path: root/updates/2006/bericht-ob-wahl-cottbus.md

title: Bericht der CCC-Wahlbeobachtergruppe von der Oberbürgermeisterwahl in Cottbus
date: 2006-10-24 00:00:00 
updated: 2010-02-18 16:13:49 
author: tim
tags: update, wahlcomputer

Anläßlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club den Einsatz von Nedap-Wahlcomputern in der Praxis beobachtet. Die hier beobachteten Vorgänge führen die vom Hersteller Nedap soufflierte Argumentation der Cottbusser Wahlleitung von den "geschützten Umgebungen" und angeblicher lückenloser Kontrolle ad absurdum. Die Teilnahme der Öffentlichkeit an den Wahlhandlungen war unzureichend gewährleistet, eine effektive Kontrolle der Wahlen und die Verifikation des Wahlergebnisses waren nicht möglich und offenbar auch nicht erwünscht.
	

<!-- TEASER_END -->

In der Praxis zeigte sich als einziger Vorteil der Wahlcomputer die
schnelle "Auszählung" des Ergebnisses. In allen anderen Punkten genügt
das Gesamtsystem nicht den Anforderungen an Sicherheit, Überprüfbarkeit
und Nachvollziehbarkeit einer Wahl, die im Grundgesetz verankert sind.
\[2\] Die Wähler, Wahlhelfer und Wahlvorstände stehen in der Praxis vor
einer undurchschaubaren "Black Box", deren Manipulationsfreiheit nicht
nachgewiesen werden und deren gelieferte Ergebnisse niemand verläßlich
prüfen kann.

### Angriffspunkte für einen Außentäter

Die Wahlcomputer wurden in mehreren Fällen vor der Ankunft des
Wahlvorstands angeliefert und standen unbewacht im frei zugänglichen
Wahllokal, bestenfalls unter Aufsicht des Schulhausmeisters. Gesichert
waren die Wahlcomputer mit einer einfachen Bleiplombe, die sich mit
wenig Aufwand fälschen bzw. manipulieren läßt.

Die auf dem Deckel des Computergehäuses angebrachten Siegel von Nedap
und der Physikalisch-Technischen Bundesanstalt (PTB) waren zwar eine
leichte Verbesserung gegenüber den zuvor verwendeten Papiersiegeln,
stellen aber kein ernsthaftes Hindernis für einen motivierten Angreifer
dar. Für den Wähler sind die Siegel unsichtbar hinter einer Abdeckklappe
verborgen. Der Wahlvorstand widmete den Siegeln bei der Inbetriebnahme
keinerlei Aufmerksamkeit, selbst eine plumpe Totalfälschung der Siegel
wäre nicht aufgefallen.

Die für den Wahlvorstand einzig wichtige Anzeige war das Display des
Computers mit dem Stimmzähler. Sobald dieser bei der Inbetriebnahme eine
Null anzeigte, wurde der Computer als in Ordnung betrachtet. Damit wurde
die Grenze des Verständisses der Wahlhelfer zum Thema
"Computermanipulation" deutlich.

Das Stimm-Modul war in den Wahlcomputern ausschließlich durch ein
Briefkastenschloß gesichert und somit beliebig gegen ein manipuliertes
Modul (z. B. mit verborgenem Manipulationsprozessor) austauschbar.
Dieser Angriff würde nicht einmal einen Austausch der Software im
Wahlcomputer erfordern. Lediglich eine Kopie der korrekten
Wahlkonfiguration hätte in das manipulierte Modul kopiert werden müssen.

Der Prüfbericht lag dem Wahlcomputer als Ausdruck bei. Ein Außentäter
hätte diesen Ausdruck problemlos gegen eine Fälschung austauschen
können, die zu seiner manipulierten Software paßt. Dazu wäre nur ein
kurzer Zugriff auf den Wahlcomputer vor der Inbetriebnahme nötig
gewesen. Selbst ein Austausch der Software ohne gefälschten Prüfbericht
und ohne Simulation der korrekten Prüfsumme ("Checksumme") wäre nicht
aufgefallen, da nicht einmal die Prüfsumme der Software vor Ort im
Wahllokal verifiziert wird. Durch die Überwachungslücke bei der
Anlieferung ist dies ein realistisches Angriffsszenario.

