„Eine neue Situation“

Zurück auf Los!“ oder gänzlich raus - welche Konsequenzen Politiker und Behörden aus der Manipulation eines Nedap-Wahlcomputers [1] durch ein holländisch-deutsches Hackerteam für das E-Voting in der Bundesrepublik ziehen werden, ist bislang offen. Der Wahlprüfungsausschuss des Bundestages hat über den Einspruch gegen die Verwendung der Geräte bei der letzten Bundestagswahl noch nicht entschieden. In der Physikalisch-Technischen Bundesanstalt (PTB), der nach der Bundeswahlgeräte-Verordnung (BWahlGV) die Baumusterprüfung obliegt, sind die Experten noch dabei, die neue Lage zu analysieren. Zum Stand der Dinge sprach c't mit dem zuständigen PTB-Direktor, Professor Dieter Richter.

Richter leitet den Fachbereich „Metrologische Informationstechnik“ der PTB und ist in dieser Funktion auch für die Beratung von Ministerien in „Grundsatzfragen Wahl- und Spielgeräte“ zuständig. Im gemeinsamen Auftrag des Bundeswirtschafts- und des Bundesinnenministeriums vertrat er die Bundesrepublik Deutschland in der Arbeitsgruppe des Council of Europe zu den im September 2004 verabschiedeten „Recommendations on E-Voting“. Er gehört dem Expertenbeirat zur Einführung von Internet-Wahlen bei der Gesellschaft für Informatik (GI) an, die auf der Softwareplattform des Kasseler Unternehmens Micromata im Dezember 2004 erstmals zum Einsatz kamen. In seinem Fachbereich entstand der Anforderungskatalog „Online-Wahlsysteme für nicht-parlamentarische Wahlen“. Im Auftrag des Wirtschaftsministeriums arbeitet Richters Team an Prüfkriterien für die BMWi-Projekte „Wählen in elektronischen Netzwerken“ (W.I.E.N.) und „Vote Remote“.

c't: Herr Richter, gegenüber dem Wahlprüfungsausschuss hat das Bundesinnenministerium behauptet, die eingesetzten Wahlgeräte seien „hinreichend manipulationssicher“. Ist diese Aussage nach dem erfolgreichen Nedap-Hack noch haltbar?

Dieter Richter: Diese Aussage muss natürlich neu geprüft und bewertet werden. Sie war auf der Basis der vorliegenden Erkenntnisse und getroffenen Maßnahmen erfolgt. Bisher gibt es keine Erkenntnisse über Manipulationsversuche an Wahlgeräten in Deutschland. Und um das einmal klarzustellen: Was die holländische Initiative gemacht hat, war der gezielte Versuch zu zeigen, dass man manipulieren könnte - da ist keine Wahl manipuliert worden.

„In Deutschland bezieht sich die Anforderung, dass Veränderungen an den Wahlgeräten nicht unbemerkt vorgenommen werden können, auf das Gesamtsystem der Maßnahmen.“

c't: Das Risiko eines Austauschs der EPROMs mit der Steuerungssoftware war bereits lange bekannt. Der Hack nutzt eine Schwachstelle aus, vor der die irische Commission on Electronic Voting schon 2004 gewarnt hatte. Gleichwohl erklärt das Innenministerium gegenüber dem Wahlprüfungsausschuss, wegen des unterschiedlichen Wahlrechts seien die Aussagen des CEV-Reports nicht relevant. Wie konnten Sie es zulassen, dass das BMI solch eine Erklärung abgibt?

Richter: Da überlagern sich zwei verschiedene Dinge. In Irland sind die Auswertung der Stimmen und die Berechnung der Sitzverteilung Bestandteil des zu prüfenden Systems, was in Deutschland nicht der Fall ist. Viele der Aussagen der irischen Untersuchungskommission beziehen sich auf diesen Teil der Auswertesoftware.

