(Geräte: Digitaler Wahlstift ("Hamburger Stift"))
(Nedap News, paper trail)
 
(33 dazwischenliegende Versionen von 10 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
<div style="border: 1px solid #ff0000; padding: px">
+
''' Kontakt: wahlcomputer [at] ccc.de '''
Die Petition gegen Wahlcomputer wurde am 28.11.2006 mit 45.126 Unterschriften beendet.
+
Weitere Informationen zur [[Anti-Wahlcomputer-Petition]].
+
</div>
+
  
 
Als '''[http://de.wikipedia.org/wiki/Wahlmaschine Wahlmaschinen]''' bezeichnet man mechanische, elektrische sowie rechnergesteuerte Geräte, die bei Wahlen der Abgabe und Zählung der Wählerstimmen dienen. Solche Geräte werden im deutschen Wahlrecht als '''Wahlgeräte''' bezeichnet. Dieser Artikel diskutiert Probleme, die beim Einsatz von '''Wahlcomputern''', also rechnergesteuerten Wahlgeräten, entstehen oder entstehen können.
 
Als '''[http://de.wikipedia.org/wiki/Wahlmaschine Wahlmaschinen]''' bezeichnet man mechanische, elektrische sowie rechnergesteuerte Geräte, die bei Wahlen der Abgabe und Zählung der Wählerstimmen dienen. Solche Geräte werden im deutschen Wahlrecht als '''Wahlgeräte''' bezeichnet. Dieser Artikel diskutiert Probleme, die beim Einsatz von '''Wahlcomputern''', also rechnergesteuerten Wahlgeräten, entstehen oder entstehen können.
  
In Deutschland werden Wahlcomputer seit der Europawahl 1999 eingesetzt, bei Bundestagswahlen erstmalig im Jahre 2002. Bei den Bundestagswahlen 2005 erfolgte der Einsatz bereits im großen Stil - über zwei Millionen Wähler waren betroffen. Im Jahre 2006 sind Wahlcomputer bei den Landtagswahlen in Rheinland-Pfalz und Sachsen-Anhalt, sowie bei den Kommunalwahlen in Hessen zum Einsatz gekommen. Die letzte Wahl mit Wahlcomputern war die [[Wahlcomputer:_Einsatz_in_Deutschland#Cottbus_-_Wahl_des_Oberb.C3.BCrgermeisters_22.10.2006|Oberbürgermeisterwahl in Cottbus am 22.10.2006]]. Im Jahr 2007 werden bei der Landratswahlen für den Kreis Minden-Lübbecke in Bad Oeynhausen Wahlcomputer benutzt.[http://www.vlothoer-anzeiger.de/va/lokales/bad_oeynhausen/?sid=b08f990b299310a51eb94cbf55ee9e79&cnt=1188552]
+
In Deutschland wurden Wahlcomputer seit der Europawahl 1999 eingesetzt, bei Bundestagswahlen erstmalig im Jahre 2002. Bei den Bundestagswahlen 2005 erfolgte der Einsatz bereits im großen Stil - über zwei Millionen Wähler waren betroffen. Der letzte größere Wahlcomputer-Einsatz in Deutschland waren die Landtagswahlen in Hessen im Januar 2008.
 +
 
 +
Bei Kommunalwahlen kommen auch für die Erfassung und Auszählung von konventionellen Stimmzetteln zunehmend Computersysteme zum Einsatz. Solche reinen '''Zählsysteme''' sind nicht Gegenstand irgendeines Zulassungsverfahrens oder einer technischen Überprüfung.
 +
 
 +
Eine Bundestags-Petition gegen Wahlcomputer wurde am 28. November 2006 mit 45.126&nbsp;Unterschriften beendet.
 +
Weitere Informationen zur [[Anti-Wahlcomputer-Petition]].
 +
 
 +
Das [http://www.bundesverfassungsgericht.de/entscheidungen/cs20090303_2bvc000307.html Urteil des Bundesverfassungsgerichts vom 3. März 2009] erklärte die aktuelle Bundeswahlgeräteverordnung für '''ungültig'''. Siehe auch:
 +
 
 +
* [http://www.ccc.de/updates/2009/wahlcomputer-urteil-bverfg CCC Pressemitteilung zum Urteil]
 +
* [http://chaosradio.ccc.de/cre118.html CR118 Podcast zum Urteil]
 +
 
 +
Nedap bzw. HSG Wahlsysteme hofft jetzt auf eine neue Bundeswahlgeräteverordnung mit Paper Trail:
 +
* [http://www.election-systems.eu/website/returnFile.php?url=6cka0adbd405ynczo7lajbh5r.pdf Bericht über Paper Trail an Nedaps in New York, 2007, englisch]
 +
* [http://www.wahlsysteme.de/Wahlnachrichten/2009/09-03-09_Karlsruhe_stoppt_Wahlcomputer.pdf Pressemitteilung von HSG Wahlsysteme 9.3.2009]
 +
* [http://www.wahlsysteme.de/Wahlnachrichten/2009/09-10-23_Wahlgeraete_mit_Kontrollausdruck.pdf Nedap Paper Trail Konzept, 23.10.2009]
 +
* [http://www.wahlrecht.de/doku/presse/20091029.pdf Pressemitteilung von HSG Wahlsysteme 29.10.2009]
  
Bei Kommunalwahlen werden zunehmend auch bei der Erfassung und Auszählung von konventionellen Stimmzetteln Computersysteme verwendet. Solche reinen '''Zählsysteme''' sind nicht Gegenstand irgendeines Zulassungsverfahrens oder einer technischen Überprüfung.  
+
Der Wahlstift und Stimmzettelscanner wurden im Urteil auch explizit als mögliche Lösungen erwähnt. Der Knackpunkt bei allen Systemen ist immer die Quote der Nachzählung. Wird zu 100 % nachgezählt lohnt der Einsatz für die Gemeinden nicht, wird < 100 % nachgezählt ist wieder eine Manipulation möglich.
  
 
==Problematik ==
 
==Problematik ==
Bei Stimmzettelwahlen in demokratischen Staaten ist der gesamte Wahlablauf, vom Aufstellen der Urne bis zur Ergebnisfeststellung, grundsätzlich öffentlich und damit auch verfizierbar. Diese Möglichkeit der Kontrolle durch Jedermann wird aus dem Demokratieprinzip [http://dejure.org/gesetze/GG/20.html (Art.20 GG)] abgeleitet und ist rechtlich unumstritten.  
+
Bei Stimmzettelwahlen in demokratischen Staaten ist der gesamte Wahlablauf, vom Aufstellen der Urne bis zur Ergebnisfeststellung, grundsätzlich öffentlich und damit auch verfizierbar. Diese Möglichkeit der Kontrolle durch Jedermann wird aus dem Demokratieprinzip [http://dejure.org/gesetze/GG/20.html (Art. 20&nbsp;GG)] abgeleitet und ist rechtlich unumstritten.  
  
Beim Einsatz von Wahlcomputern werden wesentliche Schritte des Wahlablaufs in das Innere eines Gerätes verlegt und damit der öffentlichen Kontrolle entzogen. Wähler, Öffentlichkeit und selbst Wahlvorstände können nicht mehr nachvollziehen, was im Inneren des Geräten mit den Stimmen geschieht, und wie die Ergebnisermittlung im einzelnen vor sich geht. Die Integrität der Wahl hängt damit vom ordentlichen Funktionieren der Wahlcomputer und von deren Manipulationssicherheit ab und kann allenfalls noch von den wenigen Personen beurteilt werden, die mit der Prüfung von Wahlgeräten befasst sind.
+
Beim Einsatz von Wahlcomputern werden wesentliche Schritte des Wahlablaufs in das Innere eines Gerätes verlegt und damit der öffentlichen Kontrolle entzogen. Wähler, Öffentlichkeit und selbst Wahlvorstände können nicht mehr nachvollziehen, was im Inneren des Geräten mit den Stimmen geschieht und wie die Ergebnisermittlung im einzelnen vor sich geht. Die Integrität der Wahl hängt damit vom ordentlichen Funktionieren der Wahlcomputer und deren Manipulationssicherheit ab und kann allenfalls noch von den wenigen Personen beurteilt werden, die mit der Prüfung von Wahlgeräten befasst sind.
  
"Wahlcomputer müssen in Deutschland verboten werden, bevor wir auch hier Zustände wie in den USA oder Mexico bekommen. Die hier verwendeten [http://de.wikipedia.org/wiki/Nedap Nedap]-Computer sind mindestens genauso unsicher und manipulierbar, wie die aus den Wahlskandalen in den USA bekannten Systeme. Mit manipulierten Wahlcomputern kann eine entschlossene Gruppe die Macht ergreifen, ohne nach außen hin die Spielregeln der Demokratie zu verletzen," so CCC-Sprecher Andy Müller-Maguhn.
+
"''Wahlcomputer müssen in Deutschland verboten werden, bevor wir auch hier Zustände wie in den USA oder Mexico bekommen. Die hier verwendeten [http://de.wikipedia.org/wiki/Nedap Nedap]-Computer sind mindestens genauso unsicher und manipulierbar, wie die aus den Wahlskandalen in den USA bekannten Systeme. Mit manipulierten Wahlcomputern kann eine entschlossene Gruppe die Macht ergreifen, ohne nach außen hin die Spielregeln der Demokratie zu verletzen.''" so CCC-Sprecher Andy Müller-Maguhn.
  
Das die Gefahr eines Wahlbetrugs kein Problem aus der Stasi- oder Nazi-Zeit ist hat die CSU Dachau bei den bayerischen Kommunalwahlen im März 2002 eindrucksvoll bewiesen. Der ehemalige CSU-Stadtrat 67-Jährige Wolfgang Aechtner hatte damals 466 Stimmzettel zu Gunsten der CSU manipuliert. Er wurde im Januar 2003 zu einer Freiheitsstrafe von zwei Jahren auf Bewährung und einer Geldbuße von 125.000 Euro verurteilt. ([http://de.wikipedia.org/wiki/Wahlf%C3%A4lschungsskandal_von_Dachau Wikipedia: Wahlfälschungsskandal von Dachau])
+
Dass die Gefahr eines Wahlbetrugs kein Problem aus der Stasi- oder Nazi-Zeit ist hat die CSU Dachau bei den bayerischen Kommunalwahlen im März 2002 eindrucksvoll bewiesen. Der ehemalige 67-jährige CSU-Stadtrat Wolfgang Aechtner hatte damals 466&nbsp;Stimmzettel zu Gunsten der CSU manipuliert. Er wurde im Januar 2003 zu einer Freiheitsstrafe von zwei Jahren auf Bewährung und einer Geldbuße von 125.000 Euro verurteilt. ([http://de.wikipedia.org/wiki/Wahlf%C3%A4lschungsskandal_von_Dachau Wikipedia: Wahlfälschungsskandal von Dachau])
  
