Computerbasierte Wahlen – und warum sie nicht funktionieren können

Ein Vorwort

Vergangenen Sonntag begann die „#GreenPrimary“, die europaweite Online-Vorwahl zur Bestimmung europäischer Spitzenkandidat*innen für die Europawahl 2014.

Die Bundesdelegiertenkonferenz hat am 20.10.2013 in Berlin entschieden, dass Bündnis 90/Die Grünen sich an der Durchführung dieser Online-Primary beteiligt. Diese Entscheidung ist hinzunehmen, und ich denke alle, die hinter der Kritik an computergestützten Wahlverfahren stehen, wünschen, dass die Umsetzung erfolgreich, sicher und ohne Zwischenfälle erfolgt.

Dennoch halten wir an unserer Grundsatzkritik fest. Denn wir teilen weiterhin die Bedenken, die auch die österreichischen Grünen veranlasst haben, aus dem Primary-Projekt auszusteigen. Wir wollen für unsere Argumente sensibilisieren, in der Hoffnung in Zukunft in der Abwägung zu anderen Ergebnissen zu gelangen. Daher hier eine Einführung zum Grundsatzproblem computerbasierter Wahlen. Zu den konkreten Umständen dieser Primary hat Heiko Wundram in seinem Blog noch ein paar weitergehende Kritikpunkte formuliert

Wahlen

Wahlen sind das Fundament unserer Demokratie. Wahlen und Abstimmungen stiften Akzeptanz und Vertrauen. Sie sind der grundlegende Prozess, aus dem die Legitimation jedes politischen Handelns, aus dem die Rechtfertigung für die Ausübung aller staatlichen Gewalt hervorgeht. Sie sind die Keimzelle der Demokratie.

Grundsätze demokratischer Wahlen

Die Bedeutung von Wahlen für die Demokratie wird offensichtlich durch den Aufwand, den die Länder der OSZE betreiben, Beobachter zu Wahlen in vielen Ländern zu schicken, um die Einhaltung demokratischer Grundsätze bei diesen Wahlen zu überwachen. Diese Grundsätze, die sich über die Jahrhunderte an demokratischer Erfahrung entwickelt haben, besagen, dass ein Wahlen

  • allgemein
  • unmittelbar
  • frei
  • gleich
  • geheim
  • öffentlich

zu sein haben. So sind sie zumindest für den Fall der Wahlen zum deutschen Bundestag formuliert, jedoch allgemein genug, um jede Personenwahl Anwendung zu finden.

Diese Grundsätze sind nicht willkürlich gewählt. Sie alle stehen für einen Grundwert, der gewahrt werden muss und somit die Wahl als demokratisch legitimiert. Zu ihnen finden sich in der Wikipedia die folgenden Aussagen:

  • Allgemeinheit der Wahl

    Das Wahlrecht ist allgemein, wenn es grundsätzlich allen Staatsbürgern zusteht, die das Wahlalter erreicht haben, ohne dass die Wahlberechtigung von Voraussetzungen abhängig gemacht wird, die nicht jeder Bürger im wahlfähigen Alter erfüllen kann (z. B. Geschlecht, bestimmte Bevölkerungs- oder Berufsgruppen).[…]

  • Unmittelbarkeit der Wahl

    Es ist unmittelbar, wenn die Wähler höchstpersönlich abstimmen […].

  • Freiheit der Wahl

    […] Es muss die Möglichkeit geben, frei aus mehreren Kandidaten oder Parteien auszuwählen […].

  • Gleichheit der Wahl

    Die Gleichheit des Wahlrechts bedeutet, dass jeder gültigen Stimme dasselbe Stimmgewicht zukommt […].

  • Wahlgeheimnis

    Geheim sind die Wahlen, wenn der Wähler seinen Stimmzettel unbeobachtet und unbeeinflusst in einer Wahlkabine oder (bei einer Briefwahl) an einem anderen Ort selbst ausfüllen und gefaltet in die Wahlurne werfen muss. Es darf nicht feststellbar sein, wie der einzelne Bürger gewählt hat. Das Falten des Wahlzettels hat, von der Briefwahl abgesehen, das Einstecken in einen Umschlag abgelöst, um das Auszählen zu vereinfachen (Änderung des Bundeswahlgesetzes). Die geheime Wahl soll den Wähler nicht bloß vor unerwünschter Einflussnahme auf seine Willensbildung im Zuge des Wahlvorgangs bewahren, sie soll ihm auch die Sorge und Furcht nehmen, dass er wegen seiner Stimmabgabe in bestimmter Richtung Vorwürfen und Nachteilen welcher Art immer ausgesetzt sei.

