summaryrefslogtreecommitdiff
path: root/updates/2006
diff options
context:
space:
mode:
authortim <tim@ccc.de>2009-04-18 19:12:39 +0000
committertim <tim@ccc.de>2020-05-23 13:38:22 +0000
commitcf9dade6a09882bfe72e42a3e2dc6fb1d085e6fc (patch)
tree6856a87368961f8ac3d5ad5d1abeac8cbe19de02 /updates/2006
parent2ef8d1134d522b6702aff1f87368737b08691b8d (diff)
committing page revision 1
Diffstat (limited to 'updates/2006')
-rw-r--r--updates/2006/bericht-ob-wahl-cottbus.md187
1 files changed, 187 insertions, 0 deletions
diff --git a/updates/2006/bericht-ob-wahl-cottbus.md b/updates/2006/bericht-ob-wahl-cottbus.md
new file mode 100644
index 00000000..197b22cc
--- /dev/null
+++ b/updates/2006/bericht-ob-wahl-cottbus.md
@@ -0,0 +1,187 @@
1title: Bericht der CCC-Wahlbeobachtergruppe von der Oberbürgermeisterwahl in Cottbus
2date: 2006-10-24 00:00:00
3updated: 2009-04-18 19:12:39
4author: tim
5tags: update
6
7
8Anlässlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club den Einsatz von Nedap-Wahlcomputern in der Praxis beobachtet. Die hier beobachteten Vorgänge führen die vom Hersteller Nedap soufflierte Argumentation der Cottbusser Wahlleitung von den "geschützten Umgebungen" und angeblicher lückenloser Kontrolle ad absurdum. Die Teilnahme der Öffentlichkeit an den Wahlhandlungen war unzureichend gewährleistet, eine effektive Kontrolle der Wahlen und die Verifikation des Wahlergebnisses waren nicht möglich und offenbar auch nicht erwünscht.
9
10
11<!-- TEASER_END -->
12
13In der Praxis zeigte sich als einziger Vorteil der Wahlcomputer die
14schnelle "Auszählung" des Ergebnisses. In allen anderen Punkten genügt
15das Gesamtsystem nicht den Anforderungen an Sicherheit, Überprüfbarkeit
16und Nachvollziehbarkeit einer Wahl, die im Grundgesetz verankert sind
17\[2\]. Die Wähler, Wahlhelfer und Wahlvorstände stehen in der Praxis vor
18einer undurchschaubaren "Black Box", deren Manipulationsfreiheit nicht
19nachgewiesen werden und deren gelieferte Ergebnisse niemand verlässlich
20prüfen kann.
21
22### Angriffspunkte für einen Außentäter
23
24Die Wahlcomputer wurden in mehreren Fällen vor der Ankunft des
25Wahlvorstands angeliefert und standen unbewacht im frei zugänglichen
26Wahllokal, bestenfalls unter Aufsicht des Schulhausmeisters. Gesichert
27waren die Wahlcomputer mit einer einfachen Bleiplombe, die sich mit
28wenig Aufwand fälschen bzw. manipulieren lässt.
29
30Die auf dem Deckel des Computergehäuses angebrachten Siegel von Nedap
31und der Physikalisch-Technischen Bundesanstalt (PTB) waren zwar eine
32leichte Verbesserung gegenüber den zuvor verwendeten Papiersiegeln,
33stellen aber kein ernsthaftes Hindernis für einen motivierten Angreifer
34dar. Für den Wähler sind die Siegel unsichtbar hinter einer Abdeckklappe
35verborgen. Der Wahlvorstand widmete den Siegeln bei der Inbetriebnahme
36keinerlei Aufmerksamkeit, selbst eine plumpe Totalfälschung der Siegel
37wäre nicht aufgefallen.
38
39Die für den Wahlvorstand einzig wichtige Anzeige war das Display des
40Computers mit dem Stimmzähler. Sobald dieser bei der Inbetriebnahme eine
41Null anzeigte, wurde der Computer als in Ordnung betrachtet. Damit wurde
42die Grenze des Verständisses der Wahlhelfer zum Thema
43"Computermanipulation" deutlich.
44
45Das Stimm-Modul war in den Wahlcomputern ausschließlich durch ein
46Briefkastenschloss gesichert und somit beliebig gegen ein manipuliertes
47Modul (z. B. mit verborgenem Manipulationsprozessor) austauschbar.
48Dieser Angriff würde nicht einmal einen Austausch der Software im
49Wahlcomputer erfordern. Lediglich eine Kopie der korrekten
50Wahlkonfiguration hätte in das manipulierte Modul kopiert werden müssen.
