Sprunglinks

A-Tag ’08 — Die Zukunft ist heute

Inhalt

Ausgewählter Vortrag:
E-Voting im Spannungsfeld zwischen Barrierefreiheit und Risiko.

  • 21.11.2008, 14:45–15:30 Uhr, Raum 1

    E-Voting, nicht zuletzt durch die Initiative von Minister Hahn ein dauerpräsentes Schlagwort in Österreich, verspricht u.a. die lange überfällige Barrierefreiheit des Wahlvorgangs. Wenn man vom eigenen - entsprechend ausgestatteten - PC wählen kann, können nahezu alle Hürden überwunden werden. Gleichzeitig sind die internationalen Erfahrungen mit E-Voting aber sehr gemischt. Wird es möglich sein, irgendwann vertrauensvoll und zuverlässig von zu hause aus elektronisch zu wählen? Im Vortrag werden die unterschiedlichen Argumente untersucht und diskutiert.

    Unterlagen

    Transkription:

    Moderation Klaus Miesenberger:

    Gut, geschätzte Damen und Herren, in voller Frische machen wir weiter. Peter Purgathofer von der Technischen Universität Wien, jene die vergangenes Jahr dabei waren, werden sich erinnern, ist schon ein Stammgast bei uns, beim Accessibility Day. Er wird sprechen über E-Voting im Spannungsfeld zwischen Barrierefreiheit und Risiko. Wir übertragen natürlich viel von unserer Persönlichkeit mit dem Internet ins Internet. Wir bekommen zum Teil eine eigene Identität im Internet, die wieder rückwirkt auf die reale Identität und dieses Spannungsfeld gibt es natürlich auch beim E-Voting, vielleicht nur ein kleiner Bereich, aber natürlich dementsprechend beispielhaft, wo man sieht, ob Privatheit, Privatsphäre, Sicherheit dementsprechend gewährleistet sind und wie hängt das mit Accessibility zusammen. Bitte, Herr Purgathofer!

    Vortrag Peter Purgathofer:

    Danke schön! Guten Tag, grüß Gott! Ich darf Sie begrüßen, es ist mir eine Ehre noch einmal hier zu sein, ich freu mich! Mein Name ist Peter Purgathofer, ich bin vom Institut für Gestaltungs- und Wirkungsforschung der TU Wien. Es ist ein Informatikinstitut, dass es seit insgesamt 15 Jahren jetzt ungefähr gibt und dass sich der Untersuchung der interdisziplinären und transdisziplinären und Disziplinen überschreitenden Aspekte der Informatik gewidmet hat. Mein Besuch im Vorjahr hier war für mich so etwas wie eine Katarsis, hat mich verändert und ich habe versucht, meine Veränderung in der Gestaltung der Folien zu reflektieren und versucht, Folien zu machen, die den verschiedenen Bedürfnissen der Zuhörerinnen und Zuhörer gerecht werden und ein Aspekt davon ist, dass die Folien ziemlich unwichtig sind. Ich könnte diesen Vortrag auch ohne diese Folien halten, gleichzeitig sind die Folien eine gute Reflexion dessen, was ich sage, ohne langweilige Powerpoint-Folien zu sein.

    Ich möchte über E-Voting sprechen, aber bevor ich über E-Voting spreche, möchte ich ganz kurz einen Einschub machen.

    Bei uns am Institut hat vor ein paar Wochen ein Projekt begonnen, dass sparkling fingers heißt. Das ist ein Projekt aus dem bewundernswert unbürokratischen Topf des Bundesministeriums für Wissenschaft und Forschung, nein Unterricht und Wissenschaft, das ändert sich alle paar Jahre. Es gibt zu diesem Projekt eine URL, aber es gibt zu diesem Projekt vor allem eine Bitte: wir suchen Menschen, wir suchen vor allem Menschen mit starker Sehbehinderung und Blindheit, die an einem Workshop teilnehmen würden, an einem Participal Design Workshop, den wir zu einem zu vereinbarenden Zeitpunkt bei uns am Institut durchführen würden, ein halber Tag ungefähr, vielleicht ein dreiviertel Tag. Wir würden auch das Mittagessen zahlen, viel mehr können wir uns nicht leisten. Spannend wäre das für uns als…, da müsste ich jetzt länger über das Projekt reden, das will ich mir sparen. Also, wenn Sie Interesse hätten, es geht um E-Learning im Schulbereich, vor allem mit Sehbehinderungen und für blinde Schülerinnen und Schüler und wir wollen dazulernen in einer partizipativen Design-Session.

    Ende des Einschubs!

    Peter Purgathofer stellt sich selbst vor (Bild: Markus Ladstätter)

    Jetzt muss ich noch einen Disclaimer voranschicken. Ich wurde eingeladen, um über, natürlich in diesem Rahmen, über Accessibility zu reden. Ich werde aber nicht wahnsinnig viel über Accessibility reden. E-Voting ist ein Thema, dass mir sehr am Herzen liegt und das sehr wichtig ist und der Großteil dieses Vortrags hat mit Accessibility relativ wenig zu tun und ich hoffe, Sie verzeihen mir diese Entführung. Ich denke, dass das eine sehr wichtige Geschichte ist und ich werde an den geeigneten Stellen auf die Accessibility zu sprechen kommen.

    Ende des Disclaimers!

    Also E-Voting: E-Voting ist zur Zeit ein Thema, dass heiß ist aus verschiedenen Gründen. Es ist ein Einsatzgebiet von Informations- und Kommunikationstechnologien in den Spannungsfeld zwischen der Entwicklung der Technologie und der Entwicklung der Gesellschaft. Diese beiden Dinge passieren sehr parallel im Moment. Gesellschaft und Technologie entwickeln sich miteinander weiter oder auch gegeneinander manchmal und da entstehen neue Spannungsfelder, Stichworte Copyright z.B. ist ganz ein umstrittenes heißes Spannungsfeld in dieser gemeinsamen Entwicklung oder auch die Privatsphäre, wie schon in der Einleitung angesprochen. Es gibt natürlich Gründe, warum E-Voting ein besonders heißes Thema ist. Ein Grund ist, dass E-Voting neue formen der Mitbestimmung und Partizipation nahelegt. Wenn man über E-Voting nachdenkt, kommt man drauf, dass man unter Umständen wesentlich kostengünstiger und wesentlich direkter Demokratie betreiben könnte, würde E-Voting funktionieren.

