summaryrefslogtreecommitdiff
path: root/updates/2006/bericht-ob-wahl-cottbus.md
blob: 197b22cc0eb6d172a43f55f1e3452f4ec58144d4 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
title: Bericht der CCC-Wahlbeobachtergruppe von der Oberbürgermeisterwahl in Cottbus
date: 2006-10-24 00:00:00 
updated: 2009-04-18 19:12:39 
author: tim
tags: update


Anlässlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club den Einsatz von Nedap-Wahlcomputern in der Praxis beobachtet. Die hier beobachteten Vorgänge führen die vom Hersteller Nedap soufflierte Argumentation der Cottbusser Wahlleitung von den "geschützten Umgebungen" und angeblicher lückenloser Kontrolle ad absurdum. Die Teilnahme der Öffentlichkeit an den Wahlhandlungen war unzureichend gewährleistet, eine effektive Kontrolle der Wahlen und die Verifikation des Wahlergebnisses waren nicht möglich und offenbar auch nicht erwünscht.
	

<!-- TEASER_END -->

In der Praxis zeigte sich als einziger Vorteil der Wahlcomputer die
schnelle "Auszählung" des Ergebnisses. In allen anderen Punkten genügt
das Gesamtsystem nicht den Anforderungen an Sicherheit, Überprüfbarkeit
und Nachvollziehbarkeit einer Wahl, die im Grundgesetz verankert sind
\[2\]. Die Wähler, Wahlhelfer und Wahlvorstände stehen in der Praxis vor
einer undurchschaubaren "Black Box", deren Manipulationsfreiheit nicht
nachgewiesen werden und deren gelieferte Ergebnisse niemand verlässlich
prüfen kann.

### Angriffspunkte für einen Außentäter

Die Wahlcomputer wurden in mehreren Fällen vor der Ankunft des
Wahlvorstands angeliefert und standen unbewacht im frei zugänglichen
Wahllokal, bestenfalls unter Aufsicht des Schulhausmeisters. Gesichert
waren die Wahlcomputer mit einer einfachen Bleiplombe, die sich mit
wenig Aufwand fälschen bzw. manipulieren lässt.

Die auf dem Deckel des Computergehäuses angebrachten Siegel von Nedap
und der Physikalisch-Technischen Bundesanstalt (PTB) waren zwar eine
leichte Verbesserung gegenüber den zuvor verwendeten Papiersiegeln,
stellen aber kein ernsthaftes Hindernis für einen motivierten Angreifer
dar. Für den Wähler sind die Siegel unsichtbar hinter einer Abdeckklappe
verborgen. Der Wahlvorstand widmete den Siegeln bei der Inbetriebnahme
keinerlei Aufmerksamkeit, selbst eine plumpe Totalfälschung der Siegel
wäre nicht aufgefallen.

Die für den Wahlvorstand einzig wichtige Anzeige war das Display des
Computers mit dem Stimmzähler. Sobald dieser bei der Inbetriebnahme eine
Null anzeigte, wurde der Computer als in Ordnung betrachtet. Damit wurde
die Grenze des Verständisses der Wahlhelfer zum Thema
"Computermanipulation" deutlich.

Das Stimm-Modul war in den Wahlcomputern ausschließlich durch ein
Briefkastenschloss gesichert und somit beliebig gegen ein manipuliertes
Modul (z. B. mit verborgenem Manipulationsprozessor) austauschbar.
Dieser Angriff würde nicht einmal einen Austausch der Software im
Wahlcomputer erfordern. Lediglich eine Kopie der korrekten
Wahlkonfiguration hätte in das manipulierte Modul kopiert werden müssen.

Der Prüfbericht lag dem Wahlcomputer als Ausdruck bei. Ein Außentäter
hätte diesen Ausdruck problemlos gegen eine Fälschung austauschen
können, die zu seiner manipulierten Software passt. Dazu wäre nur ein
kurzer Zugriff auf den Wahlcomputer vor der Inbetriebnahme nötig
gewesen. Selbst ein Austausch der Software ohne gefälschten Prüfbericht
und ohne Simulation der korrekten Prüfsumme ("Checksumme") wäre nicht
aufgefallen, da nicht einmal die Prüfsumme der Software vor Ort im
Wahllokal verifiziert wird. Durch die Überwachungslücke bei der
Anlieferung ist dies ein realistisches Angriffsszenario.

