(Weitere Medien)
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
Entwurf! do not touch
 
Entwurf! do not touch
  
Die klassischen Urnenwahl und ein Wahlcomputer unterscheiden sich in zwei Punkten:
+
Papier kann von Menschen gelesen werden und von Wahlcomputern nicht geändert werden.
#Das Vorhandensein einer Software innerhalb des Wahlcomputers. Deren Aktionen sind für einen Wähler nicht sichtbar und er hat keine Kontrolle darüber was die Software mit seiner Stimme macht. Er muss darauf vertrauen, dass der Programmierer der Wahlcomputers keinen Fehler gemacht hat, die PTB richtig geprüft hat und niemand die Software manipuliert hat. Stimmzettel dagegen führen kein Eigenleben.
+
#Das Speichermedium der Wählerstimmen:
+
* In Wahlcomputern wird ein RAM-Speicher (im folgenden RAM) verwendet, am besten vergleichbar mit der Speicherkarte einer Digitalkamera.
+
* Bei der Urnenwahl werden Stimmzettel aus Papier und dokumentenechte Tine verwendet.
+
  
Warum die Kombination von RAM-Speicher und Software deutlich unsicherer ist als Papier und Tinte wird im folgenden an den wesentlichen Sicherheitsaspekten einer demokratischen Wahl aufgezeigt. Anforderungen an das Wahlsystem ist dabei die vollständige Nachvollziehbarkeit der Wahl durch die eigenen Augen des Wählers.
+
==Der perfekte Wahlcomputer==
  
==Kontrolle Kontrolle des Nullbeginns der Zählung==
+
===Manipulationssicherheit===
Um dies mit den eigenen Augen kontrollieren zu können müssen die Stimmen physikalisch gespeichert werden.  
+
In der Diskussion um die Manipulierbarkeit der derzeit in Deutschland zugelassenen Wahlcomputer der Firma Nedap müssen eine ganze Reihe von Kriterien betrachtet werden:
 +
* Fehlerfreiheit und Zertifizierung der Software
 +
* Schutz vor Manipulation der Software
 +
* Sicherheit der Hardware, z.B. Versiegelung
 +
* Sichere Verwahrung der Maschinen zwischen den Wahlen
  
*Papier: Bewährt haben sich Urnen die mit Stimmzetteln aus Papier gefüllt werden. Der Wähler kann vor Beginn der Wahl kontrollieren, dass die Urne leer ist.
+
Alle diese Punkte müssen gewährleistet sein um eine Wahlfälschung auszuschließen. Alle haben gegenüber einer klassischen Urnenwahl einen großen Nachteil: Sie sind vom Wähler nicht durch die eigenen Augen verifizierbar, im Gegensatz zu einer Urne und deren Auszählung. Es gibt aber eine Erweiterung eines Wahlcomputers der alle diese Punkte irrelevant macht: ein Drucker.  
*RAM: Bei einer Speicherung der Stimmen in einem Computer kann er sich zwar auf dem Bildschirm zeigen lassen, ob alle Zählerstände auf Null sind, aber muss darauf vertrauen, dass die Software nicht manipuliert wurde und die richtigen Zahlen anzeigt. Die Richtigkeit der Software kann zwar vom Wahlamt geprüft werden, aber dazu muss der Wähler wieder dem Wahlamt trauen und nicht seinen Augen.
+
  
Eine weitere Kontrolle des Nullbeginns ist, dass die Anzahl der Stimmen am Ende mit der Wählerliste übereinstimmt.
+
(Egal ob Drucker, digitaler Wahlstift, Optische Scanner)
  
==Selbst nachvollziehbare Abgabe der eigenen Stimme==
+
Mit diesem wird jede Stimme ausgedruckt und in einem Umschlag in eine Wahlurne geworfen. Hat der Wahlcomputer die Stimme des Wählers erstmal ausgedruckt sind zwei wichtige Ziele erreicht:
Die Stimme muss auf Medium gespeichert werden, dass nur einmal beschreibbar und mit den Augen des Wählers lesbar ist.  
+
# Der Wähler kann durch seine eigenen Augen verifizieren, dass seine Stimme richtig ist. Würde die Stimme nur im Speicher eines Wahlcomputer gespeichert müsste er wieder der hoffentlich unmanipulierten Software vertrauen.
 +
# Die Stimme ist nicht mehr durch einen eventuell manipulierten Wahlcomputer änderbar. Stimmen in einem Computerspeicher wären dagegen noch im Einflussbereich der Maschine und in Sekundenbruchteilen geändert ohne eine Spur zu hinterlassen.
  
