- I-Voting
-
Als I-Voting, Internetwahl oder Remote E-Voting bezeichnet man die elektronische Form einer Wahl oder Volksabstimmung über das Internet. Es handelt sich um ein Element der E-Democracy. Zu unterscheiden ist das hier beschriebene I-Voting von der Stimmabgabe mittels eines im Wahllokal befindlichen Wahlcomputers (Electronic voting).
Die Herausforderungen dabei sind die Wahrung des Wahlgeheimnisses bei gleichzeitiger Nachvollziehbarkeit und Unverfälschbarkeit der Wahl. Die meisten I-Voting Projekte zielen derzeit darauf ab, den im Ausland wohnenden Wahlberechtigten eine einfache Wahlmöglichkeit zu bieten.
Inhaltsverzeichnis
Internetwahlsysteme und -initiativen
Frühe Systeme
Frühe I-Voting-Systeme aus den 90er Jahren sind "Sensus" von Lorrie Faith Cranor, "E-Vox" von Mark Herschberg.
Staatliche Wahlen
Deutschland
Seit dem Jahr 2001 verfolgt die deutsche Bundesregierung das Ziel, stufenweise internetbasierte Volksvertreterwahlen einzuführen. Dazu wurde bereits im Oktober 2000 eine Arbeitsgruppe im Bundesinnenministerium eingerichtet. Bis zur ursprünglich im Jahr 2006 vorgesehenen Bundestagswahl sollten zunächst die Wahllokale untereinander vernetzt werden.
Zentraler Stützpfeiler der Bemühungen der Bundesregierung ist dabei die "Forschungsgruppe Internetwahlen" [1]. Mit dem entwickelten System "i-vote", welches scheinbar ein blindes Beglaubigungsverfahren einsetzt [2], wurden bereits u. a. Wahlen zum Studierendenparlament an der Universität Osnabrück (2001), im Landesbetrieb für Datenverarbeitung und Statistik Brandenburg (2002), bei der Telekom Tochter T-Systems CSM (2002), Städte- und Gemeindebund Brandenburg (04/2004), Vorstandswahlen des Weimarer Kreises (2005) sowie in modifizierter Form in der Gemeinde Esslingen (2001) durchgeführt. Zuletzt engagierte sich die Forschungsgruppe Internetwahlen beim Forschungsprojekt W.I.E.N. (Wählen in elektronischen Netzen). Das Forschungsprojekt W.I.E.N. liegt seit Beginn des Jahres 2005 in der Alleinverantwortung der T-Systems International GmbH. Dort wurde mit einer neu konzipierten Wahlsoftware im September 2005 eine rechtsgültige Betriebsratswahl durchgeführt.
Schweiz
Die Schweiz verfügt seit 2003 über eine Rechtsgrundlage für "örtlich, zeitlich und sachlich begrenzte Versuche zur elektronischen Stimmabgabe" (Art. 8a des Bundesgesetzes über die politischen Rechte). Am 26. September 2004 wurde der so genannte Vote électronique erstmals im Rahmen einer eidgenössischen Abstimmung getestet. Der Pilotversuch wurde in den Genfer Gemeinden Anières, Cologny, Carouge und Meyrin durchgeführt und verlief völlig problemlos. Insgesamt gaben 21.8% der Stimmberechtigten dieser Gemeinden ihre Stimme per Internet ab. Bis Ende 2005 wurden insgesamt fünf Pilotversuche mit Vote électronique im Rahmen eidgenössischer Abstimmungen durchgeführt. Zahlreiche weitere Versuche fanden auf kommunaler und kantonaler Ebene statt. Alle Pilotversuche verliefen problemlos und völlig pannenfrei. Nach Ansicht des schweizerischen Bundesrates sind diese Versuche der erste Schritt auf dem langen Weg hin zu einem Vote électronique
Am 31. Mai 2006 hat der Bundesrat den "Bericht über die Pilotprojekte zum Vote électronique" verabschiedet und bekräftigt, dass er Vote électronique schrittweise einführen möchte. Gleichentags hat er das Geschäft ans Parlament überwiesen. Durch eine Gesetzes und Verodnungsänderung, welche am 1. Januar 2008 in Kraft trat, stehen die neuen Normen für das I-Voting fest.
