From 5acdebbe7c5e10449e067792d47303ee016189d3 Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Thu, 18 Feb 2010 16:13:49 +0000 Subject: committing page revision 2 --- updates/2006/bericht-ob-wahl-cottbus.md | 50 +++++++++++++++++---------------- 1 file changed, 26 insertions(+), 24 deletions(-) (limited to 'updates') diff --git a/updates/2006/bericht-ob-wahl-cottbus.md b/updates/2006/bericht-ob-wahl-cottbus.md index 197b22cc..3aa1a6c2 100644 --- a/updates/2006/bericht-ob-wahl-cottbus.md +++ b/updates/2006/bericht-ob-wahl-cottbus.md @@ -1,11 +1,10 @@ title: Bericht der CCC-Wahlbeobachtergruppe von der Oberbürgermeisterwahl in Cottbus date: 2006-10-24 00:00:00 -updated: 2009-04-18 19:12:39 +updated: 2010-02-18 16:13:49 author: tim -tags: update +tags: update, wahlcomputer - -Anlässlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club den Einsatz von Nedap-Wahlcomputern in der Praxis beobachtet. Die hier beobachteten Vorgänge führen die vom Hersteller Nedap soufflierte Argumentation der Cottbusser Wahlleitung von den "geschützten Umgebungen" und angeblicher lückenloser Kontrolle ad absurdum. Die Teilnahme der Öffentlichkeit an den Wahlhandlungen war unzureichend gewährleistet, eine effektive Kontrolle der Wahlen und die Verifikation des Wahlergebnisses waren nicht möglich und offenbar auch nicht erwünscht. +Anläßlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club den Einsatz von Nedap-Wahlcomputern in der Praxis beobachtet. Die hier beobachteten Vorgänge führen die vom Hersteller Nedap soufflierte Argumentation der Cottbusser Wahlleitung von den "geschützten Umgebungen" und angeblicher lückenloser Kontrolle ad absurdum. Die Teilnahme der Öffentlichkeit an den Wahlhandlungen war unzureichend gewährleistet, eine effektive Kontrolle der Wahlen und die Verifikation des Wahlergebnisses waren nicht möglich und offenbar auch nicht erwünscht. @@ -13,10 +12,10 @@ Anlässlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club de In der Praxis zeigte sich als einziger Vorteil der Wahlcomputer die schnelle "Auszählung" des Ergebnisses. In allen anderen Punkten genügt das Gesamtsystem nicht den Anforderungen an Sicherheit, Überprüfbarkeit -und Nachvollziehbarkeit einer Wahl, die im Grundgesetz verankert sind -\[2\]. Die Wähler, Wahlhelfer und Wahlvorstände stehen in der Praxis vor +und Nachvollziehbarkeit einer Wahl, die im Grundgesetz verankert sind. +\[2\] Die Wähler, Wahlhelfer und Wahlvorstände stehen in der Praxis vor einer undurchschaubaren "Black Box", deren Manipulationsfreiheit nicht -nachgewiesen werden und deren gelieferte Ergebnisse niemand verlässlich +nachgewiesen werden und deren gelieferte Ergebnisse niemand verläßlich prüfen kann. ### Angriffspunkte für einen Außentäter @@ -25,7 +24,7 @@ Die Wahlcomputer wurden in mehreren Fällen vor der Ankunft des Wahlvorstands angeliefert und standen unbewacht im frei zugänglichen Wahllokal, bestenfalls unter Aufsicht des Schulhausmeisters. Gesichert waren die Wahlcomputer mit einer einfachen Bleiplombe, die sich mit -wenig Aufwand fälschen bzw. manipulieren lässt. +wenig Aufwand fälschen bzw. manipulieren läßt. Die auf dem Deckel des Computergehäuses angebrachten Siegel von Nedap und der Physikalisch-Technischen