Missing Link: Der Alptraum der digitalen Demokratie - das "Betriebssystem" der 5 Sterne
(Bild: Hybrid Gfx/Novikov Aleksey/Shutterstock.com/heise online)
Die italienische 5-Sterne-Bewegung will die totale digitale Demokratie. Doch ihr Portal "Rousseau" lässt zumindest an der Umsetzung zweifeln.
Als am 3. September die Entscheidung der italienischen 5-Sterne-Bewegung (M5S) fällt, mit dem sozialdemokratischen Partito Democratico eine Regierung zu bilden, sind alle Augen des Landes auf eine einzige Webseite gerichtet: Rousseau, die Plattform, die sich selbst das "Betriebssystem" des populistischen Movimento 5 Stelle nennt. Denn die Entscheidung, die den Bruch mit der rechtsextremen Lega von Matteo Salvini endgültig besiegelt, wird an diesem Tag nicht etwa auf einer analogen Parteiversammlung getroffen, sondern auf einer Onlineplattform, auf der die Mitglieder abstimmen können. Mehr als 79.000 von ihnen beteiligen sich an diesem digitalen Referendum, ein Rekordergebnis bei nur etwas mehr als 117.000 angemeldeten Nutzern. Fast 80 Prozent entscheiden sich für das neue Bündnis.
Erleichtertes Aufatmen auch bei Associazione Rousseau, der Organisation, die für die Plattform verantwortlich ist. Denn die Server hatten dem stundenlangen Ansturm standgehalten – im Gegensatz zu früheren Abstimmungen, bei denen die Seite regelmäßig zusammenbrach und Mitglieder darum bangen mussten, ob ihre Stimme erfolgreich abgegeben wurde. Anders als in den Jahren zuvor hatte es offenbar auch keine erfolgreichen Angriffe von außen mehr gegeben, denn seit 2017 waren mehrere Male Hacker in die Datenbank und das Content-Management-System von Rousseau und den angeschlossenen Webseiten der Partei eingedrungen.
Eine Plattform also, die für politische Entscheidungen von höchster Tragweite genutzt wird, aber Beobachtern als äußerst unsicher und intransparent gilt und sich jahrelang im Fadenkreuz der italienischen Datenschutzbehörden befand. Paolo Gerbaudo, der am Londoner King's College als Direktor des Centre for Digital Culture zu Parteien im digitalen Zeitalter forscht, spricht gar von "systematischem IT-Fehlverhalten". Im Gespräch mit heise online erklärt er: "Die gesamte Bewegung ist sehr stark von einer undurchsichtigen Kultur geprägt." Doch wie kam es dazu, dass eine Seite wie Rousseau in solch eine tragende Rolle gelangen konnte?
Die digitale DNA der "Cinque Stelle"
Dafür ist es wichtig zu verstehen, dass das Digitale schon immer fest in der DNA der 5-Sterne-Bewegung verankert war. Sie entstand aus dem Blog des Komikers Beppe Grillo, auf dem dieser Mitte der Nullerjahre begonnen hatte, seiner Empörung über die Politik des Landes Luft zu verschaffen. Auf Social Media und in den Kommentarspalten des Blogs formierte sich im Laufe der Zeit eine Bewegung, die als selbsterklärte "Nicht-Partei" begann, nach Einfluss zu streben. Bereits vor dem ersten Einzug der Cinque Stelle in das italienische Parlament im Jahr 2013 hatte es auf dem Blog schon Abstimmungen über Kandidatenlisten gegeben. Das Versprechen der Bewegung war von Anfang an auch ein Heilsversprechen: Das Netz werde die italienische Politik ersetzen, die man als korrupt und von der Bevölkerung entfremdet wahrnahm, und es werde die 5-Sterne-Bewegung als erste Massen-Internetpartei zur Umwälzung des parlamentarischen Systems tragen.
Grillos Blog hatte ihm damals der Unternehmer Gianroberto Casaleggio mit seiner Online-Marketing-Firma Casaleggio Associati eingerichtet. Seitdem ist der Name Casaleggio mit der Partei aufs Engste verwoben. Gianroberto starb 2016, und sein Sohn Davide erbte mit der Firma auch die Internetpräsenz einer Partei, die inzwischen zu einer der stärksten Kräfte der italienischen Politik herangewachsen war. Und er erbte auch die Position einer "grauen Eminenz" [2] – denn immer noch waren die Geschicke der vollständig digital organisierten Partei stark von Casaleggio abhängig.