- Versuche werden ausgeweitet und neue Kantone können sich beteiligen
- 2007-2011: Maximal 10% der Abstimmenden dürfen elektronisch ihr demokratisches Recht ausüben
- Nach 5 erfolgreichen Abstimmungen ohne Probleme darf ein Gesuch eingereicht und die Anzahl der Abstimmenden
erhöht werden.
- Ziel ist es die Auslandschweizer ein zubeziehen. Dafür müssen zuerst die Stimmregister in den Kantonen harmonisiert werden.[1]
Die Wahl in den Studierendenrat der Universität Zürich wird seit Jahren mittels Internet und SMS abgehalten. Dabei wurde bis 2006 die offizielle e-Voting Plattform des Kantons Zürich genutzt. Die Wahl im Winter 2006 musste durch die Wahlleitung für ungültig erklärt werden und wurde im Januar 2007 wiederholt (Medienmitteilung der Universität Zürich). Grund dafür war ein Informatikfehler innerhalb der Universität Zürich. Bemerkt wurde dieser Fehler aber nur, weil sich mehrere Studenten über fehlerhafte Stimmrechtsausweise beklagten.
Estland
Als erstes Land weltweit hat Estland am 16. Oktober 2005 erstmals die Stimmabgabe für die Kommunalwahlen per I-Voting zugelassen und durchgeführt. Dabei war es den Wählern möglich sowohl per Internet als auch an fest installierten Wahlmaschinen ihre Stimme abzugeben. Entgegen der weitläufigen Meinung lag der Anteil der elektronisch abgegebenen Stimmen im Wahlbezirk JÕGEVA mit 20% nicht so hoch wie erwartet.
Ein großer Kritikpunkt bei dieser Wahl war und ist der Umstand, dass abgegebene Stimmen im Nachhinein von den Wählern selbst 'korrigiert' bzw. geändert werden konnten. Das Prinzip der Wahl basierte auf eine Wahlkarte mit persönlicher Identifikationsnummer und PIN, die für den Zugang und die Berechtigung zur Wahl notwendig waren. Es ist jedoch hinsichtlich des Wahlgeheimnisses und der Verpflichtung zur einmaligen Entscheidung innerhalb eines Wahlganges fraglich, ob bei diesen Möglichkeiten nicht doch das Wahlgeheimnis verletzt wurde, da ohne eine Speicherung der abgegebenen Stimme und der zugehörigen ID eine nachträgliche Änderung der Stimmenabgabe und damit eine korrekte Auszählung der Stimmen nicht möglich ist.
Insgesamt lag die Wahlbeteiligung per I-Voting in den einzelnen Bezirken zwischen 10,5 % (Virumaa) und den oben genannten 20%. Angesichts der vorhandenen Infrastruktur des Landes und den Zugangsmöglichkeiten zu I-Voting-Geräten (ob per Internet oder in Wahllokalen) kann jedoch von einem erfolgreichen Versuch gesprochen werden, I-Voting auch bei staatlichen Wahlen einzusetzen.
USA
In den USA fanden bei den Präsidentenwahlen 2004 Tests mit einem SERVE genannten Online-Wahlsystem statt. Das Projekt wurde vom zum US-amerikanischen Verteidigungsministerium gehörenden Federal Voting Assistance Program in Auftrag gegeben und unter Leitung der Firma Accenture durchgeführt. Online wählen konnten in Übersee lebende US-Amerikaner, sowie uniformierte Kräfte (Militär) einschließlich Familienangehörige. Ein im Rahmen des Experiments mit der Überprüfung der Sicherheit des Systems beauftragtes Expertenteam riet jedoch dringend dazu, das Projekt zu stoppen, und kam in seiner Analyse zu dem Fazit, dass eine sichere Internetwahl unter gegebenen Bedingungen derzeit unmöglich sei. Seither wurden die Bemühungen in Richtung Internetwahlen in den USA auf unbestimmte Zeit eingestellt.[2]
Private Wahlen
Polyas
Im Bereich Vereinswahlen wurden u.a. mit dem System Polyas der Micromata GmbH die Präsidiumswahlen der Initiative D21 (2003, 2005, 2007) sowie der Gesellschaft für Informatik (GI) (2004, 2005, 2006 und 2007) durchgeführt. Die Präsidiumswahl der Initiative D21 war die erste rechtsverbindliche Onlinewahl eines Vereins innerhalb Deutschlands. Im Jahr 2007 wählte die Deutsche Forschungsgemeinschaft (DFG) ihre Fachkollegien ebenfalls online, es waren deutschlandweit 100.000 Personen wahlberechtigt. Das Onlinewahlsystem ist bereits seit 1996 im Einsatz.
