(11 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Dies ist der Entwurf eines sicheren Wahlsystems. Ziele sind:
+
Entwurf! do not touch
* Vollständige Nachvollziehbarkeit durch den Wähler bis zur zentralem Sammlung der Stimmen seines Wahllokals
+
* Bei alle Punkten muss er nur seinen eigenen Augen trauen und keiner anderen Person
+
  
Ausgenommen da für den Wähler niemals nachvollziehbar:
+
Papier kann von Menschen gelesen werden und von Wahlcomputern nicht geändert werden.
* Vollständigkeit/Unvollständigkeit der Wahlberechtigten-Liste
+
* Doppelte Stimmabgabe in mehreren Wahllokalen
+
* Doppelte Stimmabgabe im Wahllokal und per Briefwahl
+
* Alle anderen Aspekte der Briefwahl
+
* Kontrolle der Identität der anderen Wähler
+
  
 +
==Der perfekte Wahlcomputer==
  
==Kontrolle Kontrolle des Nullbeginns der Zählung==
+
===Manipulationssicherheit===
Um dies mit den eigenen Augen kontrollieren zu können müssen die Stimmen physikalisch gespeichert werden.  
+
In der Diskussion um die Manipulierbarkeit der derzeit in Deutschland zugelassenen Wahlcomputer der Firma Nedap müssen eine ganze Reihe von Kriterien betrachtet werden:
 +
* Fehlerfreiheit und Zertifizierung der Software
 +
* Schutz vor Manipulation der Software
 +
* Sicherheit der Hardware, z.B. Versiegelung
 +
* Sichere Verwahrung der Maschinen zwischen den Wahlen
  
# Bewährt haben sich Urnen die mit Stimmzetteln aus Papier gefüllt werden. Der Wähler kann vor Beginn der Wahl kontrollieren, dass die Urne leer ist.
+
Alle diese Punkte müssen gewährleistet sein um eine Wahlfälschung auszuschließen. Alle haben gegenüber einer klassischen Urnenwahl einen großen Nachteil: Sie sind vom Wähler nicht durch die eigenen Augen verifizierbar, im Gegensatz zu einer Urne und deren Auszählung. Es gibt aber eine Erweiterung eines Wahlcomputers der alle diese Punkte irrelevant macht: ein Drucker.  
  
# Bei einer Speicherung der Stimmen in einem Computer kann er sich zwar auf dem Bildschirm zeigen lassen, ob alle Zählerstände auf Null sind, aber muss darauf vertrauen, dass die Software nicht manipuliert wurde und die richtigen Zahlen anzeigt. Die Richtigkeit der Software kann zwar vom Wahlamt geprüft werden, aber dazu muss der Wähler wieder dem Wahlamt trauen und nicht seinen Augen.
+
(Egal ob Drucker, digitaler Wahlstift, Optische Scanner)
  
Eine weitere Kontrolle des Nullbeginns ist, dass die Anzahl der Stimmen am Ende mit der Wählerliste übereinstimmt.
+
Mit diesem wird jede Stimme ausgedruckt und in einem Umschlag in eine Wahlurne geworfen. Hat der Wahlcomputer die Stimme des Wählers erstmal ausgedruckt sind zwei wichtige Ziele erreicht:
 +
# Der Wähler kann durch seine eigenen Augen verifizieren, dass seine Stimme richtig ist. Würde die Stimme nur im Speicher eines Wahlcomputer gespeichert müsste er wieder der hoffentlich unmanipulierten Software vertrauen.
 +
# Die Stimme ist nicht mehr durch einen eventuell manipulierten Wahlcomputer änderbar. Stimmen in einem Computerspeicher wären dagegen noch im Einflussbereich der Maschine und in Sekundenbruchteilen geändert ohne eine Spur zu hinterlassen.
  