    Eine Hoffnung, die mit E-Voting verbunden ist, ist die Wahlbeteiligung. Ich hab mir das jetzt für diesen Vortrag ein bisschen angeschaut. Eine Statistik der Wahlbeteiligung in 10-Jahres-Schritten zeigt, dass von ’45 bis ’75 die Wahlbeteiligung im großen und ganzen konstant war und ab dann absinkt. Wenn man jetzt in die Zukunft projiziert, dann kann man sagen, wenn das so weiter geht, kommen wir bald auf amerikanische Verhältnisse und eine Hoffnung, die mit dem E-Voting immer verbunden ist und interessanterweise glaube ich, eine der großen Fantasievorstellungen seitens der jetzigen Betreiber, ist eine Anhebung der Wahlbeteiligung. Gerade jetzt, wo darüber geredet wird, das für die nächsten ÖH-Wahlen einzusetzen. Bei ÖH-Wahlen ist die Wahlbeteiligung traditionell in der Gegend von 30%, also Hochschülerschaftswahlen, ist das natürlich eine Geschichte, die zu starken Begehrlichkeiten hier führt.

    Ebenfalls ein heißes Thema ist, weil es immer wieder als Skandalfall in die Medien kommt. Die amerikanischen Wahlen 2004 waren ein solcher Fall. Mehr oder weniger alle Wahlen in Europa, die seit dem unter Zuhilfenahme von E-Voting durchgeführt wurden, haben immer unangenehme Schlagzeilen mit sich gebracht. In England, in Deutschland, in Holland, wo Wahlmaschinen überhaupt abgeschafft wurden als Folge der Diskussion rund um deren Einsatz. Um vielleicht ein kleines Beispiel zu bringen, Diebold ist einer der Hersteller von Wahlmaschinen. Man kann diese Wahlmaschinen mit kleinen Schlüsseln aufsperren, um auf die sensiblen Innenteile zuzugreifen. Diese Schlüssel wurden auf der Webseite von Diebold abgebildet, sodass man das Profil sehen konnte und den Schnitt des Schlüssels sehen konnte und da braucht man noch nicht einmal diese Software, die vor ein paar Wochen durch die Medien gegeistert ist, wo man mit einem Foto die Schlüssel reproduzieren kann, sondern man kann sich diesen Schlüssel einfach kaufen. Das sind nämlich dieselben Schlüssel, mit denen Sie Schreibtische auf- und zusperren oder die Minibars in Hotels auf- und zusperren. Da gibt’s Webseiten, wo man die kaufen kann. Diebold hat das dann geändert und hat so Zensurbalken über die Schlüssel auf die Webseite geklebt. Also wo jetzt das Profil, der Schnitt des Schlüssels mit einem schwarzen Balken überklebt ist, was nichts daran ändert, dass man die bei Office Environment-Shops, einem Online-Shop, kaufen kann ungeschnitten und selber schneiden kann.

    E-Voting ist auch deshalb ein heißes Thema, weil es eine Initiative von unserem Wissenschaftsminister Hahn war oder noch immer ist, der also nicht nur E-Voting im Sinne von wir stellen uns an ein Gerät und wählen, sondern noch einen Schritt weiter, E-Voting im Sinne von wir wählen über den Computer, den wir zu Hause haben über das Internet. Diese Initiative ist natürlich nicht auf den Minister Hahn beschränkt, auch die junge ÖVP hat schon mit der richtigen Wahl, die junge ÖVP fordert E-Voting mit eingängigen Grafiken von jungen Menschen, die im Bett liegen und einen Computer/einen Laptop am Schoß haben, geworben. Eine der Visionen, die sich mit Internet oder E-Voting verbindet und natürlich spezifisch mit der Variante, mit dem eigenen Equipment zu wählen, ist die Barrierefreiheit.

    Peter Purgathofer beim Vortrag, auf der Projektion ein Bild von Wissenschaftsminister Hahn und die Aufschrift „initiative“ (Bild: Philipp Naderer)

    Das ist das Setup in Estland. In Estland wurde so gewählt, zumindest ein Teil der Wählerinnen und Wähler in Estland hat über das Internet gewählt und das war das Setup. Da bekam man so einen Kartenleser, den konnte man an beliebige Computer anschließen, eine Software/eine Karte, die man da hineingesteckt hat, dann konnte man online wählen. Also wäre es hier möglich, eigenes Equipment zu verwenden, was weiß ich, Braille-Reader, Braille-Tastaturen, dann wäre das sicher ein großer Fortschritt. Vielleicht als letzter Punkt der Einleitung, Wahlen sind, und das darf man nicht vergessen, in einer Demokratie etwas ganz besonderes. Sie sind mehr als nur ein weiterer Bestandteil einer Demokratie. Wahlen sind in einer Demokratie das, was wir in der IT-Sicherheit ein Single Point of Failure nennen. Ein Single Point of Failure ist ein Punkt, an dem man ein System angreift und es komplett aushebeln kann. Gelingt es uns, die Wahlen in einer Demokratie auszuhebeln, die Wahlen zu unterwandern, das Wahlsystem zu unterlaufen, zu verändern, zu manipulieren, dann haben wir den Rest der Demokratie in der Tasche. Wir können uns eine bequeme absolute Mehrheit schaffen und aus dieser absoluten Mehrheit heraus, nahezu alles, was in einer Demokratie so passieren darf, kontrollieren. Da gibt es nur noch wenig, was uns stoppt. Das beendet die Einleitung.

    Ich möchte vielleicht vorweg schicken als full disclosure an dieser Stelle, ich bin der Meinung, E-Voting sollte ein no-go sein, wir sollten E-Voting nicht vorantreiben. Wir sollten es nicht machen, wir sollten es sein lassen und es wird sich herausstellen, was für Konsequenzen es hat, denn natürlich wird es hier und da probiert werden. Und ich möchte diese Meinung im Folgenden anhand von drei Argumenten begründen:

    Die Prinzipien, denen eine Wahl in einer Demokratie gehorchen muss, damit sie eine freie Wahl ist, eine Wahl in einer freien Demokratie ist, eine Wahl hat frei zu sein, sie hat gleich zu sein, sie hat geheim zu sein, sie hat sicher zu sein und sie hat transparent zu sein. Das sind fünf Kriterien, über die man sich relativ einig ist.