*Papier: Auch hier haben sich Stimmzettel aus Papier bewährt. Der Wähler sieht was er ankreuzt und seine Kreuze sind nicht mehr änderbar.
+
Sehr wichtig dabei ist aber, dass das Wahlcomputerergebnis rechtlich nur die erste Hochrechnung darstellt und die Urnen nicht nur Stichprobenartig ausgezählt werden. Andernfalls muss sich der Wähler wieder blind auf Dritte verlassen. Dies ist keineswegs selbstverständlich, in Belgien wurde selbst bei einer Abweichung von 8% dem elektronischen Wahlergebnis der Vorzug gegeben (Quelle: [http://wiki.ael.be/index.php/ElectronicVotingPaperAuditTrail ael.be: Electronic Voting Paper Audit Trail])
*RAM: Bei einer Speicherung in im Speicher eines Computers ist weder nachvollziehbar was gespeichert wurde, noch ist es unveränderbar. Eine Manipulierte Software könnte sowohl die Stimme falsch speichern, als sie auch nachträglich ändern.
+
*Sonderfall CD-R: Bei einer Speicherung der Stimmen auf einem CD-R-Rohling wäre die Stimme zwar auch nicht mehr änderbar, aber es ist nicht durch den Wähler nachvollziehbar was geschrieben wurde. Außerdem würden alle Stimmen in einer festen Reihenfolge gespeichert werden und somit das Wahlgeheimnis gefährden.
+
  
 +
Die einzigen Manipulations-Risiken die noch bleiben sie die gleichen wie bei einer klassischen Urnenwahl, also z.B. Urnendiebstahl.
  
==Wahrung des Wahlgeheimnisses==
+
===Wahrung des Wahlgeheimnisses===
Niemand darf ermitteln können, was der Wähler gewählt hat. Der Sinn des Wahlgeheimnisses ist es Einschüchterung von Wählern und Stimmenverkauf zu erschweren.  
+
Niemand darf ermitteln können, was der Wähler gewählt hat. Der Sinn des Wahlgeheimnisses ist es Einschüchterung von Wählern und einen Stimmenverkauf zu erschweren.  
  
Bei allen Formen der Stimmabgabe könnte jemand, der über die Schulter schaut oder eine versteckte Kamera in der Wahlkabine benutzt, das Wahlgeheimnis verletzten.
+
Bei allen Formen der Stimmabgabe könnte jemand, der über die Schulter schaut oder eine versteckte Kamera in der Wahlkabine benutzt, das Wahlgeheimnis verletzten.  
  
Papier: Damit niemand den Stimmzettel außerhalb der Wahlkabine sehen kann wird er in einen Umschlag gesteckt. Eine versteckte Markierung einzelner Umschläge oder Stimmzettel wäre möglich.
+
Bei einer Papierwahl wäre eine versteckte Markierung einzelner Stimmzettel denkbar. Dazu wäre aber die Komplizenschaft von Wahlhelfern nötig und große Aufmerksamkeit bei der Auszählung. Der Wähler kann seinen Stimmzettel unauffällig anderen Personen im Wahllokal zeigen.
RAM: Bei einem Wahlcomputer kann eventuell die elektromagnetische Abstrahlung das Wahlgeheimnis verletzen.
+
  
==Nachvollziehbarkeit das Stimmen nicht verschwinden, geändert werden, hinzukommen ==
+
Abgesehen von einer manipulierten Software könnte bei einem Wahlcomputer auch die elektromagnetische Abstrahlung das Wahlgeheimnis verletzen. Aus diesem Grund wurden in den Niederlanden Wahlcomputer der Firma SDU von den Parlamentswahlen am 22.11.2006 ausgeschlossen.(Quelle: [http://www.heise.de/newsticker/meldung/80256 SDU-Wahlcomputer von niederländischen Parlamentswahlen ausgeschlossen] Heise Online, 30.10.2006) Die Mittäterschaft eines Wahlhelfers wäre dabei nicht zwangsläufig nötig aber hilfreich.
Hier ist das größte Risiko eine Änderung der Stimmen da ein Verschwindenlassen oder Dazufügen Unstimmigkeiten mit  Anzahl in der Liste der abgegebenen Stimmen erzeugt.
+
  