 
==Zulassung, Anschaffung und Einsatz==
 
==Zulassung, Anschaffung und Einsatz==
Der Einsatz von Wahlgeräten bei Wahlen zum Bundestag und zum Europäschen Parlament ist in § 35 des [http://www.bundeswahlleiter.de/bundestagswahl2005/downloads/bwg_standmaerz05.pdf Bundeswahlgesetzes] (BWahlG) und der vom Bundesinnenminister erlassenen [http://bundesrecht.juris.de/bundesrecht/bwahlgv/ Bundeswahlgeräteverordnung] (BWahlGV) geregelt. In einem zweistufigen Zulassungsverfahren beantragt der Gerätehersteller zunächst eine Bauartzulassung für einen bestimmten Gerätetyp. Im Rahmen der Bauartzulassung erfolgt eine Überprüfung ''eines'' Gerätes durch die Physikalisch Technische Bundesanstalt (PTB). Die Prüfung erfolgt eng am Wortlaut der Richtlinien für die Bauart von Wahlgeräten, die Bestandteil der BWahlGV sind. Die Ergebnisse dieser Überprüfung werden weder vom Innenministerium noch von der PTB veröffentlicht. Seit August 2006 ist jedoch einer der Prüfberichte mit Zustimmung des Herstellers bei [http://www.wahlrecht.de/doku/doku/20040512.htm wahlrecht.de] einsehbar. Bei erfolgreichem Test erfolgt die Bauartzulassung durch den Bundesinnenminister. Außerdem ist eine Zulassung durch den Innenminister für die jeweilige Wahl erforderlich.  
+
Der Einsatz von Wahlgeräten bei Wahlen zum Bundestag und zum Europäschen Parlament ist in §&nbsp;35 des [http://www.bundeswahlleiter.de/bundestagswahl2005/downloads/bwg_standmaerz05.pdf Bundeswahlgesetzes] (BWahlG) und der vom Bundesinnenminister erlassenen [http://bundesrecht.juris.de/bundesrecht/bwahlgv/ Bundeswahlgeräteverordnung] (BWahlGV) geregelt. In einem zweistufigen Zulassungsverfahren beantragt der Gerätehersteller zunächst eine Bauartzulassung für einen bestimmten Gerätetyp. Im Rahmen der Bauartzulassung erfolgt eine Überprüfung ''eines'' Geräts durch die physikalisch-technische Bundesanstalt (PTB). Die Prüfung erfolgt eng am Wortlaut der Richtlinien für die Bauart von Wahlgeräten, die Bestandteil der BWahlGV sind. Die Ergebnisse dieser Überprüfung werden weder vom Innenministerium noch von der PTB veröffentlicht. Seit August 2006 sind jedoch mehrere  Prüfberichte mit Zustimmung des Herstellers bei [http://www.wahlrecht.de/doku/doku/20040512.htm wahlrecht.de] einsehbar. Bei erfolgreichem Test erfolgt die Bauartzulassung durch den Bundesinnenminister. Außerdem ist eine Zulassung durch den Innenminister für die jeweilige Wahl erforderlich.  
  
 
In einigen Bundesländern (NRW, Hessen, Rheinland-Pfalz, Brandenburg, Sachsen-Anhalt, Niedersachsen) bestehen analoge Regelungen für den Einsatz bei Landtags- und Kommunalwahlen. Hier erfolgt die Zulassung durch die Landesinnenminister in der Regel, wenn eine Bauartzulassung auf Bundesebene vorliegt.
 
In einigen Bundesländern (NRW, Hessen, Rheinland-Pfalz, Brandenburg, Sachsen-Anhalt, Niedersachsen) bestehen analoge Regelungen für den Einsatz bei Landtags- und Kommunalwahlen. Hier erfolgt die Zulassung durch die Landesinnenminister in der Regel, wenn eine Bauartzulassung auf Bundesebene vorliegt.
Zeile 33: Zeile 46:
 
Das in den Niederlanden eingesetzte ES3B ist fast baugleich zu den in Deutschland eingesetzten ESD1 und ESD2. Laut einer [http://www.wijvertrouwenstemcomputersniet.nl/images/2/27/20020212_tno_rapport_keuring_nedap_ESD-1_met_aanpassingen_voor_gebruik_in_Nederland.pdf Untersuchung (S.4)] der niederländischen Prüfbehörde [http://www.tno.nl/tno/wie_we_zijn/index.xml?__lang=en TNO] ist die Hardware der niederländischen ES3B- und der deutschen ESD1-Geräte bis auf triviale Ausstattungsdetails wie Farbe der Stimmtaste und die Zahl der Knöpfe am Kontrollgerät des Wahlvorstands identisch.
 
Das in den Niederlanden eingesetzte ES3B ist fast baugleich zu den in Deutschland eingesetzten ESD1 und ESD2. Laut einer [http://www.wijvertrouwenstemcomputersniet.nl/images/2/27/20020212_tno_rapport_keuring_nedap_ESD-1_met_aanpassingen_voor_gebruik_in_Nederland.pdf Untersuchung (S.4)] der niederländischen Prüfbehörde [http://www.tno.nl/tno/wie_we_zijn/index.xml?__lang=en TNO] ist die Hardware der niederländischen ES3B- und der deutschen ESD1-Geräte bis auf triviale Ausstattungsdetails wie Farbe der Stimmtaste und die Zahl der Knöpfe am Kontrollgerät des Wahlvorstands identisch.
  
===Der Nedap Hack===
+
===Der Nedap-Hack===
  
Im Oktober 2006 ist es der niederländischen Initiative [http://www.wijvertrouwenstemcomputersniet.nl/ Wij vertrouwen stemcomputers niet] gelungen, drei Geräte des Typs Nedap ES3B zu beschaffen. In einem [http://www.wijvertrouwenstemcomputersniet.nl/other/es3b-en.pdf technischen Artikel] beschreibt die Initiative detailliert Sicherheitmängel bei diesen Geräten. Im [http://www.eenvandaag.nl/index.php?module=PX_Story&func=view&cid=2&sid=31156 niederländischen Fernsehen] demonstrierten Wij Vertrouwen Stemcomputers Niet vor laufender Kamera, wie sich durch Austausch der installierten Software Wahlen manipulieren lassen. An der Analyse war auch der Chaos Computer Club Berlin beteiligt.
+
Im Oktober 2006 gelang es der niederländischen Initiative [http://www.wijvertrouwenstemcomputersniet.nl/ Wij vertrouwen stemcomputers niet], drei Geräte des Typs Nedap ES3B zu beschaffen. In einem [http://www.wijvertrouwenstemcomputersniet.nl/other/es3b-en.pdf technischen Artikel] beschreibt die Initiative detailliert Sicherheitmängel dieser Geräte. Im [http://www.eenvandaag.nl/index.php?module=PX_Story&func=view&cid=2&sid=31156 niederländischen Fernsehen] demonstrierten Wij Vertrouwen Stemcomputers Niet vor laufender Kamera, wie sich durch Austausch der installierten Software Wahlen manipulieren lassen. An der Analyse war auch der Chaos Computer Club Berlin beteiligt.
  
 
===Wahlvorbereitung===
 
===Wahlvorbereitung===
Vor der Wahl werden die Wahlgeräte im Wahlamt für die Wahl konfiguriert. Nach Definition der zur Wahl stehenden Parteien und Kandidaten mit einer PC-Software (IWS) werden die Stimmenmodule über die mit dem PC verbundene Programmier- und Ausleseeinheit für die Wahl vorbereitet. Für jedes Wahlgerät ist die Programmierung eines solchen Stimmenmoduls notwendig. Außerdem werden mit dem PC Nachbildungen der amtlichen Stimmzettel erstellt, die anschließend auf dem Bedienpult der Wahlgeräte angebracht werden.
+
Vor der Wahl werden die Wahlgeräte im Wahlamt für die jeweilige Wahl konfiguriert. Nach Definition der zur Wahl stehenden Parteien und Kandidaten werden die Stimmenmodule mit einer PC-Software (IWS) über die mit dem PC verbundene Programmier- und Ausleseeinheit für die Wahl vorbereitet. Für jedes Wahlgerät ist die Programmierung eines solchen Stimmenmoduls notwendig. Außerdem werden mit dem PC Nachbildungen der amtlichen Stimmzettel erstellt, die anschließend auf dem Bedienpult der Wahlgeräte angebracht werden.
  
 
[[bild:Nedap_wvb.png|Wahlvorbereitung]]
 
[[bild:Nedap_wvb.png|Wahlvorbereitung]]
  
 
===Wahlgang===
 
===Wahlgang===
Über die Kontrolleinheit wird von einem Wahlhelfer das Wahlgerät für jeden Wähler die einzeln für die Stimmabgabe freigegeben. Der Wähler kann, je nach Art der Wahl (Bundestag, Kommunalwahl), seine Stimmen abgeben. Auch die Abgabe einer ungültigen Stimme ist möglich. Anschließend bestätigt der Wähler seine Auswahl und gibt damit die Stimme ab. Die abgegebenen Stimmen werden unmittelbar in dem Stimmenmodul abgelegt.
+
Über die Kontrolleinheit wird das Wahlgerät von einem Wahlhelfer für jeden Wähler einzeln zur Stimmabgabe freigegeben. Der Wähler kann, je nach Art der Wahl (Bundestag, Kommunalwahl), seine Stimmen abgeben. Auch die Abgabe einer ungültigen Stimme ist möglich. Anschließend bestätigt der Wähler seine Auswahl und gibt damit die Stimme ab. Die abgegebenen Stimmen werden unmittelbar in dem Stimmenmodul abgelegt.
  
 
Nach Ende der Abstimmung wird das Wahlgerät in einen anderen Betriebsmodus versetzt. Die im Stimmenmodul abgelegten Stimmen werden saldiert und das Ergebnis mit einem integrierten Thermodrucker ausgedruckt. Der Wahlleiter entnimmt das Stimmenmodul, versiegelt es und schickt es gemeinsam mit der Wahlniederschrift an das Wahlamt.
 
Nach Ende der Abstimmung wird das Wahlgerät in einen anderen Betriebsmodus versetzt. Die im Stimmenmodul abgelegten Stimmen werden saldiert und das Ergebnis mit einem integrierten Thermodrucker ausgedruckt. Der Wahlleiter entnimmt das Stimmenmodul, versiegelt es und schickt es gemeinsam mit der Wahlniederschrift an das Wahlamt.
Zeile 54: Zeile 67:
 
[[bild:Nedap_wnb.png|Wahlnachbereitung]]
 
[[bild:Nedap_wnb.png|Wahlnachbereitung]]
  
Gegenstand des Zulassungsverfahrens in Deutschland ist lediglich der Wahlcomputer selber. Die Kontrolleineit und die PC-Software werden von der Physikalisch Technischen Bundesanstalt nicht untersucht und Ihr Einsatz untersteht nicht der Zulassungspflicht.
+
Gegenstand des Zulassungsverfahrens in Deutschland ist lediglich der Wahlcomputer selbst. Die Kontrolleineit und die PC-Software werden von der Physikalisch Technischen Bundesanstalt nicht untersucht und Ihr Einsatz untersteht nicht der Zulassungspflicht.
  
