Risiken von E-voting - CryptoParty - Ondrisek
•Download as ODP, PDF•
1 like•743 views
Risiken von E-voting - CryptoParty Wien by Barbara Ondrisek
Recommended
More Related Content
More from Barbara Ondrisek
More from Barbara Ondrisek (13)
Risiken von E-voting - CryptoParty - Ondrisek
- 2. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Hintergrund
- 3. 28.11.16 CryptoParty Wien @electrobabe E-Voting und Wahlrecht
- 4. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Kritiker
- 5. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Andere Länder, andere Sitten
- 6. 28.11.16 CryptoParty Wien @electrobabe Vorteile von E-Voting
- 7. 28.11.16 CryptoParty Wien @electrobabe Transparenz
- 8. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Source Code
- 9. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Manipulationssicherheit
- 10. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Ausfallsicherheit
- 11. 28.11.16 CryptoParty Wien @electrobabe Fehlerfreie Software
- 12. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Sicherheit im Internet
- 13. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Internetwahlen
- 14. 28.11.16 CryptoParty Wien @electrobabe Papierwahl
- 15. 28.11.16 CryptoParty Wien @electrobabe28.11.16 Kleber von Papierkuverts
- 16. 28.11.16 CryptoParty Wien @electrobabe
Editor's Notes
- Hallo! mein Name ist Dr. Barbara Ondrisek und heute werde ich einen Talk über die Risiken von E-Voting geben. Über mich: Ich habe meine Dissertation an der TU Wien bei Peter Purgathofer über Sicherheit von E-Voting-Systemen geschrieben.
- Zu meinem Hintergrund: Ich habe mehr als 15 Jahre Berufserfahrung als Freelancer und Consultant, wobei ich größtenteils bei größeren Firmen als Software-Entwickler gearbeitet habe. Ich habe einen starken Backend-Entwickler Hintergrund, allerdings mit einem Hang zu Full Stack and Mobile. 2008 habe ich meine Doktorarbeit zu Sicherheit von E-Voting-Systemen geschrieben. Diese Arbeit hat auch den Dr. Maria Schaumayr Preis gewonnen. Der Vorstoß der ÖVP, E-Voting einzusetzen, obwohl elektronische Wahlen in Österreich bereits vom Österr. Verfassungsgerichtshof für ungültig erklärt wurden, alarmiert Kritiker wie Rechtsexperten. Die Transparenz des Wahlvorganges ginge verloren und die Grundsätze des freien, geheimen und persönlichen Wahlrechts seien gefährdet. Zudem gäbe es eine Reihe weiterer Risiken und Sicherheitsprobleme bei elektronischen Wahlen.
- Mit E-Voting (engl. für ,,elektronische Wahlen“) ist jene Wahlmethode gemeint, mit der Stimmen auf elektronischem Weg repräsentiert oder gesammelt werden können. Die verschiedenen Arten von elektronischen Wahlen reichen von Internetwahlsystemen über Wahlmaschinen bis hin zu optischen Scannern, die Papierstimmzettel automatisiert auswerten. Die Wahlrechtsgrundsätze, auf denen jede Wahlform basiert, sind in der österreichischen Verfassung verankert und besagen, dass jeder Bürger oder jede Bürgerin das Recht auf eine allgemeine, freie, gleiche, persönliche, unmittelbare und geheime Ausübung seines oder ihres Wahlrechts hat. Bei elektronischen Wahlen sind allerdings die Grundsätze des freien, geheimen und persönlichen Wahlrechts, besonders in Hinblick auf Transparenz, Manipulation, Stimmenkauf und Wahlzwang, gefährdet.
- Es gibt nur schwache oder unvollständige Standards zur Implementierung von elektronischen Wahlsystemen und viele wissenschaftliche Experten wie P. Purgathofer, M. Fehndrich, E. Neuwirth sprechen sich explizit gegen den Einsatz von E-Voting aus. Kritiker sind traditionellerweise Juristen oder Informatiker, also jene Leute, die sich am besten mit dem Thema auskennen. Dennoch gibt es weitreichende Bestrebungen, E-Voting in Staaten einzusetzen, in denen bisher Urnenwahlen stattfanden, wie etwa in Österreich.
- Elektronische Wahlen sind generell ein sehr umstrittenes Gebiet. Eine Reihe von Fehlern und Schwachstellen wurden bereits in E-Voting-Systemen weltweit (z.B. USA, den Niederlanden oder Estland) gefunden. In der Schweiz wurde die Wahlbeteiligung nachweislich nicht erhöht, außerdem musste auch dort an einer Schweizer Uni eine E-Wahl aufgrund von Mängeln wiederholt werden. Bei elektronischen Wahlen in Estland wurden erst 2014 gravierende Sicherheitsmängel festgestellt. In Deutschland hat das Bundesverfassungsgericht die Verwendung von Wahlcomputern als verfassungswidrig erklärt und in Österreich wurde der E-Voting-Pilotversuch bei den ÖH-Wahlen ebenfalls für ungültig erklärt.
