Weshalb E-Voting keine gute Idee ist, und vermutlich auch nie eine sein wird
Momentan wird an verschiedener Stelle ja wieder diskutiert, ob man nicht einen Weg finden kann, sinnvoll E-Voting zu machen. Ich möchte mal kurz Stellung nehmen, weshalb das wohl keine gute Idee ist.
Manche glauben ja, E-Voting sei deshalb schwierig, weil es manipulierbar ist. Das ist jedoch gerade nicht das Hauptproblem bei E-Voting. Es mag nun überraschen, dass ausgerechnet jemand vom CCC drauf hinweist, aber sei's drum ;-) Auch Zettelzählen ist fehlerbehaftet und damit manipulierbar. Die beiden Hauptprobleme sind:
1) Legitimität, Sicherheit und Vertrauen
Ein ganz wesentliches Element der Demokratie ist es, dass jeder Stimmbürger das Verfahren vollständig versteht und durchschaut. Dadurch wird das notwendige Vertrauen in die Legitimität der Entscheidungen erzeugt.
Sprich: sogar wenn E-Voting nicht manipulierbar wäre, dann wäre es immer noch ein unbrauchbares Verfahren, denn niemand, auch nicht die Experten verstehen vollständig, was beim E-Voting passiert. Der letzte Satz mag anstossen, aber ich möchte ihn gerne begründen. Man nenne mir den Experten, der vollständig folgendes versteht:
wie genau heutige konkrete Computerhardware in jeder ihrer einzelnen Leitungen funktioniert, darüber hinaus:
wie genau der Microcode der CPU in all seinen Details funktioniert
wie genau der verwendete Betriebssystem-Kernel funktioniert, in all seinen Codezeilen
wie genau die verwendeten Bibliotheken und Frameworks in jeder einzelner ihrer Code-Zeilen funktionieren
wie genau die E-Voting-Software aufgebaut ist, und was jedes einzelne Codestück davon im Einzelnen macht
Ich weise also darauf hin, dass wir ganz genau wissen, wie man Namen auf Zettel druckt, wie man einen davon ankreuzt, und wie man Zettel in Boxen sammelt, sowie wie man sie entnimmt und die Kreuze zählt. Und das wissen nicht nur die Experten, sondern es wissen alle Stimmbürger (wenn sie wollen) ganz genau, bis hin zum letzten Detail. Denn alles davon ist nicht nur öffentlich dokumentiert, sondern es ist so einfach, dass tatsächlich jeder in der Lage ist, das Verfahren vollständig zu durchschauen. Und da kommt die Legitimität des Wahlergebnisses mit her.
Aber sogar wenn dieses Problem einst gelöst wäre, so wären E-Voting-Verfahren immer noch untauglich, denn sie besitzen eine weitere, sie in der Praxis vollständig disqualifizierende Eigenschaft:
2) Die Skalierbarkeit der Angriffe auf E-Voting-Systeme
Es erfordert linear mehr Aufwand, mehrere Stimmzettel zu fälschen, als es erfordert, einen einzelnen Stimmzettel zu fälschen. Wer die Möglichkeit möchte, einen wahlentscheidenden Anteil der Stimmzettel zu fälschen, benötigt Zugang und muss den Aufwand aufwenden, Zigtausende oder sogar Millionen von Stimmzetteln zu verfälschen (je nach Grösse der beteiligten Wählerschaft und der Knappheit der Wahl), und zwar ohne dass er dabei entdeckt wird. Das Entdeckungsrisiko steigt jedoch nicht linear mit der Anzahl der beteiligten Personen an einer Verschwörung. Es ist die Gaußsche Summenformel, mit der Kommunikation zwischen Personen quadratisch skaliert.
Wir haben also linearen Aufwand, lineare Anzahl der notwendigen Angreifer, und überproportionales Risiko, dass man dem falschen vertraut, und die Sache auffliegt. Da bleiben immer noch Sonderfälle übrig (nicht so viele Stimmberechtigte, Wahl sowieso knapp, so dass eine kleine Anzahl von Fälschungen genügt, um das Ergebnis zu bestimmen, etc.), aber das Gros der herkömmlich durchgeführten Wahlen ist im Ergebnis vertrauenswürdig, oder bekannt verfälscht.
Schaut man dagegen E-Voting an, so besteht das Problem, dass
Computer in Serie gefertigt werden
Microcode in Serie gefertigt da kopiert wird
Software aller Art in Serie gefertigt da kopiert wird
Von all diesen Stellen im Produktionsprozess genügt es also, eine einzige Stelle für eine Hintertür auszuwählen, und eine solche einmalig hinzuzufügen, um eine jede Wahl entscheidend manipulieren zu können, die ab da mit besagtem Equipment durchgeführt wird. Dagegen sind keinerlei Mittel bekannt, mit denen man Zettel, Boxen und Stifte gleichermassen einmalig manipulieren könnte, um so dann über das Kopieren derselben (auch diese werden ja in Serie gefertigt) ab da die Macht über alle zukünftig damit implementierten Wahlergebnisse zu erreichen.
Aber sogar wenn darüber hinaus die Produktionsprozesse von Computern und Software allesamt vollständig vertrauenswürdig wären, so würden die Angriffe auf Exploits in E-Voting-Systemen immer noch skalieren, denn man kann die Angriffe allesamt vollautomatisieren, und mit der Automatisierung den Aufwand für eine einzelne Wahlfälschung nicht nur linear mit der Anzahl der Fälschungen fallen lassen, sondern über den Markt für Angriffstools auch noch jedermann, der Wahlen angreifen möchte, kostengünstige Möglichkeiten einräumen, skalierend Wahlergebnisse zu fälschen. Man senkt damit nicht nur die Kosten pro Angriff ins Bodenlose, sondern man optimiert gleichzeitig die Menge der Personen, die Angriffe durchführen können, ins Maximum, indem man die Angriffe so zugänglich wie möglich gestaltet.
Willkommen in der Sicherheits-Katastrophe, die wir “IT-Sicherheit” nennen ;-)
Ich schreibe das mal derart ausführlich, weil ich gewohnt bin, dass vielen Menschen überhaupt nicht klar ist, wie unsicher und manipulierbar immer alles ist, was mittels Computern ausgeführt wird – und zwar zwingend – während dessen kaum jemand klar zu sein scheint, wie geradezu unglaublich sicher Wahlen mit Papier, Stift und Wahlurne dagegen abschneiden.
Das alles, wie gesagt, wäre aber nur dann relevant, falls es jemandem gelingen sollte, die Stimmbürger zu überzeugen, dass sie auch einem Wahlergebnis vertrauen können, dessen Zusammenkommen sie streng genommen überhaupt nicht mehr verstehen.
Tatsächlich steht die Legitimität der Demokratie damit jedoch zur Disposition, und somit auch ihre befriedende Wirkung – eine Wirkung, die einen ganz wesentlichen Teil des demokratischen Systems ausmacht.
publiziert Sun, 21 Aug 2016 18:50:46 +0200 #demokratie #exploits #wahlmaschinen