Bundesanstalt (PTB) waren zwar eine @@ -43,7 +42,7 @@ die Grenze des Verständisses der Wahlhelfer zum Thema "Computermanipulation" deutlich. Das Stimm-Modul war in den Wahlcomputern ausschließlich durch ein -Briefkastenschloss gesichert und somit beliebig gegen ein manipuliertes +Briefkastenschloß gesichert und somit beliebig gegen ein manipuliertes Modul (z. B. mit verborgenem Manipulationsprozessor) austauschbar. Dieser Angriff würde nicht einmal einen Austausch der Software im Wahlcomputer erfordern. Lediglich eine Kopie der korrekten @@ -51,7 +50,7 @@ Wahlkonfiguration hätte in das manipulierte Modul kopiert werden müssen. Der Prüfbericht lag dem Wahlcomputer als Ausdruck bei. Ein Außentäter hätte diesen Ausdruck problemlos gegen eine Fälschung austauschen -können, die zu seiner manipulierten Software passt. Dazu wäre nur ein +können, die zu seiner manipulierten Software paßt. Dazu wäre nur ein kurzer Zugriff auf den Wahlcomputer vor der Inbetriebnahme nötig gewesen. Selbst ein Austausch der Software ohne gefälschten Prüfbericht und ohne Simulation der korrekten Prüfsumme ("Checksumme") wäre nicht @@ -61,7 +60,7 @@ Anlieferung ist dies ein realistisches Angriffsszenario. ### Angriffspunkte für einen Innentäter -Eine Bedrohungsanalyse für Wahlfälschungen ergibt, dass Manipulationen +Eine Bedrohungsanalyse für Wahlfälschungen ergibt, daß Manipulationen von Wahlen meist von Innentätern, wie Politikern, die wiedergewählt werden wollen, ausgehen. Demnach müssen sich die Sicherheitsmaßnahmen eines Wahlsystems auf die effektive Verhinderung von @@ -73,7 +72,7 @@ nicht öffentlich zugänglichen zentralen Wahlbüro statt. Die Wahlvorstände vor Ort hatten keinerlei Möglichkeit zu prüfen, ob die Software auf dem Wahlcomputer korrekt ist und der vorgeschriebenen Version entspricht. Ein Innentäter im zentralen Wahlbüro riskiert also -nicht, dass seine Manipulation im Wahllokal entdeckt wird. +nicht, daß seine Manipulation im Wahllokal entdeckt wird. Inwieweit im zentralen Wahlbüro organisatorische Sicherheitsmaßnahmen ergriffen wurden, die Manipulationen erschweren, ist mangels Zugang der @@ -87,7 +86,7 @@ Physikalisch-Technische Bundesanstalt statt. Nach welchen Kriterien und mit welchen Prüfmethoden hier vorgegangen wurde, war nicht zu erfahren. Schon bei der Zulassung der Nedap-Wahlcomputer konnte die PTB keine ernsthafte Überprüfung der Systemsicherheit vorweisen, wie die vom CCC -vorgelegte Sicherheitsanalyse zeigt \[1\]. Blindes Vertrauen in die +vorgelegte Sicherheitsanalyse zeigt. \[1\] Blindes Vertrauen in die Experten der PTB ist hier demnach fehl am Platze. Die beiden Schlüssel für die Freischaltung der Wahlcomputer, die @@ -111,11 +110,11 @@ Inbetriebnahme beobachtet werden durfte. In mindestens einem Wahllokal verweigerte der Wahlvorstand zunächst die öffentliche Verlesung des Wahlergebnisses und den Einblick in den -Ausdruck mit dem Stimmergebnis. "Ich bin dazu nicht befugt," lautete die +Ausdruck mit dem Stimmergebnis. "Ich bin dazu nicht befugt", lautete die so schlichte wie falsche Auskunft des Wahlvorstands. Erst die mehrfache nachdrückliche Wiederholung der Frage und der Verweis auf die Rechtslage führte zu einer äußerst widerwilligen Schnellverlesung der Resultate. In -anderen Wahllokalen wurde die "Auszählung" so hastig durchgeführt, dass +anderen Wahllokalen wurde die "Auszählung" so hastig durchgeführt, daß eine effektive Einsichtnahme der Öffentlichkeit in den Vorgang nicht möglich war. @@ -128,23 +127,22 @@ intransparente Handhabung der Wahlcomputer keine Rede mehr sein. Frau Hiekel verweigerte die Teilnahme der Öffentlichkeit an der Vorbereitung der Wahlcomputer. Da die Konfiguration bereits bis zu zehn -Tage vor der Wahl stattfand, steht zu vermuten, dass die Vorbereitung -zum Zeitpunkt unserer Anfrage wenige Tage vor der Wahl bereits -abgeschlossen war. +Tage vor der Wahl stattfand, steht zu vermuten, daß die Vorbereitung zum +Zeitpunkt unserer Anfrage wenige Tage vor der Wahl bereits abgeschlossen +war. Ebenfalls verweigert wurde uns die Begleitung eines Wahlvorstands mit Stimm-Modul und Ergebnisausdruck zum zentralen Wahlbüro. Die Teilnahme am Auslesen der Stimm-Module und damit an der Zusammenzählung der -Wahlresultate fand ebenfalls unter explizitem Ausschluss der +Wahlresultate fand ebenfalls unter explizitem Ausschluß der Öffentlichkeit statt. Frau Hiekel empfand offenbar schon die Frage danach als Zumutung. Hier zeigt sich eine Haltung gegenüber dem Bürger als Wahlbeobachter, die mit dem Amt eines Wahlleiters, der die -demokratischen Grundrechte achten und schützen muss, nicht vereinbar -ist. +demokratischen Grundrechte achten und schützen muß, nicht vereinbar ist. -Zusammenfassend ist festzustellen, dass wesentliche Teile der Wahl +Zusammenfassend ist festzustellen, daß wesentliche Teile der Wahl (Vorbereitung der Wahlcomputer und Summierung der Wahlergebnisse) unter -Ausschluss der Öffentlichkeit stattfanden. Die Wahlvorstände in den +Ausschluß der Öffentlichkeit stattfanden. Die Wahlvorstände in den Stimmbezirken hatten äußerst unterschiedliche Auffassungen von "Öffentlichkeit". Zwischen bereitwilliger Auskunftsfreude und offener Obstruktion war alles anzutreffen. Eine effektive Kontrolle der Wahl war @@ -165,7 +163,7 @@ Ein Wahlbetrüger hätte auch aus anderen Gründen ein leichtes Spiel gehabt: Fast alle befragten Cottbusser bringen den Wahlcomputern und den handelnden Personen grenzenloses Vertrauen entgegen, und obwohl etwa jeder Dritte von der Manipulationsanfälligkeit der Geräte aus der Presse -gehört hatte, schloss auch diese Gruppe von informierten Wählern jede +gehört hatte, schloß auch diese Gruppe von informierten Wählern jede Manipulation kategorisch aus, ohne dies sachlich begründen zu können. Die zur Entdeckung einer etwaigen Manipulation erforderliche kritische Distanz gegenüber dem Wahlsystem war nur höchst selten anzutreffen. Die @@ -181,7 +179,11 @@ zurückhaltend, freundlich und den Wahlablauf nicht behindernd verhalten. Sie haben sich gegenüber dem jeweiligen Wahlvorstand als interessierte Bürger bzw. Journalisten vorgestellt. +  + - \[1\] [Nedap/Groenendaal ES3B voting computer: a security analysis](http://www.wijvertrouwenstemcomputersniet.nl/images/9/91/Es3b-en.pdf) - \[2\] [bund.de: Wahlgrundsätze und Wahlsystem](http://www.bund.de/nn_3300/Microsites/Deutsche-Demokratie/Politische-Beteiligung/Wahlen/Wahlgrundsaetze-und-Wahlsystem/Wahlgrundsaetze-und-Wahlsystem-knoten.html__nnn=true) + +  -- cgit v1.2.3