Zweitens hat die Kommission ihren ersten Bericht von 2004 an vielen Stellen relativiert. In dem Abschlussbericht, den sie im letzten Juli veröffentlichte, nahm sie gerade den Teil der Steuerungssoftware - der noch am ehesten vergleichbar mit dem ist, was in Deutschland eingesetzt wird - grundsätzlich von der Kritik aus.

Die Erklärung des Innenministers, dass die Geräte noch ausreichend sicher sind, halte ich für vertretbar, weil es in Deutschland ein System von begleitenden Sicherungsmaßnahmen gibt. Das Ganze ist eingebettet in ein Konzept der Überwachung. Dazu gehört die Tatsache, dass die Geräte bei Behörden aufbewahrt werden, sodass es eines nicht-legalen Aktes bedürfte, an die Geräte zu kommen. Dazu gehören Checks, die vor Wahlbeginn durchgeführt werden. Wenn ein Zweifel oder Verdacht besteht, oder man sich nicht sicher ist, ob alle diese Maßnahmen zusammen gegriffen haben, gibt es die Möglichkeit, die Geräte und die EPROMs anhand der in der PTB geprüften und vorhandenen Baumuster durch uns gegenprüfen zu lassen.

Dieses Paket von Maßnahmen hat bei dem damaligen Kenntnisstand durchaus berechtigt zu der Bewertung geführt, dass eine Manipulation zwar theoretisch möglich, praktisch aber unwahrscheinlich ist.

c't: Bisher galt - und der Hersteller hat noch vor kurzem darauf hingewiesen -, dass die Wahlgeräte zwischen den Wahlen nicht einmal geschützt aufbewahrt werden müssen.

Richter: Richtig ist, dass in den einschlägigen Verordnungen, der BWahlGV oder auch dem Anhang dazu keine eindeutige Verpflichtung zur durchgängig geschützten Aufbewahrung der Geräte formuliert ist. Ich persönlich halte das aber für eine Selbstverständlichkeit. Die Geräte sind ja ausschließlich im Besitz von Kommunen, also Städten oder Gemeinden. Ich kann das nicht genau rekapitulieren, aber die Annahme, dass die zuständigen Behörden selbstverständlich für die sichere Aufbewahrung sorgen, mag der Grund gewesen sein, warum die durchgängige Aufbewahrungspflicht nicht explizit in die Verordnung aufgenommen wurde.

c't: Es gibt bislang auch keine Vorschrift, die Elektronikeinheiten oder EPROMs zu versiegeln, was einen Austausch zumindest erschweren würde.

Richter: Man ging von der Annahme aus, dass die Geräte sicher bei den Kommunen verwahrt sind.

c't: Bisher wurde immer beschwichtigt, „dass für eine Manipulation der Zugriff auf den Quellcode des Softwareprogramms und der Zugriff auf die gefüllten Speichermodule nötig wäre“. Diese Behauptung ist ja nun widerlegt. Die Manipulation der Zählung erwies sich als auch ohne Kenntnis des Quellcodes möglich. Wie konnten Sie es zulassen, dass das BMI so etwas gegenüber dem Wahlprüfungsausschuss erklärt?

Richter: Die Sicherungsmaßnahmen sind ein Paket aus organisatorischen Maßnahmen. Die Annahme, dass es schwierig ist, ohne Kenntnis des Quellcodes Veränderungen vorzunehmen, gehörte mit zu diesem Gesamtpaket. Durch die Veröffentlichung der holländischen Initiative ist eine neue Situation entstanden. Wir haben deren Vorgehen inzwischen so weit nachvollzogen, dass wir davon ausgehen, dass das System ohne Kenntnis des Quellcodes analysiert und die entsprechenden Eingriffe gemacht wurden.

„Es gibt bei diesem Konzept keinen absoluten Schutz gegen Insider-Angriffe.“

Auch wenn für das Hacken der in Deutschland verwendeten Software - sie unterscheidet sich von der holländischen Variante - wohl noch einmal etwas Zeit aufzuwenden wäre, sind das neue Fakten. Der Schritt von einer theoretischen Option zur Realisierung wird zu einer neuen Bewertung führen. Wir würden jetzt, in dieser neuen Lage, dem Ministerium nicht mehr raten, die Erklärung ohne Einschränkung abzugeben.

c't: Müssten Sie dem BMI nicht anraten, seine Stellungnahme gegenüber dem Wahlprüfungsausschuss zurückzuziehen?

