Abo
  • Services:

Online-Votings: Sichere Verfahren frühestens in Jahrzehnten verfügbar

Estland setzt seit Jahren auf elektronische Abstimmungsverfahren. Diese könnten auf lange Sicht keine Sicherheit garantieren, warnen US-Forscher.

Artikel veröffentlicht am ,
Die US-Forscher sehen Möglichkeiten, das estnische E-Voting-System zu hacken.
Die US-Forscher sehen Möglichkeiten, das estnische E-Voting-System zu hacken. (Bild: Friedhelm Greis/Golem.de)

Ausgerechnet Estland. Brandenburgs CDU-Fraktionsvorsitzender Ingo Senftleben empfahl über die Weihnachtstage die Einführung von E-Votings, um die Wahlbeteiligung der Bevölkerung zu steigern. "Das wird schon seit 2007 in Estland praktiziert, mit wachsender Beteiligung", sagte Senftleben der Nachrichtenagentur dpa zur Begründung. Hätte er den Vortrag des US-Sicherheitsforschers J. Alex Halderman auf dem 31. Chaos Communication Congress am Sonntag in Hamburg gehört, wäre er mit seiner Empfehlung wohl vorsichtiger gewesen.

Stellenmarkt
  1. T-Systems Multimedia Solutions GmbH, Dresden
  2. T-Systems Multimedia Solutions GmbH, Berlin, Dresden, Jena, Leipzig oder Rostock

Halderman erforscht seit Jahren die Sicherheit elektronischer Abstimmungssysteme. Mit seinen Studenten von der Universität Michigan hackte er bereits diverse Wahlmaschinen der Hersteller Diebold, Hart und Sequoia. Ebenfalls war es ihm gelungen, ein elektronisches Abstimmungssystem der US-Hauptstadt Washington D.C. zu übernehmen, über das testweise US-Bürger im Ausland wählen sollten. Auf Einladung der estnischen Regierung hatte er mit anderen Forschern im vergangenen Jahr das dortige System unter die Lupe genommen.

Identifizierung mit elektronischem Ausweis

Die Regierung in Tallin ist sehr stolz auf ihr E-Voting-System, das eine Stimmabgabe per Internet oder SMS erlaubt. Bei der Europawahl im Mai dieses Jahres gaben mehr als 30 Prozent der Wahlberechtigten ihre Stimme online ab, wie Halderman berichtete. Seiner Darstellung zufolge versucht das estnische System zwei Ansprüche zu erfüllen, die an jedes elektronische Wahlverfahren gestellt werden müssen: Zum einen muss sichergestellt sein, dass jede Stimme auf richtige Weise gezählt wird, zum anderen darf bei geheimen Wahlen nicht nachprüfbar sein, wie eine bestimmte Person abgestimmt hat.

Das estnische System nutzt ein Identifizierungsverfahren auf Basis eines elektronischen Personalausweises und eines entsprechenden Kartenlesegerätes. Für jede Wahl müssen die Bürger ein eigenes Programm herunterladen, das eine elektronische Stimmabgabe ermöglicht. Innerhalb eines bestimmten Zeitraums darf die verschlüsselte Stimmabgabe nachträglich noch geändert werden. Eine Überprüfung der Stimmabgabe per App ist möglich. Für die Auswertung nutzt die Verwaltung vier verschiedene Server: einen zum Sammeln der Stimmen, einen zum Speichern, einen Log-Server und einen vierten zum Auszählen und Entschlüsseln der Stimmen. Die Daten zum Auszählen sollen dabei per DVD übertragen werden.

Nach Ansicht Haldermans lässt sich das System sowohl auf Client- als auch auf Serverseite angreifen. Vor allem staatliche Organisationen wie Geheimdienste könnten in Lage sein, die Sicherheitslücken auszunutzen. Denkbar wäre beispielsweise, die Computer der Bürger mit Malware zu infizieren. Mit Hilfe gestohlener PINs ließe sich die abgegebene Stimme nachträglich noch einmal ändern. Auch die Auszählmaschine könne infiziert werden, selbst wenn sie nicht mit dem Internet verbunden ist. Dies könne vor oder während der Installation geschehen, beispielsweise auf dem Weg vom Hersteller oder durch Bereitstellung eines manipulierten Betriebssystems beim Download. Solche Möglichkeiten liegen durchaus im Bereich der NSA, wie Dokumente aus dem Snowden-Fundus gezeigt hatten.