==Selbst nachvollziehbare Abgabe der eigenen Stimme==
+
Sehr wichtig dabei ist aber, dass das Wahlcomputerergebnis rechtlich nur die erste Hochrechnung darstellt und die Urnen nicht nur Stichprobenartig ausgezählt werden. Andernfalls muss sich der Wähler wieder blind auf Dritte verlassen. Dies ist keineswegs selbstverständlich, in Belgien wurde selbst bei einer Abweichung von 8% dem elektronischen Wahlergebnis der Vorzug gegeben (Quelle: [http://wiki.ael.be/index.php/ElectronicVotingPaperAuditTrail ael.be: Electronic Voting Paper Audit Trail])
Die Stimme muss auf Medium gespeichert werden, dass nur einmal beschreibbar und mit den Augen des Wählers lesbar ist.  
+
  
# Auch hier haben sich Stimmzettel aus Papier bewährt. Der Wähler sieht was er ankreuzt und seine Kreuze sind nicht mehr änderbar.
+
Die einzigen Manipulations-Risiken die noch bleiben sie die gleichen wie bei einer klassischen Urnenwahl, also z.B. Urnendiebstahl.
  
# Bei einer Speicherung in im Speicher eines Computers ist weder nachvollziehbar was gespeichert wurde, noch ist es unveränderbar. Eine Manipulierte Software könnte sowohl die Stimme falsch speichern, als sie auch nachträglich ändern.
+
===Wahrung des Wahlgeheimnisses===
 +
Niemand darf ermitteln können, was der Wähler gewählt hat. Der Sinn des Wahlgeheimnisses ist es Einschüchterung von Wählern und einen Stimmenverkauf zu erschweren.  
  
# Bei einer Speicherung der Stimmen auf einem CD-R-Rohling wäre die Stimme zwar auch nicht mehr änderbar, aber es ist nicht durch den Wähler nachvollziehbar was geschrieben wurde. Außerdem würden alle Stimmen in einer festen Reihenfolge gespeichert werden und somit das Wahlgeheimnis gefährden.
+
Bei allen Formen der Stimmabgabe könnte jemand, der über die Schulter schaut oder eine versteckte Kamera in der Wahlkabine benutzt, das Wahlgeheimnis verletzten.  
  
 +
Bei einer Papierwahl wäre eine versteckte Markierung einzelner Stimmzettel denkbar. Dazu wäre aber die Komplizenschaft von Wahlhelfern nötig und große Aufmerksamkeit bei der Auszählung. Der Wähler kann seinen Stimmzettel unauffällig anderen Personen im Wahllokal zeigen.
  
==Wahrung des Wahlgeheimnisses==
+
Abgesehen von einer manipulierten Software könnte bei einem Wahlcomputer auch die elektromagnetische Abstrahlung das Wahlgeheimnis verletzen. Aus diesem Grund wurden in den Niederlanden Wahlcomputer der Firma SDU von den Parlamentswahlen am 22.11.2006 ausgeschlossen.(Quelle: [http://www.heise.de/newsticker/meldung/80256 SDU-Wahlcomputer von niederländischen Parlamentswahlen ausgeschlossen] Heise Online, 30.10.2006) Die Mittäterschaft eines Wahlhelfers wäre dabei nicht zwangsläufig nötig aber hilfreich.
Niemand darf ermitteln können, was der Wähler gewählt hat. Der Sinn des Wahlgeheimnisses ist es Einschüchterung von Wählern und Stimmenverkauf zu erschweren.
+
  
Bei allen Formen der Stimmabgabe könnte jemand, der über die Schulter schaut oder eine versteckte Kamera benutzt, das Wahlgeheimnis verletzten.
+
===Weitere Möglichkeiten des Wahlbetrugs===
 
+
Ausgenommen aus dieser Betrachtung sind folgende Betrugsmöglichkeiten, da sie für einen Wähler niemals nachvollziehbar sind, ob mit oder ohne Wahlcomputer:
# Bei einer Papierwahl gibt es keine zusätzlichen Risiken.
+
* Vollständigkeit/Unvollständigkeit der Wahlberechtigten-Liste
 