Richter: So schnell würde ich jetzt nicht schießen. Da muss man den Kontext sehen. Gegenstand der Stellungnahme ist die Anfechtung der Bundestagswahl 2005. Rückblickend betrachtet ist es nach wie vor richtig, dass es für eine Verfälschung dieser Wahl wegen manipulierter Wahlgeräte keine Erkenntnisse und keine Anzeichen gibt.

c't: Die Wahlgeräte erfüllen doch nicht einmal die Anforderungen der BWahlGV. Die verlangt wörtlich, dass eine Veränderung „der installierten Software durch unbefugte Dritte nicht unbemerkt bleibt“. Das zielt ja nicht auf organisatorische Begleitmaßnahmen, sondern auf eine technische Absicherung - es muss bemerkt werden, wenn etwas verändert wurde. Und in dem Software-Prüfbericht, den die PTB im September 2003 für die irische Regierung erstellte, heißt es: „An exchange of the ROM chips including fraudulent presentation of the correct checksums cannot be avoided by software but by means of sealing only“. Wie kommt es, dass sich diese klare Aussage nirgendwo in dem deutschen Prüfbericht findet?

„Das ganze Bauartprinzip, das hier dem Verfahren zugrunde liegt, basiert auch auf dem Vertrauen in den Hersteller.“

Richter: Das kann ich im Moment nicht genau aufklären; möglicherweise liegt das an den unterschiedlichen Prüfanforderungen in Irland. In Deutschland bezieht sich die Anforderung, dass Veränderungen nicht unbemerkt vorgenommen werden können, auf das Gesamtsystem der Maßnahmen. Wenn eine Gemeinde oder Stadt die Geräte sicher verwahrt, sodass kein unautorisierter Zugriff zu den Geräten stattfinden kann, dann ist das der erste Schritt der Absicherung. Wenn da ein Zweifel besteht, gibt es die einfachen Checks; des Weiteren die Möglichkeit, das überprüfen zu lassen. Aus dem Gesamtpaket heraus haben wir das bisher für ausreichend gehalten.

c't: Die Richtlinien der BWahlGV verlangen auch, dass das Wahlgerät die Geheimhaltung der Stimmabgabe gewährleistet. Haben Sie die elektromagnetischen Emissionen des Gerätes auf Signalanteile untersucht, die das Wahlgeheimnis kompromittieren könnten, wie das offenbar bei den niederländischen Geräten der Fall ist?

Richter: Wenn man dem Bericht der niederländischen Initiative folgt, dann ist es offenbar möglich gewesen, bei den untersuchten Geräten aus den Signalen Informationen zu detektieren, die unter bestimmten Umständen Rückschlüsse auf das Wahlverhalten erlauben könnten. Ich sage das bewusst in der Möglichkeitsform, weil der gesamte Umfang aus dem veröffentlichten Bericht noch nicht abschließend beurteilbar ist.

Wir haben in der Frühphase, im Zusammenhang mit den ersten Bauartprüfungen, aus den Messungen der elektromagnetischen Abstrahlung den Schluss gezogen, dass sie bei den Geräten, die hier zur Prüfung vorgestellt wurden, von einer vernachlässigbaren Größenordnung ist und keine Gefährdung für die Offenlegung des Wahlverhaltens abgeleitet werden kann.

Aus dem Umstand, dass die Abstrahlungen so gering sind, dass sie nur im Nahbereich festgestellt werden konnten, ist dieser Bereich damals als unkritisch bewertet worden. Man hätte zum Beispiel sensible Messgeräte im Wahllokal selbst benutzen müssen, um die Signale überhaupt erst zu empfangen, bevor man sie vielleicht interpretieren könnte.

c't: Sie haben die elektromagnetische Emission allgemein gemessen und nicht nach Signalanteilen in der Abstrahlung gesucht?

