Durch einen Hexenschuss und damit verbundener Rückenmalaise weist mein Körper gerade eine extrem nicht-lineare Viskosität auf und hält mich auch sonst von vielen wichtigen Dingen ab. Ich werde wohl auch noch ein paar Tage brauchen bis ich wieder auf dem Damm bin. Dafür kann ich mit Osirix jetzt wieder schön in frischen MRT-Daten rumzoomen, was auch was hat.

Ich werde mich aber trotzdem morgen (Samstag) nach Potsdam zu Johnny in die Trackback-Sendung schleppen und mein Sprüchlein zur Wahlcomputer-Debatte und Podcasts im Allgemeinen aufsagen. Die Sendung läuft auf Fritz von 18 bis 20 Uhr. Ich bin wohl so ab 19 Uhr dabei.

Die Petition gegen Wahlcomputer hat jetzt 35.000 Unterstützer gefunden ist auf dem besten Wege, die bislang populärste Online-Petition des Bundestags zu werden. Die Zustimmungsquote ist trotz einigem auf und ab recht stabil geblieben, auch wenn in den letzten Tagen die großen Nachrichten gefehlt haben.

Aber daran wird kein Mangel sein. Montag steht die Aussprache über den Widerspruch gegen die Cottbusser Oberbürgermeister-Wahl an, die komplett Stimmzettel-frei mit Wahlcomputern durchgeführt wurde. Angenommen, ein Insider würde jetzt von einer Wahlbetrugs-Intrige hinter den Kulissen berichten: die Politiker hätten keine Chance, sie zu widerlegen, da man nichts nachzählen kann. Und es lässt sich auch niemand finden, der amtlich bezeugen könnte, dass alles mit rechten Dingen zugegangen ist. Wie auch?
Am 22. November sind dann Wahlen in den Niederlanden, einem nahezu zu 95% mit Wahlcomputern ausgestatteten Land. Neben ein paar abtrünnigen Gemeinden ist es vor allem Amsterdam, was noch mit Papier wählt, weil die Initiative Wij vertrouwen stemcomputers niet erfolgreich war und zumindest die Schlimmsten der Systeme ihrer Zulassung entledigt hat. Die Aufregung im Land zum Thema Wahlcomputer war und ist sehr groß, die Zukunft der Maschinen über die Wahl hinaus beileibe nicht gesichert.

In Deutschland wird das Thema noch auf kleiner Flamme gekocht, da zunächst einmal keine großen Wahlen anstehen. Doch trotzdem sollten die Politiker langsam mal aufwachen und zur Kenntnis nehmen, dass es ihre Posten sind, die hier in Gefahr geraten. Wenn nicht mehr der Wähler sondern nur nach Geld und Korruption entscheidet, wer eine Wahl siegreich bestreiten darf, ist es mit dem sicheren Parlamentsposten so eine Sache.

Aber ich übertreibe sicherlich. Ich bin wohl paranoid. Wer würde schon auf die Idee kommen, dass ausgerechnet in Deutschland korrupte Regime ein Interesse an einer geplanten Machtergreifung haben. Ist so was etwa hier schon mal vorkommen?

Stephan Schwab schrieb einen Kommentar zu meinem letzten Blog-Eintrag, auf den ich hier mal etwas ausführlichen eingehen möchte, weil die Fragestellung häufiger auftaucht:

Da fragt man sich nur warum es eigentlich so schwer ist eine vergleichsweise einfache Sache wie eine Stimmabgabe auf einem Computer richtig hinzukriegen. Scheint als würden da nur wirkliche Stümper in diesen Projekten beschäftigt werden. Und niemand will es richtig machen.

Es ist deshalb so schwer, das richtig hinzukriegen, weil es nicht geht.

In dem Moment, wo man seine Stimme einem elektronischen System übergibt, verlässt sie unsere Sicht. Die Stimme wird zu einem unsichtbaren Signalfeld. Niemand kann mehr überprüfen, was mit ihr passiert.