+
* Doppelte Stimmabgabe anderer Wähler in mehreren Wahllokalen
# Bei einem Wahlcomputer kann eventuell die elektromagnetische Abstrahlung das Wahlgeheimnis verletzen.
+
* Doppelte Stimmabgabe im Wahllokal und per Briefwahl
 
+
* Alle anderen Sicherheitsprobleme der Briefwahl
==Nachvollziehbarkeit das keine unberechtigten Stimmen dazukommen==
+
* Kontrolle der Identität der anderen Wähler
 
+
 
+
==Nachvollziehbare Aufbewahrung==
+
==Nachvollziehbare Auszählung==
+
Durch seine Anwesenheit bei der Auszählung kann der Wähler bei einer Papierwahl nachvollziehen das:
+
* keine gültigen Stimmzettel ungültig gemacht werden
+
* keine Stimmzettel verschwinden, ausgetauscht oder hinzugefügt werden
+
  
 +
Bei diesen Problemen muss sich der Wähler immer auf andere, bzw. den Staat verlassen. Hier ist ein Mehraugenprinzip gefragt oder eine eigene Kontrolle durch die zur Wahl stehenden Parteien (siehe zum Teil USA).
  
==Zentrale Addierung der Stimmen==
 
  
 +
==Fazit==
 +
Eine klassische Urnenwahl ist deutlich sicherer als Wahlcomputer ohne Papierausdruck, da die Wähler bei letzterem immer anderen Instanzen vertrauen müssen anstatt ihren eigenen Augen. Die Benutzung eines Papierausdrucks gleicht das Sicherheitsniveau in Bezug auf Manipulationen wieder an, aber nur solange das Endergebnis immer das aus der Auszählung der Ausdrucke ist. Erhöht bleibt aber trotzdem das Risiko der Verletzung des Wahlgeheimnisses.
  
==Problematik Briefwahl==
+
Wahlen sind nur schwer nachträglich korrigierbar (andere gesetze ... )
  
 +
digitaler wahlstift einbauen
  
Alle Probleme der Briefwahl gelten genauso für eine Internet- oder SMS-Wahl.
+
[[Kategorie:Wahlcomputer]]

Aktuelle Version vom 13. Februar 2008, 15:48 Uhr

Entwurf! do not touch

Papier kann von Menschen gelesen werden und von Wahlcomputern nicht geändert werden.

Der perfekte Wahlcomputer

Manipulationssicherheit

In der Diskussion um die Manipulierbarkeit der derzeit in Deutschland zugelassenen Wahlcomputer der Firma Nedap müssen eine ganze Reihe von Kriterien betrachtet werden:

  • Fehlerfreiheit und Zertifizierung der Software
  • Schutz vor Manipulation der Software
  • Sicherheit der Hardware, z.B. Versiegelung
  • Sichere Verwahrung der Maschinen zwischen den Wahlen

Alle diese Punkte müssen gewährleistet sein um eine Wahlfälschung auszuschließen. Alle haben gegenüber einer klassischen Urnenwahl einen großen Nachteil: Sie sind vom Wähler nicht durch die eigenen Augen verifizierbar, im Gegensatz zu einer Urne und deren Auszählung. Es gibt aber eine Erweiterung eines Wahlcomputers der alle diese Punkte irrelevant macht: ein Drucker.

(Egal ob Drucker, digitaler Wahlstift, Optische Scanner)

Mit diesem wird jede Stimme ausgedruckt und in einem Umschlag in eine Wahlurne geworfen. Hat der Wahlcomputer die Stimme des Wählers erstmal ausgedruckt sind zwei wichtige Ziele erreicht:

  1. Der Wähler kann durch seine eigenen Augen verifizieren, dass seine Stimme richtig ist. Würde die Stimme nur im Speicher eines Wahlcomputer gespeichert müsste er wieder der hoffentlich unmanipulierten Software vertrauen.
  2. Die Stimme ist nicht mehr durch einen eventuell manipulierten Wahlcomputer änderbar. Stimmen in einem Computerspeicher wären dagegen noch im Einflussbereich der Maschine und in Sekundenbruchteilen geändert ohne eine Spur zu hinterlassen.