    Also freie Wahl, jeder darf wählen gehen, der Wahlberechtigt ist. Sie ist gleich, jeder hat eine Stimme und jede Stimme ist ein Mensch. Sie ist geheim, ich darf meine Stimme so abgeben, dass niemand mich sieht und ich muss meine Meinung auch nie sagen. Sie ist sicher, sie ist so organisiert, dass sie nicht unterlaufen werden kann und sie sollte so organisiert sein und das ist vielleicht ein ganz wichtiger Punkt, sie sollte so organisiert sein, dass jeder nachvollziehen kann, dass nicht manipuliert wurde und das hat einen sehr guten Grund. Denn fragen wir uns, wer organisiert denn eine Wahl?

    Eine Wahl, ich vereinfache hier bewusst, wird im Normalfall vom Gewinner der vorigen Wahl organisiert und abgehalten und dieser Gewinner der vorigen Wahl hat natürlich ein durchaus nachweisbares Interesse an einer Manipulation dieser Wahl. Das heißt natürlich nicht, dass das auch passiert. Es gibt ein Interesse, sagen wir vielleicht lieber, es gibt einen Interessenskonflikt. Dieser Interessenskonflikt bedeutet auf der einen Seite die Abhaltung fairer und demokratischer Wahlen, weil das Gesetz ist, weil sich das so gehört, wir sind in einer Demokratie usw., und auf der anderen Seite die Möglichkeit als derjenige, der sie organisiert und abhält, die Wahl, den eigenen Machterhalt durch Manipulation zu sichern.

    Und wie ist es heute geregelt, dass das nicht möglich ist, denn es passiert bei uns de Facto nicht: durch Transparenz und diese Transparenz wird erreicht durch Einfachheit. Wahlen sind heute so organisiert, dass alles, was im Rahmen der Wahl von Beginn bis zum Schluss passiert, für jeden verständlich ist. Ich bring da gern das Beispiel von einem fiktiven Verein paranoider Supermarktkassierer und –kassiererinnen. Die sind der Meinung, es geht in unserer Demokratie nicht mit rechten Dingen zu und möchten daher sicherstellen, dass eine Wahl gut abläuft. Wir werden auf diesen Verein noch treffen.

    Also, wie läuft eine Wahl heute ab?

    Schritt 1, die Wahl beginnt vorher, aber sagen wir, Schritt 1: Die Wahlurnen werden versiegelt.

    Schritt 2: Wähler und Wählerinnen kommen, stellen sich in diese Wahlzelle, füllen ihre Stimmzettel aus, stecken die in Couverts, kleben diese Couverts zu und werden die Couverts in die Wahlurne ein. An irgend einem Zeitpunkt schließt das Wahllokal, die Wahlurnen werden in einem kontrollierten Rahmen geöffnet, die Stimmen werden aus den Couverts genommen, gezählt und das Ergebnis wird an eine Zentrale übermittelt.

    Das wunderschöne an diesem Vorgehen ist, dass jeder einzelne dieser Schritte so transparent ist, dass man zuschauen kann. Tatsächlich in guten Demokratien, und Österreich ist fast eine, kann man auch bei jedem dieser Schritte zuschauen. In guten Demokratien darf ich dabei sein, ich als irgendjemand, der nur hinkommt und sagt, das interessiert mich, wie ist denn das, ich möchte schauen. Jetzt kommt, nehmen wir diesen Verein der paranoiden Supermarktkassierer und –kassiererinnen und die sagen, das geht nicht mit rechten Dingen zu und beschließen, die Wahl zu überwachen. Sie können auch bei uns kommen und bei der Versiegelungen der Wahlurnen zuschauen, um z.B. zu verhindern, dass dieses berühmte Ballot-Stuffing, das Bereitstellen halbvoller oder ganz voller Urnen passiert.

    Das kann man aber leicht überprüfen, denn man kann hineinschauen in diese Wahlurne und dann wird sie zugemacht und dann kann man sich sicher sein, dass nichts drinnen ist. Sie dürfen auch zuschauen, wenn die Wählerinnen und Wähler ihre Couverts einwerfen, wenn das Wahllokal schließt. Bei uns leider nicht, aber in Deutschland, wenn die Wahlurnen geöffnet werden und die Stimmen gezählt werden und das Ergebnis an die Zentrale übermittelt wird. Alles das sind Vorgänge, die so einfach sind, dass sie auch für Mitglieder des Vereins der paranoiden Supermarktkassiererinnen und –kassierer verständlich und nachvollziehbar ist, sodass jedes Mitglied nach dieser Wahl zurückgehen kann, sich mit den anderen treffen und sagen: „In dem Wahllokal, wo ich zugeschaut habe, wurde nicht manipuliert und das kann ich mit 100%-iger Sicherheit sagen, denn ich verstehe alles, was da passiert.“ Mit einer Ausnahme natürlich: dieses Ausfüllen der Stimmzettel passiert an einem Ort, wo die nicht zuschauen dürfen und das ist eigentlich auch sehr nachvollziehbar und einfach gemacht, sodass man das verstehen kann.

    Jetzt schalten wir zu E-Voting. Üblicherweise ist der Ablauf ein folgender: vor der Wahl werden die Wahlgeräte verifiziert von irgend einer Zertifizierungsstelle und aufbewahrt, dann werden sie geliefert an das Wahllokal. Sie werden dort eingeschaltet, üblicherweise läuft ein Selbsttest, der dann auf dem Bildschirm oder auf einem Streifen Papier erklärt, dass das Gerät nicht manipuliert wurde. Die WählerInnen geben eine Stimme am Gerät ab und wie John Hodgeman es formuliert hat: „…und dann passieren damit Dinge“, „Computer: Things happen.“. Das Wahllokal schließt, der Wahlleiter/die Wahlleiterin geht zu diesem Gerät, bringt es in einen Ergebnismodus, kriegt das Ergebnis wahlweise auf einer Speicherkarte/auf einem USB-Stick, auf einem Datenträger oder direkt per Internet und übermittelt es an die Zentrale. Und das sind Dinge, wo der Verein der paranoiden Supermarkt-Kassiererinnen und –kassierer, der fiktiv ist, nicht zuschauen kann.