### Angriffspunkte für einen Innentäter

Eine Bedrohungsanalyse für Wahlfälschungen ergibt, daß Manipulationen
von Wahlen meist von Innentätern, wie Politikern, die wiedergewählt
werden wollen, ausgehen. Demnach müssen sich die Sicherheitsmaßnahmen
eines Wahlsystems auf die effektive Verhinderung von
Innentäter-Angriffen konzentrieren. In der Praxis kann dies nur durch
Öffentlichkeit und eine mehrstufige transparente Kontrolle geschehen.

Die Vorbereitung und Konfiguration der Wahlcomputer in Cottbus fand im
nicht öffentlich zugänglichen zentralen Wahlbüro statt. Die
Wahlvorstände vor Ort hatten keinerlei Möglichkeit zu prüfen, ob die
Software auf dem Wahlcomputer korrekt ist und der vorgeschriebenen
Version entspricht. Ein Innentäter im zentralen Wahlbüro riskiert also
nicht, daß seine Manipulation im Wahllokal entdeckt wird.

Inwieweit im zentralen Wahlbüro organisatorische Sicherheitsmaßnahmen
ergriffen wurden, die Manipulationen erschweren, ist mangels Zugang der
Öffentlichkeit nicht überprüfbar gewesen. Hier herrscht offenbar noch
immer das Prinzip "security by obscurity" statt die vom Gesetzgeber
geforderte Transparenz und Nachvollziehbarkeit.

Eine nach der Veröffentlichung des CCC-Prüfberichts extra anberaumte
Verifikation der Software der Cottbusser Wahlcomputer fand durch die
Physikalisch-Technische Bundesanstalt statt. Nach welchen Kriterien und
mit welchen Prüfmethoden hier vorgegangen wurde, war nicht zu erfahren.
Schon bei der Zulassung der Nedap-Wahlcomputer konnte die PTB keine
ernsthafte Überprüfung der Systemsicherheit vorweisen, wie die vom CCC
vorgelegte Sicherheitsanalyse zeigt. \[1\] Blindes Vertrauen in die
Experten der PTB ist hier demnach fehl am Platze.

Die beiden Schlüssel für die Freischaltung der Wahlcomputer, die
eigentlich von zwei Wahllhelfern getrennt aufbewahrt und gehandhabt
werden sollten, wurden häufig entweder von einer Person verwahrt oder
lagen einfach auf dem Tisch herum. Abgesehen vom lächerlichen Schutzgrad
der Schlösser war so nicht einmal die technische Absicherung des
Vier-Augen-Prinzips für wesentliche Bedienhandlungen gegeben.

### Gewährleistung der Öffentlichkeit der Wahl

Im Vorfeld wurde seitens der Kreiswahlleiterin Frau Sabine Hiekel
explizit die Herausgabe der Liste der Wahllokale verweigert. Dies kann
nur als Versuch gewertet werden, eine öffentliche Beobachtung der Wahl
zu erschweren.

Die Beobachtung der Inbetriebnahme der Wahlcomputer war jedoch
weitgehend problemlos möglich. In einigen Stimmbezirken bedurfte es
allerdings telefonischer Rücksprache mit der Wahlleitung, bevor die
Inbetriebnahme beobachtet werden durfte.

In mindestens einem Wahllokal verweigerte der Wahlvorstand zunächst die
öffentliche Verlesung des Wahlergebnisses und den Einblick in den
Ausdruck mit dem Stimmergebnis. "Ich bin dazu nicht befugt", lautete die
so schlichte wie falsche Auskunft des Wahlvorstands. Erst die mehrfache
nachdrückliche Wiederholung der Frage und der Verweis auf die Rechtslage
führte zu einer äußerst widerwilligen Schnellverlesung der Resultate. In
anderen Wahllokalen wurde die "Auszählung" so hastig durchgeführt, daß
eine effektive Einsichtnahme der Öffentlichkeit in den Vorgang nicht
möglich war.

Die Wahlhelfer unterschrieben das Wahlprotokoll, obwohl sie vorher noch
keine Kenntnis von den gezählten Stimmen hatten. Erst auf Nachfrage
nahmen sie vom Papierausdruck des Computers Kenntnis. Von einer
Auszählung, die gesetzlich vorgeschrieben ist und den Charakter einer
öffentlichen Prüfung des Ergebnisses hat, kann durch die vollständig
intransparente Handhabung der Wahlcomputer keine Rede mehr sein.