Die Systeme der Partei wanderten nach dem Tod des Vaters zwar in ein eigenes rechtliches Konstrukt, eine gemeinnützige Stiftung namens "Associazione Rousseau", doch ihr Präsident und Schatzmeister heißt bis heute ebenfalls Davide Casaleggio – und bis vor Kurzem residierten beide auch noch an derselben Adresse in der Mailänder Innenstadt [3]. Finanziert wird die Organisation über Spenden sowie von den gewählten M5S-Parlamentariern, die dazu verpflichtet sind, einen Teil ihrer Diäten an Rousseau abzugeben.
Ein "Betriebssystem" für Mitbestimmung
Die aktuelle Iteration des "sistema operativo", des "Betriebssystems", ist seit dem Frühjahr 2016 online und heißt nicht ohne Grund wie der Genfer Philosoph und Demokratietheoretiker Jean-Jacques Rousseau. Denn der M5S versteht sich als vollständig basisdemokratisch. Wer sich auf der Plattform [4] anmeldet und mit einer Ausweiskopie verifiziert, ist automatisch Mitglied der Bewegung und bekommt Zugriff auf ihre umfassenden digitalen Mitbestimmungsmöglichkeiten. Mitglieder können dort über die Zusammensetzung von Wahllisten entscheiden, jeder der Eingeschriebenen, der "iscritti", soll nur mit Lebenslauf, Führungszeugnis und Videobotschaft ins Rennen gehen können. Auch Programmfragen, Gesetzesintiviativen und Positionen der Abgeordneten auf nationaler und europäischer Ebene stehen regelmäßig zur Diskussion und Abstimmung. Wählen kann jedoch nur, wer bereits sechs Monate angemeldet ist.
In einem weiteren Bereich names "Lex Iscritti" sind die Nutzer dazu aufgefordert, eigene Gesetzesvorschläge einzubringen und sie hochzuvoten. Die M5S-Parlamentsabgeordneten versprechen, die Vorschläge mit den meisten Stimmen zu prüfen und tatsächlich im zuständigen Gremium einzureichen – so lange sie nicht gegen Parteiprogramm oder Verfassung verstoßen. Dazu kommen Bereiche wie "Activism", "Call to Action" oder "Scudo della Rete" ("Schutzschild des Netzes"), wo sich Parteiaktivisten eine Online-Rechtsberatung holen können.
(Bild: Screenshot rousseau.movimento5stelle.it)
Die Einflussmöglichkeiten der "iscritti" auf die Partei und damit auch auf die italienische Politik scheinen also erheblich zu sein – erst recht seit 2018, dem Jahr der ersten Regierungsbeteiligung des M5S. Sogar europaweit brisante Fragen werden inzwischen auf Rousseau entschieden: Als im Februar 2019 eine mögliche Anklage von Lega-Innenminister Matteo Salvini wegen seiner Blockade von Flüchtlings-Rettungsschiffen im Mittelmeer zur Debatte stand, lieferten die M5S-Senatoren die entscheidenden Stimmen gegen die Aufhebung seiner Immunität, nachdem sich die Mehrheit auf Rousseau [5] für diese Linie ausgesprochen hatte.
Geht es nach der Parteiführung und ihrer Anti-Establishment-Ideologie, sollen die Abgeordneden der Bewegung also reine Befehlsempfänger der Basis sein und sich so klar von einer "Kaste" von Profipolitikern der anderen Parteien abheben – obwohl sie damit die italienische Verfassung ignorieren, die die Mandatsfreiheit der Parlamentarier festschreibt.
Beppe Grillo, der "digitale Diktator"
Tatsächlich gibt es aber auch eine zweite Erzählung über die "Cinque Stelle", nämlich die einer äußerst autoritär geführten, fast sektenartigen Gruppierung. Den Parteigründer Grillo porträtierte das Schweizer Magazin Republik [6] Anfang 2018 als "digitalen Diktator" und listete eine lange Reihe von Fällen auf, in denen Abweichler mittels Cybermobbing, digitalen Tribunalen oder schlicht Löschung ihrer Accounts aus der Bewegung geworfen wurden. Auch mit dem Antritt von Luigi Di Maio als neuem Parteichef im Herbst 2017 verschwanden solche Fälle nie vollständig und beschäftigen regelmäßig die italienischen Medien.