Kryptologie
Seit mehr als zwanzig Jahren werden in der Kryptologie Wahlprotokolle erforscht. Dabei stellt sich die Herausforderung, dass diese Wahlprotokolle möglichst viele, sich zum Teil (scheinbar) widersprechende, Anforderungen genügen sollen. U.a. gehören zu diesen Anforderungen:
- Einhaltung des Wahlgeheimnisses
- Quittungsfreiheit: Der Wähler darf nach der Wahl nicht nachweisen können, wofür er seine Stimme abgegeben hat.
- Unmittelbarkeit der Wahl
- Allgemeinheit der Wahl: Es darf keine technisch bedingte Einschränkung des wahlberechtigten Personenkreises geben.
- hohe Robustheit: Auch der Ausfall von beliebigen Teilsystemen darf die Ergebnisermittlung nicht behindern.
- Authentifikation: Die Identität des Wählers muss zuverlässig überprüft werden.
- Korrektheit: Es muss ein korrektes Wahlergebnis ermittelt werden.
- Übertragungsintegrität: Es muss sichergestellt werden, dass bei der Übertragung der Stimmzettel diese nicht manipuliert werden können.
- Nichtvermehrbarkeit: Es muss sichergestellt werden, dass Stimmzettel nicht vermehrt werden können.
- Individuelle Verifizierbarkeit: Einzelne Wähler können die Zählung ihrer Stimme mathematisch überprüfen.
- Universelle Verifizierbarkeit: Jedermann kann die Korrektheit des Gesamtergebnisses mathematisch überprüfen.
- geringe Kommunikationskomplexität: Es werden möglichst wenig Daten zwischen den einzelnen Parteien übertragen,
- geringe Rechenkomplexität
- hohe Skalierbarkeit: Bei einem linearen Anstieg der Wählerzahl steigen auch die Hardwarekosten möglichst nur linear an, d.h. die Wahlsoftware lässt sich einfach auf viele Rechner verteilen.
- hohe Flexibilität des Stimmzettelformats: Es sind nicht nur einzelne Multiple-Choice-Abstimmungen, sondern (auf Wunsch der Wahlbehörden) beliebige Datenformate möglich.
- Orts- und Hardwareunabhängigkeit: Das Protokoll lässt eine Wahl von einem beliebigen PC mit Internetanschluss aus zu. Zur Stimmabgabe ist keine besondere Hardware, wie z.B. Chipkartenlesegerät notwendig.
Es wurden eine sehr große Zahl verschiedener Protokolle entwickelt, die sich meist grob in Klassen vollkommen unterschiedlicher Verfahrensweisen einteilen lassen:
- dezentrale Protokolle: Hier existieren keine zentralen Wahlserver. Diese Protokolle zeichnen sich durch eine sehr hohe Kommunikationskomplexität aus.
- konventionelle Protokolle: Diese Protokolle ermitteln das Ergebnis auf eine möglichst direkte und einfache Art und Weise, die an das Prozedere von Papierwahlen angelehnt ist und verwenden dafür Standard-PublicKey-Kryptographieverfahren. Diese Protokolle verlassen sich sowohl bei der Korrektheit der Ergebnisermittlung, als auch bei der Einhaltung des Wahlgeheimnisses auf die Vertrauenswürdigkeit der beteiligten Wahlbehörden. Wähler und Dritte Netzwerkteilnehmer können jedoch bösartig sein, ohne die korrekte Ergebnisermittlung oder die Einhaltung des Wahlgeheimnisses zu gefährden. Protokolle dieser Art schränken die Komplexität der Stimmzettelstruktur nicht ein.