    Natürlich können Sie zuschauen, aber Sie werden nichts davon verstehen. Sie werden auch nicht verstehen, nicht einmal ich werde verstehen, was in diesem Gerät abläuft. Ich bin gestandener Informatiker, ich hab viele Jahre studiert, ich würde mich auskennen, gäbe es eine Chance, zuzuschauen. Die gibt es aber nicht, und aus gutem Grund, denn in dem Moment, wo es die Chance, zuzuschauen gibt, ist es mit der Privatsphäre der Wählerinnen und Wähler dahin. Das heißt, wenn wir ein System schaffen, wo ich zuschauen kann, dass alles mit richtigen Dingen zugeht, dann ist das Wahlgeheimnis kaputt. Abgesehen davon, dass wir weit davon entfernt sind, solche Systeme zu schaffen.

    Also diese Transparenz wird von E-Voting- Systemen ganz effektiv zerstört und stattdessen erwartet man von uns Vertrauen. D.h. dieses Gerät wurde von dieser und jener Stelle zertifiziert, wurde seitdem nicht mehr angerührt und hier steht es jetzt und es ist korrekt. Dieser Aussage müssen wir vertrauen. Wir haben keine Chance der Überprüfung, wir müssen ihr vertrauen. Und die Frage ist natürlich, ob dieses Vertrauen gerechtfertigt ist. Da kriegt man dann so eine Karte, die hier auf dem Bild, das ist eine Voter-Access-Card, das ist so eine Chipkarte wie die Bankomatkarte oder die E-Card und wir wissen aber nicht, was da drauf ist. Ist da vielleicht heimlich ein Spion drauf? Vielleicht steht da unser Name drauf, sodass, wenn wir es in ein Gerät stecken, irgend ein undokumentierter Teil des Geräts unseren Namen zusammen mit der abgegebenen Stimme aufbewahrt. Das ist ein Diebold-Touch-Screen- Wahlsystem. Gibt’s da drin einen Spion, der meine Stimmen verändert? Ich weiß ja nicht, was da drinnen passiert. Ich gebe da meine Stimme virtuell ab und die wird gespeichert, aber was ist, wenn jede zehnte Stimme, jede zwölfte Stimme einfach umgekippt wird.

    Es gibt hier dazu das zugegebene fragwürdige Geständnis eines Mitarbeiters einer Firma, die solche Geräte macht, der wurde gekündigt und hat dann „ausgepackt“ und hat erklärt, dass er aufgefordert wurde, solche Manipulationsmöglichkeiten zumindest vorzusehen. Oder dieses Setup beim Zu-Hause- E-Voting. Da hab ich dieses Lesegerät und den Computer. Wer sagt mir, dass in diesem Lesegerät nicht irgend eine Technologie ist, die mein Wahlgeheimnis unterläuft? Tatsächlich auf heise.de vor ein paar Wochen, ich weiß nicht, ob sie es mitbekommen haben, aber Kartenleser für Kreditkarten, also Kreditkartenleser, die in Geschäften eingesetzt wurden, da hat man vor kurzem entdeckt, dass die mit einem kleinen Zusatzgerät aus dem Herstellungsland irgendwo in Fernost-Asien ausgeliefert wurden, dass so jede zehnte oder zwölfte Kreditkartennummer sammelt und diese nach Geschäftsschluss per Handy-Verbindung raustelefoniert. Und davon wusste niemand etwas. Das wurde entdeckt durch einen Nachtwächter, der in der Nacht durch das Geschäft gegangen ist und wie er an diesem Gerät vorbeigeht, fängt sein Handy so zu piepsen an, weil dieses Gerät gerade eine Verbindung aufbaut. Dem war das unheimlich und er hat gesagt, was ist da los. Dann haben de das aufgemacht und haben das da drinnen gefunden.

    Das ist also keine lustige Aprilscherz-Meldung, das ist ganz echt. Also wir können gar nicht wissen, ist das sicher, dieser Kartenleser oder unser Computer. Ein Viertel aller Privatrechner sind von Schadsoftware befallen. Ein guter Teil dieser Schadsoftware sind Keylogger. Diese Keylogger sind ein ideales Mittel, um unser Wahlgeheimnis zu unterlaufen und ich kann Ihnen sage, Sie können diese Keylogger-Leistung bei Hackern kaufen. Sie können zu Hackern gehen, die sitzen im europäischen Kontext bevorzugt im Osten, das ist so eine Geschichte, die man nicht leugnen kann, und dort können Sie dann Keylogger-Leistung kaufen. Sie können sagen, 20.000 Computer, vier Tage lang das Ergebnis des Keyloggings, das kauf ich jetzt und dann bekommen Sie das.

    Das ist illegal, aber Sie können es kaufen. Also ein Viertel aller Privatrechner haben in diesem Kontext, ohne es zu wissen, kein Wahlgeheimnis mehr. Und die Frage ist: kann man das umkehren, kann man manipulieren mit solcher Schadsoftware? Und natürlich muss auch das Schlagwort der Online-Durchsuchung hier her. Die Online-Durchsuchung, gefordert von den Ermittlungsbehörden, als eine legale Möglichkeit, genau diese Software auf unsere Computer zu bekommen, sodass ich im behördlichen Auftrag das Wahlgeheimnis unterwandern kann, ohne dass jemand davon etwas merkt. Und schließlich diese Wahlmaschinen, die andere Methode, elektronisch zu wählen, bei diesen Geräten, wo man hingeht. Und ich zeig Ihnen jetzt ganz kurz einen Fall von einem tatsächlichen stattgefundenen Spionagefall, allerdings nur zu Demonstrationszwecken. Das ist die Maschine, die es in Holland nicht mehr gibt. Da wurden, glaub ich, 17.000 Stück gekauft in Holland, die sind alle auf dem Müll gelandet oder weiterverkauft worden, weil niemand mehr sie dort verwenden will und warum, weil man festgestellt hat, dass, wenn ein Wähler zu dieser Maschine hingeht und dort seine Stimme eingibt, dass das ein Signal erzeugt, ein nicht genügend abgeschirmtes Signal nach außen, dass man mit einem Empfänger von außerhalb des Gebäudes auffangen kann und entsprechend interpretieren, sodass man sehen kann, was der Mensch, der gerade an diesem Gerät steht, wählt jetzt. Davon ist es nur ein ganz kleiner Schritt hin zum Ende des Wahlgeheimnisses. Also, das ist einer dieser Spione.