Alles, was auf Rousseau geschieht, unterstand dabei schon immer der Kontrolle der Parteiführung. Auch wenn die Partei es niemals öffentlich zugegeben hat, so deuten Berichte von ehemaligen Casaleggio-Mitarbeitern und journalistische Aufarbeitungen wie der Dokumentarfilm "The Choice" stark darauf hin, dass das Stimmverhalten der Mitglieder nie geheim war, sondern stets von der Parteiführung in der Datenbank aufgezeichnet und ausgewertet wurde. Ein Digitalaktivist aus dem Umfeld der italienischen Piratenpartei vermutet gegenüber heise online sogar, dass die direktdemokratischen Ansprüche der Bewegung "reine Werbung ohne wirklichen politischen Wert" seien. "Rousseau dient praktisch zu nichts anderem, als die herrschende Klasse des M5S unverantwortlich zu machen", ist er sich sicher. Echte Mitbestimmung suche man dort vergeblich.
Die Parteiführung ist es auch, die alleine über die verfügbaren Mitbestimmungswege und die Fragestellungen der Referenden bestimmt. Der Politiksoziologe Gerbaudo berichtet von vereinzelten Versuchen von Parteiaktivisten, mit LiquidFeedback ein alternatives Open-Source-System [7] für Mitbestimmungsverfahren vorzuschlagen, das aus dem Umfeld der Piratenparteien stammt. "Es gab begrenzten internen Protest und Diskussionen", erzählt er. Doch diese Versuche seien im Keim erstickt worden. Und bisher taten die Mitglieder bis auf zwei Fälle nie etwas anderes, als die vorgegebene Linie der Parteichefs zu bestätigen, meist mit Zustimmungsraten von weit über 80 Prozent.
"Unprofessionelles" IT-Management
So drastisch wie der langjährige Digitalaktivist äußern sich Forscher, die die Bewegung schon seit Jahren beobachten, zwar nicht. Doch auch Paolo Gerbaudo ist sich sicher, dass sich im M5S die Macht an der Spitze der Hierarchie konzentriert, ohne dass die Partei dies offen zugibt. Vater und Sohn Casaleggio seien mit ihrer Firma schon immer ein "Rückgrat" der gesamten Bewegung gewesen, doch die verhalte sich bei der Verwaltung der IT-Systeme der Partei geradezu "unprofessionell", erläutert Gerbaudo: "Sie halten sich nicht für eine Softwarefirma, sie kommen eigentlich nur aus der Marketingbranche."
Weder Casaleggio noch die Partei haben zwar jemals Details über den Quellcode ihres Systems veröffentlicht, doch selbst die wenigen gesicherten Informationen legen nahe, dass Gewissenhaftigkeit in Sachen Sicherheit und Datenschutz im Hause Rousseau tatsächlich lange Zeit Mangelware war – auch wenn die aktuelle Version nach außen durchaus modern designt wirkt. Als im August 2017 ein Relaunch der Plattform online geht, dauert es kaum 24 Stunden, bis ein findiger Mathematikstudent auf eine SQL-Injection stößt, mit der er in die Datenbank der Plattform eindringen kann. Durch Zufall, wie er später beteuert. Er warnt die Betreiber, bekommt zum Dank allerdings nur eine Anzeige [8]. Führende M5S-Politiker mutmaßen, er sei von politischen Gegnern beauftragt worden, der Internetmob der Parteianhänger überschüttet ihn mit Drohungen.
Gestohlene Mitgliederdaten
Seinem Beispiel folgt jedoch schnell ein zweiter Hacker unter dem Pseudonym "R0uge_0", der aus weniger hehren Motiven agiert und dessen Umtriebe bis heute auf Twitter dokumentiert sind. Er verschafft sich innerhalb weniger Tage Adminrechte und leakt Teile der Mitgliederdatenbank inklusive im Klartext gespeicherter Passwörter für Rousseau und verschiedene Parteiblogs. Wenige Wochen später, bei der Wahl von Luigi Di Maio zum neuen Parteivorsitzenden, schafft er es nach eigenen Angaben, mithilfe zahlreicher gekaperter Accounts mehrfach abzustimmen.