Die einzige Möglichkeit, die Stimme sicher zu zählen, bedeutet, die Stimme von Beginn an kryptographisch eindeutig zu markieren, um sie damit später wieder sichtbar und für alle verifizierbar zu machen. Aber dann ist die Stimme zwangsläufig nicht mehr anonym, da mir ein Zugang eingeräumt werden muss, um den Inhalt meiner Stimme zu überprüfen. Wenn ich die Stimme überprüfen kann, können andere mich zwingen, ihnen diesen Weg ebenfalls zu öffnen, womit ich erpressbar werde. Wenn Druck auf mich ausgeübt werden kann, ist die Wahl nicht mehr frei. Die Anonymität oder die Freiheit bei der Stimmabgabe aufzugeben ist nicht akzeptabel.

Wen man es „richtig machen“ will lässt man die Elektronen und Signalfelder zu Hause und setzt auf das Papierverfahren, das als einziges die Freiheit, die Anonymität und Geheimhaltung der Wahl vollständig sicherstellen kann.

Zwei große Diskussionen stehen noch aus. Die Diskussion über Internet-Voting und die über reine Stimmzettel-Zählsysteme. Internet-Voting ist dead on arrival, da es alle Probleme der Wahlcomputer potenziert.

Stimmzettel-Zählsysteme sind ein anderes Problem und benötigen einen anderen argumentativen Ansatz. Sie sind meiner Auffassung nach aber zumindest bedenklich. Der Digitale Wahlstift hat schon mal mindestens das Problem des Ausspähens, da sich dann ein elektronisches Gerät in der Wahlkabine befindet. Die Anonymität der Stimme ist nicht hundertprozentig sichergestellt.

Ein Gerät, das die Stimmzettel nach dem Einwurf in die Urne zählt (z.B. ein Scanner), bricht zumindest nicht mit der Anonymität. Es kann allerdings unzuverlässig sein und muss von starken manuellen Kontrollzählungen begleitet werden. Ob sich das letztlich wirklich lohnt, steht auf einem anderen Blatt.

Wahlen müssen aber auch einfach bleiben bzw. noch einfacher werden als sie es derzeit sind. Transparenz und Nachvollziehbarkeit ist auch für das Gefühl der Menschen wichtig, damit sie zu der Wahl stehen können und ihre Ergebnisse akzeptieren. Der Einsatz von Computern trägt nicht unbedingt zur Vereinfachung des Wahlsystems bei, weil Computer komplexe Auszählungen einfacher durchführen können und einem Arbeit abnehmen, die man sich vielleicht besser nicht abnehmen lassen sollte. Auch, wenn diese Arbeiten nicht primär kritische Komponenten der Wahl sind.

Schon Überhangmandate basieren auf einem recht komplizierten Auswertungsschema, das eigentlich für niemanden so ohne weiteres nachvollziehbar ist. Diese Komplexität sollte möglichst vermieden werden, auch wenn sie teilweise versucht, den Wählerwillen „besser“ zu fassen.

Die elektronische Wahl ist ein Dilemma. Sie bringt wenig Lösungen und viele Probleme mit sich, die nur wenige durchschauen. Wir brauchen sie nicht, aber sie gerät leicht außer Hand.

Nun nimmt sich auch ars.technica des Themas an und wirft einen Blick auf die Congresswahlen in den USA in der letzten Woche: Electronic voting: the silent catastrophe

Es ist schon interessant zu sehen, welche neuen Begriffe sich die Diskussion um Wahlen eingeführt haben: vote flipping, undervotes oder re-voting. Der Bericht verweist auf zahlreiche Vorfallssammlungen und führt einige herausstechende auf. Darunter dieser Fall aus Florida:

The Miami Herald reports that 18,382 votes either weren’t cast or weren’t counted in the race for House District 13, Katherine Harris’s old seat. What this means is that of all of the voters who went to the polls in that district, signed in, and cast ballots, 18,382 of them either didn’t vote in the House race or didn’t have their votes recorded. So one out of every seven ballots cast in that race did not register a vote for the House seat; this is an extremely high number of undervotes.

Ein Siebtel der Stimmen im Nirvana. Und jetzt?

„The Republican in this race, Vernon Buchanan, has declared victory on the basis of a 368-vote margin and stated that it’s ‚time to move on.‘ Yeah, I bet he’d like to move on and forget about the 18,000+ missing votes, but his opponent, Christine Jennings, is going to fight it out. Right now, the official plan is to conduct a ‚recount,‘ but of course a legitimate recount is impossible to conduct for touchscreen machines with no paper trail, where a vote was never recorded in the first place. So the recount idea is going nowhere. There’s certain to be litigation here, but there’s just no way to recover the intent of the voters with these machines.