    “The signal can be received from a distance up to 70 feet, 25 meters.” 25 Meter, sie brauchen also nicht einmal daneben stehen. Und da kommen die jetzt und sagen, habt doch Vertrauen in diese Geräte, ihr braucht sie, wir brauchen die Transparenz nicht mehr. Die Geräte haben irgend welche unspezifizierten Vorteile und bitte habt jetzt Vertrauen. Und jetzt kommt der Punkt: in der IT-Security sprechen wir von den richtig guten Systemen als Trust-no-one-Systemen (TNO-Systemen), ein Begriff von Steve Gibson, einer der großen Security-Gurus, der alten großen Security-Männer. Also, der sagt, “trust no one!”, und was ist der Kern von “trust no one”? Der Kern von “trust no one” ist Transparenz, einer der Kerne. Also, Systeme, die nicht transparent sind, denen vertrauen wir nicht, denn wir können ihnen nicht vertrauen. Wir wissen ja nicht, ob wir es können und da geht es gar nicht um reale Gefahren. Da geht es tatsächlich nur um den Vertrauensverlust, der hier entsteht. Also wenn wir von E-Voting reden und da gibt es in Frankreich, da war eine Wahl unter Einsatz von E-Voting und da haben sie nachher mit den Menschen gesprochen und ein Pensionist, Pierre Bascul…, ich kann das nicht Französisch, hat gesagt: “I just don’t trust these machines”. Warum auch, her hat keinen Grund und genau das, ganz egal, ob jetzt manipuliert wurde oder nicht, genau das ist einer der Gründe, warum die Wahl in den USA 2004 von vielen Menschen bis heute als nicht sauber abgelaufen bezeichnet wird.

    Das ist eine Webseite: “George W. Bush, Terrorist in the White House!”, das ist ja Gott sei Dank bald vorbei. Sie können danach googeln, Sie finden genug Webseiten, die Ihnen erklären, warum die Wahl 2004 in den USA nachweisbar manipuliert wurde. Ob diese Nachweise jetzt stimmen oder nicht, ist nicht wichtig. Wichtig ist, dass es keinen Beweis dafür gibt, dass es nicht passiert ist, weil die Transparenz fehlt. Und als Kirsche oben auf dem Kuchen, das ist Klaus Brunnstein, der war Präsident der International Federation of Information Processing, einer der größten Berufsverbände der Informatik. Der hat öffentlich geäußert, er ist der Meinung, bei den Wahlen 2004 in den USA wurde betrogen, der eigentliche Präsident müsste John Kerry heißen.

    Und in diesem Klima wird von uns verlangt, Vertrauen zu dieser Technologie zu haben, die also ohne Transparenz auskommt. Da sage ich nein, habe ich kein Vertrauen und das alleine wäre schon Grund für mich, um zu sagen, E-Voting sollten wir nicht machen. Aber es gibt noch einen zweiten Grund. Dieser zweite Grund liegt in der Art und Weise, wie das da so funktioniert. Der Hintergrund zu E-Voting, der theoretisch-mathematische Hintergrund ist Kryptographie, die Wissenschaft von der Verschlüsselung. Also E-Voting ist eine Anwendung der Kryptographie. Die schaut ungefähr so aus. Das sind jetzt so Briefkuverte und Dinge, die man in die Brief-Kuverte hineinsteckt und Stempel. Das ist gar nicht wichtig, wie das tatsächlich funktioniert. Das ist eine ganz gute metaphorische Darstellung dessen, wie das funktioniert. Das Interessante ist, dass das von der kryptographischen Seite her vollkommen wasserdicht ist. Sie können zeigen, dass ein System, dass nach diesem Prinzip operiert, wirklich absolut sicher ist. Und damit haben wir den Papierwahlen was voraus, die sind nämlich nicht absolut sicher. Da gibt’s schon natürlich ein Manipulationsrisiko.

    Die Frage ist aber jetzt, ob das korrekt implementiert wurde. Was ist, wenn diese absolut sauberen und brauchbaren kryptographischen Methoden nicht richtig implementiert wurden. Software-Experten sind sich laut Wikipedia.de darüber einig, dass praktisch jedes nicht-triviale Programm Fehler enthält. Das wissen wir auch. “Software is Buggy!” Das ist ein akzeptierter Fact heute, wir wissen, dass Software Fehler hat, immer. Wir werden sie nicht wegkriegen. “It is often considered impossible to write completely Bug free software of any real complexity.” Also die Frage der korrekten Implementierung muss man an der Stelle schon einmal sagen, natürlich nicht. Die Frage ist nur, haben diese Bugs eine Auswirkung? Übrigens ist wieder dasselbe, Klaus Brunnstein der sagt, das kann man auch beweisen. Es gibt einen formalen Beweis dafür, dass es keine korrekten Programme über eine gewisse Komplexität gibt, keine Technologie, die absolut wasserdicht ist.

    Was sind die Folgen davon: in 95% der Fälle sind die Folgen davon genau nix. Denn 95% der Bugs treten nie zu Tage, werden nie gefunden, werden nie aktiv. Die schlafen so vor sich hin. In irgend welchen extremen Sonderfällen würden die vielleicht, aber die treten nie auf. Und wenn die auftreten, dann macht man es noch einmal, dann ist der Sonderfall weg. Aber natürlich aus Betrachtungsweise der IT-Security muss man sagen, zumindest nichts Auffälliges. Denn jeder Bug ist zumindest potentiell eine Sicherheitslücke. Jeder Bug, der sich in einer Software befindet, wird sie von jemand „mit schwarzem Hut“, bei uns sagt man, die Hacker haben einen schwarzen Hut, wenn sie böswillig sind, wird sie von jemand mit schwarzem Hut gefunden, ist das die Möglichkeit, ein Gerät zum Absturz zu bringen, von außen mitzuhören, mitzuloggen, einzudringen, zu übernehmen, dieses Gerät zu ownen.