 
In Hessen  kam es bei der [[Wahlcomputer#Hessen - Kommunalwahl 26.03.|Kommunalwahl 2006]] in mehreren Gemeinden, in denen die Wahlgeräte auch zur Auszählung von Briefwahlstimmen eingesetzt wurden, zu Problemen mit der Auswertesoftware. Die Ergebnisse der Auswertesoftware stimmten nicht mit den Ausdrucken der Wahlcomputer überein. Nachdem der Hersteller eine neue Version der Software bereitgestellt hatte, mussten die Stimmenmodule neu eingelesen und das Ergebnis neu berechnet werden.
 
In Hessen  kam es bei der [[Wahlcomputer#Hessen - Kommunalwahl 26.03.|Kommunalwahl 2006]] in mehreren Gemeinden, in denen die Wahlgeräte auch zur Auszählung von Briefwahlstimmen eingesetzt wurden, zu Problemen mit der Auswertesoftware. Die Ergebnisse der Auswertesoftware stimmten nicht mit den Ausdrucken der Wahlcomputer überein. Nachdem der Hersteller eine neue Version der Software bereitgestellt hatte, mussten die Stimmenmodule neu eingelesen und das Ergebnis neu berechnet werden.
  
 
===Mängel===
 
===Mängel===
Gegen den Einsatz der Nedap-Geräte sind erhebliche Bedenken geltend gemacht worden. Mehrere Einsprüche gegen den Einsatz dieser Geräte bei den Bundestagswahlen 2005 beim Bundestag (WP 76/05, WP 108/05, [http://www.ulrichwiesner.de/wahlpruefung.html WP 145/05], WP 182/05, WP 193/05) stehen unmittelbar vor der Ablehnung. Die Einsprüche werden vor allem in der Verletzung des Öffentlichkeitsprinzips bei der Wahldurchführung begründet. Eine über eine entsprechende Beschlußvorlage des Wahlprüfungsausschusses vom 30.11.2006 wird der Bundestag vermutlich am 14.12.2006 in seiner 73. Sitzung entscheiden. Der Wahlprüfungsausschuss folgt in seiner Ablehnung der Einsprüche der Argumentation des Bundesinnenministeriums, die Einsprechenden hätten keine konkreten Manipulationen nachweisen können.  
+
Gegen den Einsatz der Nedap-Geräte sind erhebliche Bedenken geltend gemacht worden. Gegen den Einsatz dieser Geräte bei den Bundestagswahlen 2005 sind beim Bundesverfassungsgricht mehrere Wahlprüfungsbeschwerden anhängig ([http://www.ulrichwiesner.de/wahlpruefung.html 2&nbsp;BvC&nbsp;3/07], 2&nbsp;BvC&nbsp;4/07, 2&nbsp;BvC&nbsp;5/07) . Die Beschwerden werden vor allem in der Verletzung des Öffentlichkeitsprinzips bei der Wahldurchführung und der fehlenden Überprüfbarkeit des Ergebnisses begründet.  
  
 
In Irland hat sich im Jahre 2004 eine von der Regierung eingesetzte Kommission zur Untersuchung der Nedap-Geräte gegen einen Einsatz dieser Geräte in Irland ausgesprochen. Die Ablehnung der Geräte wurde damit begründet, dass die Eignung der Geräte nicht in ausreichendem Umfang nachgewiesen werden konnte. Zudem wird in dem Bericht der Kommission die fehlende Überprüfbarkeit des Wahlergebnis und ein mangelhaftes Sicherheitskonzept der Geräte moniert.
 
In Irland hat sich im Jahre 2004 eine von der Regierung eingesetzte Kommission zur Untersuchung der Nedap-Geräte gegen einen Einsatz dieser Geräte in Irland ausgesprochen. Die Ablehnung der Geräte wurde damit begründet, dass die Eignung der Geräte nicht in ausreichendem Umfang nachgewiesen werden konnte. Zudem wird in dem Bericht der Kommission die fehlende Überprüfbarkeit des Wahlergebnis und ein mangelhaftes Sicherheitskonzept der Geräte moniert.
 +
 +
In den Niederlanden hat eine Regierungskommission unter der Leitung des Ministers a.D. Korthals Altes im September 2007 ihren Bericht [http://www.wijvertrouwenstemcomputersniet.nl/images/0/0c/Votingwithconfidence.pdf "Voting with Confidence"] vorgelegt und kritisiert, die mangelnde Transparenz der in den Niederlanden eingesetzten Wahlgeräte und die fehlende Überprüfbarkeit der mit ihnen ermittelten Ergebnisses sei mit Wahlrechtsprinzipien nicht vereinbar. In unmittelbarer Reaktion darauf hat die niederländische Regierung die dortige Wahlgeräteverordnung aufgehoben und damit den Einsatz von Wahlcomputern zunächst verboten.
  
 
====Funktionale Mängel====
 
====Funktionale Mängel====
 
* Der Wähler kann nicht kontrollieren, ob seine Stimme unverändert gespeichert wird. Es ist denkbar, dass eine manipulierte Software dem Wähler zwar seine Auswahl richtig anzeigt, dann aber eine andere Wahl abspeichert.
 
* Der Wähler kann nicht kontrollieren, ob seine Stimme unverändert gespeichert wird. Es ist denkbar, dass eine manipulierte Software dem Wähler zwar seine Auswahl richtig anzeigt, dann aber eine andere Wahl abspeichert.
 
* Der Wahlgang muss grundsätzlich öffentlich kontrollierbar sein. Das gilt sowohl für die geheime Abgabe der Stimme als auch die Ermittlung des Wahlergebnisses. Bei den Nedap-Geräten finden Stimmabgabe und Ergebnisermittlung innerhalb des Gerätes statt und sind nicht verifizierbar. Das Prinzip der öffentlichen Kontrolle ist ein wesentliches Demokratieprinzip. Es ist nicht delegierbar, schon gar nicht an das Innenministerium oder den Hersteller der Wahlgeräte.  
 
* Der Wahlgang muss grundsätzlich öffentlich kontrollierbar sein. Das gilt sowohl für die geheime Abgabe der Stimme als auch die Ermittlung des Wahlergebnisses. Bei den Nedap-Geräten finden Stimmabgabe und Ergebnisermittlung innerhalb des Gerätes statt und sind nicht verifizierbar. Das Prinzip der öffentlichen Kontrolle ist ein wesentliches Demokratieprinzip. Es ist nicht delegierbar, schon gar nicht an das Innenministerium oder den Hersteller der Wahlgeräte.  
* Trotz der mangelnden Einsehbarkeit der Stimmenauszählung behauptet die Wahlniederschrift, die vom Wahlvorsteher und den Beisitzern unterschrieben werden muss, [[http://berlin.ccc.de/images/8/8b/BWahlGV_BGBl.pdf Absatz 5.6, S.32]]: ''"Die Wahlhandlung sowie die Ermittlung und die Feststellung des Wahlergebnisses waren öffentlich."'' Hier werden Wahlhelfer sogar zur Falschbeurkundung genötigt.
+
* Trotz der mangelnden Einsehbarkeit der Stimmenauszählung behauptet die Wahlniederschrift, die vom Wahlvorsteher und den Beisitzern unterschrieben werden muss, [[http://berlin.ccc.de/images/8/8b/BWahlGV_BGBl.pdf Absatz 5.6, S.&nbsp;32]]: ''"Die Wahlhandlung sowie die Ermittlung und die Feststellung des Wahlergebnisses waren öffentlich."'' Hier werden Wahlhelfer sogar zur Falschbeurkundung genötigt.
  
 
* Weil die Stimmen ausschließlich elektronisch im Gerät (bzw. auf dem Stimmenmodul) gespeichert werden, ist es nachträglich nicht möglich, das Wahlergebnis zu überprüfen. Jede Manipulation der elektronisch gespeicherten Stimmen muss daher unentdeckt bleiben. Die Notwendigkeit einer Überprüfbarkeit des Wahlergebnisses ergibt sich schon aus [http://dejure.org/gesetze/GG/41.html Art.41 GG] (Wahlprüfung). Es gibt verschiedene Konzepte, die eine solche Überprüfung ermöglichen. Dazu gehört der Voter Verifiable Paper Trail (VVPAT), bei dem die Stimmen auch auf Papier protokolliert werden, und die Stimmerzeugung und Stimmenauswertung an getrennten Geräten (z.B. per Drucker/Scanner oder per Kartenschreiber/Kartenleser).
 
* Weil die Stimmen ausschließlich elektronisch im Gerät (bzw. auf dem Stimmenmodul) gespeichert werden, ist es nachträglich nicht möglich, das Wahlergebnis zu überprüfen. Jede Manipulation der elektronisch gespeicherten Stimmen muss daher unentdeckt bleiben. Die Notwendigkeit einer Überprüfbarkeit des Wahlergebnisses ergibt sich schon aus [http://dejure.org/gesetze/GG/41.html Art.41 GG] (Wahlprüfung). Es gibt verschiedene Konzepte, die eine solche Überprüfung ermöglichen. Dazu gehört der Voter Verifiable Paper Trail (VVPAT), bei dem die Stimmen auch auf Papier protokolliert werden, und die Stimmerzeugung und Stimmenauswertung an getrennten Geräten (z.B. per Drucker/Scanner oder per Kartenschreiber/Kartenleser).
Zeile 78: Zeile 93:
 
====Organisatorische Mängel====
 
====Organisatorische Mängel====
 
* Die PTB prüft lediglich ein Gerät des Herstellers, das bei der PTB verbleibt. Für die bei den Wahlen tatsächlich eingesetzten Geräte gibt der Hersteller eine Baugleichheitserklärung ab. Somit    gibt es keine amtliche Überprüfung die sicherstellt, dass die tatsächlich zum Einsatz kommenden Geräte und die zugehörige Software frei von Manipulationen sind.
 
* Die PTB prüft lediglich ein Gerät des Herstellers, das bei der PTB verbleibt. Für die bei den Wahlen tatsächlich eingesetzten Geräte gibt der Hersteller eine Baugleichheitserklärung ab. Somit    gibt es keine amtliche Überprüfung die sicherstellt, dass die tatsächlich zum Einsatz kommenden Geräte und die zugehörige Software frei von Manipulationen sind.
* Obwohl der deutsche Vertreiber der Nedap-Geräte sowohl mit seinem Namen (HSG-Wahlsysteme) als auch in seinem Webauftritt suggeriert, der Wahlcomputer sei Bestandteil eines integralen Systems zu dem auch die Programmier- und Ausleseeinheit sowie die Konfigurationssoftware IWS gehören, prüft die PTB ausschließlich den eigentlichen Wahlcomputer. Die IT-Binsenweisheit, dass, was nicht getestet wird auch nicht funktioniert, hat sich dabei zuletzt beim Einsatz der Nedap-Geräte bei den Kommunalwahlen in Hessen 2006 gezeigt. Dabei kam es wegen Fehlern bei der Auswertesoftware zu erheblichen Problemen.
+
* Obwohl der deutsche Vertreiber der Nedap-Geräte sowohl mit seinem Namen (HSG-Wahlsysteme) als auch in seinem Webauftritt suggeriert, der Wahlcomputer sei Bestandteil eines integralen Systems zu dem auch die Programmier- und Ausleseeinheit sowie die Konfigurationssoftware IWS gehören, prüft die PTB ausschließlich den eigentlichen Wahlcomputer. Die IT-Binsenweisheit, dass, was nicht getestet wird, auch nicht funktioniert, hat sich dabei zuletzt beim Einsatz der Nedap-Geräte bei den Kommunalwahlen in Hessen 2006 gezeigt. Dabei kam es wegen Fehlern bei der Auswertesoftware zu erheblichen Problemen.
 
