijp: Wir haben darüber eine Menge nachgedacht. Es gibt wunderbare kryptographische Algorithmen speziell für Wahlen, und Wahlen wären natürlich ein hervorragendes Einsatzgebiet für Open-Source-Software. Kurz gesagt könnten die Dinge durchaus sehr viel eleganter, verifizierbarer und fortschrittlicher sein als der gut gemeinte Müll, den man jetzt in den Wahllokalen vorfindet. Doch mit welchem System auch immer bleibt das Problem der Abhängigkeit von Software, die nur wenige verstehen. Ohne die Auszählung von Papierstimmzetteln muss die Mehrheit einer Minderheit vertrauen, die ihr sagt, dass alles seine Richtigkeit hat.

c't: Wäre denn Open-Source-Software nicht die Lösung? Die kann zumindest jeder Interessierte prüfen.

Gonggrijp: Dummerweise gibt es für nicht technische Anwender noch kein Verfahren, um zu verifizieren, dass auf einem bestimmten Computer nur eine bestimmte Software läuft; selbst für technisch Versierte kann die Verifikation eine Herausforderung sein. Auch nach der Publikation des Quellcodes wüssten wir also immer noch nicht, ob sich genau diese Software in unserem Wahlcomputer befindet. Deshalb wird man immer Papierbelege brauchen, die man zählt - und gegebenenfalls nachzählt, ob alles korrekt abgelaufen ist.

c't: Mit einem Voter-Verified Paper Audit Trail, der parallelen Stimmerfassung auf Papier, wäre demnach alles okay?

Gonggrijp: Möglicherweise. Aber dann fordern wir, dass die Papierstimmzettel regelmäßig nach dem Zufallsprinzip punktuell gezählt werden, nicht nur in Zweifelsfällen, und dass bei Diskrepanzen die Papierzählung das amtliche Ergebnis bildet.

c't: Dann könnte man eigentlich auf Wahlcomputer gleich ganz verzichten.

Gonggrijp: Wahrscheinlich. Aber wir haben nie behauptet, dass es hier ein gesellschaftliches Problem gab, das gelöst werden musste. Ich kann mich nicht erinnern, jemals etwas über die große Stimmauszählungskrise gelesen zu haben. Wahlcomputer sind bestenfalls die Nicht-Lösung eines nicht existierenden Problems.

c't: E-Voting ist billiger.

Gonggrijp: Sagt wer? Die Hersteller von Wahlmaschinen vermeiden solche Aussagen. Von denen hört man nur, es wird einfacher und schneller. Hier in Amsterdam ist die Wahl eine Million Euro teurer geworden, die Kosten sind für eine Wahl von 1,6 auf 2,7 Millionen Euro gestiegen. Davon fließen 900 000 Euro direkt an den Dienstleister SDU - das sind pro Wähler drei Euro.

c't: Aber einfacher und schneller stimmt doch, oder?

Gonggrijp: Klar, das Gesamtergebnis am Computer abzufragen ist viel einfacher als die Auszählung von Hand. Doch wenn uns Schnelligkeit und Einfachheit wichtiger sind als die Verifizierbarkeit, könnten wir uns auch mit Meinungsumfragen begnügen und deren Ergebnisse verbindlich übernehmen. Das wäre dann noch einfacher und schneller. (jk)