51
52Der Prüfbericht lag dem Wahlcomputer als Ausdruck bei. Ein Außentäter
53hätte diesen Ausdruck problemlos gegen eine Fälschung austauschen
54können, die zu seiner manipulierten Software passt. Dazu wäre nur ein
55kurzer Zugriff auf den Wahlcomputer vor der Inbetriebnahme nötig
56gewesen. Selbst ein Austausch der Software ohne gefälschten Prüfbericht
57und ohne Simulation der korrekten Prüfsumme ("Checksumme") wäre nicht
58aufgefallen, da nicht einmal die Prüfsumme der Software vor Ort im
59Wahllokal verifiziert wird. Durch die Überwachungslücke bei der
60Anlieferung ist dies ein realistisches Angriffsszenario.
61
62### Angriffspunkte für einen Innentäter
63
64Eine Bedrohungsanalyse für Wahlfälschungen ergibt, dass Manipulationen
65von Wahlen meist von Innentätern, wie Politikern, die wiedergewählt
66werden wollen, ausgehen. Demnach müssen sich die Sicherheitsmaßnahmen
67eines Wahlsystems auf die effektive Verhinderung von
68Innentäter-Angriffen konzentrieren. In der Praxis kann dies nur durch
69Öffentlichkeit und eine mehrstufige transparente Kontrolle geschehen.
70
71Die Vorbereitung und Konfiguration der Wahlcomputer in Cottbus fand im
72nicht öffentlich zugänglichen zentralen Wahlbüro statt. Die
73Wahlvorstände vor Ort hatten keinerlei Möglichkeit zu prüfen, ob die
74Software auf dem Wahlcomputer korrekt ist und der vorgeschriebenen
75Version entspricht. Ein Innentäter im zentralen Wahlbüro riskiert also
76nicht, dass seine Manipulation im Wahllokal entdeckt wird.
77
78Inwieweit im zentralen Wahlbüro organisatorische Sicherheitsmaßnahmen
79ergriffen wurden, die Manipulationen erschweren, ist mangels Zugang der
80Öffentlichkeit nicht überprüfbar gewesen. Hier herrscht offenbar noch
81immer das Prinzip "security by obscurity" statt die vom Gesetzgeber
82geforderte Transparenz und Nachvollziehbarkeit.
83
84Eine nach der Veröffentlichung des CCC-Prüfberichts extra anberaumte
85Verifikation der Software der Cottbusser Wahlcomputer fand durch die
86Physikalisch-Technische Bundesanstalt statt. Nach welchen Kriterien und
87mit welchen Prüfmethoden hier vorgegangen wurde, war nicht zu erfahren.
88Schon bei der Zulassung der Nedap-Wahlcomputer konnte die PTB keine
89ernsthafte Überprüfung der Systemsicherheit vorweisen, wie die vom CCC
90vorgelegte Sicherheitsanalyse zeigt \[1\]. Blindes Vertrauen in die
91Experten der PTB ist hier demnach fehl am Platze.
92
93Die beiden Schlüssel für die Freischaltung der Wahlcomputer, die
94eigentlich von zwei Wahllhelfern getrennt aufbewahrt und gehandhabt
95werden sollten, wurden häufig entweder von einer Person verwahrt oder
96lagen einfach auf dem Tisch herum. Abgesehen vom lächerlichen Schutzgrad
97der Schlösser war so nicht einmal die technische Absicherung des
98Vier-Augen-Prinzips für wesentliche Bedienhandlungen gegeben.
99
100### Gewährleistung der Öffentlichkeit der Wahl
101
102Im Vorfeld wurde seitens der Kreiswahlleiterin Frau Sabine Hiekel
103explizit die Herausgabe der Liste der Wahllokale verweigert. Dies kann
104nur als Versuch gewertet werden, eine öffentliche Beobachtung der Wahl
105zu erschweren.
106
107Die Beobachtung der Inbetriebnahme der Wahlcomputer war jedoch
108weitgehend problemlos möglich. In einigen Stimmbezirken bedurfte es
109allerdings telefonischer Rücksprache mit der Wahlleitung, bevor die
110Inbetriebnahme beobachtet werden durfte.
111
112In mindestens einem Wahllokal verweigerte der Wahlvorstand zunächst die
113öffentliche Verlesung des Wahlergebnisses und den Einblick in den
114Ausdruck mit dem Stimmergebnis. "Ich bin dazu nicht befugt," lautete die
115so schlichte wie falsche Auskunft des Wahlvorstands. Erst die mehrfache
116nachdrückliche Wiederholung der Frage und der Verweis auf die Rechtslage
117führte zu einer äußerst widerwilligen Schnellverlesung der Resultate. In
118anderen Wahllokalen wurde die "Auszählung" so hastig durchgeführt, dass
119eine effektive Einsichtnahme der Öffentlichkeit in den Vorgang nicht
120möglich war.
