Für den Wahlstift "ist die Zeit nicht reif"
Sachverständige raten der Hamburger Bürgerschaft die Rückstufung zum Testlauf
Die Politiker hätten sich zu schnell ein unreifes System verkaufen lassen, erklärte am gestrigen Freitag Abend der frühere Inhaber des Lehrstuhls für IT-Sicherheit an der Universität Hamburg, Professor Klaus Brunnstein, auf einer Sachverständigen-Anhörung des Verfassungsausschuss der Hamburger Bürgerschaft zu dem geplanten Einsatz des digitalen Wahlstifts bei den Wahlen zum Landesparlament am 24. Februar. "Sie entscheiden über ein System, das nicht zugelassen ist - in der Hoffnung, dass es zugelassen wird", kritisierte Brunnstein die Hamburger Innenbehörde für die durch die voreilige Festlegung erzeugten Zeitdruck und wies darauf hin, dass drei Monate vor dem Wahlgang das Ergebnis der notwendigen Baumusterprüfung durch die Physikalisch-Technische Bundesanstalt (PTB) noch immer aussteht. Der Prüfauftrag sei der PTB erst im Juli 2007 erteilt und das System danach offenbar noch mehrmals modifiziert worden.
Die bisher vom Hamburger Senat eingeholte Zertifizierung des Wahlstifts nach der Sicherheitsstufe EAL 3 der Common Criteria (CC) hält Brunnstein nicht für ausreichend. "Was hier vom BSI abgesegnet wurde, ist fahrlässig wenig", meinte er. Der Senat hätte das von zwei Mitarbeitern des Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) entwickelte Protection Profile für den Wahlstift zwar veröffentlicht, "aber eine wissenschaftliche Diskussion gibt es dazu nicht". Das zugrundegelegte Anforderungsprofil sei nicht aus den speziellen Anforderungen des E-Voting heraus geschaffen worden. "Es gibt weltweit kein CC-Profil für das E-Voting", betonte Brunnstein. Er sei sehr dafür, den Wahlstift sicher zu machen, aber dafür sei mindestens das Sicherheitsniveau EAL 4 erforderlich, "aber das geht nicht bis zum 24. Februar". Vor diesem Hintergrund plädierte der emeritierte Informatiker dafür, das System lediglich als Test für die nächste anstehende Wahl, die Bundestagswahl 2009, zu verwenden.
Ähnlich argumentierte der Inhaber des Lehrstuhls für Sicherheit in verteilten Systemen an der Universität Hamburg, Professor Joachim Posegga, der seit drei Monaten Mitglied des Beirats der Hamburger Innenbehörde zur Einführung des Wahlstifts ist. "Wir sollten nichts übers Knie brechen", meinte er, "wir brauchen noch einmal einen Feldtest". Professor Joachim Schmidt, der Leiter des Instituts für Software-Systeme an der TU Hamburg-Harburg, brachte in der Anhörung ebenfalls "größte Bedenken" gegen das Timing im Frühjahr vor.
Kritik an der Zuverlässigkeit der Stimmerfassung mit dem Wahlstift-Verfahren kam von dem Wahlforscher Matthias Moehl von election.de, der die Erfahrungen aus dem ersten Pilotversuch mit einer Parallelwahl zur Bundestagswahl 2005 im Hamburger Bezirk Wandsbek präsentierte. Von den 503 befragten Teilnehmern hätten seinerzeit 8 Prozent den Wahlstift als nicht zuverlässig und 10 Prozent das Wahlgeheimnis nicht als gesichert angesehen. Im Test hätte es 110 uneindeutige Stimmabgaben gegeben, "das heisst, jede sechste Stimme mußte vom Wahlvorstand nachbearbeitet werden". Diesen hohen Anteil betrachtet Moehl mit Sorge, weil -- wie er anhand von Wahlergebnissen der jüngsten Vergangenheit ausführte -- in knappen Rennen bereits einige hundert Stimmen den Ausschlag geben können. "Wir können uns eigentlich gar keine Abweichungen erlauben, denn Verschiebungen von ein paar hundert Stimmen können schon mandatsrelevant sein", erklärte Moehl und befürchtet, "die Legitimation ist in Frage gestellt, wenn es weite Teile der Bevölkerung gibt, die das Wahlergebnis nicht anerkennen".
Die Vertrauenspyramide werden mit dem System auf den Kopf gestellt, erklärte Rop Gonggrijp, der als Vertreter des Chaos Computer Club zu der Sachverständigen-Anhörung geladen war. Das derzeit hohe Vertrauen der Bevölkerung in Wahlen erstreckt sich aufgrund der Transparenz des Verfahrens bei der Stimmabgabe von unten nach oben; mit den Zertifizierungsmechanismen der computerisierten Stimmerfassung werde nun von oben nach unten von der Bevölkerung Vertrauen in die Integrität verlangt. "Hier wird eine Buchhaltung aufgebaut", erklärte der renommierte holländische Hacker, "und gleichzeitig die Kontrollen rausgenommen".