Papier: Durch Beobachtung der Urne kann der Wähler ausschließen, dass weitere Umschläge in die Urne geworfen werden. Eine Manipulation der Stimmzettel innerhalb der Urne kann nach derzeitigem Stand der Technik ausgeschlossen werden.
+
===Weitere Möglichkeiten des Wahlbetrugs===
RAM: Wieder muss er Anderen vertrauen, dass die Software nicht manipuliert wurde und nicht weitere Stimmen in den Speicher schreibt.
+
Ausgenommen aus dieser Betrachtung sind folgende Betrugsmöglichkeiten, da sie für einen Wähler niemals nachvollziehbar sind, ob mit oder ohne Wahlcomputer:
 
+
 
+
==Nachvollziehbare Auszählung==
+
Durch seine Anwesenheit bei der Auszählung kann der Wähler bei einer Papierwahl nachvollziehen das:
+
* keine gültigen Stimmzettel ungültig gemacht werden
+
* keine Stimmzettel verschwinden, ausgetauscht oder hinzugefügt werden
+
 
+
Hier hat das RAM gegenüber Papier den einzigen Vorteil: Die Geschwindigkeit der Auszählung verringert sich von Stunden auf Millisekunden.
+
 
+
==Zentrale Addierung der Stimmen==
+
 
+
 
+
==Problematik Briefwahl==
+
Die Briefwahl ist für den Wähler auch nicht nachvollziehbar. Weder kann er sicher sein, dass seine Stimmte gezählt wird wenn er selber an der Briefwahl teilnimmt, noch kann er sehen ob bei der Auszählung betrogen wird.
+
 
+
England
+
 
+
Alle Probleme der Briefwahl gelten genauso für eine Internet- oder SMS-Wahl.
+
 
+
 
+
==Weitere Medien==
+
*cdr
+
*lochkarte
+
 
+
 
+
Ausgenommen aus dieser Betrachtung sind folgende Betrugsmöglichkeiten, da sie für einen Wähler niemals nachvollziehbar sind:
+
 
* Vollständigkeit/Unvollständigkeit der Wahlberechtigten-Liste
 
* Vollständigkeit/Unvollständigkeit der Wahlberechtigten-Liste
* Doppelte Stimmabgabe in mehreren Wahllokalen
+
* Doppelte Stimmabgabe anderer Wähler in mehreren Wahllokalen
 
* Doppelte Stimmabgabe im Wahllokal und per Briefwahl
 
* Doppelte Stimmabgabe im Wahllokal und per Briefwahl
 
* Alle anderen Sicherheitsprobleme der Briefwahl
 
* Alle anderen Sicherheitsprobleme der Briefwahl
Zeile 73: Zeile 44:
  
  
Fazit: Wenn es Wahlen mit Papier und Tinte nicht schon gäbe, müsste man sie erfinden.
+
==Fazit==
 +
Eine klassische Urnenwahl ist deutlich sicherer als Wahlcomputer ohne Papierausdruck, da die Wähler bei letzterem immer anderen Instanzen vertrauen müssen anstatt ihren eigenen Augen. Die Benutzung eines Papierausdrucks gleicht das Sicherheitsniveau in Bezug auf Manipulationen wieder an, aber nur solange das Endergebnis immer das aus der Auszählung der Ausdrucke ist. Erhöht bleibt aber trotzdem das Risiko der Verletzung des Wahlgeheimnisses.
 +
 
 +
Wahlen sind nur schwer nachträglich korrigierbar (andere gesetze ... )
 +
 
 +
digitaler wahlstift einbauen
  
 
[[Kategorie:Wahlcomputer]]
 
[[Kategorie:Wahlcomputer]]

Aktuelle Version vom 13. Februar 2008, 15:48 Uhr

Entwurf! do not touch

Papier kann von Menschen gelesen werden und von Wahlcomputern nicht geändert werden.

Der perfekte Wahlcomputer

Manipulationssicherheit

In der Diskussion um die Manipulierbarkeit der derzeit in Deutschland zugelassenen Wahlcomputer der Firma Nedap müssen eine ganze Reihe von Kriterien betrachtet werden:

  • Fehlerfreiheit und Zertifizierung der Software
  • Schutz vor Manipulation der Software
  • Sicherheit der Hardware, z.B. Versiegelung
  • Sichere Verwahrung der Maschinen zwischen den Wahlen

Alle diese Punkte müssen gewährleistet sein um eine Wahlfälschung auszuschließen. Alle haben gegenüber einer klassischen Urnenwahl einen großen Nachteil: Sie sind vom Wähler nicht durch die eigenen Augen verifizierbar, im Gegensatz zu einer Urne und deren Auszählung. Es gibt aber eine Erweiterung eines Wahlcomputers der alle diese Punkte irrelevant macht: ein Drucker.

