E-Voting vor Gericht
Wie führt man eine öffentliche Diskussion über IT-Sicherheit? Vor einem Gericht streiten sich der CCC und die Hersteller des digitalen Wahlstifts um vom CCC fest-gestellte Sicherheitslücken bei dem elektronischen Wahlsystem.
- JĂĽrgen Kuri
Die Beerdigung des digitalen Wahlstift-Systems in Hamburg hat jetzt ein Nachspiel vor Gericht. Die Hersteller wollen die Behauptungen des CCC zur Manipulierbarkeit des Systems gerichtlich unterbinden lassen. „Chaos Computer Club hackt Hamburger Wahlstift“, „Chaos Computer Club zeigt prinzipielle Sicherheitslücken beim Hamburger Wahlstift“ – fast vier Seiten lang ist die Auflistung der beanstandeten Äußerungen. Deren wörtliche oder sinngemäße Wiederholung soll der Chaos Computer Club e.V. (CCC) „bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250 000 Euro“ oder einer Ordnungshaft von sechs Monaten („jeweils zu vollziehen an dem Vorstand“) unterlassen.
Der CCC hatte diese Äußerungen in zwei Pressemitteilungen am 25. Oktober und 9. November des vergangenen Jahres kurz vor der entscheidenden Expertenanhörung im Verfassungsausschuss des Hamburger Landesparlamentes getan, in der es um den Einsatz des Digitalen Wahlstift-Systems (DWS) bei den Wahlen zur Bürgerschaft am 24. Februar ging; unmittelbar nach der Anhörung fiel die Entscheidung, bei der Handauszählung zu bleiben – ein Fiasko für die Hersteller des Wahlstift-Systems. Die sehen in den inkriminierten Äußerungen „unwahre Tatsachenbehauptungen“, die sie zunächst kostenpflichtig abmahnten und gegen die sie, als das erfolglos blieb, seither mit einer Unterlassungsklage vorgehen.
Konfliktpunkte
Im Wesentlichen stehen zwei Konfliktpunkte im Raum: Zum einen die vom CCC aufgezeigte Möglichkeit des Wahlstift-Hackings durch einen Angriff über den USB-Port des Windows-XP-Laptops, und zum anderen die Möglichkeit der Manipulation der auf die Stimmzettel gedruckten Rasterung, anhand derer der Stift seine Position zur Registrierung des Wählervotums lokalisiert. In beiden Fällen vertritt die Klägerin – die „ARGE DWS HH08 GbR“, eine Gesellschaft bürgerlichen Rechts der Firmen Diagramm Halbach GmbH & Co. KG in Schwerte und WRS Software Entwicklung GmbH in Hamm – den Standpunkt, dass, was immer die Aktivisten untersucht oder gehackt haben mögen, nicht das von ihr entwickelte Wahlstift-System „dotVote“ gewesen sei. Folglich seien die Äußerungen, „die sämtlich vom Publikum dahin verstanden werden, dass der Beklagte das Digitale Wahlstift System/den Hamburger Wahlstift mit Erfolg gehackt hat“, unwahr. „Der „Hamburger Wahlstift“, das war unser System“, bekräftigte WRS-Geschäftsführer Martin Schlaak am 24. Juli in der mündlichen Verhandlung vor dem Landgericht Hagen.
Der CCC indes hatte gar nicht behauptet, exakt das System der Klägerin gehackt zu haben. In der Pressemitteilung vom 25. Oktober heißt es: „Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes System für eine Analyse erhalten hat, konnten anhand der verfügbaren Informationen und durch Untersuchung der Basistechnologie des Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden prinzipiellen Mängeln identifiziert werden.“ Anschließend wurde „zur beispielhaften Illustration“ das Szenario eines trojanischen Wahlstifts beschrieben, mit dem Wähler oder Innentäter über die Dockingstation des Stifts Schadsoftware auf den der Auswertung im Wahllokal dienenden Laptop übertragen könnten.
Die zweite Pressemitteilung vom 9. November stand unter der Überschrift „Chaos Computer Club zeigt prinzipielle Sicherheitslücken beim Hamburger Wahlstift“ und meldete, der CCC habe in der Anhörung des Verfassungsausschusses „einen grundlegenden Angriff gegen das Digitale Wahlstift System (DWS) vorgeführt“: Ein Wahlfälscher könne „mit moderatem Aufwand und handelsüblichen Werkzeugen Wahlzettel erstellen, auf denen das elektronische Ergebnis nach seinen Vorgaben manipuliert wird“. Diese Angriffsmöglichkeit war in der Ausschusssitzung von den beiden geladenen Vertretern des CCC in einer Powerpoint-Präsentation dargestellt und erläutert worden.
Dagegen trägt die ARGE vor, „die eingesetzten Stifte mit eigener Firmware sowie insbesondere auch das eingesetzte digitale Papier sind speziell für das DWS entwickelt worden und nicht im Handel erhältlich. Das digitale Papier wäre erst am Wahltag zugänglich gewesen und wird für jede Wahl neu und besonders gestaltet.“ Genauso wenig sei es möglich, „andere Stifte bei der Wahl „einzuschmuggeln“ und zu benutzen, da diese vom System überhaupt nicht erkannt werden. Es ist damit auch nicht möglich, in der vom Beklagten geschilderten Weise mit einem „trojanischen Wahlstift“ in die Wahl einzugreifen und diese zu manipulieren“.