Sehr wichtig dabei ist aber, dass das Wahlcomputerergebnis rechtlich nur die erste Hochrechnung darstellt und die Urnen nicht nur Stichprobenartig ausgezählt werden. Andernfalls muss sich der Wähler wieder blind auf Dritte verlassen. Dies ist keineswegs selbstverständlich, in Belgien wurde selbst bei einer Abweichung von 8% dem elektronischen Wahlergebnis der Vorzug gegeben (Quelle: ael.be: Electronic Voting Paper Audit Trail)

Die einzigen Manipulations-Risiken die noch bleiben sie die gleichen wie bei einer klassischen Urnenwahl, also z.B. Urnendiebstahl.

Wahrung des Wahlgeheimnisses

Niemand darf ermitteln können, was der Wähler gewählt hat. Der Sinn des Wahlgeheimnisses ist es Einschüchterung von Wählern und einen Stimmenverkauf zu erschweren.

Bei allen Formen der Stimmabgabe könnte jemand, der über die Schulter schaut oder eine versteckte Kamera in der Wahlkabine benutzt, das Wahlgeheimnis verletzten.

Bei einer Papierwahl wäre eine versteckte Markierung einzelner Stimmzettel denkbar. Dazu wäre aber die Komplizenschaft von Wahlhelfern nötig und große Aufmerksamkeit bei der Auszählung. Der Wähler kann seinen Stimmzettel unauffällig anderen Personen im Wahllokal zeigen.

Abgesehen von einer manipulierten Software könnte bei einem Wahlcomputer auch die elektromagnetische Abstrahlung das Wahlgeheimnis verletzen. Aus diesem Grund wurden in den Niederlanden Wahlcomputer der Firma SDU von den Parlamentswahlen am 22.11.2006 ausgeschlossen.(Quelle: SDU-Wahlcomputer von niederländischen Parlamentswahlen ausgeschlossen Heise Online, 30.10.2006) Die Mittäterschaft eines Wahlhelfers wäre dabei nicht zwangsläufig nötig aber hilfreich.

Weitere Möglichkeiten des Wahlbetrugs

Ausgenommen aus dieser Betrachtung sind folgende Betrugsmöglichkeiten, da sie für einen Wähler niemals nachvollziehbar sind, ob mit oder ohne Wahlcomputer:

  • Vollständigkeit/Unvollständigkeit der Wahlberechtigten-Liste
  • Doppelte Stimmabgabe anderer Wähler in mehreren Wahllokalen
  • Doppelte Stimmabgabe im Wahllokal und per Briefwahl
  • Alle anderen Sicherheitsprobleme der Briefwahl
  • Kontrolle der Identität der anderen Wähler

Bei diesen Problemen muss sich der Wähler immer auf andere, bzw. den Staat verlassen. Hier ist ein Mehraugenprinzip gefragt oder eine eigene Kontrolle durch die zur Wahl stehenden Parteien (siehe zum Teil USA).


Fazit

Eine klassische Urnenwahl ist deutlich sicherer als Wahlcomputer ohne Papierausdruck, da die Wähler bei letzterem immer anderen Instanzen vertrauen müssen anstatt ihren eigenen Augen. Die Benutzung eines Papierausdrucks gleicht das Sicherheitsniveau in Bezug auf Manipulationen wieder an, aber nur solange das Endergebnis immer das aus der Auszählung der Ausdrucke ist. Erhöht bleibt aber trotzdem das Risiko der Verletzung des Wahlgeheimnisses.

Wahlen sind nur schwer nachträglich korrigierbar (andere gesetze ... )

digitaler wahlstift einbauen