E-Voting unabwendbar: Ruf nach dem Gesetzgeber

Dem ausdrücklich als "hot topic" deklarierten Thema "Elektronische Wahlen und Wahlmaschinen" widmete sich am gestrigen Freitag der Darmstädter CAST-Workshop, den Melanie Volkamer vom Institut für IT-Sicherheit und Sicherheitsrecht (ISL) an der Universität Passau organisierte.

Gleich zu Beginn schlug Robert Krimmer vom Kompetenzzentrum für elektronische Wahlen und Partizipation E-Voting.CC in seiner Einführung einen großen Bogen von der "Face-to-Face-Gesellschaft" der antiken Polis, in der Wähler und Gewählte sich noch persönlich kannten – "der Urform von Demokratie, wie wir sie alle aus den Lehrbüchern kennen" – über die Phase der Territorialstaaten, in der sich die Demokratie mit der Form der Stimmabgabe im Wahllokal herausbildete, bis zu der heraufziehenden Weltgesellschaft. Die Globalisierung führe zu einer Abkehr vom Territorialprinzip, ist Krimmer überzeugt, sodass "wir heute Entscheidungen über Grenzen hinweg fällen können, oder sogar müssen". Informationen könne man dank Internet überall bekommen, sodass "man sich nicht mehr im Lande befinden muss, um an den Entscheidungsprozessen teilzunehmen". Folglich würden sich auch die Wahlverfahren ändern, und zwar, so Krimmers These, in Richtung Distanzwahl. "Hier hat das elektronische Wählen einen Beitrag zu liefern". Er plädierte dafür, mit Tests und Wahlen in kleineren Einheiten stufenweise Erfahrung aufzubauen. Für ihn ist dieser Gang der Dinge alternativlos und die technische Entwicklung quasi ein unaufhaltsamer Selbstläufer: "Internetwahlen", so Krimmer, "werden sich nicht vermeiden lassen."

Eher beiläufig brachte auf dem Workshop Lucie Langer von der TU Darmstadt den Kern aller Diskussionen um das Für und Wider des E-Voting auf den Punkt: "Es ist klar, dass man nicht einfach eine 1:1-Abbildung von einer Papierwahl zu einer Onlinewahl machen kann". Die Darmstädter Mathematikerin beschäftigt sich im Rahmen des Forschungsprojekts 'voteremote' zur Entwicklung einer zertifizierten Wahlplattform für Onlinewahlen mit dem Teilproblem, dass gesetzlich bindende Wahlen die Aufbewahrung bestimmter Wahldokumente wie Stimmzettel und Wählerlisten für den Fall von Anfechtungen erfordern. In Deutschland gibt es bisher jedoch keine gesetzlichen Bestimmungen für die langfristige Aufbewahrung elektronischer Wahldaten. Dokumentiert werden müssten aber auch in diesem Fall die Einhaltung der Wahlgrundsätze, die rechtmäßige Wahlhandlung und korrekte Berechnung der Ergebnisse sowie beweisbar die Sicherheit der Systemkomponenten und Anwendungen. "Insbesondere sollte die Auszählung verifizierbar und damit wiederholbar sein", meint die Darmstädter Mathematikerin, "um hier so etwas wie Transparenz reinzubringen, sollte es eine vertrauenswürdige Auszählroutine geben". Die im Projekt vorgeschlagenen Sicherungsanforderungen und -mittel orientieren sich mit einem Zusammenspiel von qualifizierten Signaturen, Zeitstempeln, Verschlüsselung und Speicherung auf nicht-wiederbeschreibbaren Medien an den Archivierungslösungen für den elektronischen Rechtsverkehr. Offene Fragen gibt es dabei einige, berichtete Langer, aber "gesetzliche Vorgaben sind der Dreh- und Angelpunkt für technische Lösungen".