USB-Stick statt DVD

Schwerwiegende Verstöße gegen Sicherheitsbestimmungen hätten zudem Videos gezeigt, mit denen die IT-Verantwortlichen die Konfiguration der Server öffentlich dokumentieren. So ließen sich Passwörter und WLAN-Zugangsdaten herausfinden. Zudem hätten die ausgezählten Stimmen nicht auf DVD gebrannt werden können, so dass ein Mitarbeiter einen privaten USB-Stick nutzte, um das Ergebnis auf seinen Windows-Rechner mit Internetverbindung zu übertragen und dann offiziell zu signieren. Dadurch hätte zum einen Malware auf den Zählserver gebracht werden und zum anderen das Wahlergebnis gefälscht werden können.

Die wenige Tage vor der Europawahl vorgestellte Studie wurde von der estnischen Regierung erwartungsgemäß nicht mit Begeisterung aufgenommen. In einer Stellungnahme wies sie alle Vorwürfe zurück. Die Behauptung des Wahlkomitees, wonach der Quellcode der Zählsoftware öffentlich sei, treffe auch nur teilweise zu, entgegnete Halderman. Aus Sicherheitsgründen sei weder der Code für das Client-Programm noch für den Log-Server veröffentlicht worden.

Halderman zeigte sich generell sehr skeptisch, was die Voraussetzungen für sichere Abstimmungen betrifft. "Meiner Ansicht nach dauert es noch Jahrzehnte, wenn überhaupt, bis Internet-Voting gesichert werden kann. Das geht nicht mit grundsätzlichen Verbesserungen", sagte er. Zudem seien die Sicherheitsvorkehrungen derzeit nur von wenigen Experten nachvollziehbar, was von den Bürgern ein großes Vertrauen voraussetze. Genau an diesem Punkt dürfte eine Umsetzung des estnischen Systems in Deutschland derzeit noch scheitern. Der Wahlvorgang müsse ohne Fachkenntnisse nachvollzogen werden können, entschied das Bundesverfassungsgericht im Jahr 2009.

Ob mit der elektronischen Abstimmung die Wahlbeteiligung signifikant gesteigert werden könnte, steht ohnehin auf einem anderen Blatt. So gaben bei den Europawahlen im Mai laut Wikipedia nur 36,4 Prozent der wahlberechtigten Esten ihre Stimme ab. Selbst in Brandenburg war die Wahlbeteiligung mit 46,7 Prozent deutlich höher.



Anzeige
Spiele-Angebote
  1. (-15%) 12,74€
  2. 4,99€
  3. 34,99€
  4. 4,67€

robinx999 31. Dez 2014

Wenn man probleme hat das bestimmte Leute zur wahl gefahren werden wäre die einzige...

__destruct() 29. Dez 2014

Genau das habe ich als Kommentar darunter geschrieben. :D

mnementh 29. Dez 2014

Pfff, der 9te. Der 10te ist viel besser. Er ist der Mann der keine zweiten Chancen gibt...

Spacesson 29. Dez 2014

Bei einer konventionellen Wahl kann man IMMER als Wahlbeobachter einfachzuschauen. Und...

robinx999 29. Dez 2014

Ich glaube nicht das man es sicher hinbekommt, zumindest so lange sicher und geheime Wahl...


Folgen Sie uns
       


Huawei zu Spionagevorwürfen im Golem.de Interview

Der deutsche Pressesprecher von Huawei erklärt den Umgang mit Spionagevorwürfen.

Huawei zu Spionagevorwürfen im Golem.de Interview Video aufrufen
Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
Days Gone angespielt
Zombies, Bikes und die Sache mit der Benzinpumpe

Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
Von Peter Steinlechner


    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet

      •  /