    Das ist natürlich das Schreckensszenario für jedes dieser Geräte. Und, wie gesagt, das ist beweisbar und es ist nicht nur beweisbar, es ist auch schon passiert. So hat z.B. Ariel Feldmann, Alex Holderman und Edward Felton eine Software gemacht, die sie Vote Steeling Control Panel genannt haben. Diese Software hat sich mehr oder weniger von selber über einen Update-Mechanismus von Wahlmaschine zu Wahlmaschine verbreitet und einmal eingestellt, hat sie alle Wahlen auf diesen Maschinen verfälscht. Und da konnte man vorher einstellen, wer soll wie viele Prozent der Stimmen haben und genau das war nachher das Ergebnis. Die Software hat sich nach der Wahl gelöscht, sodass sie nachher nicht mehr nachweisbar war und sie hat alle Spuren ihrer Existenz aus den verschiedenen Protokollen in dieser Maschine gelöscht. Tatsächlich nicht mehr nachweisbar.

    Die Maschine war nach der Wahl ident zu vor der Wahl ohne diese Schadsoftware. Oder, auch schön zu sehen in dem Film “hacking democracy”, der von HPO produziert wurde, der zeigt, wie diese Scan-Maschinen, wo man die ausgefüllten Zettel hineinlegt, um sie zu scannen, wie man die ebenfalls auf dieser breiten Basis hacken kann, um die Wahl zu verändern. Und diese Art von Unsicherheit ist nur ein Aspekt. Wir wissen, irren ist menschlich, für richtige Katastrophen brauchen wir den Computer, ist der Rest, wissen wir schon und wenn wir uns die Wahlfälle der letzten Jahre anschauen, dann stellen wir fest, dass unglaubliche Dinge rund um Wahlen passieren. Edward Felton beschreibt z.B., dass er zufällig an Wahlmaschinen, die auf dem Gang herumgestanden sind, vorbeigekommen ist, er hat gar nicht gewusst, dass das Haus, in dem er ist, ein Gebäude sein wird, in dem die Wahl stattfindet, aber das war offenbar so und die Wahlmaschinen sind unbeaufsichtigt am Gang herumgestanden. Eine Einladung zur Manipulation quasi. Diese Dinge, da gibt’s also, da könnte ich jetzt lang Beispiele erzählen, ich kann Ihnen gern später welche erzählen, wenn Sie noch Lust haben dazu.

    Also, E-Voting kann nicht korrekt implementiert werden. Das alleine wäre ein Grund genug für mich zu sagen, verzichten wir doch lieber auf E-Voting und es gibt aber noch einen dritten Grund. Und der ist für mich eigentlich der erschreckendste. In der IT-Security, um noch einen letzten Begriff einzuführen, unter dem Begriffspaar gibt es den Begriff von Retail-Fraud und Wholesale-Fraud. Fraud ist Betrug und Retail-Fraud ist Betrug sozusagen im Einzelnen, also beispielsweise eine Bank. Ein Bankraub ist Retail-Fraud. Das ist jetzt eine Metapher, weil Retail-Fraud ist ein Begriff aus der IT-Security. Wenn jemand in einer Bank arbeitet und dort so einen Weg gefunden hat, um aus der Kassa am Ende des Tages einen 100-Euro-Schein zu entfernen, um den mit nach Hause zu nehmen, ist das Retail-Fraud.

    Und Wholesale-Fraud wäre jetzt nicht eine Bank auszurauben oder an einem Arbeitsplatz betrügerisch tätig zu sein, sondern die ganze Bank, sagen wir die Erste zu betrügen, als ganzes oder eine ganze Marktwirtschaft zu betrügen. Ein berühmtes Beispiel aus der Vergangenheit ist dieses: sie hatten ÖS, also österreichische Schilling, noch 1.416.30 auf ihrem Konto und bekamen 2 3/8% Zinsen draufgerechnet und wenn Sie das ausrechnen kommen 1.449,93713 ÖS dabei heraus. Banken waren bekannt dafür, dass diese 713 Hundertstel Groschen dabei abgeschnitten werden und in den Mistkübel fallen, den Mistkübel, den dann natürlich nicht die Putzfrau leert, sondern der der Bank als Vermögen zugute kommt. Und das hat ein Mitarbeiter entdeckt in der EDV und hat die Software so geändert, dass diese 713 Hundertstel Groschen auf sein Konto überwiesen werden. Nein, es sind 713 Tausendstel Groschen, Entschuldigung. Und dieses Konto hat sich in unglaublicher Geschwindigkeit gefüllt, er war selber baff, er war bald Millionär. Nach einem halben Jahr wurde er entdeckt, gefeuert und alles wieder weggenommen usw., aber das ist Wholesale-Fraud und Sie merken schon, Wholesale-Fraud ist mit rein menschlicher Beteiligung unglaublich schwierig, aber mit Computern wird es leichter. Sagen wir, nicht, die sind übrig.

    So, jetzt schauen wir uns an, die Papierwahl, wie ist das mit Retail-Fraud, bei der Papierwahl. Sie sind jetzt im Wahllokal, Sie sind eine Wahlkommission, die dort sitzt, die aus irgend welchen zufälligen Gründen, sich einig ist, dass das Wahlergebnis, dass dem nachgeholfen werden muss und jedes Mal, wenn grad gar niemand da ist, füllen Sie schnell 2, 3 Wahlzettel aus, stecken Sie in Kuverte und stopfen sie in die Wahlurne. Das ist machbar, aber es ist schwierig. Die Art und Weise, wie Wahlen gemacht sind, sorgen dafür, dass es schwierig ist, zumindest bei uns, unter kontrollierten Bedingungen, Wahlbetrug auf der Ebene des Retail-Frauds durchzuführen. Wholesale-Fraud ist bei uns zumindest unmöglich geworden. Es gibt viele Gründe, warum das unmöglich ist, ein wesentlicher Grund ist die Transparenz unseres Wahlsystems. Sagen wir, es ist nicht ganz unmöglich, es ist unmöglich, ohne Verdacht zu erregen.