- Protokolle basierend auf blinden Signaturverfahren: Blinde Signaturverfahren verwenden anonyme Kanäle um Stimmzettel zu versenden. Ausgefüllte, verschlüsselte und signierte Stimmzettel werden an eine Wahlbehörde versendet, welche die Stimmberechtigung überprüft. Ist diese gegeben, so signiert diese den verschlüsselten und bereits vom Wähler signierten Stimmzettel blind und schickt diesen an den Wähler zurück. Der Wähler entfernt seine persönliche Signatur und schickt den nunmehr verschlüsselten und von der stimmberechtigungsprüfenden Behörde blind signierten Stimmzettel an die stimmzählende Wahlbehörde weiter. Diese prüft die Stimmberechtigungssignatur, entschlüsselt den Stimmzettel und zählt die Stimme. Falls tatsächlich ein anonymer Kanal zum Einsatz kommt und ausgeschlossen werden kann, dass die erste Wahlbehörde ihre blinde Signatur heimlich mit einem wähleridentifizierenden Tag ausstatten kann, so ist bei dieser Protokollklasse tatsächlich die Einhaltung des Wahlgeheimnisses unabhängig von der vertrauenswürdigkeit der Wahlbehörden, der Wähler, sowie dritter Netzteilnehmer gewährleistet. Jedoch bieten diese Art von Protokollen keine universelle Verifizierbarkeit der Ergebnisse. Zudem kann der ausgefüllte Stimmzettel unwiederbringlich verloren gehen, falls er bereits blind signiert wurde, aber noch nicht bei der stimmzählenden Wahlbehörde abgegeben wurde und der Rechner des Wählers ausfällt.
- Protokolle basierend auf Mixes: Bei dieser Klasse von Protokollen wird Anonymität hergestellt, indem eine Reihe von Mixern in den Kommunikationskanal eingebaut werden, die die Reihenfolge der eingehenden Stimmzettel vertauschen. Mix nets können eine universelle Verifizierbarkeit, gleichzeitige Quittungsfreiheit und Einhaltung des Wahlgeheimnisses aufweisen. Die Quittungsfreiheit kann jedoch nur garantiert werden, falls ausschließlich eine Ja/Nein Fragestellung zur Abstimmung steht, da ansonsten Markierungen durch den Wähler möglich sind, und diese durch die Veröffentlichung durch jedermann einsehbar sind.
- Protokolle basierend auf homomorpher Verschlüsselung: Diese Art von Protokollen setzen homomorphe Verschlüsselung ein, so dass die Wahlbehörden die verschlüsselten Stimmzettel addieren können und dieses dadurch erzielte verschlüsselte Endergebnis schließlich entschlüsseln können, um an das Ergebnis zu erlangen. Dieser Vorgang kann durch jedermann nachvollzogen werden, falls die verschlüsselten Einzelstimmzettel auf einem Black Board veröffentlicht werden. Damit können Protokolle, die auf homomorpher Verschlüsselung basieren, universelle Verifizierbarkeit erreichen. Falls anonyme Kanäle eingesetzt werden, kann auch eine gleichzeitige Quittungsfreiheit erzielt werden. Es liegt jedoch in der Natur der homomorphen Verschlüsselung, dass diese Verfahren ausschließlich für Stimmzettel eingesetzt werden kann, deren Ergebnis sich additiv ermitteln lässt.
Da verschiedene Protokolle also unterschiedliche Eigenschaften aufweisen, gibt es leider kein optimales Wahlprotokoll, welches für alle I-Voting-Einsätze gleich gut geeignet wäre.
Sicherheit
Eine Wahl über das Internet kann nie so sicher sein wie eine klassische Urnenwahl da es viel mehr Angriffspunkte und Fehlerquellen gibt (Wähler-PC, Datenübertragung, Server-Software, ...). Selbst wenn der Wähler über kryptografische Verfahren kontrollieren kann, dass seine Stimme richtig gezählt wurde, kann er niemals sicher sein, dass nicht noch gefälschte Stimmen hinzugefügt worden sind. Im Wahllokal könnte er dies durch vollständige Beobachtung des Wahlvorgangs für seinen Bezirk sicherstellen, solange kein Wahlcomputer ohne Papierausdruck eingesetzt wird.