  • Transparenz oder Öffentlichkeit der Wahl

    […]. Sie bedeutet, dass der Weg der Wählerstimmen von den eingeworfenen Stimmzetteln über die Auszählung bis zur Bildung von Gesamtsummen und der Berechnung einer eventuellen Sitzzuteilung vollständig nachvollziehbar ist. Das heißt auch, dass das Beobachten etwa des Weges der Wahlurne vollständig möglich ist (sodass ein Befüllen der Wahlurne vor Beginn der Wahl und ein Austauschen der Wahlurne gegen eine andere ausgeschlossen werden können) und dass sich jede Summe von Wählerstimmen für eine Partei (oder einen Kandidaten) als Summe aller Untersummen ergibt, also auf der Kette der Berechnungen vom Wahllokal bis zur eventuellen Sitzzuteilung jede Teilberechnung nachvollziehbar ist, diese Kette also keine Lücken aufweist. Wahlfälschung wird gerne mittels eines fehlenden Glieds in einer solchen Kette betrieben.

    In Deutschland wird diese Transparenz durch die Öffentlichkeit der Wahlhandlung hergestellt, die jedermann die Beobachtung der Wahl ermöglicht (§ 10 und § 31 BWahlG). In seinem Urteil zu Wahlcomputern wurde der bisher ungeschriebene Grundsatz der Öffentlichkeit der Wahl vom Bundesverfassungsgericht bestätigt.

Gerade auf den letzten Grundsatz, der der Öffentlichkeit der Wahl, sollte hier das Augenmerk gerichtet sein. Denn dieser Grundsatz beinhaltet ein ganz besonderes Feature unseres Wahlsystems: Es erfordert kein Vertrauen in die Institution an sich, sondern ist aus sich heraus überprüfbar. Bei umfassender und vollständiger Beobachtung kann signifikante Manipulation ausgeschlossen werden, ohne das einer der anderen Grundsätze beeinträchtigt wird.

(Wahl-)Computer

Da Wahlen ein sehr formaler Akt sind und sich der Prozess auch sehr formal beschreiben lässt, liegt die Motivation sehr nahe, den Vorgang der Ergebnisermittlung einer Wahl weitestgehend automatisieren zu wollen. Auch wenn die Idee schon recht alt ist und es viele mechanische Inkarnationen von Wahlmaschinen gibt, wurde dieser Gedanke umso populärer, je allgegenwärtiger die Verbreitung von Computern wurde.

In einem Wahlcomputer existieren ein Speicher und eine CPU, ein Algorithmus, der die CPU steuert und nach dessen Regeln Informationen im Speicher verändert werden, also ein Programm, das wie alle anderen Informationen selbst im Speicher hinterlegt wird. Über Eingabe- und Ausgabe-Kanäle werden Informationen erfasst und digitalisiert, oder eben außerhalb der Maschine angezeigt.

Eine abgegebene Stimme wird also erfasst, über einen Bus – oder ein ganzes Computernetzwerk – übertragen, nach den Regeln des Algorithmus in der CPU verarbeitet, berechnet und im Speicher hinterlegt, so lange, bis sie irgendwann als Teil eines Ergebnisses ausgegeben wird.

Dabei funktionieren alle Wahlcomputer auf dieser Modell-Ebene immer gleich und es ist völlig unmaßgeblich, ob damit ein „Einzelplatz-Modell“ wie der bis 2005 in Deutschland zum Einsatz gekommene Nedap-Wahlcomputer abgebildet wird, oder eine Online-Wahl, bei der alle im Internet beteiligten Rechner zum Modell gehören. Und nebenbei ist diese Beschreibung nichts anderes, als die eines jeden „General Purpose“ Computers.

Der Algorithmus zur Stimmauswertung und jede weitere Software im Computer liegen als Maschinencode vor. Dieser Maschinencode ist für Menschen quasi unlesbar und seine Funktionsweise nicht nachvollziehbar. Es ist mathematisch schwierig zu beweisen, was dieser Code zweifelsfrei tut, nahezu unmöglich ist es, mathematisch zu beweisen, dass Code darüber hinaus keine weiteren Funktionen hat.

Damit wird ein Wahlcomputer zur sogenannten „Black Box“. Zu einer Kiste, deren Inneres geheim ist und deren Funktionsweise nicht überprüft werden kann. Eine Maschine, deren Mechanismen zu komplex sind, um selbst von Experten verstanden zu werden und deren Programm somit verändert werden kann, ohne dass dies zwangsläufig bemerkt werden kann. Ein Wahlcomputer ist mit dem einfachen Mechanismus einer Wahlurne nicht vergleichbar.