In Darmstadt stellten die Mitarbeiter der Kasseler Projektgruppe für verfassungsverträgliche Technikgestaltung (provet) erstmals ihre Vorschläge zu einem rechtlichen Rahmen für Online-Wahlen vor, die sie in dem vom Bundeswirtschaftsministerium bei T-Systems mit 1,2 Millionen Euro geförderten voteremote-Projekt entwickelt haben. Das Projekt soll vor allem Wahldiensteanbietern einen Markt eröffnen – Dienstleistern, die Wahlen im Auftrag abwickeln und die dafür gewisse Anforderungen erfüllen müssen. "Wir haben uns für ein zweistufiges Regelungskonzept entschieden", berichtete Zoi Opitz-Talibou. So soll es zum einen ein Wahldiensteanbieter-Gesetz (WDAG) geben, ergänzt um eine Wahldiensteanbieter-Verordnung (WDA-VO). Daneben sollen die existierenden Wahlvorschriften im Betriebsverfassungsgesetz oder des Sozialgesetzbuches um die Zulässigkeit von Onlinewahlen sowie einen Verweis auf die Sicherheitsanforderungen im WDAG geändert werden. Insgesamt läuft das auf eine Art 'Business Process Reengineering' des Wahlrechts hinaus. Opitz-Talibou betonte, dass sich voteremote nur auf ein Angebot für den Bereich nichtparlamentarischer Onlinewahlen konzentriert. "Man geht davon aus, dass Brisanz und Angriffspotenzial bei Betriebsratswahlen niedriger sind als bei Parlamentswahlen", erklärte die Kasseler Juristin. Letztlich ginge es immer um den "Anspruch auf ein risikoadäquates Sicherheitsniveau".

Im Gespräch ist zur Zeit, Onlinewahlen über einen Wahldiensteanbieter 2011 zunächst in Hamburg bei drei Krankenkassen anlässlich der nächsten regulären Sozialversicherungswahl einzusetzen. Die Weichenstellungen hierfür werden derzeit im Bundesministerium für Arbeit und Soziales vorbereitet. Die Komplexität und hohen Sicherheitsanforderungen machen den Einsatz von Online-Wahlsystemen aufwendig und damit teuer, zudem hätten die Wahlausrichter keine Fachkenntnisse, argumentierte Axel Schmidt für das Outsourcing "an einen qualifizierten, professionellen, vertrauenswürdigen Wahldiensteanbieter", der die Wahl im Namen des Wahlausrichters technisch durchführt und "der relativ leicht evaluiert und zertifiziert werden kann". Die Sicherheit ließe sich auf diese Weise besser realisieren – "nach einem ähnlichen Konzept, wie das bei Zertifizierungsdiensteanbietern bereits der Fall ist". Doch "zunächst brauchen wir einen gesetzlichen Rahmen", meint auch Schmidt, der ebenso wie Lucie Langer Wissenschaftlicher Mitarbeiter in der Arbeitsgruppe Kryptographie und Computeralgebra an der TU Darmstadt ist. Gesetze und Verordnungen müssten die Anforderungen an den Wahldiensteanbieter festlegen, und auf dieser Grundlage eine übergeordnete, unabhängige Behörde dessen Qualifikation prüfen und ihn akkreditieren. Die Evaluierung der Wahlsystem-Software selbst würde dann nach den Common Criteria (CC) erfolgen.

Für diesen internationalen IT-Sicherheitsstandard warben auf dem Workshop Marcel Weinand vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und Roland Vogt vom Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI). Sie stellten das Konzept und die bisherigen Arbeiten zu einem Schutzprofil für Online-Wahlen vor. Das BSI hatte in einem Projekt die Erstellung eines solchen Katalogs für Sicherheitsanforderungen bei der Gesellschaft für Informatik gefördert. Das von Vogt gemeinsam mit der Workshop-Organisatorin Melanie Volkamer vom Institut für IT-Sicherheit und Sicherheitsrecht (ISL) an der Universität Passau formulierte Schutzprofil hatte das BSI dann Mitte des Jahres als CC-konform zertifiziert. "Ein CC-Zertifikat ist genauso eine Qualitätsaussage wie ein TÜV-Siegel", meinte Weinand. "Jede CC-Evaluierung bringt den Nachweis, dass das Produkt gegen ein gewisses Angriffsszenario resistent ist".