(Egal ob Drucker, digitaler Wahlstift, Optische Scanner)

Mit diesem wird jede Stimme ausgedruckt und in einem Umschlag in eine Wahlurne geworfen. Hat der Wahlcomputer die Stimme des Wählers erstmal ausgedruckt sind zwei wichtige Ziele erreicht:

  1. Der Wähler kann durch seine eigenen Augen verifizieren, dass seine Stimme richtig ist. Würde die Stimme nur im Speicher eines Wahlcomputer gespeichert müsste er wieder der hoffentlich unmanipulierten Software vertrauen.
  2. Die Stimme ist nicht mehr durch einen eventuell manipulierten Wahlcomputer änderbar. Stimmen in einem Computerspeicher wären dagegen noch im Einflussbereich der Maschine und in Sekundenbruchteilen geändert ohne eine Spur zu hinterlassen.

Sehr wichtig dabei ist aber, dass das Wahlcomputerergebnis rechtlich nur die erste Hochrechnung darstellt und die Urnen nicht nur Stichprobenartig ausgezählt werden. Andernfalls muss sich der Wähler wieder blind auf Dritte verlassen. Dies ist keineswegs selbstverständlich, in Belgien wurde selbst bei einer Abweichung von 8% dem elektronischen Wahlergebnis der Vorzug gegeben (Quelle: ael.be: Electronic Voting Paper Audit Trail)

Die einzigen Manipulations-Risiken die noch bleiben sie die gleichen wie bei einer klassischen Urnenwahl, also z.B. Urnendiebstahl.

Wahrung des Wahlgeheimnisses

Niemand darf ermitteln können, was der Wähler gewählt hat. Der Sinn des Wahlgeheimnisses ist es Einschüchterung von Wählern und einen Stimmenverkauf zu erschweren.

Bei allen Formen der Stimmabgabe könnte jemand, der über die Schulter schaut oder eine versteckte Kamera in der Wahlkabine benutzt, das Wahlgeheimnis verletzten.

Bei einer Papierwahl wäre eine versteckte Markierung einzelner Stimmzettel denkbar. Dazu wäre aber die Komplizenschaft von Wahlhelfern nötig und große Aufmerksamkeit bei der Auszählung. Der Wähler kann seinen Stimmzettel unauffällig anderen Personen im Wahllokal zeigen.

Abgesehen von einer manipulierten Software könnte bei einem Wahlcomputer auch die elektromagnetische Abstrahlung das Wahlgeheimnis verletzen. Aus diesem Grund wurden in den Niederlanden Wahlcomputer der Firma SDU von den Parlamentswahlen am 22.11.2006 ausgeschlossen.(Quelle: SDU-Wahlcomputer von niederländischen Parlamentswahlen ausgeschlossen Heise Online, 30.10.2006) Die Mittäterschaft eines Wahlhelfers wäre dabei nicht zwangsläufig nötig aber hilfreich.

Weitere Möglichkeiten des Wahlbetrugs

Ausgenommen aus dieser Betrachtung sind folgende Betrugsmöglichkeiten, da sie für einen Wähler niemals nachvollziehbar sind, ob mit oder ohne Wahlcomputer:

  • Vollständigkeit/Unvollständigkeit der Wahlberechtigten-Liste
  • Doppelte Stimmabgabe anderer Wähler in mehreren Wahllokalen
  • Doppelte Stimmabgabe im Wahllokal und per Briefwahl
  • Alle anderen Sicherheitsprobleme der Briefwahl
  • Kontrolle der Identität der anderen Wähler

Bei diesen Problemen muss sich der Wähler immer auf andere, bzw. den Staat verlassen. Hier ist ein Mehraugenprinzip gefragt oder eine eigene Kontrolle durch die zur Wahl stehenden Parteien (siehe zum Teil USA).


Fazit

Eine klassische Urnenwahl ist deutlich sicherer als Wahlcomputer ohne Papierausdruck, da die Wähler bei letzterem immer anderen Instanzen vertrauen müssen anstatt ihren eigenen Augen. Die Benutzung eines Papierausdrucks gleicht das Sicherheitsniveau in Bezug auf Manipulationen wieder an, aber nur solange das Endergebnis immer das aus der Auszählung der Ausdrucke ist. Erhöht bleibt aber trotzdem das Risiko der Verletzung des Wahlgeheimnisses.

Wahlen sind nur schwer nachträglich korrigierbar (andere gesetze ... )

digitaler wahlstift einbauen