* Für die Programmierung der Speichermodule und die Überprüfung der ordnungsgemäßen Konfiguration für eine spezielle Wahl gibt es keine verbindlichen Richtlinien.
 
* Für die Programmierung der Speichermodule und die Überprüfung der ordnungsgemäßen Konfiguration für eine spezielle Wahl gibt es keine verbindlichen Richtlinien.
  
Zeile 90: Zeile 105:
  
 
===Referenzen===
 
===Referenzen===
Berichte der Irischen Kommission
+
Berichte der Irischen Kommission:
 
*[http://www.cev.ie/htm/report/download_first.htm Erster] und [http://www.cev.ie/htm/report/download_second.htm zweiter] Bericht der Irischen Kommission zu elektronischen Wahlen (12/2004 und 06/2006)], sehr ausführlich und lesenswert.
 
*[http://www.cev.ie/htm/report/download_first.htm Erster] und [http://www.cev.ie/htm/report/download_second.htm zweiter] Bericht der Irischen Kommission zu elektronischen Wahlen (12/2004 und 06/2006)], sehr ausführlich und lesenswert.
 
*[http://www.iol.ie/~aecolley/icte/Joe-CEV.pdf Eingabe eines Irischen Wählers an die Kommission]
 
*[http://www.iol.ie/~aecolley/icte/Joe-CEV.pdf Eingabe eines Irischen Wählers an die Kommission]
 
*Functional Specification [http://evoting.cs.may.ie/FoI_request/FUNCSPECpart1.pdf ESI1] und [http://www.electronicvoting.ie/pdf/Functional%2520Specification%252004-03.pdf ESI2] ESI1 und ESI2 sind die irische Version der in Deutschland zugelassenen Geräte ESD1 und ESD2
 
*Functional Specification [http://evoting.cs.may.ie/FoI_request/FUNCSPECpart1.pdf ESI1] und [http://www.electronicvoting.ie/pdf/Functional%2520Specification%252004-03.pdf ESI2] ESI1 und ESI2 sind die irische Version der in Deutschland zugelassenen Geräte ESD1 und ESD2
 
*E-Voting: Ja aber... [http://www.heise.de/kiosk/archiv/ct/06/16/54/ c't 16/2006, S. 54] Irische Commission on Electronic Voting legt neuen Bericht vor.
 
*E-Voting: Ja aber... [http://www.heise.de/kiosk/archiv/ct/06/16/54/ c't 16/2006, S. 54] Irische Commission on Electronic Voting legt neuen Bericht vor.
 +
 +
 +
*[http://dip.bundestag.de/btd/16/049/1604994.pdf Kleine Anfrage zum Einsatz von Wahlcomputern] (05.04.2007)
 +
**[http://wahlrecht.de/doku/doku/20070427_antwort_ka_16_4994-1.pdf Antwort der Bundesregierung] (27.04.2007)
  
 
==Geräte: Digitaler Wahlstift ("Hamburger Stift")==
 
==Geräte: Digitaler Wahlstift ("Hamburger Stift")==
  
In Hamburg wurde bei der Bundestagswahl 2005 mit einem digitalen Wahlstift parallel zur Urnenwahl Testwahlen mit einem digitalen Wahlstift durchgeführt. Dieser Stift erkennt über eine integrierte Optik Markierungen auf dem Stimmzettel und ermöglicht dadurch eine automatische elektronische Stimmerfassung. Der Papierstimmzettel wird vom Wähler weiterhin in die Urne geworfen, gleichzeitig wird die vom Stift erfasste elektronische Stimme an einer Docking-Station entladen. Auch die Stadt Mainz hat bei der Landtagswahl 2006 den Digitalen Wahlstift in einem Wahllokal getestet.  
+
In Hamburg wurde bei der Bundestagswahl 2005 mit einem digitalen Wahlstift parallel zur Urnenwahl Testwahlen mit einem digitalen Wahlstift durchgeführt. Dieser Stift erkennt über eine integrierte Optik Markierungen auf dem Stimmzettel und ermöglicht dadurch eine automatische elektronische Stimmerfassung. Der Papierstimmzettel wird vom Wähler weiterhin in die Urne geworfen, gleichzeitig wird die vom Stift erfasste elektronische Stimme an einer Docking-Station entladen. Auch die Stadt Mainz hat bei der Landtagswahl 2006 den Digitalen Wahlstift in einem Wahllokal getestet.  
  
Am 31.10.2006 hat der Hamburger Senat die Anschaffung des Digitalen Wahlstiftes beschlossen und dafür  5 Millionen Euro bereitgestellt. Von dem Einsatz des Wahlstiftes erhofft sich die Stadt Hamburg Einsparungen in Millionenhöhe. Angegeben werden für die "Handauszählung mit PC-Unterstützung" Kosten von 6,5 bis 7 Millionen Euro, für den "Digitalen Wahlstift" nur 3,9 Millionen Euro. [http://www.welt.de/data/2006/04/05/869972.html (Die Welt, 05.04.2006)] . Allerdings besteht dieser Kostenvorteil nur, solange die Stimmzettel nur stichprobenartig nachgezählt werden.
+
Am 31. Oktober 2006 hat der Hamburger Senat die Anschaffung des Digitalen Wahlstiftes beschlossen und dafür  5 Millionen Euro bereitgestellt. Von dem Einsatz des Wahlstiftes erhofft sich die Stadt Hamburg Einsparungen in Millionenhöhe. Angegeben werden für die "Handauszählung mit PC-Unterstützung" Kosten von 6,5 bis 7 Millionen Euro, für den "Digitalen Wahlstift" nur 3,9 Millionen Euro. [http://www.welt.de/data/2006/04/05/869972.html (Die Welt, 05.04.2006)] . Allerdings besteht dieser Kostenvorteil nur, solange die Stimmzettel nur stichprobenartig nachgezählt werden.
  
Den Zuschlag in Hamburg hat am 22.01.2007 die Bietergemeinschaft [http://www.halbach.com/dotforms/ Diagramm Halbach] / [http://www.wrs-hamm.de WRS Softwareentwicklung] erhalten. Offenbar entwickelt auch die IBM Deutschland zusammen mit der Allgemeinen Projekt-Entwicklung GmbH ein Wahlstift-System.  
+
Den Zuschlag in Hamburg hat am 22. Januar 2007 die Bietergemeinschaft [http://www.halbach.com/dotforms/ Diagramm Halbach] / [http://www.wrs-hamm.de WRS Softwareentwicklung] erhalten. Offenbar entwickelt auch die IBM Deutschland zusammen mit der Allgemeinen Projekt-Entwicklung GmbH ein Wahlstift-System.  
 +
 
 +
=== Schutzprofil nach Common Criteria ===
  
 
Anders als das Bundesinnenministerium hat die Hamburger Behörde des Inneren das [http://www.bsi.de Bundesamt für Sicherheit in der Informationsverarbeitung (BSI)] hinzugezogen und für den Wahlstift ein [http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-schutzprofil-pdf,property=source.pdf Schutzprofil] nach Common Criteria erstellen lassen. Das Schutzprofil setzt unter anderem voraus, dass "Adminstrator und Wahlvorstand ... nicht sorglos, nachlässig oder feindselig" handeln.  
 
Anders als das Bundesinnenministerium hat die Hamburger Behörde des Inneren das [http://www.bsi.de Bundesamt für Sicherheit in der Informationsverarbeitung (BSI)] hinzugezogen und für den Wahlstift ein [http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-schutzprofil-pdf,property=source.pdf Schutzprofil] nach Common Criteria erstellen lassen. Das Schutzprofil setzt unter anderem voraus, dass "Adminstrator und Wahlvorstand ... nicht sorglos, nachlässig oder feindselig" handeln.  
 +
 +
Grundsätzlich wird eine Wahlmanipulation durch den Wahlvorstand ausgeschlossen:
 +
 +
:''"Es wird angenommen, dass der Wahlvorstand vertrauenswürdig ist und den EVG nicht absichtlich manipuliert. Generell wird angenommen, dass nur in der Wahlkabine ein Manipulationsversuch am EVG stattfinden kann, da hier die Wähler unbeobachtet sind." (S.13)''
 +
 +
Würde man diese Annahme auf eine Papierwahl übertragen, müsste z.B. die Auszählung der Stimmen nicht öffentlich erfolgen. Auch interessant:
 +
 +
:''"Weder der Aufdruck der Rasterung auf dem Papierstimmzettel noch der Papierstimmzettel selbst ist Bestandteil des EVG." (S.12)''
  
 
Aus den von der Hamburger Behörde für Inneres vorgelegten [http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-folien-pdf,property=source.pdf Unterlagen] lässt sich schon jetzt erkennen,  dass selbst eine stichprobenartige Auszählung der Stimmzettel nur für den erstmaligen Einsatz des digitalen Wahlstiftes vorgesehen ist. Mit dem Einsatz des digitalen Wahlstiftes wird daher das Prinzip der öffentlichen und transparenten Ergebnisermittlung ebenso verletzt wie bei herkömmlichen Wahlcomputern. Das ist aus wahlrechtlicher und verfassungsrechtlicher Sicht nicht akzeptabel.  
 
Aus den von der Hamburger Behörde für Inneres vorgelegten [http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-folien-pdf,property=source.pdf Unterlagen] lässt sich schon jetzt erkennen,  dass selbst eine stichprobenartige Auszählung der Stimmzettel nur für den erstmaligen Einsatz des digitalen Wahlstiftes vorgesehen ist. Mit dem Einsatz des digitalen Wahlstiftes wird daher das Prinzip der öffentlichen und transparenten Ergebnisermittlung ebenso verletzt wie bei herkömmlichen Wahlcomputern. Das ist aus wahlrechtlicher und verfassungsrechtlicher Sicht nicht akzeptabel.  
Zeile 113: Zeile 142:
  
 
===Angriffe===
 
===Angriffe===
Der Digitale Wahlstift ist die einzige "Wahlmaschine",
+
Der Digitale Wahlstift ist die einzige "Wahlmaschine", bei der sich betrügen lässt, ohne das Gerät manipulieren zu müssen. Das
bei der sich betrügen lässt, ohne das Gerät manipulieren zu müssen. Das
+
Szenario kommt mit 5-6 Innentätern für eine Hamburger Wahl aus: Die Böse Partei druckt Stimmzettel, bei denen die vom Wahlstift gescannte Schraffur in den Kästchen der anderen Parteien der Bösen Partei entspricht. Dadurch wird ein Kreuz auf diesem Stimmzettel immer für die Böse Partei gezählt. Da der Stift nicht anzeigt, welche Partei er gespeichert hat, ist der Betrug für Wähler und Wahlleiter nicht zu erkennen. Je nach vorheriger Meinungsumfrage wird ein entsprechende Prozentsatz der Stimmzettel zentral ausgetauscht um ein noch glaubwürdiges Ergebnis zu erreichen.
Szenario kommt mit 5-6 Innentätern für eine Hamburger Wahl aus: Die Böse
+
Partei druckt Stimmzettel, bei denen die vom Wahlstift gescannte
+
Schraffur in den Kästchen der anderen Parteien der Bösen Partei entspricht.
+
Dadurch wird ein Kreuz auf diesem Stimmzettel immer für die Böse Partei gezählt.
+
Da der Stift nicht anzeigt, welche Partei er gespeichert hat, ist der
+
Betrug für Wähler und Wahlleiter nicht zu erkennen. Je nach vorheriger
+
Meinungsumfrage wird ein entsprechende Prozentsatz der Stimmzettel
+
zentral ausgetauscht um ein noch glaubwürdiges Ergebnis zu erreichen.
+
  