Je nach Verwendungszweck des I-Voting-Systems ist die Sicherheit bei der korrekten Ergebnisermittlung, sowie der Einhaltung des Wahlgeheimnisses unterschiedlich kritisch zu sehen. Gegebenenfalls sind die folgenden Aspekte zu berücksichtigen:
- Das eingesetzte Protokoll sollte die Anonymität des Wählers sicherstellen. Der Wähler soll seine Wahl später nicht nachweisen können (Quittungsfreiheit). Dritte sollen nicht in der Lage sein können, das Wahlgeheimnis zu brechen. Die Wahlbehörden und die Administratoren etwaiger zentraler Wahlserver sollen nicht in der Lage sein, das Wahlgeheimnis brechen zu können.
- Das eingesetzte Protokoll sollte die Korrektheit des Ergebnisse sicherstellen. Weder Wähler, Dritte, noch die Administratoren etwaiger zentraler Wahlserver sollen in der Lage sein, die Ermittlung des korrekten Wahlergebnisses verhindern zu können.
- Das eingesetzte Protokoll sollte eine universelle Verifizierbarkeit des Ergebnisses zulassen, damit gewährleistet ist, dass jeder Wähler Vertrauen in das Ergebnis gewinnen kann.
- Ein schwierig zu kontrollierendes Sicherheitsproblem bei Internetwahlen ist die Sicherheit der Client-Rechner. Es muss sichergestellt werden, dass der PC oder das Eingabegerät des Wählers tatsächlich den Stimmzettel so ausgefüllt abgibt wie der Wähler ihn ausgefüllt hat und angezeigt bekommt. Ansonsten könnten die PCs der Wähler massenhaft automatisiert angegriffen werden und somit das Wahlergebnis beliebig verfälscht werden, ohne dass dazu eine Sicherheitslücke in der Wahlsoftware oder in der Systemsoftware der zentralen Wahlserver vorhanden sein muss. Dies kann z.B. mit dem Einsatz von Chipkarten erreicht werden, jedoch nur, falls sichergestellt wird, dass die Leser ausschließlich Kartenlesegeräte verwenden, die über eine eigene Tastatur und über ein eigenes Display verfügen und die Verschlüsselung des Stimmzettels auf der Chipkarte vorgenommen wird. Eine andere Möglichkeit stellt die Installation der Wahlclientsoftware auf einer selbstbootenden CD dar, falls es gelingt, diese CD mit sämtlichen von den Wählern eingesetzten Hardwarekonfigurationen lauffähig zu bekommen.
- Solange nicht ein universell verifizierbares Wahlprotokoll eingesetzt wird, ist sicherzustellen, dass die verwendete Systemsoftware (Betriebssystem, Compiler, etc.) der zentralen Wahlserver keine Sicherheitslücken aufweist, sowie die Wahlsoftware im Allgemeinen, wie auch das verwendete Protokoll im Speziellen keine Sicherheitslücken aufweist. Dies kann eine außerordentlich schwierige Aufgabe sein.
- Bei besonders kritischen Wahlen (wie z.B. Bundestagswahlen) ist zudem sicherzustellen, dass die Wähler tatsächlich Vertrauen in die ergriffenen Sicherheitsmaßnahmen haben, sollen diese das Ergebnis auch tatsächlich akzeptieren. Auch dies kann angesichts der technischen Komplexität eine enorm schwierige Aufgabe sein.
Rechtliche Aspekte von Internetwahlen
Aus juristischer Sicht ist es auch durchaus umstritten, ob es sich bei einer elektronischen Wahl über das Internet um ein Pendant zur Briefwahl handelt. Denn schon die Briefwahl an sich steht bereits im Konflikt mit dem obligatorischen Wahlgeheimnis in der Verfassung und diese eigentlich nur ausnahmsweise bei Vorliegen besonderer Gründe erlaubt. Wichtige Gründe sind beispielsweise die Abwesenheit vom Wahlbezirk aus wichtigem Grund (zu dem streng genommen Urlaub nicht zählt), die körperliche Unfähigkeit, das Wahllokal aufzusuchen oder eine sonstige schwerwiegende Verhinderung. In den meisten Fällen wird dies jedoch nicht so eng gesehen, da man dem Wahlberechtigten eine Ausübung seines Wahlrechtes nicht erschweren oder gar verwehren will.
