Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger Wähler in den Wahllokalen gleich bleiben, berichtet die Pressestelle des CCC. Jeder Wähler geht in die Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem Stimmzettel auf. Der Stift wird anschließend in eine Auslesestation gesteckt, um das digitale Kreuz vom Stift über ein Kabel auf ein Notebook zu übertragen. Dort werden dann die Kreuze zu Stimmen umgerechnet. Am Ende der Wahl wird aus den gespeicherten Kreuzen ein Ergebnis errechnet und über einen Drucker ausgegeben. Aus Gründen der Ausfallsicherheit speichert man alle Stimmen zusätzlich auf einem USB-Stick.
Laut neuem Hamburger Wahlgesetz sollen dabei ausschließlich die vom Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des Wählerwillens gelten. Das Papier dient nur als Dekoration, welche den Wähler beruhigen soll. Folgerichtig zählen Wahlhelfer die Stimmen auf dem Papier auch nur in 17 der ca. 1300 Wahllokale zur Überprüfung. Stimmen, die nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem herkömmlichen Kugelschreiber oder Füller eingetragen sind, gelten als ungültig. Bei einer Differenz zwischen der Stichprobenzählung und den digital ermittelten Stimmen zählen somit nur die vom Computer ermittelten Stimmen. Bei der Briefwahl malen zwei Wahlhelfer die Stimmen mit dem digitalen Stift nach. Damit soll ebenfalls ein computergestütztes Ergebnis zu Stande kommen.
Mit dieser Konstruktion gaukle man dem Wähler nur eine Papierwahl vor. De facto finde aber eine Computerwahl mit allen bekannten Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger Wahlstift reiht sich laut CCC nahtlos an die umstrittenen NEDAP-Wahlcomputer. Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu belegen, wurde ein Schutzprofil nach den so genannten Common Criteria erstellt. Dies ist ein Standard, der eigentlich zur Standardisierung von Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft. Aufgrund dieses Schutzprofils soll nun eine Baumusterprüfung durch die Physikalisch-Technische Bundesanstalt (PTB) stattfinden. Gegenstand der Prüfung soll dabei die Auslesestation und der Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und Zählsoftware auf dem Notebook sein. Die Prüfung umfasst jedoch nicht den Drucker, das Notebook, auf dem Windows XP als Betriebssystem laufen wird, und die zentrale Auswertungssoftware beim Statistikamt Nord. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für Deutschland als sicher eingestuft, welche in den Niederlanden gerade aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen wurden.
Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer, Administratoren der Behörde für Inneres oder Mitarbeiter der Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung vergisst und sich nachher wundert, dass das Flugzeug nicht abheben kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden, disqualifiziere die Sicherheitsannahmen für das System vollständig.
Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und damit der zu Grunde liegenden Technik ist nicht vorgesehen. Somit ist eine öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden. Kritische Aussagen der Verfassungsexperten Dr. Stephanie Schiedermair und Prof. Dr. Ulrich Karpen ignoriere man. Auch Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem CCC wurden als theoretisch oder populistisch abgetan. "Die Geheimniskrämerei erinnert fatal an das Vorgehen bei NEDAP-Wahlcomputern. Offenbar unterschätzen die Hamburger Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk Engling.
Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes System für eine Analyse erhalten hat, konnte der CCC anhand der verfügbaren Informationen und durch Untersuchung der Basistechnologie des Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden prinzipiellen Mängeln identifizieren. Dabei wurde das grundlegende Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch den Wähler - überdeutlich.
Der CCC hat zur beispielhaften Illustration der vielfältigen Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft einen trojanischen Wahlstift entwickelt. Dieser ist äußerlich nicht als solcher erkennbar. So einen manipulierten Stift können sowohl Wählern als auch von an der Wahlvorbereitung und -durchführung beteiligte Personen unbemerkt ins Wahllokal einschleusen. Der manipulierte Stift überträgt dann nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert als ein so genanntes Trojanisches Pferd zum Einschleusen von Schadsoftware. Sobald jemand den Stift in die Auslesestation steckt, aktiviert sich ein Manipulationsprogramm. Dieses überträgt sich automatisch auf das Zielsystem und führt sich ohne Zutun des Bedieners aus. Das Programm kann nun problemlos Manipulationen auf dem Auswertungslaptop vornehmen. Denkbar wäre eine Veränderung der Position der digital gespeicherten Stimmkreuze. Dies würde logischerweise das Endergebnis verfälschten.
"Der trojanische Wahlstift ist nur einer von vielen verschiedenen Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk Engling.
Vor dem Hintergrund der prinzipiellen und sicherheitstechnischen Probleme des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit durch den Wähler, fordert der Chaos Computer Club den Hamburger Gesetzgeber auf, das Wahlstiftsystem aufzugeben. Selbst mit massiver Nacharbeit an den heute sichtbaren Sicherheitslücken sei das System prinzipbedingt nicht geeignet, die Anforderungen an Wahlen in Deutschland zu erfüllen. (jdo)
Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.
|
Links zum Thema IT-Sicherheit |
Angebot |
|---|---|
|
Bookshop |
|
|
eBooks (50 % Preisvorteil) |
|
|
Software-Shop |