Abgesehen von diesem Szenario besteht auch die Möglichkeit, den
+
Abgesehen von diesem Szenario besteht auch die Möglichkeit, den zählenden PC zu manipulieren. Die eingesetzten Virenscanner sind
zählenden PC zu manipulieren. Die eingesetzten Virenscanner sind
+
kein Schutz vor unbekannten Trojanern weil es dafür keine Signaturen geben kann. Die feste Verankerung einer signifikanten Anzahl an Nachzählungen im Wahlrecht ist also unumgänglich. Um zu verhindern, dass Innentäter die Kontrollen umgehen können, darf die Auswahl erst nach Ermittlung der Ergebnisses stattfinden und muss absolut zufällig sein.
kein Schutz vor unbekannten Trojanern weil es dafür keine Signaturen geben
+
kann. Die feste Verankerung einer signifikanten Anzahl an Nachzählungen
+
im Wahlrecht ist also unumgänglich. Um zu verhindern, dass Innentäter die
+
Kontrollen umgehen können, darf die Auswahl erst nach Ermittlung der
+
Ergebnisses stattfinden und muss absolut zufällig sein.
+
  
 
Als kleinen Hack, um in einer Nachzählung eine Differenz zwischen elektronischem und Papierergebnis zu erreichen, könnte man folgendermaßen seine Stimme abgeben:  
 
Als kleinen Hack, um in einer Nachzählung eine Differenz zwischen elektronischem und Papierergebnis zu erreichen, könnte man folgendermaßen seine Stimme abgeben:  
Zeile 143: Zeile 159:
  
 
===Dokumentation===
 
===Dokumentation===
 +
*[http://www.bsi.de/zertifiz/zert/reporte/PP0031b.pdf Common Criteria Schutzprofil, Digitales Wahlstift-System] (Version 1.0.1, 28.02.2007)
 
*[http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-schutzprofil-pdf,property=source.pdf Common Criteria Schutzprofil Digitales Wahlstift-System] Vom Deutschen Forschungszentrum für Künstliche Inteligenz im Auftrag der Freien und Hansestadt Hamburg entwickelt. (22.09.2006)
 
*[http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-schutzprofil-pdf,property=source.pdf Common Criteria Schutzprofil Digitales Wahlstift-System] Vom Deutschen Forschungszentrum für Künstliche Inteligenz im Auftrag der Freien und Hansestadt Hamburg entwickelt. (22.09.2006)
 
*[http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-wahlgvo-pdf,property=source.pdf Richtlinien für den Einsatz des Digitalen Wahlstift-Systems] bei Wahlen zur Hamburgischen Bürgerschaft und Wahlen zu den Bezirksversammlungen sowie bei der Durchführung von Volksentscheiden. Behörde für Inneres der Freien und Hansestadt Hamburg, 04.10.2006
 
*[http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift-wahlgvo-pdf,property=source.pdf Richtlinien für den Einsatz des Digitalen Wahlstift-Systems] bei Wahlen zur Hamburgischen Bürgerschaft und Wahlen zu den Bezirksversammlungen sowie bei der Durchführung von Volksentscheiden. Behörde für Inneres der Freien und Hansestadt Hamburg, 04.10.2006
Zeile 150: Zeile 167:
 
*[http://www.halbach.com/dotforms/ Diagramm Halbach GmbH], [http://www.wrs-hamm.de/ WRS Softwareentwicklung GmbH] Die Bietergemeinschaft Halbach/WRS hat den Zuschlag für das Wahlstift-System in Hamburg erhalten.
 
*[http://www.halbach.com/dotforms/ Diagramm Halbach GmbH], [http://www.wrs-hamm.de/ WRS Softwareentwicklung GmbH] Die Bietergemeinschaft Halbach/WRS hat den Zuschlag für das Wahlstift-System in Hamburg erhalten.
 
*[http://www.anoto.com/ Anoto Group AB] Der Digitale Stift verwendet Technologie der schwedischen Anoto Group.
 
*[http://www.anoto.com/ Anoto Group AB] Der Digitale Stift verwendet Technologie der schwedischen Anoto Group.
 +
*[http://www.portal-systems.net/index.php?action=show_site&id=135 Funktionsweise des Stifts]
 
*[http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift.html Bürgerschaft und Bezirksversammlungen werden 2008 digital gewählt] Pressemitteilung der Stadt Hamburg (31.10.2006)
 
*[http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/31/2006-10-31-bfi-pm-wahl-digitalerstift.html Bürgerschaft und Bezirksversammlungen werden 2008 digital gewählt] Pressemitteilung der Stadt Hamburg (31.10.2006)
 
*[http://fhh.hamburg.de/stadt/Aktuell/wahl/buergerschaftswahlen/wahlrecht/wahlverfahren/digitaler-stift/start.html Informationen der Stadt Hamburg zum digitalen Stift]
 
*[http://fhh.hamburg.de/stadt/Aktuell/wahl/buergerschaftswahlen/wahlrecht/wahlverfahren/digitaler-stift/start.html Informationen der Stadt Hamburg zum digitalen Stift]
Zeile 156: Zeile 174:
 
*[http://www.welt.de/data/2007/01/23/1185958.html Hamburg bestellt 12 000 digitale Wahlstifte für 2008 (Die Welt, 23.01.2007)]
 
*[http://www.welt.de/data/2007/01/23/1185958.html Hamburg bestellt 12 000 digitale Wahlstifte für 2008 (Die Welt, 23.01.2007)]
 
*Der Urnen-Bypass, Ein elektronischer Wahlstift als Alternative zu Wahlmaschinen, Richard Sietmann, c't 26/06, Seite 92 [http://www.heise.de/kiosk/archiv/ct/06/26/092/]
 
*Der Urnen-Bypass, Ein elektronischer Wahlstift als Alternative zu Wahlmaschinen, Richard Sietmann, c't 26/06, Seite 92 [http://www.heise.de/kiosk/archiv/ct/06/26/092/]
*[http://www.abendblatt.de/daten/2006/11/01/632766.html Weltpremiere! Hamburg wählt in Zukunft digital (Abendblatt.de, 1.11.2006)]  
+
*[http://www.abendblatt.de/daten/2006/11/01/632766.html Weltpremiere! Hamburg wählt in Zukunft digital (Abendblatt.de, 01.11.2006)]  
*[http://www.heise.de/newsticker/meldung/80347 E-Voting: Hamburg führt den digitalen Wahlstift ein (heise.de, 1.11.2006)]  
+
*[http://www.heise.de/newsticker/meldung/80347 E-Voting: Hamburg führt den digitalen Wahlstift ein (heise.de, 01.11.2006)]  
 
*[http://www.welt.de/data/2006/04/05/869972.html Wähler sollen künftig digitale Kreuze machen (Die Welt, 05.04.2006)]
 
*[http://www.welt.de/data/2006/04/05/869972.html Wähler sollen künftig digitale Kreuze machen (Die Welt, 05.04.2006)]
 
*[http://www.heise.de/ct/06/06/090/default.shtml Der Stift-Kompromiss, Das Hamburger Landeswahlamt propagiert fürs e-Voting den digitalen Wahlstift, Richard Sietmann] c't 6/2006, S. 90
 
*[http://www.heise.de/ct/06/06/090/default.shtml Der Stift-Kompromiss, Das Hamburger Landeswahlamt propagiert fürs e-Voting den digitalen Wahlstift, Richard Sietmann] c't 6/2006, S. 90
  
==Geräte: ES&S iVotronic==
+
==Geräte: ES&S ==
In letzter Zeit gibt es verschiedene Indizien, dass der US-amerikanische Wahlcomputer-Hersteller ES&S einen Markteintritt in Deutschland vorbereitet. In Frankreich hat das Unternehmen bereits Vertriebsstrukturen aufgebaut und verfügt auch über eine Bauartzulassung. In Deutschland existiert eine Bauartzulassung für Geräte dieses Herstellers weder auf Bundes- noch auf Landesebene.
+
Der US-amerikanische Wahlcomputer-Hersteller ES&S bereitet seinen Markteintritt in Deutschland vor. In Frankreich hat das Unternehmen bereits Vertriebsstrukturen aufgebaut und verfügt auch über eine Bauartzulassung. In Deutschland existiert eine Bauartzulassung für Geräte dieses Herstellers weder auf Bundes- noch auf Landesebene, ist aber nach Angaben des Herstellers bei der Physikalisch-Technischen Bundesanstalt beantragt. Auf der CeBIT 2007 stellte ES&S sein für den Deutschen Markt entwickeltes Wahlgerät intElect LS100 vor.
  
 +
Ebenso wie die Nedap-Wahlgeräte speichern die ES&S-Computer die Stimmen ausschließlich elektronisch und verfügen über keine geräteunabhängige Möglichkeit, das Wahlergebnis zu überprüfen. Sie wären deshalb gegebenenfalls von einer Entscheidung im noch beim Bundesverfassungsgericht anhängigen [http://www.ulrichwiesner.de/wahlpruefung.html Wahlprüfungsverfahren] betroffen. Jede Gemeinde, die jetzt diese Geräte anschafft, geht also ein erhebliches Investitionsrisiko ein.
 +
 +
Falls dies zu einem späteren Zeitpunkt gesetzlich vorgeschrieben würde, lassen sich die Maschinen nach Herstellerangaben mit einer Vorrichtung für einen Papier-Ausdruck (VVPAT) nachrüsten.
 +
 +
Die von ES&S vorgestellten Wahlcomputer sind mit einem Stückpreis von rund 6000 Euro etwa um die Hälfte teurer als die Nedap-Geräte. Damit sind Wahlen mit den ES&S-Geräten vermutlich auch teurer als eine traditionelle Papierwahl.
 +
 +
== Quellen und weitere Informationen==
 +
 +
*[http://www.heise.de/newsticker/meldung/87084 Cebit 2007: E-Voting am Großbildschirm, ES&S] Heise.de, 21.03.2007
 +
*[http://www.presseportal.de/story.htx?nr=955959&firmaid=65711 CeBIT 2007: Election Systems & Software präsentiert Wahlcomputer für den deutschen Markt] (15.3.2007)
 
*[http://www.essvote.com ES&S Election Systems & Software]
 
*[http://www.essvote.com ES&S Election Systems & Software]
 
*[http://accurate-voting.org/wp-content/uploads/2006/09/webb-report2.pdf Dan Wallach: Security and Reliability of Webb County’s ES&S Voting System and the March ’06 Primary Election (02.10.2006)]
 
*[http://accurate-voting.org/wp-content/uploads/2006/09/webb-report2.pdf Dan Wallach: Security and Reliability of Webb County’s ES&S Voting System and the March ’06 Primary Election (02.10.2006)]
Zeile 172: Zeile 200:
 
Einige Bundesländer gehen dazu über, bei der Auszählung der Stimmzettel Computer einzusetzen. Dabei werden die Stimmzettel manuell erfasst und dabei von der eingesetzten Software laufend oder anschließend gezählt. Eine [[Wahlcomputer:_e-Counting|Übersicht zu Zählsystemen bieten wir hier]].
 