Richter: Richtig, in der Anfangsphase wurden Messungen unter der Zielstellung der Konformitätsfeststellung mit den einschlägigen Normen zur elektromagnetischen Abstrahlung durchgeführt. Wir haben den holländischen Bericht jetzt zum Anlass genommen, nochmals gezielt unter Idealbedingungen in einem geschirmten Raum spezifische Messungen mit verschiedenen Messgeräten durchzuführen. Die berichteten Ergebnisse haben wir dabei nicht nachvollziehen können. Nur im Nahbereich des Gerätes, bis einen Meter Abstand, ließen sich überhaupt Signale detektieren.

Bei dem, was als sogenannter „Grünen-Picker“ in der Presse verbreitet wurde - die unterschiedliche Abstrahlung, wenn das Gerät Sonderzeichen auf dem Display anzeigt - stellten wir fest, dass bei wiederholten Messungen der gleichen Darstellung auf dem kleinen Bildschirm unterschiedliche Signalmuster entstehen. Wegen des Zufallseffekts und auch sonst gibt es keine Hinweise darauf, dass auf diese Weise das Wahlgeheimnis gebrochen werden könnte.

c't: Wenn sich die holländischen Messungen nicht reproduzieren lassen, müsste der Unterschied ja irgendwie erklärbar sein. Sind die deutschen Geräte besonders geschirmt?

Richter: Das ist noch nicht vollständig aufgeklärt. Wir wissen, dass der Hersteller seinerzeit in den Vorbesprechungen aufgrund unserer Ankündigung, dass wir entsprechende EMV-Messungen durchführen würden, erklärt hat, die elektromagnetische Abschirmung noch zu verbessern. Mit den verbesserten Geräten, die er zur Prüfung hier einreichte, sind dann die Messungen gemacht worden.

c't: Ist das nicht dokumentiert?

Richter: Der Unterschied ist nicht dokumentiert, weil wir über die Geräte, mit denen sie zuerst hier waren - im Vorfeld außerhalb eines formellen Prüfauftrages - keine Unterlagen haben. Wir haben nur die Unterlagen und die Beschreibung der Geräte, die hier geprüft wurden.

Wir bemühen uns seitdem um Aufklärung, welche Geräte, welche Unterschiede das genau gewesen sind. Wir vermuten, haben aber keinen Beleg dafür, dass es unterschiedliche Produktionsserien beim Hersteller gibt, und dass der holländischen Initiative ältere, weniger gut geschirmte Geräte zur Verfügung standen.

c't: Nedap selbst hat sich dazu noch nicht erklärt?

Richter: Weder Nedap hat sich dazu abschließend erklärt, noch hat der Chaos Computer Club, den ich diesbezüglich konsultiert habe, bisher nähere Auskünfte über die Geräte gegeben.

c't: Wie kommt es, dass aus dem Prüfbericht der deutschen Geräte gar nicht hervorgeht, dass die PTB die Störabstrahlung überhaupt untersucht hat?

Richter: Weil das nach den ersten Messungen vom Anbeginn als Gefährdungsfaktor ausgeschlossen wurde. Aufgrund dieser Bewertung hat das dann wohl in den Aussagen des Prüfberichts keine Rolle gespielt.

Vielleicht sollte ich hier grundsätzlich etwas zum Charakter des Prüfberichtes sagen, weil es verschiedentlich in der Presse und in öffentlichen Verlautbarungen Klagen gab, dass die Prüfberichte zu wenig aussagekräftig und zu wenig nachvollziehbar sind: Prüfberichte sind nicht als Beschreibung angelegt, wie die Prüfung durchgeführt wurde, um sie für Dritte verständlich und nachvollziehbar zu machen, oder dass Außenstehende die Qualität oder den Inhalt der Prüfung bewerten können. Prüfberichte sind Ergebnisberichte. Darin werden gegenüber dem Hersteller als Antragsteller Feststellungen über Prüfpunkte getroffen, die dann die Grundlage für die Bauartzulassung durch das Bundesinnenministerium bilden.