Vertrauen "ist etwas, was die Wähler entwickeln müssen", meinte zwar auch Roland Vogt vom DFKI, einer der Autoren des Wahlstift-Schutzprofils, der -- wie er freimütig einräumte -- jetzt für den Hersteller beratend tätig ist. Doch die CC-Zertifizierung könne dafür eine Grundlage schaffen. "Das Vertrauen hängt aber noch von vielen anderen Faktoren ab". Auf Befragen des GAL-Abgeordneten Farid Müller erläuterte Vogt dann, dass sich das Schutzprofil für die Zertifizierung nicht auf das Gesamtsystem erstreckt, sondern nur auf den Wahlstift und die Zählsoftware, während wesentliche Systemkomponenten wie der Stimmzettel selbst, die Docking-Station für den Stift, Drucker, Laptop mit Betriebssystem und der USB-Stick zum Transport des Wahlergebnisses nicht zum "Evaluierungsgegenstand" gehörten.
Das angekündigte Medienspektakel eines Live-Hack des Hamburger Wahlstifts ist auf der gestrigen Sitzung in dem überfüllten Saal 151 des Hamburger Rathauses ausgeblieben - zum Leidwesen des Ausschussvorsitzenden Heinrich Langhein, der wegen des sonst üblichen Filmverbots die Sitzung eigens unterbrochen hatte, damit die Kameraleute auf ihre Kosten kommen. Doch anstelle der vor zwei Wochen gemeldeten Schwachstelle eines Angriffs mit einem Trojanischen Wahlstift erläuterte Frank Rieger vom Chaos Computer Club mit einer Powerpoint-Präsentation ein anderes Angriffsszenario.
"Man kann den Wahlzettel manipulieren, und zwar relativ einfach", erklärte er. Der Wahlstift, der ja nicht nur Kugelschreiber, sondern dank des eingebauten Bildsensors zugleich ein Scanner ist, erkennt nämlich seine Position auf dem Stimmzettel anhand eines mit bloßem Auge kaum sichtbaren Punktrasters; gelingt es, das lokale Punktraster der einzelnen Kandidaten untereinander auszutauschen, so liest der Stift etwas anderes ein als der Wähler eingegeben hat. "Das ist für den Wähler nicht nachvollziehbar - er denkt, er hat die Partei A angekreuzt, in Wirklichkeit zählt die Wahlsoftware die Stimme für Partei C". Derart manipulierte Stimmzettel ließen sich mit einem handelsüblichen Drucker erstellen und ein Innentäter könnte sie unbemerkt in den Wahlgang schleusen, meinte Rieger.
Jürgen Dreesen von der westfälischen Firma Diagramm Halbach, bei der Hamburgs Innenbehörde bereits 12.000 Wahlstifte bestellt hat, wies diese Angriffsmöglichkeit zurück. Es sei zwar richtig, "dass der Stimmzettel ein Bedrohungspotential darstellt", aber der Stift reagiere auf falsche Wahlzettel "mit einem sehr aggressiven Brummton", erklärte er. Die Demonstration blieb allerdings aus; die CCC-Vertreter hatten keine gefälschten Wahlzettel mitgebracht, das Prinzip des Hacks ist aber in einem Video auf der CCC-Webseite dokumentiert.
Doch mit seinem Hinweis auf mögliche Innentäter hatte Rieger im Ausschuss eine große Koalition erzeugt. Pikiert reagierte die Bürgerschaftsabgeordnete Barbara Duden (SPD), der Begriff richte sich gegen die Reputation von Wahlhelfern, "die freiwillig ihren Sonntag opfern". Manfred Jäger, Vertreter der CDU-Fraktion im Verfassungsausschuss, stimmte ihr ausdrücklich zu: "Das Misstrauen gegen Wahlhelfer finde ich unangemessen". Er sei selbst Wahlhelfer, konterte Rieger, zum Innentäter könne aber auch jeder werden, der mit dem System beruflich befasst sei. "Die Annahme, es gäbe keine Innentäter, ist schlichtweg naiv", erklärte er. Die Abgeordneten sollten nicht immer nur von einem "Sonnenschein-Szenario" ausgehen. "Installieren Sie solch ein System in Aserbeidschan, dann können Sie sicher sein, dass der Diktator auch in 15 Jahren noch regiert".
Richard Sietmann / (jo)