Einige Bundesländer gehen dazu über, bei der Auszählung der Stimmzettel Computer einzusetzen. Dabei werden die Stimmzettel manuell erfasst und dabei von der eingesetzten Software laufend oder anschließend gezählt. Eine [[Wahlcomputer:_e-Counting|Übersicht zu Zählsystemen bieten wir hier]].
  
==[[Wahlcomputer:_Internetwahlen|Online-Wahlen (remote e-Voting)]]==
+
==[[Wahlcomputer:_Internetwahlen|Online-Wahlen (i-Voting / remote e-Voting)]]==
  
 
Oft werden Wahlcomputer nur für einen Zwischenschritt auf dem vorgeblich unvermeidbaren Weg zu Internetwahlen gehalten. In Estland und der Schweiz haben erste politische Internetwahlen auf kommunaler Ebene stattgefunden oder sind in Vorbereitung. [[Wahlcomputer:_Internetwahlen|Mehr zu Internetwahlen gibt es hier]].
 
Oft werden Wahlcomputer nur für einen Zwischenschritt auf dem vorgeblich unvermeidbaren Weg zu Internetwahlen gehalten. In Estland und der Schweiz haben erste politische Internetwahlen auf kommunaler Ebene stattgefunden oder sind in Vorbereitung. [[Wahlcomputer:_Internetwahlen|Mehr zu Internetwahlen gibt es hier]].
Zeile 182: Zeile 210:
 
==[[Wahlcomputer:_Einsatz_im_Ausland|Einsatz von Wahlcomputern im Ausland]]==
 
==[[Wahlcomputer:_Einsatz_im_Ausland|Einsatz von Wahlcomputern im Ausland]]==
 
Eine Übersicht über den Einsatz von Wahlcomputern im Ausland finden Sie [[Wahlcomputer:_Einsatz_im_Ausland|hier]].
 
Eine Übersicht über den Einsatz von Wahlcomputern im Ausland finden Sie [[Wahlcomputer:_Einsatz_im_Ausland|hier]].
 +
 +
==Aktionen des CCC==
 +
 +
Mitglieder des CCC sind mehrfach als Wahlbeobachter aufgetreten:
 +
* [http://www.ccc.de/updates/2006/bericht-ob-wahl-cottbus OB-Wahl in Cottbus vom 24.09.2006]
 +
* [[Bürgermeister-Wahl in Fredersdorf-Vogelsdorf vom 11.11.2007]]
 +
* Landtagswahl in Hessen 2008
 +
* Kommunalwahl in Brandenburg 2008
 +
 +
Obwohl bei diesen Aktionen wiederholt eklatante Sicherheitsmängel festgestellt wurden, die sich z. T. aus der Handhabung durch die Wahlhelfer, z. T. aber auch durch die Systemarchitektur der Computer an sich ergeben, hält das Innenministerium den Einsatz dieser Geräte für [http://www.heise.de/newsticker/meldung/89256 sicher].
 +
 +
==[[Wahlcomputer: Mitmachen|Mitmachen]]==
 +
 +
Was kann der Einzelne tun.
  
 
==[[Wahlcomputer:_Pressespiegel_und_Literatur|Pressespiegel und Literatur]]==
 
==[[Wahlcomputer:_Pressespiegel_und_Literatur|Pressespiegel und Literatur]]==

Aktuelle Version vom 30. Oktober 2009, 00:50 Uhr

Kontakt: wahlcomputer [at] ccc.de

Als Wahlmaschinen bezeichnet man mechanische, elektrische sowie rechnergesteuerte Geräte, die bei Wahlen der Abgabe und Zählung der Wählerstimmen dienen. Solche Geräte werden im deutschen Wahlrecht als Wahlgeräte bezeichnet. Dieser Artikel diskutiert Probleme, die beim Einsatz von Wahlcomputern, also rechnergesteuerten Wahlgeräten, entstehen oder entstehen können.

In Deutschland wurden Wahlcomputer seit der Europawahl 1999 eingesetzt, bei Bundestagswahlen erstmalig im Jahre 2002. Bei den Bundestagswahlen 2005 erfolgte der Einsatz bereits im großen Stil - über zwei Millionen Wähler waren betroffen. Der letzte größere Wahlcomputer-Einsatz in Deutschland waren die Landtagswahlen in Hessen im Januar 2008.

Bei Kommunalwahlen kommen auch für die Erfassung und Auszählung von konventionellen Stimmzetteln zunehmend Computersysteme zum Einsatz. Solche reinen Zählsysteme sind nicht Gegenstand irgendeines Zulassungsverfahrens oder einer technischen Überprüfung.

Eine Bundestags-Petition gegen Wahlcomputer wurde am 28. November 2006 mit 45.126 Unterschriften beendet. Weitere Informationen zur Anti-Wahlcomputer-Petition.

Das Urteil des Bundesverfassungsgerichts vom 3. März 2009 erklärte die aktuelle Bundeswahlgeräteverordnung für ungültig. Siehe auch:

Nedap bzw. HSG Wahlsysteme hofft jetzt auf eine neue Bundeswahlgeräteverordnung mit Paper Trail:

Der Wahlstift und Stimmzettelscanner wurden im Urteil auch explizit als mögliche Lösungen erwähnt. Der Knackpunkt bei allen Systemen ist immer die Quote der Nachzählung. Wird zu 100 % nachgezählt lohnt der Einsatz für die Gemeinden nicht, wird < 100 % nachgezählt ist wieder eine Manipulation möglich.

Problematik

Bei Stimmzettelwahlen in demokratischen Staaten ist der gesamte Wahlablauf, vom Aufstellen der Urne bis zur Ergebnisfeststellung, grundsätzlich öffentlich und damit auch verfizierbar. Diese Möglichkeit der Kontrolle durch Jedermann wird aus dem Demokratieprinzip (Art. 20 GG) abgeleitet und ist rechtlich unumstritten.

Beim Einsatz von Wahlcomputern werden wesentliche Schritte des Wahlablaufs in das Innere eines Gerätes verlegt und damit der öffentlichen Kontrolle entzogen. Wähler, Öffentlichkeit und selbst Wahlvorstände können nicht mehr nachvollziehen, was im Inneren des Geräten mit den Stimmen geschieht und wie die Ergebnisermittlung im einzelnen vor sich geht. Die Integrität der Wahl hängt damit vom ordentlichen Funktionieren der Wahlcomputer und deren Manipulationssicherheit ab und kann allenfalls noch von den wenigen Personen beurteilt werden, die mit der Prüfung von Wahlgeräten befasst sind.

"Wahlcomputer müssen in Deutschland verboten werden, bevor wir auch hier Zustände wie in den USA oder Mexico bekommen. Die hier verwendeten Nedap-Computer sind mindestens genauso unsicher und manipulierbar, wie die aus den Wahlskandalen in den USA bekannten Systeme. Mit manipulierten Wahlcomputern kann eine entschlossene Gruppe die Macht ergreifen, ohne nach außen hin die Spielregeln der Demokratie zu verletzen." so CCC-Sprecher Andy Müller-Maguhn.

Dass die Gefahr eines Wahlbetrugs kein Problem aus der Stasi- oder Nazi-Zeit ist hat die CSU Dachau bei den bayerischen Kommunalwahlen im März 2002 eindrucksvoll bewiesen. Der ehemalige 67-jährige CSU-Stadtrat Wolfgang Aechtner hatte damals 466 Stimmzettel zu Gunsten der CSU manipuliert. Er wurde im Januar 2003 zu einer Freiheitsstrafe von zwei Jahren auf Bewährung und einer Geldbuße von 125.000 Euro verurteilt. (Wikipedia: Wahlfälschungsskandal von Dachau)

Zulassung, Anschaffung und Einsatz

Der Einsatz von Wahlgeräten bei Wahlen zum Bundestag und zum Europäschen Parlament ist in § 35 des Bundeswahlgesetzes (BWahlG) und der vom Bundesinnenminister erlassenen Bundeswahlgeräteverordnung (BWahlGV) geregelt. In einem zweistufigen Zulassungsverfahren beantragt der Gerätehersteller zunächst eine Bauartzulassung für einen bestimmten Gerätetyp. Im Rahmen der Bauartzulassung erfolgt eine Überprüfung eines Geräts durch die physikalisch-technische Bundesanstalt (PTB). Die Prüfung erfolgt eng am Wortlaut der Richtlinien für die Bauart von Wahlgeräten, die Bestandteil der BWahlGV sind. Die Ergebnisse dieser Überprüfung werden weder vom Innenministerium noch von der PTB veröffentlicht. Seit August 2006 sind jedoch mehrere Prüfberichte mit Zustimmung des Herstellers bei wahlrecht.de einsehbar. Bei erfolgreichem Test erfolgt die Bauartzulassung durch den Bundesinnenminister. Außerdem ist eine Zulassung durch den Innenminister für die jeweilige Wahl erforderlich.

In einigen Bundesländern (NRW, Hessen, Rheinland-Pfalz, Brandenburg, Sachsen-Anhalt, Niedersachsen) bestehen analoge Regelungen für den Einsatz bei Landtags- und Kommunalwahlen. Hier erfolgt die Zulassung durch die Landesinnenminister in der Regel, wenn eine Bauartzulassung auf Bundesebene vorliegt.

Nach erfolgter Zulassung durch den jeweiligen Innenminister treffen die Gemeinden die Entscheidung über den Einsatz von Wahlgeräten. Die jeweiligen Innenminister oder Wahlleiter sind bei dieser Entscheidung nicht weisungsbefugt. In der Praxis werden Wahlgeräte von Gemeinden gekauft, geleast oder für eine bestimmte Abstimmung gemietet. Eine technische Prüfung der im Wahllokal eingesetzten Wahlgeräte erfolgt nicht; der Hersteller bestätigt lediglich, dass die Geräte mit der geprüften Bauart übereinstimmen.

Eine Bauartzulassung für mikroprozessorgesteuerte Wahlgeräte ist bisher ausschließlich für die Typen ESD1 und ESD2 des niederländischen Herstellers Nedap erfolgt. Diese Geräte wurden erstmalig im Jahre 1999 von der Stadt Köln bei der Wahl zum Europäischen Parlament eingesetzt. Ein Einsatz bei Bundestagswahlen erfolgte in den Jahren 2002 und 2005, vor allem in Nordrhein-Westfalen.