Genau. Nachzählen ist bei Wahlcomputern ohne Zettelbeleg totally pointless. Aber kiek an: vor kurzem gab es dort ein Referendum und dort wurden die Abschaffung der Maschinen beschlossen:

Supervisor of Elections Kathy Dent has now done a 180 and will comply with voters‘ demands to scrap the electronic machines entirely and return to paper ballots. Dent had previously accused proponents of a voter-verified paper audit trail (VVPAT) of trying to obstruct the vote and „disenfranchise“ voters. But in light of a newly passed referendum demanding a return to paper ballots (at least those referendum votes were counted), and in light of the embarrassingly large number of undervotes in Sarasota County, Dent has thankfully changed her tune.

Wenn es schon in Florida möglich ist, wieder zur Papierwahl zurückzukehren, dann sollte es uns doch nicht schwer fallen, den derzeitigen Wahlcomputeranteil von 5% auf 0% zu senken.

Update: Heise hat es jetzt auch: Wahlcomputer in Florida unterschlagen jede achte Stimme

Die unsäglichen Wolfgangs vom Computer Club 2 legen in ihrem heutigen Podcast Nr. 17 noch mal zum Thema Wahlcomputer nach und geben sich weiterhin uneinsichtig und inkompetent. Dazu gibt es ein Interview mit dem Direktor der Metrologischen Abteilung (Softwareprüfstelle) der Physikalisch-Technischen Bundesanstalt (PTB), die für die Prüfung der Wahlcomputer in Deutschland zuständig ist. Der Podcast liefert derzeit fälschlicherweise die Folge 16 als Nr. 17 aus. Hier ist die Ausgabe Nr. 17 als MP3.

Ich werde zwar schon von vielen Seiten gefragt, warum ich den beiden Herren überhaupt soviel Aufmerksamkeit schenke und der Einwand ist auch sicherlich berechtigt. Einerseits sind sie ein schönes Beispiel für die leichtfertige, technikverliebte Sicht der Dinge, die so viele davon abhält, sich mit den wirklichen Fakten auseinanderzusetzen und die leider auch die Vorlage für diverse Mythen liefert. Andererseits kommen hier jeweils zwei Verantwortliche zu Wort. Deswegen muss das seziert werden. Die beiden Wolfgangs haben ja angekündigt, sich glücklicherweise jetzt nicht mehr zu dem Thema äußern zu wollen, was schon mal ganz beruhigend ist.

Kommen wir zur Sendung. Hier findet sich ein Transkript der Sendung Nr. 17 (und hier ein Transkript der vorangegangenen Sendung, zu der ich mich auch noch mal explizit äußern wollte, aber noch nicht dazu kam).

Tolles Statement von dem einen Wolfgang gleich zu Beginn:

„… ich bin davon überzeugt, dass sie (die Wahlcomputer) so sicher sind, wie sie sicher sein können“.

Ja. Was anderes haben wir auch nie behauptet: allerdings können die Kisten prinzipbedingt (siehe auch Von-Neumann-Architektur) eben nicht so „sicher“ sein wie man es von einem Stimmenzähler erwarten muss, denn sie bieten eben eine nahezu unendliche Anzahl von Stellen an denen man in den Datenfluss eingreifen kann. Man soll mal nicht glauben, dass die paar Dinge, die bislang konkret demonstriert wurden, das Ende der Fahnenstange sind: neben den EPROMs sind die CPU, das RAM, die Datenwege und vor allem natürlich das Stimmenzählmodul der Geräte (als hochgradig mobile und leicht zu tauschende Einheit) allesamt perfekte Angriffsziele. Gut zu verstecken und mit vergleichsweise geringem Aufwand zu kompromittieren. Zu prüfen, ob eine bestimmte geforderte Funktion geliefert wird, reicht nicht aus: es kann auch beliebig viele andere Funktionen geben, die sich zum Zeitpunkt der Messung nicht offenbaren.

Ganz großes Kino ist dann dieses Statement:

Meinen Wahlcomputer, den hat noch keiner manipuliert und wenn er das versuchen würde, ich würde das sofort merken, wenn da einer da im Raum herumsitzen würde mit Antennen ausgebaut und würde versuchen abzuhören auch den würden wir stellen und würden den rausschmeissen.

