From cf9dade6a09882bfe72e42a3e2dc6fb1d085e6fc Mon Sep 17 00:00:00 2001 From: tim Date: Sat, 18 Apr 2009 19:12:39 +0000 Subject: committing page revision 1 --- updates/2006/bericht-ob-wahl-cottbus.md | 187 ++++++++++++++++++++++++++++++++ 1 file changed, 187 insertions(+) create mode 100644 updates/2006/bericht-ob-wahl-cottbus.md diff --git a/updates/2006/bericht-ob-wahl-cottbus.md b/updates/2006/bericht-ob-wahl-cottbus.md new file mode 100644 index 00000000..197b22cc --- /dev/null +++ b/updates/2006/bericht-ob-wahl-cottbus.md @@ -0,0 +1,187 @@ +title: Bericht der CCC-Wahlbeobachtergruppe von der Oberbürgermeisterwahl in Cottbus +date: 2006-10-24 00:00:00 +updated: 2009-04-18 19:12:39 +author: tim +tags: update + + +Anlässlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club den Einsatz von Nedap-Wahlcomputern in der Praxis beobachtet. Die hier beobachteten Vorgänge führen die vom Hersteller Nedap soufflierte Argumentation der Cottbusser Wahlleitung von den "geschützten Umgebungen" und angeblicher lückenloser Kontrolle ad absurdum. Die Teilnahme der Öffentlichkeit an den Wahlhandlungen war unzureichend gewährleistet, eine effektive Kontrolle der Wahlen und die Verifikation des Wahlergebnisses waren nicht möglich und offenbar auch nicht erwünscht. + + + + +In der Praxis zeigte sich als einziger Vorteil der Wahlcomputer die +schnelle "Auszählung" des Ergebnisses. In allen anderen Punkten genügt +das Gesamtsystem nicht den Anforderungen an Sicherheit, Überprüfbarkeit +und Nachvollziehbarkeit einer Wahl, die im Grundgesetz verankert sind +\[2\]. Die Wähler, Wahlhelfer und Wahlvorstände stehen in der Praxis vor +einer undurchschaubaren "Black Box", deren Manipulationsfreiheit nicht +nachgewiesen werden und deren gelieferte Ergebnisse niemand verlässlich +prüfen kann. + +### Angriffspunkte für einen Außentäter + +Die Wahlcomputer wurden in mehreren Fällen vor der Ankunft des +Wahlvorstands angeliefert und standen unbewacht im frei zugänglichen +Wahllokal, bestenfalls unter Aufsicht des Schulhausmeisters. Gesichert +waren die Wahlcomputer mit einer einfachen Bleiplombe, die sich mit +wenig Aufwand fälschen bzw. manipulieren lässt. + +Die auf dem Deckel des Computergehäuses angebrachten Siegel von Nedap +und der Physikalisch-Technischen Bundesanstalt (PTB) waren zwar eine +leichte Verbesserung gegenüber den zuvor verwendeten Papiersiegeln, +stellen aber kein ernsthaftes Hindernis für einen motivierten Angreifer +dar. Für den Wähler sind die Siegel unsichtbar hinter einer Abdeckklappe +verborgen. Der Wahlvorstand widmete den Siegeln bei der Inbetriebnahme +keinerlei Aufmerksamkeit, selbst eine plumpe Totalfälschung der Siegel +wäre nicht aufgefallen. + +Die für den Wahlvorstand einzig wichtige Anzeige war das Display des +Computers mit dem Stimmzähler. Sobald dieser bei der Inbetriebnahme eine +Null anzeigte, wurde der Computer als in Ordnung betrachtet. Damit wurde +die Grenze des Verständisses der Wahlhelfer zum Thema +"Computermanipulation" deutlich. + +Das Stimm-Modul war in den Wahlcomputern ausschließlich durch ein +Briefkastenschloss gesichert und somit beliebig gegen ein manipuliertes +Modul (z. B. mit verborgenem Manipulationsprozessor) austauschbar. +Dieser Angriff würde nicht einmal einen Austausch der Software im +Wahlcomputer erfordern. Lediglich eine Kopie der korrekten +Wahlkonfiguration hätte in das manipulierte Modul kopiert werden müssen. + +Der Prüfbericht lag dem Wahlcomputer als Ausdruck bei. Ein Außentäter +hätte diesen Ausdruck problemlos gegen eine Fälschung austauschen +können, die zu seiner manipulierten Software passt. Dazu wäre nur ein +kurzer Zugriff auf den Wahlcomputer vor der