Geräte: Nedap ESD1, ESD2 und ES3B

Die Geräte ESD1 und ESD2 der niederländischen Firma N.V.Nederlandsche Apparatenfabriek (Nedap) sind derzeit die einzigen Wahlcomputer mit Bauartzulassung in Deutschland. Die Geräte werden in Deutschland von der HSG-Wahlsysteme GmbH vertrieben.

Das in den Niederlanden eingesetzte ES3B ist fast baugleich zu den in Deutschland eingesetzten ESD1 und ESD2. Laut einer Untersuchung (S.4) der niederländischen Prüfbehörde TNO ist die Hardware der niederländischen ES3B- und der deutschen ESD1-Geräte bis auf triviale Ausstattungsdetails wie Farbe der Stimmtaste und die Zahl der Knöpfe am Kontrollgerät des Wahlvorstands identisch.

Der Nedap-Hack

Im Oktober 2006 gelang es der niederländischen Initiative Wij vertrouwen stemcomputers niet, drei Geräte des Typs Nedap ES3B zu beschaffen. In einem technischen Artikel beschreibt die Initiative detailliert Sicherheitmängel dieser Geräte. Im niederländischen Fernsehen demonstrierten Wij Vertrouwen Stemcomputers Niet vor laufender Kamera, wie sich durch Austausch der installierten Software Wahlen manipulieren lassen. An der Analyse war auch der Chaos Computer Club Berlin beteiligt.

Wahlvorbereitung

Vor der Wahl werden die Wahlgeräte im Wahlamt für die jeweilige Wahl konfiguriert. Nach Definition der zur Wahl stehenden Parteien und Kandidaten werden die Stimmenmodule mit einer PC-Software (IWS) über die mit dem PC verbundene Programmier- und Ausleseeinheit für die Wahl vorbereitet. Für jedes Wahlgerät ist die Programmierung eines solchen Stimmenmoduls notwendig. Außerdem werden mit dem PC Nachbildungen der amtlichen Stimmzettel erstellt, die anschließend auf dem Bedienpult der Wahlgeräte angebracht werden.

Wahlvorbereitung

Wahlgang

Über die Kontrolleinheit wird das Wahlgerät von einem Wahlhelfer für jeden Wähler einzeln zur Stimmabgabe freigegeben. Der Wähler kann, je nach Art der Wahl (Bundestag, Kommunalwahl), seine Stimmen abgeben. Auch die Abgabe einer ungültigen Stimme ist möglich. Anschließend bestätigt der Wähler seine Auswahl und gibt damit die Stimme ab. Die abgegebenen Stimmen werden unmittelbar in dem Stimmenmodul abgelegt.

Nach Ende der Abstimmung wird das Wahlgerät in einen anderen Betriebsmodus versetzt. Die im Stimmenmodul abgelegten Stimmen werden saldiert und das Ergebnis mit einem integrierten Thermodrucker ausgedruckt. Der Wahlleiter entnimmt das Stimmenmodul, versiegelt es und schickt es gemeinsam mit der Wahlniederschrift an das Wahlamt.

Wahlgang

Wahlnachbereitung

Die Stimmenmodule aus den einzelnen Wahllokalen werden nacheinander in die Programmier- und Ausleseeinheit eingebracht. Die darauf gespeicherten Stimmen werden mit der IWS-Software in eine Datenbank gelesen, gezählt und veröffentlicht.

Wahlnachbereitung

Gegenstand des Zulassungsverfahrens in Deutschland ist lediglich der Wahlcomputer selbst. Die Kontrolleineit und die PC-Software werden von der Physikalisch Technischen Bundesanstalt nicht untersucht und Ihr Einsatz untersteht nicht der Zulassungspflicht.

In Hessen kam es bei der Kommunalwahl 2006 in mehreren Gemeinden, in denen die Wahlgeräte auch zur Auszählung von Briefwahlstimmen eingesetzt wurden, zu Problemen mit der Auswertesoftware. Die Ergebnisse der Auswertesoftware stimmten nicht mit den Ausdrucken der Wahlcomputer überein. Nachdem der Hersteller eine neue Version der Software bereitgestellt hatte, mussten die Stimmenmodule neu eingelesen und das Ergebnis neu berechnet werden.

Mängel

Gegen den Einsatz der Nedap-Geräte sind erhebliche Bedenken geltend gemacht worden. Gegen den Einsatz dieser Geräte bei den Bundestagswahlen 2005 sind beim Bundesverfassungsgricht mehrere Wahlprüfungsbeschwerden anhängig (2 BvC 3/07, 2 BvC 4/07, 2 BvC 5/07) . Die Beschwerden werden vor allem in der Verletzung des Öffentlichkeitsprinzips bei der Wahldurchführung und der fehlenden Überprüfbarkeit des Ergebnisses begründet.

In Irland hat sich im Jahre 2004 eine von der Regierung eingesetzte Kommission zur Untersuchung der Nedap-Geräte gegen einen Einsatz dieser Geräte in Irland ausgesprochen. Die Ablehnung der Geräte wurde damit begründet, dass die Eignung der Geräte nicht in ausreichendem Umfang nachgewiesen werden konnte. Zudem wird in dem Bericht der Kommission die fehlende Überprüfbarkeit des Wahlergebnis und ein mangelhaftes Sicherheitskonzept der Geräte moniert.

In den Niederlanden hat eine Regierungskommission unter der Leitung des Ministers a.D. Korthals Altes im September 2007 ihren Bericht "Voting with Confidence" vorgelegt und kritisiert, die mangelnde Transparenz der in den Niederlanden eingesetzten Wahlgeräte und die fehlende Überprüfbarkeit der mit ihnen ermittelten Ergebnisses sei mit Wahlrechtsprinzipien nicht vereinbar. In unmittelbarer Reaktion darauf hat die niederländische Regierung die dortige Wahlgeräteverordnung aufgehoben und damit den Einsatz von Wahlcomputern zunächst verboten.

Funktionale Mängel

  • Der Wähler kann nicht kontrollieren, ob seine Stimme unverändert gespeichert wird. Es ist denkbar, dass eine manipulierte Software dem Wähler zwar seine Auswahl richtig anzeigt, dann aber eine andere Wahl abspeichert.
  • Der Wahlgang muss grundsätzlich öffentlich kontrollierbar sein. Das gilt sowohl für die geheime Abgabe der Stimme als auch die Ermittlung des Wahlergebnisses. Bei den Nedap-Geräten finden Stimmabgabe und Ergebnisermittlung innerhalb des Gerätes statt und sind nicht verifizierbar. Das Prinzip der öffentlichen Kontrolle ist ein wesentliches Demokratieprinzip. Es ist nicht delegierbar, schon gar nicht an das Innenministerium oder den Hersteller der Wahlgeräte.
  • Trotz der mangelnden Einsehbarkeit der Stimmenauszählung behauptet die Wahlniederschrift, die vom Wahlvorsteher und den Beisitzern unterschrieben werden muss, [Absatz 5.6, S. 32]: "Die Wahlhandlung sowie die Ermittlung und die Feststellung des Wahlergebnisses waren öffentlich." Hier werden Wahlhelfer sogar zur Falschbeurkundung genötigt.
  • Weil die Stimmen ausschließlich elektronisch im Gerät (bzw. auf dem Stimmenmodul) gespeichert werden, ist es nachträglich nicht möglich, das Wahlergebnis zu überprüfen. Jede Manipulation der elektronisch gespeicherten Stimmen muss daher unentdeckt bleiben. Die Notwendigkeit einer Überprüfbarkeit des Wahlergebnisses ergibt sich schon aus Art.41 GG (Wahlprüfung). Es gibt verschiedene Konzepte, die eine solche Überprüfung ermöglichen. Dazu gehört der Voter Verifiable Paper Trail (VVPAT), bei dem die Stimmen auch auf Papier protokolliert werden, und die Stimmerzeugung und Stimmenauswertung an getrennten Geräten (z.B. per Drucker/Scanner oder per Kartenschreiber/Kartenleser).

Technische Mängel

Da das Zulassungsverfahren für die Wahlgeräte unter Ausschluss der Öffentlichkeit stattfindet, sind wir bei der Beurteilung der technischen Zuverlässigkeit auf den Bericht der irischen eVoting-Kommission angewiesen. In diesem Bericht werden verschiedene technische Mängel angesprochen:

  • Weder Wahlvorstand noch die Wähler noch Wahlbeobachter können kontrollieren, ob es sich bei der installierten Software die zugelassene, unmanipulierte Software-Version handelt. Zwar wird beim Gerätestart die Version der installierten Software zusammen mit Prüfsummen angezeigt. Dies bietet jedoch keine Sicherheit: Auch eine manipulierte Software könnte hier die erwarteten Wert anzeigen.
  • Die Gutachter monieren, dass zwei Minuten unautorisierter Zugang zu den Geräten ausreichen, um die installierte Software gegen eine manipulierte Version auszutauschen. Der einzige technische Schutz dagegen bestehe in der Geräteversiegelung. Diese (nichtamtliche) Versiegelung sei leicht zu entfernen.
  • Die Stimmen werden auf den Speichermodulen unverschlüsselt und unsigniert abgelegt. Die Module verwenden Speicherchips, deren Spezifikation öffentlich zugänglich ist. Deshalb besteht der einzige technische Schutz vor einer Manipulation der gespeicherten Stimmen in den herstellerspezifischen Steckkontakten der Module.

Organisatorische Mängel

  • Die PTB prüft lediglich ein Gerät des Herstellers, das bei der PTB verbleibt. Für die bei den Wahlen tatsächlich eingesetzten Geräte gibt der Hersteller eine Baugleichheitserklärung ab. Somit gibt es keine amtliche Überprüfung die sicherstellt, dass die tatsächlich zum Einsatz kommenden Geräte und die zugehörige Software frei von Manipulationen sind.
  • Obwohl der deutsche Vertreiber der Nedap-Geräte sowohl mit seinem Namen (HSG-Wahlsysteme) als auch in seinem Webauftritt suggeriert, der Wahlcomputer sei Bestandteil eines integralen Systems zu dem auch die Programmier- und Ausleseeinheit sowie die Konfigurationssoftware IWS gehören, prüft die PTB ausschließlich den eigentlichen Wahlcomputer. Die IT-Binsenweisheit, dass, was nicht getestet wird, auch nicht funktioniert, hat sich dabei zuletzt beim Einsatz der Nedap-Geräte bei den Kommunalwahlen in Hessen 2006 gezeigt. Dabei kam es wegen Fehlern bei der Auswertesoftware zu erheblichen Problemen.
  • Für die Programmierung der Speichermodule und die Überprüfung der ordnungsgemäßen Konfiguration für eine spezielle Wahl gibt es keine verbindlichen Richtlinien.