### Angriffspunkte für einen Innentäter

Eine Bedrohungsanalyse für Wahlfälschungen ergibt, dass Manipulationen
von Wahlen meist von Innentätern, wie Politikern, die wiedergewählt
werden wollen, ausgehen. Demnach müssen sich die Sicherheitsmaßnahmen
eines Wahlsystems auf die effektive Verhinderung von
Innentäter-Angriffen konzentrieren. In der Praxis kann dies nur durch
Öffentlichkeit und eine mehrstufige transparente Kontrolle geschehen.

Die Vorbereitung und Konfiguration der Wahlcomputer in Cottbus fand im
nicht öffentlich zugänglichen zentralen Wahlbüro statt. Die
Wahlvorstände vor Ort hatten keinerlei Möglichkeit zu prüfen, ob die
Software auf dem Wahlcomputer korrekt ist und der vorgeschriebenen
Version entspricht. Ein Innentäter im zentralen Wahlbüro riskiert also
nicht, dass seine Manipulation im Wahllokal entdeckt wird.

Inwieweit im zentralen Wahlbüro organisatorische Sicherheitsmaßnahmen
ergriffen wurden, die Manipulationen erschweren, ist mangels Zugang der
Öffentlichkeit nicht überprüfbar gewesen. Hier herrscht offenbar noch
immer das Prinzip "security by obscurity" statt die vom Gesetzgeber
geforderte Transparenz und Nachvollziehbarkeit.

Eine nach der Veröffentlichung des CCC-Prüfberichts extra anberaumte
Verifikation der Software der Cottbusser Wahlcomputer fand durch die
Physikalisch-Technische Bundesanstalt statt. Nach welchen Kriterien und
mit welchen Prüfmethoden hier vorgegangen wurde, war nicht zu erfahren.
Schon bei der Zulassung der Nedap-Wahlcomputer konnte die PTB keine
ernsthafte Überprüfung der Systemsicherheit vorweisen, wie die vom CCC
vorgelegte Sicherheitsanalyse zeigt \[1\]. Blindes Vertrauen in die
Experten der PTB ist hier demnach fehl am Platze.

Die beiden Schlüssel für die Freischaltung der Wahlcomputer, die
eigentlich von zwei Wahllhelfern getrennt aufbewahrt und gehandhabt
werden sollten, wurden häufig entweder von einer Person verwahrt oder
lagen einfach auf dem Tisch herum. Abgesehen vom lächerlichen Schutzgrad
der Schlösser war so nicht einmal die technische Absicherung des
Vier-Augen-Prinzips für wesentliche Bedienhandlungen gegeben.

### Gewährleistung der Öffentlichkeit der Wahl

Im Vorfeld wurde seitens der Kreiswahlleiterin Frau Sabine Hiekel
explizit die Herausgabe der Liste der Wahllokale verweigert. Dies kann
nur als Versuch gewertet werden, eine öffentliche Beobachtung der Wahl
zu erschweren.

Die Beobachtung der Inbetriebnahme der Wahlcomputer war jedoch
weitgehend problemlos möglich. In einigen Stimmbezirken bedurfte es
allerdings telefonischer Rücksprache mit der Wahlleitung, bevor die
Inbetriebnahme beobachtet werden durfte.

In mindestens einem Wahllokal verweigerte der Wahlvorstand zunächst die
öffentliche Verlesung des Wahlergebnisses und den Einblick in den
Ausdruck mit dem Stimmergebnis. "Ich bin dazu nicht befugt," lautete die
so schlichte wie falsche Auskunft des Wahlvorstands. Erst die mehrfache
nachdrückliche Wiederholung der Frage und der Verweis auf die Rechtslage
führte zu einer äußerst widerwilligen Schnellverlesung der Resultate. In
anderen Wahllokalen wurde die "Auszählung" so hastig durchgeführt, dass
eine effektive Einsichtnahme der Öffentlichkeit in den Vorgang nicht
möglich war.

Die Wahlhelfer unterschrieben das Wahlprotokoll, obwohl sie vorher noch
keine Kenntnis von den gezählten Stimmen hatten. Erst auf Nachfrage
nahmen sie vom Papierausdruck des Computers Kenntnis. Von einer
Auszählung, die gesetzlich vorgeschrieben ist und den Charakter einer
öffentlichen Prüfung des Ergebnisses hat, kann durch die vollständig
intransparente Handhabung der Wahlcomputer keine Rede mehr sein.