121
122Die Wahlhelfer unterschrieben das Wahlprotokoll, obwohl sie vorher noch
123keine Kenntnis von den gezählten Stimmen hatten. Erst auf Nachfrage
124nahmen sie vom Papierausdruck des Computers Kenntnis. Von einer
125Auszählung, die gesetzlich vorgeschrieben ist und den Charakter einer
126öffentlichen Prüfung des Ergebnisses hat, kann durch die vollständig
127intransparente Handhabung der Wahlcomputer keine Rede mehr sein.
128
129Frau Hiekel verweigerte die Teilnahme der Öffentlichkeit an der
130Vorbereitung der Wahlcomputer. Da die Konfiguration bereits bis zu zehn
131Tage vor der Wahl stattfand, steht zu vermuten, dass die Vorbereitung
132zum Zeitpunkt unserer Anfrage wenige Tage vor der Wahl bereits
133abgeschlossen war.
134
135Ebenfalls verweigert wurde uns die Begleitung eines Wahlvorstands mit
136Stimm-Modul und Ergebnisausdruck zum zentralen Wahlbüro. Die Teilnahme
137am Auslesen der Stimm-Module und damit an der Zusammenzählung der
138Wahlresultate fand ebenfalls unter explizitem Ausschluss der
139Öffentlichkeit statt. Frau Hiekel empfand offenbar schon die Frage
140danach als Zumutung. Hier zeigt sich eine Haltung gegenüber dem Bürger
141als Wahlbeobachter, die mit dem Amt eines Wahlleiters, der die
142demokratischen Grundrechte achten und schützen muss, nicht vereinbar
143ist.
144
145Zusammenfassend ist festzustellen, dass wesentliche Teile der Wahl
146(Vorbereitung der Wahlcomputer und Summierung der Wahlergebnisse) unter
147Ausschluss der Öffentlichkeit stattfanden. Die Wahlvorstände in den
148Stimmbezirken hatten äußerst unterschiedliche Auffassungen von
149"Öffentlichkeit". Zwischen bereitwilliger Auskunftsfreude und offener
150Obstruktion war alles anzutreffen. Eine effektive Kontrolle der Wahl war
151bedingt durch die prinzipiellen Eigenschaften von Wahlcomputern nicht
152möglich.
153
154### War die Wahl manipuliert?
155
156Es wurden von uns keine Vorkommnisse beobachtet, die auf eine
157Manipulation der Wahl hindeuten. Wie der Hergang zeigt, waren wir aber
158faktisch nicht in der Lage, eine etwaige Innenmanipulation
159festzustellen, selbst wenn sie stattgefunden hat, obwohl wir als größere
160Gruppe sicherheitstechnisch versierter Experten an vielen Stellen
161dreizehn Stunden lang alles beobachtet haben, was wir beobachten
162durften.
163
164Ein Wahlbetrüger hätte auch aus anderen Gründen ein leichtes Spiel
165gehabt: Fast alle befragten Cottbusser bringen den Wahlcomputern und den
166handelnden Personen grenzenloses Vertrauen entgegen, und obwohl etwa
167jeder Dritte von der Manipulationsanfälligkeit der Geräte aus der Presse
168gehört hatte, schloss auch diese Gruppe von informierten Wählern jede
169Manipulation kategorisch aus, ohne dies sachlich begründen zu können.
170Die zur Entdeckung einer etwaigen Manipulation erforderliche kritische
171Distanz gegenüber dem Wahlsystem war nur höchst selten anzutreffen. Die
172wenigen Wähler, die sich über den Einsatz von Wahlcomputern empört
173zeigten, waren von Beruf ausnahmslos Informatiker.
174
175Fazit: Vertrauen ist gut, Kontrolle nicht möglich.
176
177Anmerkung zur Methodik: Die beschriebenen Vorkommnisse sind durch
178Beobachtungsprotokolle mehrerer Zeugen oder Audio- und
179Videoaufzeichnungen belegt. Die Beobachter haben sich ausdrücklich
180zurückhaltend, freundlich und den Wahlablauf nicht behindernd verhalten.
181Sie haben sich gegenüber dem jeweiligen Wahlvorstand als interessierte
182Bürger bzw. Journalisten vorgestellt.
183
184- \[1\] [Nedap/Groenendaal ES3B voting computer: a security
185 analysis](http://www.wijvertrouwenstemcomputersniet.nl/images/9/91/Es3b-en.pdf)
186- \[2\] [bund.de: Wahlgrundsätze und
187 Wahlsystem](http://www.bund.de/nn_3300/Microsites/Deutsche-Demokratie/Politische-Beteiligung/Wahlen/Wahlgrundsaetze-und-Wahlsystem/Wahlgrundsaetze-und-Wahlsystem-knoten.html__nnn=true)