Frau Hiekel verweigerte die Teilnahme der Öffentlichkeit an der
Vorbereitung der Wahlcomputer. Da die Konfiguration bereits bis zu zehn
Tage vor der Wahl stattfand, steht zu vermuten, daß die Vorbereitung zum
Zeitpunkt unserer Anfrage wenige Tage vor der Wahl bereits abgeschlossen
war.

Ebenfalls verweigert wurde uns die Begleitung eines Wahlvorstands mit
Stimm-Modul und Ergebnisausdruck zum zentralen Wahlbüro. Die Teilnahme
am Auslesen der Stimm-Module und damit an der Zusammenzählung der
Wahlresultate fand ebenfalls unter explizitem Ausschluß der
Öffentlichkeit statt. Frau Hiekel empfand offenbar schon die Frage
danach als Zumutung. Hier zeigt sich eine Haltung gegenüber dem Bürger
als Wahlbeobachter, die mit dem Amt eines Wahlleiters, der die
demokratischen Grundrechte achten und schützen muß, nicht vereinbar ist.

Zusammenfassend ist festzustellen, daß wesentliche Teile der Wahl
(Vorbereitung der Wahlcomputer und Summierung der Wahlergebnisse) unter
Ausschluß der Öffentlichkeit stattfanden. Die Wahlvorstände in den
Stimmbezirken hatten äußerst unterschiedliche Auffassungen von
"Öffentlichkeit". Zwischen bereitwilliger Auskunftsfreude und offener
Obstruktion war alles anzutreffen. Eine effektive Kontrolle der Wahl war
bedingt durch die prinzipiellen Eigenschaften von Wahlcomputern nicht
möglich.

### War die Wahl manipuliert?

Es wurden von uns keine Vorkommnisse beobachtet, die auf eine
Manipulation der Wahl hindeuten. Wie der Hergang zeigt, waren wir aber
faktisch nicht in der Lage, eine etwaige Innenmanipulation
festzustellen, selbst wenn sie stattgefunden hat, obwohl wir als größere
Gruppe sicherheitstechnisch versierter Experten an vielen Stellen
dreizehn Stunden lang alles beobachtet haben, was wir beobachten
durften.

Ein Wahlbetrüger hätte auch aus anderen Gründen ein leichtes Spiel
gehabt: Fast alle befragten Cottbusser bringen den Wahlcomputern und den
handelnden Personen grenzenloses Vertrauen entgegen, und obwohl etwa
jeder Dritte von der Manipulationsanfälligkeit der Geräte aus der Presse
gehört hatte, schloß auch diese Gruppe von informierten Wählern jede
Manipulation kategorisch aus, ohne dies sachlich begründen zu können.
Die zur Entdeckung einer etwaigen Manipulation erforderliche kritische
Distanz gegenüber dem Wahlsystem war nur höchst selten anzutreffen. Die
wenigen Wähler, die sich über den Einsatz von Wahlcomputern empört
zeigten, waren von Beruf ausnahmslos Informatiker.

Fazit: Vertrauen ist gut, Kontrolle nicht möglich.

Anmerkung zur Methodik: Die beschriebenen Vorkommnisse sind durch
Beobachtungsprotokolle mehrerer Zeugen oder Audio- und
Videoaufzeichnungen belegt. Die Beobachter haben sich ausdrücklich
zurückhaltend, freundlich und den Wahlablauf nicht behindernd verhalten.
Sie haben sich gegenüber dem jeweiligen Wahlvorstand als interessierte
Bürger bzw. Journalisten vorgestellt.

 

-   \[1\] [Nedap/Groenendaal ES3B voting computer: a security
    analysis](http://www.wijvertrouwenstemcomputersniet.nl/images/9/91/Es3b-en.pdf)
-   \[2\] [bund.de: Wahlgrundsätze und
    Wahlsystem](http://www.bund.de/nn_3300/Microsites/Deutsche-Demokratie/Politische-Beteiligung/Wahlen/Wahlgrundsaetze-und-Wahlsystem/Wahlgrundsaetze-und-Wahlsystem-knoten.html__nnn=true)