    Es gibt immer wieder Fälle von Wahlbetrug, die aber auffliegen, weil z.B. 45 Kolaborateure notwendig waren und irgend einem gehen die Muffen und er petzt. Wie schaut’s jetzt bei E-Voting aus? Retail-Fraud ist bei der Papierwahl, war Retail-Fraud machbar aber schwierig. Beim E-Voting ist es recht einfach, das stimmt eigentlich nicht. Es ist jetzt recht einfach. Wenn man sich die Wahlberichte anschaut, der Chaos-Computer-Club in Deutschland hat die Wahl in Brandenburg beobachtet, hat einen sehr langen Bericht abgegeben, was da alles schief gegangen ist und es stellt sich heraus, sehr oft kennen sich die Leute mit den Wahlcomputern nicht aus und dann kommt ein hilfreicher Mitarbeiter mit hinein in die Wahlzelle und hilft ihnen mit dem Wahlcomputer. An dieser Stelle ist Wahlbetrug sehr einfach. Oder die Geschichte mit dem Stift in Hamburg, also da gibt’s recht haarsträubende Geschichten, aber das ist in Wirklichkeit etwas temporäres. Das hängt mit unserer niedrigen Literacy in Bezug auf diese Technologien zusammen. Würde man das durchsetzen, wäre das ganz schnell vorbei. Jeder würde sich auskennen, die Technologien wären besser, aber das erschreckende ist, dass Wholesale-Fraud möglich wird, ohne Verdacht zu erregen.

    Upps, ich hab jetzt einen kleinen Fehler in den Folien. Achso, nein, Entschuldigung, unmöglich, ohne Verdacht zu erregen, das war die Papierwahl jetzt. Das Wholesale-Fraud möglich wird, nämlich, ohne Verdacht zu erregen und Spuren zu hinterlassen. Wir haben das gesehen bei diesem Vote Steeling Control Panel. Das war nur ein Proof of Concept, eine Software, die zeigen sollte, dass das geht, aber wir haben es gesehen, es ist möglich, Wahlen auf einem systematischen Level, diese Wahlmaschinen werden im ganzen Land eingesetzt und wenn es mir gelingt, die Maschinen oder den Mechanismus beim Internet-Wählen zu manipulieren, ohne dass es jemand merkt, dann habe ich die gesamte Wahl in der Tasche, als einzelne Person brauch ich keine Kolaborateure, niemanden. Also ohne Verdacht zu erregen, da kann man jetzt über statistische Analysen reden, man kann Wahlen so manipulieren, dass die Exit Polls in keinem Widerspruch zum Wahlergebnis stehen usw. also E-Voting öffnet die Tür, die bis jetzt zu war in unserem Wahlsystem, für Wholesale-Fraud. Und das ist der dritte Grund, warum ich sage, verzichten wir, lassen wir diesen Krug an uns, oder es ist ein Kelch, lassen wir diesen Kelch an und vorübergehen.

    Also Wahlen sind in eine Demokratie ein Single Point of Failure, sie sind von entscheidender, strategischer Wichtigkeit, dass sie unkompromittiert, dass sie echt sind, daher E-Voting als eine Entwicklung, die die Transparenz zerstört, die beweisbar unsicher ist und die systemweite Manipulation ermöglicht, ohne Verdacht zu erregen und ohne Spuren zu hinterlassen, sollte etwas sein, was wir einfach nicht tun. Wenn sie ein bisschen interessiert dran sind, es gibt diese Webseite papierwahl.at, an der ich ein bisschen beteiligt bin als gelegentlicher Autor, wo solche Dinge diskutiert werden.

    So, und jetzt ist genau das passiert, was ich am Anfang angekündigt habe, ich habe nämlich fast nicht über Barrierefreiheit gesprochen. Das ist nämlich das traurige Opfer am Straßenrand dieser Geschichte. Wenn wir uns aber drauf einigen, dass E-Voting etwas ist, was wir nicht tun, dann gibt es vielleicht andere Fragestellungen, denen wir uns konzentriert widmen können und die bis heute einfach nicht im Mittelpunkt gestanden sind. Wie könnte denn Trust-No-One-Papierwahl tatsächlich aussehen? Wie könnten wir vielleicht sogar an manchen Stellen Technologien einsetzen, um Trust-No-One, das Prinzip noch weiter zu treiben, um die Transparenz von Wahlen zu erhöhen? Wie könnten wir Barrierefreiheit bei Papierwahlen herstellen und zwar diskriminierungsfreie Barrierefreiheit? Wir wollen natürlich nicht, dass jemand sagt: „Bitte, ich brauche einen Blindenstimmzettel!“ und dann ist ganz klar, dass der einzige Blindenstimmzettel, von wem der in diesem Wahllokal war, sondern wir wollen diskriminierungsfreie Papierwahlen und ich glaube, dass das kein unmögliches Ding ist.

    Und, wie können neue Formen der Partizipation durch Informations- und Kommunikationstechnologien ausschauen? Das war ja eines der Versprechen von E-Voting, neue Formen der Partizipation, aber vielleicht gibt es formen der Partizipation in einer Demokratie, die nicht quantitativ sind, wo wir nicht Stimmen zählen und genau in dieses Manipulations in diese Manipulationsschiene laufen, sondern die qualitativ sind, wo plötzlich ganz andere Kriterien wichtig werden und wo ein einzelner ein einzelnes falsches Statement, also wo massenweise Manipulation unmöglich wird noch. Und das sind drei Fragen, die ich für wesentlich spannender halte als das Betreiben von E-Voting so wie unser Wissenschaftsminister es Gott sei Dank nicht mehr tun darf. Ich danke für Ihre Aufmerksamkeit. [Applaus]

    Moderation Klaus Miesenberger:

    Vielen herzlichen Dank für die Erschütterung in der Sicherheit der Systeme. Der Nächste Vortrag wird wahrscheinlich E-Banking heißen. [Lachen]

    Anmerkung Peter Purgathofer:

    Das ist eine Frage. Der Punkt ist, bei E-Banking weiß ich sofort, dass mir Geld fehlt und wenn ich es nicht sofort weiß, dann merke ich es irgendwann. Wenn mir kleine Beträge gestohlen werden vielleicht nicht, aber ich weiß nicht, ob Sie gelesen haben, das so genannte Skimming ist ein neuer Exploit, der sich gerade durchsetzt, Manipulation von Geld, also von diesen Kartenlesegeräten am Bankomat, an der Kassa usw. und dann ein paar Monate später ist das Konto leer. Aber das merke ich und das ist ein Unterschied zu nicht, da gibt es für jedes Konto einen Betroffenen. Das ist was anderes als E-Voting, wo jeder einzelne ziemlich chancenlos ist gegen die Manipulation. Entschuldigung, dass ich Ihnen das Wort genommen habe.