„Dass ‚Security by Obscurity‘ aus IT-Sicherheitssicht nicht das Idealkonzept ist, ist klar.“

Die ausführlichen Beschreibungen der durchgeführten Prüfungen befinden sich hier in den Akten. Wenn man all diese Unterlagen hinzuzieht, dann könnte man die Ergebnisse nachvollziehen; vermutlich braucht man dazu aber auch noch die Dokumentation des Herstellers. Nach den geltenden Regeln und Vorschriften ist es der PTB nicht möglich, diese Akten öffentlich bekannt zu machen. Ich weiß, dass dies speziell im Zusammenhang mit Wahlen kritisiert wird, aber das ist zurzeit die Vorschriftenlage, an die wir gebunden sind.

c't: Selbst in dem jüngsten Prüfkonzept der PTB vom 11. April 2006 steht zum Punkt „Geheimhaltung“ nichts von einer Prüfung der Störabstrahlung oder gar von einer Prüfung auf Signalanteile. Da heißt es lediglich: „Es wird geprüft, ob unterschiedliche Wahlvorschläge beim Auswählen unterschiedliche Licht- oder Tonsignale (Tastentöne, Tastenanschläge) verursachen.“ Von elektromagnetischen Emissionen ist da keine Rede. Ist das Konzept unvollständig?

Richter: Nein. Bei gleicher Hardware, solange nur die Software sich verändert, stützen wir uns auf frühere eigene Tests oder nehmen auch zur Kenntnis, dass zum Beispiel die niederländische TNO bestimmte Tests gemacht hat. Bei neueren Prüfvorgängen müssen nicht für jede Variante die Emissionstests wiederholt werden. Das Prüfkonzept ist die Vorschrift, wie bei der Prüfung hier vorgegangen wird. Wenn es neuere Erkenntnisse gibt, wird es überarbeitet und fortgeschrieben.

c't: In den Prüfberichten steht auch nichts davon, ob irgendwann einmal Audits der Software-Entwicklung und Herstellung beim Wahlgeräte-Hersteller durchgeführt wurden.

Richter: Ja, das ist richtig. Das ist in den Prüfberichten nicht dokumentiert, weil ein Audit keinen Bezug zu einer konkreten Bauartzulassung hat, sondern als Hintergrundinformation eine vertrauensbildende Maßnahme darstellt, um die Prozesse beim Hersteller zu verstehen.

Es ist bisher, im Jahre 2000, ein Audit durchgeführt worden. Wir hatten für diesen Herbst ein Wiederholungsaudit geplant. Aufgrund der aktuellen Ereignisse verschiebt sich das möglicherweise - in Holland sind jetzt Wahlen, und dann wird dort der Schwerpunkt vermutlich bei Entscheidungen liegen, wie es mit den Wahlgeräten weitergeht. Bevor das nicht geklärt ist, werden wir nicht mit einem Audit zu Nedap reingehen.

c't: Die Geräte werden vom Hersteller auch gewartet und bei Bedarf aktualisiert. Wie ist das System vor Insider-Attacken geschützt?

Richter: Um gleich die volle Wahrheit zu sagen: Es gibt bei diesem Konzept keinen absoluten Schutz gegen Insider-Angriffe. Insider waren bisher ganz wenige Personen beim Hersteller, die als Entwickler die inneren Datenstrukturen kennen, und zwei, höchstens drei Prüfer in unserem Hause. Im Zuge der Novellierung der BWahlGV gab es 1997, 1998 auch Diskussionen, ob man besondere Schutzmaßnahmen gegen diese Personen mit Spezialwissen vorsehen muss. Es ist dann, wieder im Rahmen des Gesamtpaketes, als vertretbar angesehen worden, dass gegen diesen sehr begrenzten, benennbaren Personenkreis keine besonderen Schutzmaßnahmen getroffen werden müssen. Inzwischen ist durch die Bekanntgabe und Veröffentlichung vieler Informationen die Frage, wer ist jetzt Insider, allerdings nicht mehr ganz so klar.

c't: Werden denn die Wartungszugriffe protokolliert? Ist das vorgeschrieben?