Sicherheitsprobleme könnten sogar zu einer Verletzung des im Grundgesetz garantierten Grundsatzes der Gleichheit der Wahl und somit zu erheblichen verfassungsrechtlichen Problemen führen [3].
Politische Aspekte von Internetwahlen
Folgende politische Argumente werden häufig pro/contra des Einsatzes von I-Votingsystemen bei staatlichen Wahlen angeführt:
- Es ist umstritten, ob nicht das Wahlergebnis verfälscht wird, wenn Internetnutzer von zu Hause aus wählen können, aber die (im Durchschnitt wohl weniger wohlhabenden) Nichtnutzer sich zu einer Wahlstelle begeben müssen (digital divide).
- Durch die (mögliche) Vereinfachung des Wahlgangs könnte die Wahlbeteiligung erhöht werden.
- Durch die (mögliche) Vereinfachung des Wahlgangs könnte eine Entwertung des Wählens stattfinden. Stimmen könnten verstärkt unreflektiert abgegeben werden ("junk vote").
Technische Aspekte von Internetwahlen
Das Problem eines potentiellen Denial of Service Angriffs auf die Wahl ist bisher noch nicht gelöst.
Siehe auch
Weblinks
- Empfehlung 2004(11) des Europarates zu e-voting
- CCC zum Thema Internetwahlen
- Nikolaus von Twickel: IT-Experten warnen vor Wahlcomputern. SPIEGEL ONLINE, 23. März 2006
- Public Sector/E-Government Competence Center der Competence Site
- Links zum Thema Elektronische Wahlen im Open Directory Project
- Bundeswahlgeräteverordnung
- Forschungsgruppe Internetwahlen
- Zukunftsvision Internet-Wahl?(Tagesschau.de)
- Bericht über den Vote électronique: Chancen, Risiken und Machbarkeit elektronischer Ausübung politischer Rechte in der Schweiz
- E-Voting.CC - Kompetenzzentrum für Elektronische Partizpation und Elektronische Wahlen
- Europarat - Kampagne E-Voting
- Polyas E-Voting System
- E-voting in Estland
- E-voting in Frankreich (Seite der CNIL)
- e-voting.at
- papierwahl.at - Unabhängige Plattform, die sich kritisch mit E-Voting auseinandersetzt
- "E-Voting sollten wir nicht machen"; Vortrag von Prof. Purgathofer (TU-Wien)
Einzelnachweise
- ↑ Vote électronique, Schweizerische Bundeskanzlei
- ↑ SERVE – Jefferson/Rubin/Simons/Wagner, 2004
Literatur
- Robert Krimmer (Hrsg.): Electronic Voting 2006, GI Verlag, P-86, 2006, 252 Seiten, ISBN 3-88579-180-3
- Ulrich Karpen: Elektronische Wahlen?, Nomos, 2005, ISBN 3-8329-1249-5
- Hubertus Buchstein, Harald Neymanns (Hrsg.): Online-Wahlen, leske+budrich, ISBN 3-8100-3380-4
- Martin Will: Internetwahlen: Verfassungsrechtliche Möglichkeiten und Grenzen, ISBN 3-415-03082-2
- Alexander Prosser (Hrsg), Robert Krimmer (Hrsg): Electronic Voting in Europe - Technology, Law, Politics and Society, GI Verlag, P-47, 2004, 183 Seiten, ISBN 3-88579-376-8, Download at http://www.e-voting.cc/files/E-Voting-in-Europe-Proceedings/
- Dieter Richter, Volker Hartmann, Nils Meißner: Online-Wahlsysteme für nicht-parlamentarische Wahlen: Anforderungskatalog, Physikalisch Technische Bundesanstalt, PTB-8.5-2004-1
- Norbert Kersting: Online-Wahlen im internationalen Vergleich, Aus Politik und Zeitgeschichte (B 18/2004), Hrsg.: Bundeszentrale für politische Bildung
- Stefan G. Weber: Coercion-Resistant Cryptographic Voting: Implementing Free and Secret Electronic Elections, VDM Verlag, Saarbrücken, 2008, ISBN 978-3-639-04694-6
Wikimedia Foundation.