Mein Kopf weiß gar nicht wo er zuerst anfangen soll zu schmerzen. Woher weiß der Herr Wolfgang eigentlich, dass bei „seinem Wahlcomputer“ keine Manipulation vorlag und vor allem: wie würde er es „sofort merken“, wenn dem so wäre? Dazu natürlich kein Wort. Und dann beißt er sich – wie schon in der letzten Sendung – an seine simple Sicht eines Angreifers im Wahllokal fest: der sitzt da natürlich rum als lebender Weihnachtsbaum mit einer 2-Meter-Fernsehantenne in der Hand und dazu ein Schild auf der Brust: Angreifer. Tolles Szenario. Um es noch mal deutlich zu machen: die Hauptgefahr geht von Innentätern aus. Das Know-How, was man benötigt – das haben wir gezeigt – kann eine kleine Gruppe begabter und ggf. gut bezahlter Techniker an einem Wochenende herausbilden. Der Wahlcomputer hat eine geringere Komplexität als ein Atari ST – und damit habe ich mir schon als Kind in den 80er Jahren die Zeit vertrieben.

Das Abhören kompromittierender Strahlung ist sicherlich ein Problem, aber im Prinzip nur ein Nebenschauplatz, da er „lediglich“ die Freiheit der Wahl einschränkt und durch Messbarkeit der Stimmen die Erpressbarkeit der Wähler vergrößert. Viel gefährlicher ist der Angreifer, der nicht im Wahllokal sitzt, weil er seine Arbeit schon vorher erledigt hat: ein getauschtes Stimmenmodul mit modifizierter Elektronik fällt niemandem auf. Selbe ID, selbe Optik, selbes Verhalten. Aber wie es zählt, weiß niemand. Und natürlich passt da zur Not auch noch eine Antenne mit rein, da sich das Modul auch außerhalb der Schirmung befindet. Und ja, liebe Wolfgangs, die Strahlung kann man dann auch noch auf der anderen Straßenseite problemlos und unbemerkt einfangen. Der auffällige Herr mit der Antenne ist nur der lokale Dorftrottel, der den falschen Podcast gehört hat.

Der zweite Wolfgang legt dann noch einen drauf:

Ja und außerdem was da als Hack gelaufen ist, das ist so eine Geschichte, da vergleicht man Äpfel mit Birnen. Das sind andere Versionen gewesen, anderes Betriebssystem, andere Software und da kann man nicht sagen, was in Holland geht, das geht bei uns auch.

Wie falsch man liegen kann. Der Unterschied zwischen den holländischen und den deutschen NEDAP-Wahlcomputern ist eher der Art Boskoop vs. Golden Delicious. Technisch sind die Geräte weitgehend identisch, wie Andreas schon vor ein paar Wochen als Antwort auf die Pressemitteilung der PTB dokumentiert hat. Ich möchte daher ganz klar festhalten: Was in Holland geht, das geht bei uns auch.

Dann kommt der Herr Richter dran, der sich mit allerlei Wischiwaschi-Formulierungen durchs Interview nuschelt ohne viel Substanzielles von sich zu geben. Es hätte ja noch keine „Rückkopplungen“ gegeben (was auch immer das sein mag) und der Hack wäre „ohne Vorwarnung“ gekommen. Zu den Unterschieden mit den Holländischen Modellen weiß er nichts, die holländischen Prüfberichte wären ja auf holländisch verfasst und die könne er nicht lesen. Mal ein Übersetzungsbüro zu beauftragen kommt ihm wohl nicht in den Sinn. Und überhaupt, er wüsste ja nicht mal die Baureihe. Komisch, die steht doch dick und fett im Bericht von Wij vertrouwen stemcomputers niet: „Nedap ES3B voting
computers“ steht da. Ist das so schwer zu nachzuschlagen oder gilt auf einmal nicht mehr die Aussage, dass alle Geräte einer Bauart vom Hersteller identisch anzufertigen sind, was Herr Richter im Podcast später ja auch noch mal betont?