    Klaus Miesenberger:

    War vielleicht eine Frage als Kommentar oder ein Kommentar als Frage. Ich bitte das Publikum um Fragen. Dürften wir vielleicht das Mikrofon hin- und hergeben wegen der Induktionsschleife, bitte.

    Fragen aus dem Publikum:
    Frage:
    Danke, ich wollte auf Ihren letzten Satz zu sprechen kommen. Woher nehmen Sie die den Optimismus, dass es kein E-Voting geben wird bei der ÖH-Wahl?
    Peter Purgathofer:
    Nein, nein, ich befürchte, dass die ÖH-Wahl da werden sie versuchen, mit allen Mitteln was zu machen. Es ist irgendwie schief gegangen zuerst. Es hat ausgeschaut als würde es nichts werden, aber jetzt scheint es doch wieder einen Plan zu geben, wie es das geben kann. Aber die SPÖ, warten Sie, ich glaube, ich habe sogar irgendwo weiter hinten ein Zitat: „Das von der ÖVP forcierte E-Voting wiederum soll kein Thema mehr sein. Die SPÖ will darüber nicht einmal diskutieren.“ (Samstag, 8.11.2008 im Ö1 Inforadio) Also zumindest in der jetzigen Konstellation schaut es so aus, als hätten wir bis zu den nächsten Wahlen ein bisschen Ruhe vor diesem Vorantreiben des E-Votings auf einer politisch bedeutenden Ebene. Auf diesen ÖH-Wahlen, die für die Studenten sehr wesentlich sind, aber von den Politikern so ein bisschen als eine Pimperl-Wahl angesehen wird, da werden sie offensichtlich damit experimentieren. Ich finde das nicht richtig, aber.
    Frage:
    Ist das nur mein persönlicher Eindruck oder werden E-Voting-Wahlen vor allem von konservativen Kreisen forciert?
    Peter Purgathofer:
    Nein, es ist traurig, und dass in Österreich die Maria Ringler von den Grünen eine Befürworterin des E-Voting ist, dass ist wahrscheinlich nur Sache eines demnächst zu planenden Vier-Augen-Gesprächs mit ihr. Nein, aber die Grünen sind da sehr positiv z.B. das ist ich glaub’, da gibt’s keine Zuordnung. Es gibt diesen Innovationsgrund, ja wir wollen uns als Regierung innovativ zeigen. Wir wollen zeigen, wir gehen in die Zukunft und diese Dinge. Und es gibt die Wahlbeteiligung manche zitieren noch immer Kostengründe, obwohl inzwischen längst klar ist, dass es überhaupt keinen Kostenvorteil gibt. Vielleicht kann ich das noch, das ist jetzt für die Internetwahlen in Österreich. Um Internet-Wahlen gegen Angriffe abzusichern können bei österreichischen Dimensionen schon 10 Millionen Dollar fällig werden, sagt ein Sicherheitsexperte. Das ist und das Wahlen sind teuer, dürfen sie auch ruhig sein mit dem Wert, den sie für die Demokratie haben, aber die Hoffnung, dass sie billiger zu machen, indem wir sie elektronisch machen ist eine Fehlhoffnung. Also es gibt viele verschiedene Motive, das zu betreiben, die man wahrscheinlich politischen Lagern zuordnen kann, aber leider ist es nicht auf eines beschränkt.
    Anmerkung aus dem Publikum:
    Also ich möchte mir erlauben, zu widersprechen, bin selber ein Grüner, bin der Vorsitzende der Bezirksvertretung Josefstadt und ich kann sagen auch aus so einer internen Stimmung bei den Grünen, die Mehrheit der Grünen ist gegen E-Voting. Es mag einzelne Leute geben, es gibt Meinungsfreiheit bei den Grünen, also aber im Wesentlichen sind die Grünen nicht die Verfechter dieses E-Votings. Das ist im nach außen hin im Wesentlichen die ÖVP in Österreich, für andere Länder will ich es jetzt nicht sagen, aber ich weiß, dass es auch innerhalb der ÖVP durchaus auch kritische Stimmen gibt. Also ses ist nicht so, dass das jetzt ein monolithischer Block wäre, das sind jetzt die E-Voting-Verfechter und alle anderen sind dagegen. So ist es Gott sei Dank nicht.
    Peter Purgathofer:

    Vielleicht zwei Details dazu. Es gibt Menschen, die den Verdacht äußern, dass der Minister Hahn das E-Voting deswegen so vehement betreibt, weil ihm über die Vollrechtsfähigkeit der Universitäten, die ja mit dem neuen UG vor ein paar Jahren passiert ist, eigentlich sein Wirkungsbereich abhanden gekommen ist und er nichts mehr zu tun hat und weil E-Voting ein Anwendungsfall für die bis jetzt irgendwie noch immer nicht aus den Startlöchern so richtig gestartete Bürgerkarte wäre. Also das sind so zwei Gründe, die man immer wieder einmal hört aus verschiedenen Ecken. Kann ich nichts dazu sagen, wie das ist, warum das bei uns, warum ausgerechnet der Herr Minister Hahn das oder vielleicht ich weiß ja nicht, ob er weiter und dann ein zweites Detail noch, es gab einen ganz entschiedenen Gegener von E-Voting in der österreichischen Politik, also zu dem ich jetzt keine politischen Sympathien habe, aber der sogar öffentlich aufgetreten ist, das war der Herr Zach, gibt’s auch nicht mehr, vom liberalen Forum, der ist zurückgetreten vor den letzten Wahlen. OK, noch Fragen?

    Klaus Miesenberger:

    Wenn dem nicht so ist, sage ich noch einmal herzlichsten Dank für den sehr anregenden Vortrag. Ich weiß jetzt nicht, es ist glaube ich ein Wechsel vorgesehen in den anderen Raum, dass wir uns vielleicht die eine oder andere Minute Zeit nehmen, dass die Personen, die wechseln möchten in den anderen Vortragsraum und zurück, dass wir das durchführen können und wir würden in 1, 2 Minuten Dann weitermachen. [Applaus]

Der A-Tag ’08 ist eine Veranstaltung von accessible media und dem BMGFJ