Das Wahlcomputer-Dilemma

Um also die Gleichheit der Wahl, also dass alle Stimmen korrekt gezählt wurden, garantieren zu können, bleibt nur die Möglichkeit, mit der Stimme eine Zuordnung zuR Wähler*in zu speichern, damit diese*r im Anschluss die korrekte Wertung ihre*r Stimme verifizieren kann. Hierdurch ist der Grundsatz der geheimen Wahl nicht mehr garantierbar – oder umgekehrt, die korrekte Stimmauswertung. Diese Unvereinbarkeit des Wahlgeheimnisses und der Überprüfbarkeit der Stimme wird gelegentlich auch als Wahlcomputer-Dilemma bezeichnet und gilt für jede Form von elektronischer Abstimmung, bei der die Information der abgegebenen Stimme ohne physische Repräsentanz ist.

Verbunden mit der allgemein bekannten Angreifbarkeit von Computersystemen entsteht ein umfangreiches Potential an Angriffsmöglichkeiten auf eine elektronisch durchgeführte Wahl.

Es geht nicht um Angreifbarkeit!

Nun dreht sich bei der Debatte um computergestützte Wahlen die Diskussion meist um die Angreifbarkeit des zum Einsatz kommenden Computersystems. Und es ist nicht falsch, dass eine Vielzahl von Angriffsmöglichkeiten dabei genannt wird. Letztlich wird bei der Sicherheitsanalyse ein entscheidender Denkfehler gemacht, der die ganze Abwägung von Sicherheitsmaßnahmen obsolet macht. In der Sicherheitsforschung geht es immer darum, den Angriff auf ein schützenswertes Gut von außen oder auch innen zu verhindern und so Schaden vom Besitzer dieses Gutes abzuwenden. In einer Organisation werden also beispielsweise Kundendaten oder kritische Systeme gegen die Angriffe von Mitarbeiter*innen oder von Dritten geschützt.

Bei einer Wahl ist dieser Ansatz völlig unzureichend. Und hier kommt die Öffentlichkeit der Wahl ins Spiel. Ein System, das eine Wahl durchführt, muss nicht im Sinne der Veranstalter*innen der Wahl sicher sein. Ganz im Gegenteil, es muss sicher vor potentiellen Angriffen durch die Veranstalter*innen selbst sein! Ein Computersystem, das, wie oben dargelegt, jedoch höchst komplex ist, steht immer unter der Kontrolle der Veranstalter*innen.

Und allein deshalb ist es völlig egal, dass es sich bei der Grünen Primary um eine Online-Wahl handelt, die im Vergleich zum Einsatz eines „Offline-Wahlcomputers“ noch leichter angegriffen werden kann. Die Überprüfbarkeit eines Wahlergebnisses ist entscheidend für seine Legitimation. Es ist ein Minderheitenrecht, das jeder Person zustehen muss, die sich selbst an der Wahl beteiligt hat. Denn eine Wahl muss der Anforderung genügen, den Veranstalter*innen selbst nicht vertrauen zu müssen. Nur so ist das System aus sich heraus legitimiert.

Fazit

Überprüfbarkeit von Wahlen sind entscheidend für unsere Demokratie. Nur Wahlen, bei denen der Prozess von der Stimmabgabe bis zur Ermittlung des Ergebnisses transparent und verständlich für jeden durchschnittlichen Menschen ist, genügen den Standards, die wir an Wahlen stellen sollten. Computergestützte Wahlen können niemals gleichzeitig die Verifizierbarkeit des Ergebnisses und das Wahlgeheimnis garantieren. Aus diesem Grund ist jede Form eines computerbasierten Verfahrens für die Wahl von Personen abzulehnen.

Ich kann an dieser Stelle niemandem den Vorwurf machen, sich an der Online-Primary zu beteiligen und von seinem Wahlrecht dort Gebrauch zu machen. Ich begrüße auch jede Maßnahme, die ergriffen wird, um das dortige Verfahren möglichst sicher gegen Angriffe und Manipulationen zu machen und ich begrüße auch die Ernsthaftigkeit, mit der Kritik von technischer Seite am Verfahren behandelt wird. Ich selbst werde mich aber wegen meiner fundamentalen Zweifel an computerbasierten Wahlen nicht beteiligen.

Ich hoffe, dass die europäischen Grünen diese Online-Wahl wirklich als das betrachten werden, als das sie zuletzt benannt wurde: als Experiment. Und ich hoffe außerdem, dass die Erkenntnis der Einschränkung demokratischer Grundprinzipien und der hier angeführten Erklärungen dazu beitragen, in Zukunft von computerbasierten Wahlen abzusehen.