Richter: In der Wahlgeräte-Verordnung gibt es keine Vorschriften. Ob die Gemeinden entsprechende Anweisungen gemacht haben, da bin ich überfragt. Ich glaube, das ist nicht systematisch organisiert.

Das ganze Bauartprinzip, das hier dem Verfahren zugrunde liegt, basiert auch auf dem Vertrauen in den Hersteller. Es beruht darauf, dass ein Muster geprüft wird und dass der Inhaber der Zulassung - also der Hersteller - mit dem Vertrauen ausgestattet wird, damit entsprechend umzugehen. Und damit ist die Gefahr bei späteren Service- oder Wartungsarbeiten die gleiche wie bei der Auslieferung. Im Übrigen gibt es nur zwei Wartungssituationen: Reparatur der Geräte durch Austausch baugleicher Teile und Software-Updates durch EPROM-Tausch. Der zweite Fall setzt eine entsprechende Zulassung voraus.

c't: Sie sagen, es sei nicht mehr so ganz klar, wer noch Insider ist - ist das Konzept „Security by Obscurity“ für die elektronische Stimmerfassung damit nicht hinfällig geworden?

Richter: Dass „Security by Obscurity“ aus IT-Sicherheitssicht nicht das Idealkonzept ist, ist klar. Zu der Zeit, als das Gesamtpaket der Maßnahmen besprochen oder verabschiedet wurde, galt es im Rahmen des Gesamtpaketes als vertretbares Konzept. In dieser konkreten Situation und mit diesem konkreten System ist das jetzt fraglich geworden - nicht nur, weil die Manipulation gelang, sondern weil auch die Beschreibung, wie sie durchgeführt wurde, zum Nachahmen zur Verfügung steht.

Ob man nun in Zukunft grundsätzlich und generell ausschließen muss, jemals wieder Elektronik bei Wahlen einzusetzen, die nach dem Prinzip Security by Obscurity operiert, möchte ich nicht abschließend beurteilen. Ich kann mir bestimmte Umstände vorstellen, unter denen dies vorstellbar ist. Aber klar ist, dass ein Konzept, das nicht auf dem Verstecken von Information basiert, informationstechnisch sicherer ist.

c't: Die BWahlGV ist parallel zur Einführung der Nedap-Geräte in Deutschland entwickelt worden, die Prüfung der Nedap-Geräte erfolgt wiederum nach der BWahlGV. Beißt sich die Katze da nicht in den Schwanz?

Richter: Das ist nicht ganz so. Die Ursache-Wirkungs-Beziehung ist etwas anders. Richtig ist, dass die Stadt Köln die Nedap-Geräte einsetzen wollte und so um 1996 auf eine Novellierung der alten BWahlGV drängte. Im Rahmen von Arbeitsgruppen beim Bundesinnenministerium wurde dann im Laufe von etwa drei Jahren überlegt, unter welchen Bedingungen das möglich wäre. Daraus ist die BWahlGV entstanden. Zu diesem Zeitpunkt war das Nedap-System das einzige den Beteiligten an diesen Diskussionsrunden bekannte System. Es kann durchaus sein, dass in der Verordnung manches zu spezifisch geraten ist - wenn die Breite der technischen Systeme nicht verfügbar ist, fehlt vielleicht die Kreativität sich vorzustellen, was noch entwickelt werden könnte. Aber die Verordnung selbst ist mit dem Ziel gemacht worden, den Charakter dieses Typs von Geräten, die die Stimmabgabe bis zur Auszählung unterstützen, umfassend zu beschreiben. Das kann ich sagen, weil ich in diesen Beratungsrunden dabei war.