Die erste CC-Evaluierung eines Wahlsystems hatte es mit dem digitalen Wahlstift in Hamburg gegeben. Die Geschichte des gescheiterten Projekts rekapitulierten in Darmstadt Sönke Maseberg von der IT-Prüfstelle datenschutz nord und der Leiter des Landeswahlamtes der Hansestadt, Asmus Rösler. Zur Bürgerschaftswahl im vergangenen Februar vorgesehen, hätte der Stift die manuelle Auszählung ersetzen sollen, indem ein in den Kugelschreiber eingebauter Scanner das Votum sofort beim Markieren des Kreuzes auf dem Stimmzettel elektronisch erfasst. Baumusterprüfungen und die CC-Zertifizierung anhand eines eigens entwickelten Schutzprofils für den Wahlstift durch ein externes Institut sollten die notwendige Sicherheit des Wahlverfahrens vermitteln. "Dahinter steckte ein sehr aufwendiges Prüf- und Zertifizierungsverfahren", berichtete Rösler; insgesamt vier unabhängige technische Überprüfungen seien durchgeführt worden. Doch nachdem der Chaos Computer Club Schwachstellen für Angriffe auf das Verfahren aufgezeigt und damit die Fachwelt verunsichert hatte, beschloss das Parlament der Hansestadt drei Monate vor dem Wahltag, das System nicht einzusetzen.

In der Diskussion – die der Erwartung des Veranstalters, dass E-Voting ein 'hot topic' sei, überaus gerecht wurde – bemängelte Dieter Richter von der Physikalisch-Technischen Bundesanstalt (PTB) – die nach der Bundeswahlgeräteverordnung für die Zulassung der umstrittenen Nedap-Wahlcomputer zuständig ist – dass die Fokussierung auf die CC-Sicherheitsevaluierung zu eng angelegt sei, weil dabei wahlspezifische Funktionsanforderungen zu kurz kämen, die wie beispielsweise die Ergonomie nicht unbedingt für die Sicherheit, aber für die Zuverlässigkeit des Wahlergebnisses relevant wären. Zudem sieht er etliche Probleme als noch nicht zufriedenstellend gelöst an. Dazu gehören die Festlegung, in welchen Umfang sich die CC-Evaluierung auf welche Komponenten eines elektronischen Wahlsystems erstrecken sollte, aber auch die Bestimmung der Sicherheitsziele sowie die Festlegung der Prüftiefe. "Das Schwierigste ist wahrscheinlich, die Vertrauenswürdigkeitsstufen so festzulegen, dass sie von denen, denen das Vertrauen abverlangt wird, auch akzeptiert werden".

Richter, der den Fachbereich "Metrologische Informationstechnik" an der PTB leitet, kritisierte darüber hinaus, dass beim Outsourcing an einen Wahldiensteanbieter die Wahlvorstände noch mehr den Durchblick verlieren würden, weil ihnen neben dem Vertrauen in die Technik auch noch das Vertrauen in die Organisation des Dienstleisters abverlangt werde. Wenn dann noch der Wahldiensteanbieter ein selbstentwickeltes System vermarktet, "dann besteht die Gefahr, dass Konfliktsituationen unterdrückt werden". Dem setzte Axel Schmidt die Überzeugung entgegen, dass die von einem Dritten durchgeführte Wahl vertrauenswürdiger sei, als wenn die Organisation, in der gewählt werden muss, das selbst übernehme. "Ich glaube, dass die Vorteile des Konzeptes die Nachteile überwiegen". Zum Abschluss resümierte Roland Vogt, "die Dinge sind in einem Zustand, wo sie breit diskutiert werden müssen". Der IT-Sicherheitsexperte vom DFKI erinnerte daran, dass die CC-Evaluierungsstufen die Vertrauenswürdigkeit lediglich "im Sinne eines technischen Begriffes" bestimmen und nur festlegen, mit welcher Gründlichkeit ein Produkt geprüft wurde, nicht aber, welche Sicherheitsleistung dahinter steht. Ob damit Vertrauen auch im gesellschaftlichen Verständnis gebildet werden kann, stehe auf einem anderen Blatt. (Richard Sietmann) (gr)