„Spiegelfechterei“
Aber im Zentrum des Verfahrens steht nicht die Klärung der Frage, ob das DWS manipulationssicher ist. Es geht nur darum, was als Meinungsäußerung zu werten ist – wie möglicherweise den Nedap-Vergleich – und inwieweit es sich bei den Feststellungen des CCC um Tatsachenbehauptungen handelt, gegen die der Hersteller einen Unterlassungsanspruch geltend machen kann.
In der mündlichen Verhandlung warf die Anwältin des Klägers der Hacker-Vereinigung vor, „eine Art Spiegelfechterei“ veranstaltet zu haben, indem sie für den Trojanerangriff „ein fiktives Wahlsystem“ mit einem handelsüblichen digitalen Stift in Verbindung mit Windows XP zur Zielscheibe des Angriffs gewählt hätten. Bei einem echten System sei es nicht möglich, mit einem auf ein CD-ROM-Dateisystem umformatierten USB-Stick über die Autorun-Funktion von XP Schadsoftware einzuschleusen. Solch eine Attacke könne „einfach aus Gründen der Technik“ nicht stattgefunden haben, behauptete sie. „Das hat mit einer seriösen Prüfung nichts zu tun.“
Eine solche Prüfung hätte der Club ja auch nicht durchführen können, weil ihm das System nicht zur Verfügung stand, wunderte sich da der Vorsitzende Richter der 6. Kammer, Heinrich Knierim; aus den Texten gehe doch hervor, dass er die Angriffe auf das Wahlsystem mit vergleichbaren und verfügbaren Geräten simuliert habe. Der CCC hätte wissen müssen, konterte die Anwältin, dass für den Einsatz auf den Laptops eine nach Common Criteria EAL4 zertifizierte Version des Betriebssystems XP SP2 vorgesehen war, die diesen speziellen Angriff ausschließt.
In dem maßgeblichen und vom BSI geprüften Katalog von Sicherheitsanforderungen für ein Wahlstift-System aus der Sicht des Anwenders, den Hamburgs Innenbehörde eigens hatte entwickeln lassen – dem sogenannten „Schutzprofil“ –, ist allerdings keine Rede von einer EAL4-Zertifizierung des Betriebssystems, auf dem die Wahlsoftware läuft. Der Laptop des Wahlvorstands samt Betriebssystem wird in dem Schutzprofil, das die Grundlage der Produktzertifizierung bildet, überhaupt nicht betrachtet; sie gehören zur sogenannten „Sicherheitsumgebung“. Ob ein Hersteller sich auf ein zertifiziertes Betriebssystem verlässt oder eigene Schutzmechanismen entwickelt, bleibt ihm überlassen. In dem Anforderungskatalog heißt es lediglich: „Der Administrator sorgt dafür, dass die IT-Umgebung keine Schadsoftware (Viren etc.) enthält, die den EVG [= Evaluierungsgegenstand, d. h. das Wahlstift-System; d. Red.] beeinflusst. Hierzu überprüft er die IT-Umgebung vor der Installation des EVG mit geeigneten Werkzeugen (Antivirensoftware etc.)“; und die Administrationsaufgaben, heißt es darin weiter, werden in der Regel „von einem vertrauenswürdigen Dienstleister durchgeführt“.
Hase und Igel
Mit den verfügbaren Informationen sei „so gut wie möglich eine Simulation gebaut“ und diese „nach bestem Wissen und Gewissen geprüft“ worden, trug der Berliner Anwalt und E-Voting-Experte Till Jaeger als Vertreter des CCC dem Gericht vor. Mit dem beispielhaften Angriff auf den USB-Port konnte aufgezeigt werden, dass es an dieser Stelle ein Problem gibt. „Äußerungsrechtlich“, meint Jaeger, sei es jedenfalls „irrelevant, wenn die Klägerin ein von dem Beklagten gehacktes DWS nachträglich abändert und dann behauptet, der „echte“ Hamburger Wahlstift sei eben nicht gehackt worden“.
Der CCC hätte ja gern ein echtes Wahlsystem auf Schwachstellen getestet und hatte sich beim Hamburger Landeswahlleiter auch darum bemüht. Der lehnte die entsprechende Anfrage jedoch im Juni 2007 ab, „zumal“, wie er bei der Gelegenheit erläuterte, „das Digitale Wahlstift System noch nicht abschließend entwickelt ist“. Deshalb hätten, erklärte Jaeger, „angebliche und öffentlich nicht wahrnehmbare Unterscheidungsmerkmale“ überhaupt nicht aufgeklärt werden können; der CCC blieb auf die Auswertung der öffentlich zugänglichen Information angewiesen – ein Umstand, den die Hersteller nun zum Anlass ihrer Unterlassungsklage nähmen.
In dem Verfahren steht die Entscheidung noch aus, weil den Parteien eine weitere Frist zu Stellungnahmen eingeräumt wurde. Vordergründig dreht sich der Streit darum, was ein „Hack“ sei. Der Auslegung der Hersteller zufolge hätte dieser nur mit einem ihrer ausgelieferten Systeme erfolgen dürfen und damit, sofern sie nicht ihr ausdrückliches Einverständnis gegeben hätten, geradewegs in den § 202a des StGB geführt: „Wer unbefugt sich oder einem anderen Zugang zu Daten … unter Überwindung der Zugangssicherung verschafft“, heißt es da, „wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft“. Diese Falle haben die CCC-Aktivisten vermieden. Im Kern der Auseinandersetzung steht deshalb als eigentliche Frage: Wie führt man eine öffentliche Diskussion über IT-Sicherheit? (jk)
