Ob beim kürzlichen „Super Tuesday“ in den USA oder den anstehenden Landtagswahlen in Deutschland: Sehr viel digitaler als bei der Beantragung der Briefwahl-Unterlagen wird es hierzulande nicht. Warum uns die Internetwahl in unserer durchtechnologisierten Welt immer noch vor große Probleme stellt, diskutiert die nachfolgenden Analyse.
Wir kaufen Dinge im Netz, erledigen unser Banking online oder skypen mit unserem Arzt. Aber bei der Wahl, egal auf welcher Ebene, ist nach wie vor der Gang zum Rathaus, Kindergarten oder der örtlichen Sporthalle nötig. Alternativ kann man vorab per Briefwahl abstimmen und die Unterlagen, oha, immerhin online beauftragen – innovativ klingt das nicht gerade, oder?
Woran hakt es also? Warum stellt uns die Internetwahl vor so große Probleme? Grob zusammengefasst gibt es drei ganz entscheidende Faktoren: Anonymität, Wahlrecht, Manipulation.
Faktor 1: Anonymität
Die Wahlen sind geheim – Stichwort Wahlgeheimnis. Bedeutet: Wer seinen Stimmzettel erhalten hat, tritt meist hinter einen Vorhang, wo er anonym sein Kreuzchen macht und anschließend seinen Stimmzettel in die Wahlurne wirft. Eine Zuordnung ist spätestens jetzt so gut wie nicht mehr möglich.
Bei einer Wahl im Netz wäre es ein Leichtes, etwa über die Metadaten herauszubekommen, wer gewählt hat. Hier ist bislang noch kein System bekannt, das so sicher wäre, dass nicht jede Wahl durch geschickte Hacker ungültig gemacht werden könnte. Außerdem müsste sichergestellt sein, dass jeder einzelne private Computer, von dem gewählt wird, nicht mit einer Schadsoftware infiziert ist. Betrachtet man die aktuellen Entwicklungen in diesem Bereich mit immer ausgeklügelteren Späh-Trojanern, ein Punkt, der sicherlich nur schwer erfüllbar ist.
Faktor 2: Manipulation
Daran schließt sich auch der Faktor der Manipulation an: Eine Wahl im Netz wäre leicht zu manipulieren. Dabei muss es nicht zwingend um eine Verfälschung des Ergebnisses gehen. Es reichte ja schon, wenn Hackergruppen, beispielweise durch DDoS-Attacken mit Hilfe von Botnets, das System mit gezielten Angriffen lahmlegten. Ganz zu schweigen von Man-in-the-Middle-Attacken, bei denen sich ein Angreifer zwischen Wähler und digitaler Wahl-Urne wanzt und dadurch direkten Einfluss auf die Wahl des Einzelnen nehmen kann.
Jedem Bürger muss die Möglichkeit eingerichtet und zugesichert sein, im angegebenen Zeitraum zu wählen. Das könnte hierdurch zu einem Problem werden. Noch schlimmer wäre es, wenn ganze Botnetze die Wahlen ausführten oder manipulierten – die Wahl wäre sofort ungültig und müsste wiederholt werden.
Faktor 3: Wahlrecht
Das Wahlrecht steht zwar über allen drei Faktoren, ist aber hier auch noch einmal gesondert zu nennen. Etwa bei der Tatsache, dass jeder Bürger nur eine Stimme hat. Wer stellt sicher – neben dem Punkt der Anonymität – dass man nicht gleichzeitig online und dann auch noch einmal auf schriftlichem Weg per Wahl vor Ort seine Stimme abgegeben hat?
Hier müssen ausgeklügelte Systeme her, die allen genannten Faktoren Rechnung tragen und aktuell noch fehlen. Zumindest gemäß der Rechtsvorgaben in weiten Teilen der Welt. In Kanada, der Schweiz und Großbritannien wird bereits an Systemen getüftelt, in Estland ist man sogar schon seit 2005 soweit.
Vorreiter Estland
Inzwischen wählt teils schon bis zu einem Viertel der Esten online. Das funktioniert über eine ID-Karte, mit der sie sich online registrieren und verifizieren müssen. Anschließend wird ihr digitaler Stimmzettel signiert und verschlüsselt abgesendet. Um zu verhindern, dass er unterwegs manipuliert wurde, kann jeder Bürger überprüfen, ob seine Wahl noch die ist, sie er ursprünglich vorgenommen hatte. Dabei wird jeder Teilnehmer explizit darauf hingewiesen, Sicherheitssoftware auf seinem Computer zu installieren, um Fremden keinen Zugriff darauf zu geben.
Aus Sicht von ESET Sicherheitsforscher Raphael Labaca Castro problematisch an der Diskussion um das E-Wahlrecht ist, dass die Wahl gerne mit simplen Online-Transaktionen verglichen wird: „Allerdings bieten sich solche Prozesse, beispielsweise Online-Banking oder –Shopping, nur bedingt zum Vergleich an, sind die Unterschiede doch größer, als sie zunächst scheinen“. Gehe zum Beispiel ein online abgewickeltes Bankgeschäft schief und ende im Verlust von Geld, erhielten viele Kunden im Falle von unautorisierten Transfers eine Entschädigung seitens der Bank. Bei E-Wahlen hingegen gebe es keine „Versicherung“, die im Missbrauchsfall einspringen könne. „Dies führt dazu, dass die Sicherheitssysteme hinter einer möglichen E-Wahl im Grunde keinen einzigen Fehler zulassen dürfen. Ein hohes Risiko für den, der ein solches System zulässt oder einführt“, so der Experte.
Je mehr man sich mit dem Thema beschäftigt, desto mehr Fragezeichen kommen auf. Zwar bieten Security-Anbieter wie ESET leistungsstarke Endpunkt-Lösungen für PCs und Smartphones, die reine Betrachtung der Endpunkt-Absicherung reicht für eine wasserdichte E-Wahl aber nicht aus und muss als ganzheitliches Sicherheitskonzept gedacht werden.
Zukünftig sollte man die Entwicklung in Estland genau beobachten und den Austausch auf politischer Ebene ausbauen. Denn bisher hat das Land im Baltikum bewiesen: Die Internetwahl ist nicht unmöglich – aber aufwändig.