Zwischenfälle

In den Niederlanden ist es bei Kommunalwahlen im Frühjahr 2006 zu einem Fall von Wahlbetrug mit einem Nedap-Gerät gekommen. In der zum Kreis Landerd gehörenden Gemeinde Zeeland hat ein Kandidat in einem Wahllokal, in dem er selbst als Wahlhelfer eingesetzt war, 181 Stimmen erhalten. In den übrigen drei Wahllokalen, in denen der Kandidat zur Wahl stand, erhielt er insgesamt 11 Stimmen. Bei einer nachträglichen "Schattenwahl" einer Lokalzeitung ließ sich das gute Ergebnis des Kandidaten nicht reproduzieren. Möglicherweise missbrauchte der Wahlhelfer eine Funktionalität der Nedap-Geräte, die es dem Wahlhelfer ermöglicht das Gerät wieder zu sperren, falls ein Wähler seine Stimme nicht abgibt. Dabei wird das Gerät wieder in den Grundzustand gebracht und zeigt auf seinem Bedienfeld "Sie haben gewählt" an. Unerfahrene Geräte-Wähler können damit möglicherweise gehindert werden, Ihre Stimme abzugeben. Anschließend kann ein Betrüger solche Stimmen selbst abgeben. Für einen solchen Angriff ist allerdings eine Kooperation oder mindestens Blauäugigkeit der übrigen anwesenden Wahlhelfer notwendig. Derzeit ist der Zwischenfall in den Niederlanden Gegenstand staatsanwaltlicher Ermittlungen.

Referenzen

Berichte der Irischen Kommission:


Geräte: Digitaler Wahlstift ("Hamburger Stift")

In Hamburg wurde bei der Bundestagswahl 2005 mit einem digitalen Wahlstift parallel zur Urnenwahl Testwahlen mit einem digitalen Wahlstift durchgeführt. Dieser Stift erkennt über eine integrierte Optik Markierungen auf dem Stimmzettel und ermöglicht dadurch eine automatische elektronische Stimmerfassung. Der Papierstimmzettel wird vom Wähler weiterhin in die Urne geworfen, gleichzeitig wird die vom Stift erfasste elektronische Stimme an einer Docking-Station entladen. Auch die Stadt Mainz hat bei der Landtagswahl 2006 den Digitalen Wahlstift in einem Wahllokal getestet.

Am 31. Oktober 2006 hat der Hamburger Senat die Anschaffung des Digitalen Wahlstiftes beschlossen und dafür 5 Millionen Euro bereitgestellt. Von dem Einsatz des Wahlstiftes erhofft sich die Stadt Hamburg Einsparungen in Millionenhöhe. Angegeben werden für die "Handauszählung mit PC-Unterstützung" Kosten von 6,5 bis 7 Millionen Euro, für den "Digitalen Wahlstift" nur 3,9 Millionen Euro. (Die Welt, 05.04.2006) . Allerdings besteht dieser Kostenvorteil nur, solange die Stimmzettel nur stichprobenartig nachgezählt werden.

Den Zuschlag in Hamburg hat am 22. Januar 2007 die Bietergemeinschaft Diagramm Halbach / WRS Softwareentwicklung erhalten. Offenbar entwickelt auch die IBM Deutschland zusammen mit der Allgemeinen Projekt-Entwicklung GmbH ein Wahlstift-System.

Schutzprofil nach Common Criteria

Anders als das Bundesinnenministerium hat die Hamburger Behörde des Inneren das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) hinzugezogen und für den Wahlstift ein Schutzprofil nach Common Criteria erstellen lassen. Das Schutzprofil setzt unter anderem voraus, dass "Adminstrator und Wahlvorstand ... nicht sorglos, nachlässig oder feindselig" handeln.

Grundsätzlich wird eine Wahlmanipulation durch den Wahlvorstand ausgeschlossen:

"Es wird angenommen, dass der Wahlvorstand vertrauenswürdig ist und den EVG nicht absichtlich manipuliert. Generell wird angenommen, dass nur in der Wahlkabine ein Manipulationsversuch am EVG stattfinden kann, da hier die Wähler unbeobachtet sind." (S.13)

Würde man diese Annahme auf eine Papierwahl übertragen, müsste z.B. die Auszählung der Stimmen nicht öffentlich erfolgen. Auch interessant:

"Weder der Aufdruck der Rasterung auf dem Papierstimmzettel noch der Papierstimmzettel selbst ist Bestandteil des EVG." (S.12)

Aus den von der Hamburger Behörde für Inneres vorgelegten Unterlagen lässt sich schon jetzt erkennen, dass selbst eine stichprobenartige Auszählung der Stimmzettel nur für den erstmaligen Einsatz des digitalen Wahlstiftes vorgesehen ist. Mit dem Einsatz des digitalen Wahlstiftes wird daher das Prinzip der öffentlichen und transparenten Ergebnisermittlung ebenso verletzt wie bei herkömmlichen Wahlcomputern. Das ist aus wahlrechtlicher und verfassungsrechtlicher Sicht nicht akzeptabel.

Zwar bietet Digitale Wahlstift prinzipiell die Möglichkeit einer nachträglichen Kontrolle des Wahlergebnisses durch Nachzählung der Stimmzettel. Es ist jedoch jetzt schon absehbar, dass solche Nachzählungen zukünftig mit dem Hinweis verwehrt werden, dem Wahlleiter seien keine Manipulationsversuche bekannt geworden, das Wahlstiftsystem entspreche den Zulassungskriterien, sei hinreichend sicher und eine Nachzählung zu teuer.

Für den Fall einer Nachzählung ist eine Festlegung erforderlich, welches Ergebnis im Falle eines Unterschieds zwischen Elektronik und Papier das verbindliche ist. In Belgien wurde selbst bei einer Abweichung von 8% dem elektronischen Wahlergebnis der Vorzug gegeben (Quelle: ael.be: Electronic Voting Paper Audit Trail)

Angriffe

Der Digitale Wahlstift ist die einzige "Wahlmaschine", bei der sich betrügen lässt, ohne das Gerät manipulieren zu müssen. Das Szenario kommt mit 5-6 Innentätern für eine Hamburger Wahl aus: Die Böse Partei druckt Stimmzettel, bei denen die vom Wahlstift gescannte Schraffur in den Kästchen der anderen Parteien der Bösen Partei entspricht. Dadurch wird ein Kreuz auf diesem Stimmzettel immer für die Böse Partei gezählt. Da der Stift nicht anzeigt, welche Partei er gespeichert hat, ist der Betrug für Wähler und Wahlleiter nicht zu erkennen. Je nach vorheriger Meinungsumfrage wird ein entsprechende Prozentsatz der Stimmzettel zentral ausgetauscht um ein noch glaubwürdiges Ergebnis zu erreichen.

Abgesehen von diesem Szenario besteht auch die Möglichkeit, den zählenden PC zu manipulieren. Die eingesetzten Virenscanner sind kein Schutz vor unbekannten Trojanern weil es dafür keine Signaturen geben kann. Die feste Verankerung einer signifikanten Anzahl an Nachzählungen im Wahlrecht ist also unumgänglich. Um zu verhindern, dass Innentäter die Kontrollen umgehen können, darf die Auswahl erst nach Ermittlung der Ergebnisses stattfinden und muss absolut zufällig sein.

Als kleinen Hack, um in einer Nachzählung eine Differenz zwischen elektronischem und Papierergebnis zu erreichen, könnte man folgendermaßen seine Stimme abgeben:

  1. Die Mini-Kamera des Wahlstifts zuhalten und Partei A ankreuzen, da die Kamera nichts sieht kann sie auch keine Stimme registrieren
  2. Ein kleines Glasstück (z.B. einen Mikroskop Objektträger) über Partei B legen und "ankreuzen". Die Kamera sieht die Schraffur von Partei B und registriert die Stimme aber es kommt keine Tinte aufs Papier.

Technologie

  • Digitaler Wahlstift nach dem Anoto-Prinzip
  • Windows-PC mit elektronischer Urne (in der Hamburger Variante, APE/IBM wollen mit Linux arbeiten)
  • Drei Docking-Stationen für spezifische Wahlhandlungen (Initialisierung/Freigabe, Stimmabgabe/Sperrung, Rücksetzen/Irrtum)
  • Verbot drahtloser Komponenten

Dokumentation

Referenzen

Presseberichte

Geräte: ES&S

Der US-amerikanische Wahlcomputer-Hersteller ES&S bereitet seinen Markteintritt in Deutschland vor. In Frankreich hat das Unternehmen bereits Vertriebsstrukturen aufgebaut und verfügt auch über eine Bauartzulassung. In Deutschland existiert eine Bauartzulassung für Geräte dieses Herstellers weder auf Bundes- noch auf Landesebene, ist aber nach Angaben des Herstellers bei der Physikalisch-Technischen Bundesanstalt beantragt. Auf der CeBIT 2007 stellte ES&S sein für den Deutschen Markt entwickeltes Wahlgerät intElect LS100 vor.

Ebenso wie die Nedap-Wahlgeräte speichern die ES&S-Computer die Stimmen ausschließlich elektronisch und verfügen über keine geräteunabhängige Möglichkeit, das Wahlergebnis zu überprüfen. Sie wären deshalb gegebenenfalls von einer Entscheidung im noch beim Bundesverfassungsgericht anhängigen Wahlprüfungsverfahren betroffen. Jede Gemeinde, die jetzt diese Geräte anschafft, geht also ein erhebliches Investitionsrisiko ein.

Falls dies zu einem späteren Zeitpunkt gesetzlich vorgeschrieben würde, lassen sich die Maschinen nach Herstellerangaben mit einer Vorrichtung für einen Papier-Ausdruck (VVPAT) nachrüsten.

Die von ES&S vorgestellten Wahlcomputer sind mit einem Stückpreis von rund 6000 Euro etwa um die Hälfte teurer als die Nedap-Geräte. Damit sind Wahlen mit den ES&S-Geräten vermutlich auch teurer als eine traditionelle Papierwahl.

Quellen und weitere Informationen

Zählsysteme (e-Counting)

Einige Bundesländer gehen dazu über, bei der Auszählung der Stimmzettel Computer einzusetzen. Dabei werden die Stimmzettel manuell erfasst und dabei von der eingesetzten Software laufend oder anschließend gezählt. Eine Übersicht zu Zählsystemen bieten wir hier.

Online-Wahlen (i-Voting / remote e-Voting)

Oft werden Wahlcomputer nur für einen Zwischenschritt auf dem vorgeblich unvermeidbaren Weg zu Internetwahlen gehalten. In Estland und der Schweiz haben erste politische Internetwahlen auf kommunaler Ebene stattgefunden oder sind in Vorbereitung. Mehr zu Internetwahlen gibt es hier.

Einsatz von Wahlcomputern in Deutschland

Seit der Europawahl 1999 sind in der Bundesrepublik Deutschland Wahlcomputer bei Bundestags- und Kommunalwahlen zum Einsatz gekommen.

Einsatz von Wahlcomputern im Ausland

Eine Übersicht über den Einsatz von Wahlcomputern im Ausland finden Sie hier.

Aktionen des CCC

Mitglieder des CCC sind mehrfach als Wahlbeobachter aufgetreten:

Obwohl bei diesen Aktionen wiederholt eklatante Sicherheitsmängel festgestellt wurden, die sich z. T. aus der Handhabung durch die Wahlhelfer, z. T. aber auch durch die Systemarchitektur der Computer an sich ergeben, hält das Innenministerium den Einsatz dieser Geräte für sicher.

Mitmachen

Was kann der Einzelne tun.

Pressespiegel und Literatur

Hier finden Sie eine umfangreiche Linksammlung zu Presseberichten, Literatur und anderen Medien rund um das Thema Wahlcomputer.