„Es kann durchaus sein, dass in der Bundeswahlgeräte-Verordnung manches zu spezifisch geraten ist - wenn die Breite der technischen Systeme nicht verfügbar ist, fehlt vielleicht die Kreativität, sich vorzustellen, was noch entwickelt werden könnte.“

c't: Die Richtlinien zur Bauart im Anhang der BWahlGV verlangen zwar die Konstruktion der Wahlgeräte nach dem Stand der Technik, aber entspricht die BWahlGV selbst überhaupt noch dem Stand der Technik?

Richter: Seit der Diskussion über die Novellierung der BWahlGV sind knapp zehn Jahre vergangen. In dieser Zeit hat sich im Bereich der IT-Sicherheit eine Menge getan, gerade auch im Wechselspiel der Manipulation von IT-Systemen und den entsprechenden Gegenmaßnahmen. Welche Konsequenzen das jetzt auf die BWahlGV hat, kann ich im Moment noch nicht beurteilen. Klar ist, dass darüber gesprochen werden muss.

Im Übrigen haben wir aus den Erkenntnissen, die wir hier bei den Prüfungen gewonnen haben, schon eine kleine Punkteliste angelegt. Dass es hier und da Veränderungen geben sollte, haben wir in den Besprechungsrunden, die gelegentlich beim Bundesinnenministerium stattfinden - in der Regel unter Beteiligung von Vertretern des Bundeswahlleiters und des BSI - bereits angesprochen.

Das eine sind kleine Begradigungen. Manches, was heute verlangt wird, ist nicht unbedingt nötig - beispielsweise, dass der Stimmzettel waagrecht oder senkrecht oder genau in der Form wie auf dem Papier sein muss; man kann sich durch Bildschirmtechnik andere Möglichkeiten vorstellen, die Wahlvorschläge äquivalent und genauso transparent darzustellen wie auf dem klassischen Papierzettel. Da könnte man auf der einen Seite etwas liberalisieren.

Auf der anderen Seite gibt es im Bereich der Authentifizierung - also des Nachweises, dass die eingesetzten Geräte auch den geprüften entsprechen - einen Nachbesserungsbedarf. Das ist uns vor einiger Zeit auch schon aufgefallen, aber aufgrund der aktuellen Ereignisse ist das jetzt zum zentralen Punkt geworden. Wir hatten dies, das räume ich ein, bisher nicht so akut gesehen, dass man noch vor der letzten Bundestagswahl hätte handeln müssen. So haben wir das zwar erwähnt, aber vielleicht nicht mit dem nötigen Nachdruck vorgetragen. Also, Überlegungen sind in diesem Bereich ohnehin im Gange, sie haben nur durch die aktuellen Ereignisse eine ganz andere Dimension bekommen.

c't: Glauben Sie, dass das E-Voting für politische Wahlen noch zu retten ist?

Richter: Das geht jetzt über die Ebene hinaus, auf der ich aus Sicht der PTB antworten kann. Denn E-Voting - in welchen Formen auch immer - ist nicht nur eine technische Frage, sondern auch eine Frage des Vertrauens in das, was für den Wähler nicht mehr transparent nachvollziehbar ist. Dieses Vertrauen muss vermittelt werden können. Es reicht nicht, ein von Spezialisten nachvollziehbares, sicheres technisches System zu haben. Wenn es nicht gelingt, dieses Vertrauen zu vermitteln, dann stellt sich in der Tat die grundsätzliche Frage der sozialen Akzeptanz und des politischen Willens, wo man hinwill.

Literatur

[1] Schach dem E-Voting, Hackerteam demonstriert die Manipulierbarkeit von Wahlcomputern

[2] Die Nicht-Lösung eines nicht existierenden Problems, Rop Gonggrijp zu den Konsequenzen aus dem Wahlmaschinen-Hack, c't 23/06, S. 36

[3] Obskure Demokratie-Maschine, Sind Wahlcomputer manipulationssicher?, c't 20/06, S. 86 (jk)