Inbetriebnahme nötig +gewesen. Selbst ein Austausch der Software ohne gefälschten Prüfbericht +und ohne Simulation der korrekten Prüfsumme ("Checksumme") wäre nicht +aufgefallen, da nicht einmal die Prüfsumme der Software vor Ort im +Wahllokal verifiziert wird. Durch die Überwachungslücke bei der +Anlieferung ist dies ein realistisches Angriffsszenario. + +### Angriffspunkte für einen Innentäter + +Eine Bedrohungsanalyse für Wahlfälschungen ergibt, dass Manipulationen +von Wahlen meist von Innentätern, wie Politikern, die wiedergewählt +werden wollen, ausgehen. Demnach müssen sich die Sicherheitsmaßnahmen +eines Wahlsystems auf die effektive Verhinderung von +Innentäter-Angriffen konzentrieren. In der Praxis kann dies nur durch +Öffentlichkeit und eine mehrstufige transparente Kontrolle geschehen. + +Die Vorbereitung und Konfiguration der Wahlcomputer in Cottbus fand im +nicht öffentlich zugänglichen zentralen Wahlbüro statt. Die +Wahlvorstände vor Ort hatten keinerlei Möglichkeit zu prüfen, ob die +Software auf dem Wahlcomputer korrekt ist und der vorgeschriebenen +Version entspricht. Ein Innentäter im zentralen Wahlbüro riskiert also +nicht, dass seine Manipulation im Wahllokal entdeckt wird. + +Inwieweit im zentralen Wahlbüro organisatorische Sicherheitsmaßnahmen +ergriffen wurden, die Manipulationen erschweren, ist mangels Zugang der +Öffentlichkeit nicht überprüfbar gewesen. Hier herrscht offenbar noch +immer das Prinzip "security by obscurity" statt die vom Gesetzgeber +geforderte Transparenz und Nachvollziehbarkeit. + +Eine nach der Veröffentlichung des CCC-Prüfberichts extra anberaumte +Verifikation der Software der Cottbusser Wahlcomputer fand durch die +Physikalisch-Technische Bundesanstalt statt. Nach welchen Kriterien und +mit welchen Prüfmethoden hier vorgegangen wurde, war nicht zu erfahren. +Schon bei der Zulassung der Nedap-Wahlcomputer konnte die PTB keine +ernsthafte Überprüfung der Systemsicherheit vorweisen, wie die vom CCC +vorgelegte Sicherheitsanalyse zeigt \[1\]. Blindes Vertrauen in die +Experten der PTB ist hier demnach fehl am Platze. + +Die beiden Schlüssel für die Freischaltung der Wahlcomputer, die +eigentlich von zwei Wahllhelfern getrennt aufbewahrt und gehandhabt +werden sollten, wurden häufig entweder von einer Person verwahrt oder +lagen einfach auf dem Tisch herum. Abgesehen vom lächerlichen Schutzgrad +der Schlösser war so nicht einmal die technische Absicherung des +Vier-Augen-Prinzips für wesentliche Bedienhandlungen gegeben. + +### Gewährleistung der Öffentlichkeit der Wahl + +Im Vorfeld wurde seitens der Kreiswahlleiterin Frau Sabine Hiekel +explizit die Herausgabe der Liste der Wahllokale verweigert. Dies kann +nur als Versuch gewertet werden, eine öffentliche Beobachtung der Wahl +zu erschweren. + +Die Beobachtung der Inbetriebnahme der Wahlcomputer war jedoch +weitgehend problemlos möglich. In einigen Stimmbezirken bedurfte es +allerdings telefonischer Rücksprache mit der Wahlleitung, bevor die +Inbetriebnahme beobachtet werden durfte. + +In mindestens einem Wahllokal verweigerte der Wahlvorstand zunächst die +öffentliche Verlesung des Wahlergebnisses und den Einblick in den +Ausdruck mit dem Stimmergebnis. "Ich bin dazu nicht befugt," lautete die +so schlichte wie falsche Auskunft des Wahlvorstands. Erst die mehrfache +nachdrückliche Wiederholung der Frage und der Verweis auf die Rechtslage +führte zu einer äußerst widerwilligen Schnellverlesung der Resultate. In +anderen Wahllokalen wurde die "Auszählung" so hastig durchgeführt, dass +eine effektive Einsichtnahme der Öffentlichkeit in den Vorgang nicht +möglich war. + +Die Wahlhelfer unterschrieben das Wahlprotokoll, obwohl