An diesem Punkt schaltet sich zum ersten Mal der "Garante della Privacy", die oberste italienische Datenschutzbehörde, in den Fall ein und nimmt Ermittlungen gegen Rousseau auf. Mehrere Fristverlängerungen und zwei Ortsbesuche der Ermittler wird es im Laufe der folgenden zwei Jahre brauchen, bis ein Ergebnis vorliegt, doch die massiven Probleme der Plattform sind von Anfang an offensichtlich. Und der Hacker bleibt nicht untätig, denn es tun sich immer wieder neue Lücken auf. Im Februar 2018 schafft er es erneut ins Content-Management-System des "Blog delle Stelle" und veröffentlicht unter dem Namen von Davide Casaleggio [9] im internen Bereich der Seite dessen persönliche Daten bis hin zu seiner Steuernummer. Auch ein halbes Jahr später veröffentlicht "R0uge_0", immer noch unter demselben Twitterprofil, erneut persönliche Daten von führenden M5S-Politikern.
Eine Strafzahlung von 50.000 Euro
Erst im April 2019 verkündet der oberste italienische Datenschützer schließlich sein Verdikt über den Online-Auftritt der Cinque Stelle. Das Ergebnis ist vernichtend. Nicht nur müssen die Betreiber eine Strafe von 50.000 Euro bezahlen, der Bericht listet auch eine lange Liste weiterer Mängel auf. Das CMS namens "Movable Type" werde in einer völlig veralteten Version verwendet, die Login-Verfahren seien unzureichend gesichert, Zugriffsrechte auf sensible Daten nicht klar geregelt. Möglichkeiten für ein echtes Sicherheits-Auditing des Systems gebe es nicht. Der Bericht kommt zu dem Schluss [10], dass die Plattform aufgrund dieser Mängel "die Integrität, die Authentizität und die Geheimhaltung der Wahlentscheidungen nicht ausreichend garantieren kann, was eigentlich grundlegende Eigenschaften einer E-Voting [11]-Plattform sind (zumindest auf der Grundlage international anerkannter Standards)."
Die Partei weist prompt jede Anschuldigung von sich: Die Vorwürfe bezögen sich auf eine veraltete Version des Systems, die schon längst nicht mehr in Benutzung sei. Außerdem seien die Ermittlungen sowieso politisch motiviert gewesen. Ob sich seitdem, wie von der Datenschutzbehörde gefordert, tatsächlich etwas an den Zuständen im Backend der Bewegung verbessert hat, ist von außen nur schwer nachzuvollziehen. Der Jahresbericht der Associazione Rousseau für 2018 [12] spricht jedenfalls von mehreren "Vulnerability Assessments" und "Penetration Tests" sowie von einem Umzug auf ein Tier-4-Datencenter [13].
Unabhängige Kontrollen?
Parallel zum Urteil der Datenschutzbehörde Anfang April 2019 tauchen jedoch auch neue Vorwürfe über manipulierte Abstimmungen auf: Am selben Tag muss Casaleggio vor der römischen Staatsanwaltschaft aussagen, weil eine Frau behauptet, ohne ihr Wissen auf der Plattform angemeldet worden zu sein. Die italienische Nachrichtenseite fanpage.it [14] berichtet gleichzeitig über Dokumente, die belegen sollen, dass ein Kandidat der Bewegung mithilfe "dutzender" Fake-Accounts versucht habe, sich selbst auf die Liste für die Parlamentswahlen von 2018 zu hieven – vergeblich.
Die Vorwürfe sind jedoch nur schwer überprüfbar, denn eine unabhängige Kontrolle der Abstimmungen auf Rousseau gibt es nicht. Zwar werden sie offiziell regelmäßig von einem Notar bestätigt [15], er selbst jedoch hat bereits bei einer Senatswahl für den M5S kandidiert und gilt keineswegs als ausgewiesener IT-Experte. Dass Rousseau dieses Vorgehen als echte, unabhängige "Zertifizierung" bezeichnet, lässt auch die Datenschutzbehörde laut ihrem eigenen Bericht mit "Ratlosigkeit" zurück. Teilweise seien die Überprüfungen erst Tage nach der Abstimmung geschehen. Nur zwei Mal zog die Partei stattdessen eine international tätige Zertifizierungsagentur hinzu, das letzte Mal 2016.
Neuanfang mit einem Ex-Facebook-Entwickler
Auf Fragen von heise online reagiert die Associazione Rousseau auch nach mehreren Versuchen nicht, wie auch schon gegenüber den Machern der Dokumentation "The Choice" – stattdessen kommt nach einigen Tagen nur automatisierte Werbung zurück, ob man sich nicht für eine neue Initiative auf ihrer Plattform einschreiben wolle. Bei vielen Politikern der Bewegung herrscht großes Misstrauen gegenüber klassischen Medien, mit ihren Anhängern kommunizieren sie lieber direkt über Social Media und ihren Blog.