Nachdem er dann mindestens fünfhundert mal wiederholt hat, was er alles nicht weiß und nicht hinterfragt hat gibt er dann wieder das Märchen des ach so sicheren Gesamtkonzepts zum besten, einschließlich der tollen „Checks und Überprüfungen, die in den Wahlämtern der Städte und Gemeinden, die von den Wahlvorständen vor Beginn der Wahl durchgeführt werden müssen“. Die haben wir in Cottbus live und in Farbe mit ansehen dürfen: erst stehen die Geräte unbewacht herum und dann kommen die Wahlhelfer und bauen das Teil auf und schauen dann ins Display ob da „0 Stimmen“ und die richtige Wahllokal-Nummer steht und ab geht’s. Von Checksummen hat da keiner eine Ahnung – aber es würde auch nicht viel helfen, da eine manipulierte Maschine eh anzeigen würde, was sie will.

Am Ende räumt der PTB-Experte dann noch ein, dass eine solche technische Überprüfung „während der Wahl … nicht möglich“ ist und fügt an: „Wir sind nüchterne Techniker…“. Dem können Wolfgang und Wolfgang dann nur beipflichten. Hier kann ich nur sagen: überlasst Eure Demokratie nüchternen Technikern und ihr habt ein Problem. Der technische Ansatz geht immer davon aus, dass es für alles eine Lösung gibt und ignoriert geflissentlich die systemimmanenten Probleme.

Der Podcast, wie der vorhergehende, hinterfragt nichts, zeigt, dass man von den Argumenten der Gegner nichts verstanden hat und zeigt schlechten Stil: die beiden Wolfgangs scheinen nicht viel von Kritik zu halten. Schon am Anfang kommentieren sie das Feedback zur vorgehenden Sendung mit: „… es waren wohl auch einige dabei, die ziemlich unseriös reagiert haben, aber ich habe einen schnellen Mausfinger das geht klick und weg, sowas lese ich mir wirklich nicht durch“. Na super. Augen zu und durch. So kann man es auch machen. Ich hoffe allerdings, dass die Herren trotzdem noch Feedback erhalten, damit sie vielleicht endlich mal verstehen, worum es hier eigentlich geht.

Bei Herrn Richter kann ich leider auch nur noch den Kopf schütteln. Warum er es sich tatsächlich leistet in der Öffentlichkeit zu behaupten, den CCC konsultiert zu haben und nicht informiert worden zu sein, andererseits aber unsere Gesprächsangebote schlicht ignoriert hat, ist für mich unverständlich. Seine Zweifel der Übertragbarkeit der Ergebnisse von den holländischen Systemen auf die in Deutschland zugelassenen könnte man auch innerhalb eines Wochenendes klären: schickt uns so ein Modell und wir werden mit Freuden die Arbeit erledigen, die die PTB seit 1999 schuldig bleibt: eine klare Analyse der grundsätzlichen und konkreten Schwachstellen von Wahlcomputern, die für unsere demokratisches System eine große Gefahr darstellen. Face it: Manipulationen sind machbar, die Vorgehensweisen dazu nahezu unendlich. Und wenn es dann passiert, dann seid IHR schuld.

Das ist mal ein Geburtstagsgeschenk erster Klasse: ab dem 25. November 2006 wird der Ladenschluss in Berlin für Montage bis Samstage vollständig aufgehoben, immerhin sechs Sonntage im Jahr dürfen pro Laden dazukommen.

Dass ich das noch erleben darf.

Ich bin mal wieder dazu gekommen, ein neues Chaosradio Express rauszuhauen: CRE040 Digitale Telefonnetze.

Die Gemeinde Hemer möchte auch Wahlcomputer kaufen. Die Presse beleuchtet das bereits im Vorfeld kritisch und weist darauf hin, dass die aktuelle Diskussion noch „kein Thema“ sei. Lange wird es wohl nicht mehr dauern.

Update: Eine große Koalition findet das toll und FDP und Unabhängige sind dagegen: Sicher, schnell und praktisch. Ein Titel wie aus dem Werbekatalog.

Bruce Schneier, anerkannter Krypto- und Sicherheitsexperte, äußert sich in seinem stets hochinformativen Blog zu den Erfahrungen mit Wahlcomputern bei der US-Wahl letzte Woche: More on electronic voting machines.

Ich bin nicht seiner Meinung, was die Akzeptanz von optischen Scannersystemen oder einem reinen Schneckenpost-basierten Wahlverfahren betrifft, aber er beschreibt die Kernrisiken einer Computer-basierten Wahl schon richtig.