Frau Hiekel verweigerte die Teilnahme der Öffentlichkeit an der
Vorbereitung der Wahlcomputer. Da die Konfiguration bereits bis zu zehn
Tage vor der Wahl stattfand, steht zu vermuten, dass die Vorbereitung
zum Zeitpunkt unserer Anfrage wenige Tage vor der Wahl bereits
abgeschlossen war.

Ebenfalls verweigert wurde uns die Begleitung eines Wahlvorstands mit
Stimm-Modul und Ergebnisausdruck zum zentralen Wahlbüro. Die Teilnahme
am Auslesen der Stimm-Module und damit an der Zusammenzählung der
Wahlresultate fand ebenfalls unter explizitem Ausschluss der
Öffentlichkeit statt. Frau Hiekel empfand offenbar schon die Frage
danach als Zumutung. Hier zeigt sich eine Haltung gegenüber dem Bürger
als Wahlbeobachter, die mit dem Amt eines Wahlleiters, der die
demokratischen Grundrechte achten und schützen muss, nicht vereinbar
ist.

Zusammenfassend ist festzustellen, dass wesentliche Teile der Wahl
(Vorbereitung der Wahlcomputer und Summierung der Wahlergebnisse) unter
Ausschluss der Öffentlichkeit stattfanden. Die Wahlvorstände in den
Stimmbezirken hatten äußerst unterschiedliche Auffassungen von
"Öffentlichkeit". Zwischen bereitwilliger Auskunftsfreude und offener
Obstruktion war alles anzutreffen. Eine effektive Kontrolle der Wahl war
bedingt durch die prinzipiellen Eigenschaften von Wahlcomputern nicht
möglich.

### War die Wahl manipuliert?

Es wurden von uns keine Vorkommnisse beobachtet, die auf eine
Manipulation der Wahl hindeuten. Wie der Hergang zeigt, waren wir aber
faktisch nicht in der Lage, eine etwaige Innenmanipulation
festzustellen, selbst wenn sie stattgefunden hat, obwohl wir als größere
Gruppe sicherheitstechnisch versierter Experten an vielen Stellen
dreizehn Stunden lang alles beobachtet haben, was wir beobachten
durften.

Ein Wahlbetrüger hätte auch aus anderen Gründen ein leichtes Spiel
gehabt: Fast alle befragten Cottbusser bringen den Wahlcomputern und den
handelnden Personen grenzenloses Vertrauen entgegen, und obwohl etwa
jeder Dritte von der Manipulationsanfälligkeit der Geräte aus der Presse
gehört hatte, schloss auch diese Gruppe von informierten Wählern jede
Manipulation kategorisch aus, ohne dies sachlich begründen zu können.
Die zur Entdeckung einer etwaigen Manipulation erforderliche kritische
Distanz gegenüber dem Wahlsystem war nur höchst selten anzutreffen. Die
wenigen Wähler, die sich über den Einsatz von Wahlcomputern empört
zeigten, waren von Beruf ausnahmslos Informatiker.

Fazit: Vertrauen ist gut, Kontrolle nicht möglich.

Anmerkung zur Methodik: Die beschriebenen Vorkommnisse sind durch
Beobachtungsprotokolle mehrerer Zeugen oder Audio- und
Videoaufzeichnungen belegt. Die Beobachter haben sich ausdrücklich
zurückhaltend, freundlich und den Wahlablauf nicht behindernd verhalten.
Sie haben sich gegenüber dem jeweiligen Wahlvorstand als interessierte
Bürger bzw. Journalisten vorgestellt.

-   \[1\] [Nedap/Groenendaal ES3B voting computer: a security
    analysis](http://www.wijvertrouwenstemcomputersniet.nl/images/9/91/Es3b-en.pdf)
-   \[2\] [bund.de: Wahlgrundsätze und
    Wahlsystem](http://www.bund.de/nn_3300/Microsites/Deutsche-Demokratie/Politische-Beteiligung/Wahlen/Wahlgrundsaetze-und-Wahlsystem/Wahlgrundsaetze-und-Wahlsystem-knoten.html__nnn=true)