Anlässlich ihres zehnjährigen Jubiläums im September 2019 verkündet die Partei schließlich überraschend, die Codebasis von Rousseau völlig neu schreiben lassen zu wollen – ein Hinweis darauf, dass die Probleme der letzten Jahre auch an Casaleggio und seinen Mitstreitern nicht wirkungslos vorübergegangen sein dürften. Richten soll es nun Emanuel Mazzilli, Softwareentwickler, langjähriges Parteimitglied und ehemaliger Facebook-Angestellter in den USA. In einem seltenen Interview mit dem Corriere della Sera [16] erklärte dieser nun, bis zum Jahresende ein neues System mit einer überarbeiteten Single-Sign-On-Authentifizierung und Wahl-Apps für iOS und Android auf den Weg bringen zu wollen.
Die App-Entwicklung soll dabei mit der Hilfe von Freiwilligen per Crowdsourcing geschehen – doch die Ankündigungen dazu [17] bleiben weiterhin nebulös. In welche Teile des Systems freiwillige Entwickler tatsächlich Einblick erhalten können, ist unklar – und damit auch, wie die Behauptung zu verstehen ist, das Projekt werde dadurch "open source". Ein letztes Schlagwort darf in der Ankündigung jedenfalls nicht fehlen: Noch verlasse man sich auf die Dienste des Notars, doch künftig wolle man die Korrektheit und Sicherheit der Abstimmungen mittels Blockchain-Technologie garantieren. Ihr Selbstbewusstsein hat die Bewegung jedenfalls nicht verloren: "Wir arbeiten darauf hin, die größte direkte Demokratie der Welt zu erschaffen." (siko [18])
URL dieses Artikels:
https://www.heise.de/-4586430
Links in diesem Artikel:
[1] https://www.heise.de/thema/Missing-Link
[2] https://www.welt.de/politik/ausland/plus175320290/Davide-Casaleggio-Der-Herr-ueber-Italiens-Demokratie-Maschine.html
[3] https://www.open.online/2019/09/01/verifichiamo-le-10-fake-news-pubblicate-dal-m5s-sul-voto-su-rousseau/
[4] https://rousseau.movimento5stelle.it
[5] https://www.ilfattoquotidiano.it/2019/02/18/diciotti-il-voto-degli-iscritti-m5s-vince-il-no-al-processo-per-salvini-con-il-5905-delle-preferenze/4981424/
[6] https://www.republik.ch/2018/02/01/der-digitale-diktator
[7] https://www.heise.de/news/Piratenpartei-setzt-Liquid-Feedback-2-0-ein-1666325.html
[8] https://www.ilfoglio.it/politica/2018/08/01/news/affaire-dreyfus-2-0-il-caso-dello-studente-messo-alla-gogna-da-casaleggio-208261/
[9] https://www.open.online/2019/04/05/quello-che-ce-da-sapere-sulla-querelle-tra-il-garante-della-privacy-e-rousseau/
[10] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9101974
[11] https://www.heise.de/thema/eVoting
[12] https://associazionerousseau.s3-eu-west-1.amazonaws.com/documenti/Bilancio_attivita_progetti_servizi_2018_Rousseau.pdf
[13] https://www.techopedia.com/definition/29860/tier-4-data-center
[14] https://www.fanpage.it/politica/account-rubati-e-fasulli-su-rousseau-ecco-il-sistema-per-farsi-eleggere-alle-europarlamentarie-m5s/
[15] https://www.ilfattoquotidiano.it/2019/09/03/rousseau-il-si-degli-iscritti-m5s-al-conte-2-di-maio-sono-molto-contento-del-governo-che-verra-non-sara-ne-di-destra-ne-di-sinistra-casaleggio-voto-certificato-da-societa-terza/5427829/
[16] https://www.corriere.it/politica/19_ottobre_19/emanuel-mazzilli-ex-ingegnere-facebook-cosi-ho-scritto-nuovo-codice-rousseau-250dc560-f27e-11e9-a8b5-b5f95b99eb6a.shtml
[17] https://www.ilblogdellestelle.it/2019/09/nasce-rousseau-open-engineering-call-per-sviluppatori.html
[18] mailto:siko@heise.de
Copyright © 2019 Heise Medien