Wahlen sind schwierig…
… aus mehreren Gründen.
Die Anforderungen sind hoch: Wahlen sollen allgemein, frei, gleich und geheim sein, es sollen nur Menschen eine Stimme abgeben könne die auch wahlberechtigt sind und natürlich soll jeder Wahlberechtigte nur einmal abstimmen können. Manipulationssicher soll das Wahlverfahren auch noch sein. Anforderungen die mit maschinengestützten Verfahren nicht zu erfüllen sind. Aber was kann man erreichen wenn man Abstriche macht?
Um alle Anforderungen sicherzustellen muß man den Wähler authentifizieren, für eine geheime Wahl, darf aber die abgegebene Stimme natürlich nicht dem Wähler zuzuorden sein.
Urnenwahl
Sehen wir uns also einmal an, wie das klassische Urnenwahlverfahren – das allgemein als sicher gilt – diesen Spagat schafft:
- Nach dem Betreten des Wahllokals wird der Wähler zuerst authentifiziert: er weist sich mit seiner Wahlbenachrichtigung und/oder Ausweispapieren aus, die Wahlhelfer überprüfen im Wählerverzeichnis ob er wahlberechtigt ist und ob er noch nicht abgestimmt hat.
- Danach bekommt er den Stimmzettel ausgehändigt. Wichtig ist dabei, daß die Stimmzettel ununterscheidbar sind, hätten sie individuelle Merkmale, könnte sich ein Beobachter oder ein Wahlhelfer merken welcher Wähler welchen Stimmzettel bekommen hat und so später feststellen wer wie abgestimmt hat.
- Der Wähler geht in die Wahlkabine, füllt seinen Stimmzettel aus und wirft ihn in die Urne. Wichtig ist dabei, daß sich die Stimmzettel in der Urne „mischen“, also die Reihenfolge des Einwurfs beim Entleeren der Urne nicht mehr rekonstruierbar ist, sonst könnte man aus der Reihenfolge der Stimmmzettel auf den Wähler schließen.
Ein wichtiger Schritt ist dabei der Übergang vom
authentifizierten Wähler zum
geheimen Wähler.
Manipulationsmöglichkeiten gibt es theoretisch viele:
- Unauffällige Markierung der Stimmzettel, z.B. durch in das Papier integrierte RFIDs, Markierung mit UV-Tinte oder unauffälligen micro-QR-Codes.
- Eine Wahlurne mit einem Mechanismus, der die Einwurfreihenfolge erhält.
- Vor der Wahl mit ausgefüllten Stimmzetteln bestückte Wahlurnen.
- Manipulation beim Auszählen.
- …
An dieser Stelle stellt sich uns die Frage: wieso gilt dieses Verfahren trotzdem als sicher, obwohl es so viele Schwachstellen hat? Die Antwort lautet: die Sicherheit liegt garnicht ausschließlich im Verfahren ansich sondern an zwei Punkten:
- Das Verfahren ist so einfach, daß es jeder versteht und nachvollziehen kann. Jeder Beobachter ist in der Lage zumindest die üblichen Angriffe auf das Verfahren zu erkennen, ohne daß er dazu eine spezielle Ausbildung braucht.
- An einer Wahl sind viele Menschen beteiligt. Bei einer Bundestagswahl z. B. sind über 600 000 Wahlhelfer beteiligt, eine flächendeckende Manipulation hat daher ein enormes Risiko aufzufallen, der Versuch eine so große Anzahl Menschen zu bestechen ist teuer und das Risiko, daß doch herauskommt groß.
Die Manipulation der Wahl ist also schwierig, teuer und mit hohem Risiko verbunden.
Ein Online-Wahlverfahren für den Bezirk.
Es gibt drei Fälle zu Unterscheiden:
- Die Onlinewahl findet im Rahmen eines physischem Bezirksparteitag als alternative Wahlmöglichkeit statt, Onlinewähler müssen sich im Vorfeld für die Onlinewahl anmelden. Nur diese Wähler bekommen ein Token und können sich auf dem physischen Bezirksparteitag nicht akkreditieren.
- Die Onlinewahl findet im Rahmen eines physischem Bezirksparteitag als alternative Wahlmöglichkeit statt, Alle Wähler bekommen ein Token und können sich damit entweder auf dem physischen Bezirksparteitag akkreditieren oder online wählen.
- Die Wahl findet rein online statt, es gibt keinen physischen Bezirksparteitag. Alle Wähler bekommen ein Token und können online wählen.
Schritt Eins: Die Token.
In einem ersten Schritt wird die Authentifizierung und anschließende Anonymisierung der Wähler durchgeführt. Im Gegensatz zu häufig geäußerten Vermutungen ist das der einfachste Teil. Dazu werden Token erzeugt (große Zufallszahlen) die z. B. in Form eines QR-Codes auf Zettel gedruckt werden, Adressaufkleber für alle (online-) Wahlberechtigten produziert und Briefumschläge bereitgestellt. Dann wird eine „Party“ veranstaltet auf der die Zettel mit den Token in die Umschläge verpackt werden. Die Umschläge werden dann öffentlich gemischt so daß niemand mehr wissen kann welches Token in welchem Umschlag steckt und danach mit Adressaufklebern versehen. Eine Liste der Token wird (z. B. in einem Umschlag) versiegelt. Anschließend zieht die „Party“ in die nächste Postfiliale und gibt die Briefe auf. So erhält jeder Wahlberechtigte ein Token, daß nur er kennt. Mit diesem Token ist die Teilnahme an der Abstimmung im Onlinesystem möglich.
Durch die große Anzahl Beteiligter und die Öffentlichkeit der „Party“ wird die Sicherheit dieses Schritts genau so garantiert wie bei einer Urnenwahl.
Schritt Zwei: die Wahl.
In einem festgelegten Zeitraum, je nach Fall im Vorfeld eines Bezirksparteitages, zeitgleich mit der Wahl auf dem gestreamten physischem Bezirksparteitages, oder ohne physischen Bezirksparteitag kann auf einem Webportal mit dem Tokens (ein Mal) abgestimmt werden.
An dieser Stelle haben wir das bekannte Wahlcomputerproblem: niemand weiß was die Maschine (Webportal) macht, ob sie die Stimmen tatsächlich richtig zählt oder nur so tut als ob. Deshalb wird nach der Wahl eine Liste der verwendeten Token mit Stimmabgabe und die versiegelte Liste der Token veröffentlicht. So kann von jedem überprüft werden, daß nur Token gezählt wurden die ausgegeben wurden und jeder kann überprüfen ob sein Token auch gezählt wurde. Der Wähler ist selbst verantwortlich sein Token geheim zu halten um sein Wahlgeheimnis zu schützen.
Probleme:
Ein Wähler kann natürlich sein Token verkaufen, ein Kandidat könnte also versuchen sich Token zu verschaffen um die Wahl zu manipulieren. Dieses Problem besteht allerdings bei der Briefwahl bei klassischen Wahlen ebenfalls.
Das Verfahren erreicht also die Eigenschaften eins Urnenwahlverfahren nicht, ist aber in etwa vergleichbar der Briefwahl
Credits.
Dieses Verfahren wurde in seinen Grundzügen auf dem Passauer Stammtisch erarbeitet.