sie vorher noch +keine Kenntnis von den gezählten Stimmen hatten. Erst auf Nachfrage +nahmen sie vom Papierausdruck des Computers Kenntnis. Von einer +Auszählung, die gesetzlich vorgeschrieben ist und den Charakter einer +öffentlichen Prüfung des Ergebnisses hat, kann durch die vollständig +intransparente Handhabung der Wahlcomputer keine Rede mehr sein. + +Frau Hiekel verweigerte die Teilnahme der Öffentlichkeit an der +Vorbereitung der Wahlcomputer. Da die Konfiguration bereits bis zu zehn +Tage vor der Wahl stattfand, steht zu vermuten, dass die Vorbereitung +zum Zeitpunkt unserer Anfrage wenige Tage vor der Wahl bereits +abgeschlossen war. + +Ebenfalls verweigert wurde uns die Begleitung eines Wahlvorstands mit +Stimm-Modul und Ergebnisausdruck zum zentralen Wahlbüro. Die Teilnahme +am Auslesen der Stimm-Module und damit an der Zusammenzählung der +Wahlresultate fand ebenfalls unter explizitem Ausschluss der +Öffentlichkeit statt. Frau Hiekel empfand offenbar schon die Frage +danach als Zumutung. Hier zeigt sich eine Haltung gegenüber dem Bürger +als Wahlbeobachter, die mit dem Amt eines Wahlleiters, der die +demokratischen Grundrechte achten und schützen muss, nicht vereinbar +ist. + +Zusammenfassend ist festzustellen, dass wesentliche Teile der Wahl +(Vorbereitung der Wahlcomputer und Summierung der Wahlergebnisse) unter +Ausschluss der Öffentlichkeit stattfanden. Die Wahlvorstände in den +Stimmbezirken hatten äußerst unterschiedliche Auffassungen von +"Öffentlichkeit". Zwischen bereitwilliger Auskunftsfreude und offener +Obstruktion war alles anzutreffen. Eine effektive Kontrolle der Wahl war +bedingt durch die prinzipiellen Eigenschaften von Wahlcomputern nicht +möglich. + +### War die Wahl manipuliert? + +Es wurden von uns keine Vorkommnisse beobachtet, die auf eine +Manipulation der Wahl hindeuten. Wie der Hergang zeigt, waren wir aber +faktisch nicht in der Lage, eine etwaige Innenmanipulation +festzustellen, selbst wenn sie stattgefunden hat, obwohl wir als größere +Gruppe sicherheitstechnisch versierter Experten an vielen Stellen +dreizehn Stunden lang alles beobachtet haben, was wir beobachten +durften. + +Ein Wahlbetrüger hätte auch aus anderen Gründen ein leichtes Spiel +gehabt: Fast alle befragten Cottbusser bringen den Wahlcomputern und den +handelnden Personen grenzenloses Vertrauen entgegen, und obwohl etwa +jeder Dritte von der Manipulationsanfälligkeit der Geräte aus der Presse +gehört hatte, schloss auch diese Gruppe von informierten Wählern jede +Manipulation kategorisch aus, ohne dies sachlich begründen zu können. +Die zur Entdeckung einer etwaigen Manipulation erforderliche kritische +Distanz gegenüber dem Wahlsystem war nur höchst selten anzutreffen. Die +wenigen Wähler, die sich über den Einsatz von Wahlcomputern empört +zeigten, waren von Beruf ausnahmslos Informatiker. + +Fazit: Vertrauen ist gut, Kontrolle nicht möglich. + +Anmerkung zur Methodik: Die beschriebenen Vorkommnisse sind durch +Beobachtungsprotokolle mehrerer Zeugen oder Audio- und +Videoaufzeichnungen belegt. Die Beobachter haben sich ausdrücklich +zurückhaltend, freundlich und den Wahlablauf nicht behindernd verhalten. +Sie haben sich gegenüber dem jeweiligen Wahlvorstand als interessierte +Bürger bzw. Journalisten vorgestellt. + +- \[1\] [Nedap/Groenendaal ES3B voting computer: a security + analysis](http://www.wijvertrouwenstemcomputersniet.nl/images/9/91/Es3b-en.pdf) +- \[2\] [bund.de: Wahlgrundsätze und + Wahlsystem](http://www.bund.de/nn_3300/Microsites/Deutsche-Demokratie/Politische-Beteiligung/Wahlen/Wahlgrundsaetze-und-Wahlsystem/Wahlgrundsaetze-und-Wahlsystem-knoten.html__nnn=true) -- cgit v1.2.3