- Trotz der Kontroversen, die dieses Thema hervorbringt, werden gewisse Vorteile von elektronischen Wahlen von dessen Befürwortern immer wieder hervorgehoben: Schnellere Auszählungen, Modernisierung und Zukunftsorientierung, das Verhindern unabsichtlich ungültiger Stimmen (besonders bei speziellen Auswertungsformen wie Panaschieren oder Kumulieren) und Vorteile für körperlich benachteiligte Personen (Stichwort: barrierefreies Wählen). Weiters werden finanzielle Ersparnisse, Steigerung der Wahlbeteiligung, leichtere Einbindung von Wählern aus dem Ausland wie auch Anwendung der direkten Demokratie genannt. Die technikbegeisterte, junge Generation würde durch Internetwahlen zur Beteiligung motiviert werden. Außerdem müsse ein moderner Staat ja im digitalen Zeitalter elektronische Wahlen ermöglichen.
- Der Einsatz elektronischer Wahlen birgt aber neben positiven Aspekten auch eine Reihe von Gefahren. Zum Einen ergibt sind bei E-Voting das generelle Problem der Transparenz. Die Maschine – eine Blackbox – macht etwas, das selbst für Techniker nicht direkt erkennbar ist. Das Speichern und das Berechnen der Wahlergebnisse bleibt Wählern, Beisitzern und Beobachtern verborgen. Nicht jeder Bürger (insbesondere die ältere Generation) besitzt das Wissen und die Fähigkeiten, mit Computern und dem Internet umzugehen, geschweige denn, sich bei einem E-Voting-System mit zigtausend Lines Of Code auszukennen. Wie müsste wohl so ein System aussehen, damit z.B. auch nicht beabsichtigtes Falschwählen aufgrund von schlechter Bedienbarkeit ausgeschlossen werden kann?
- Zudem beharren Hersteller von E-Voting-Systemen meist auf proprietärer Soft- und Hardware, die nicht offen gelegt wird, da sie befürchten, dass Sicherheitslücken oder Betriebsgeheimnisse ausspioniert werden könnten. Doch selbst Open Source, also die Freilegung des Source Codes, bietet nicht genügend Schutz, da man nicht garantieren kann, dass auch der Code, der veröffentlicht wurde, wirklich auf den Wahlcomputern installiert wurde. Denn auch Überprüfungsprogramme selbst können kompromittiert werden. Selbst wenn man Fehlerfreiheit außer Acht lässt, wie garantiert man, dass die Software aus dem auditierten Sourcecode durch einen auditierten Compiler (das Übersetzungsprogramm von Source Code in Maschinen-Code) erstellt wurde? Prüfsummen, Reproducible Builds und andere Prüfprogramme oder auch der Compiler selbst können ebenfalls fehlerhaft sein oder gehacked werden, wie auch Firm- oder Hardware.
- Ein weiterer Aspekt, der sich aufgrund der fehlenden Transparenz ergibt, ist die Möglichkeit, dass nur eine einzige Person / ein Fehler das Ergebnis ohne Nachweis einer Manipulation verändern könnte – absichtlich oder unabsichtlich. Wie wir gerade bei den Klebestreifen der Briefwahl sehen: Möchte man wirklich potenziell fehlerbehafteter Technik blind vertrauen, wo es gerade bei Wahlen um so viel geht und nur wenige Stimmen über Österreichs Zukunft entscheiden können?
- Software und Hardware ist nie fehlerfrei. Es könnten sich beabsichtigte wie auch unbeabsichtigte Fehler oder Schwachstellen eingeschlichen haben, die selbst durch strenge Qualitätskontrollen schlüpfen können. So wurden bei vergangenen elektronischen Wahlen in den USA oft Unregelmäßigkeiten im Wahlergebnis gefunden, bei Untersuchungen der eingesetzten Wahlmaschinen wurden sogar gravierende Sicherheitsmängel entdeckt sowie mögliche Attacken nachgewiesen, wie etwa ein Tempest-Angriff oder die Manipulation des Boot-Loaders des Wahlcomputers.
- Eine wesentliche Komponente eines E-Voting-Systems ist die eingesetzte Software zum Verarbeiten der Stimmen. Bei nicht-trivialer Software jeglicher Art kann allerdings nie 100%ige Fehlerfreiheit gewährleistet werden. Es kann sich immer ein beabsichtigter oder unbeabsichtigter Fehler in die Programmierung der Software einschleichen. Ebenso kann auch die Hardware beeinträchtigt werden, man denke nur an Ausfälle durch Spannungsspitzen oder Bit-Flips durch kosmische Strahlung, geschweige denn an beabsichtigte Attacken.
- Das Internet wurde ursprünglich dafür entwickelt, in sekundenschnelle Nachrichten zu übertragen. Alle ursprünglichen Protokolle, wie HTTP oder E-Mail, wurden dabei in Hinblick auf Effizienz der Kommunikation und nicht für Sicherheit entwickelt. Um uns den Alltag zu erleichtern, wurden nun zusätzliche Sicherheitsmaßnahmen wie Verschlüsselungsalgorithmen oben drauf dazu programmiert, wobei auch hier nach wie vor Bequemlichkeit vor Sicherheit galt. Man erinnere sich an die IT-Probleme einer großen Österreichischen Bank vor ein paar Jahren, oder denke nur an die überraschende Effektivität von Phishing-Attacken. Kaum ein Tag vergeht, an dem nicht ein Unternehmen im non-chalanten Rampenlicht steht, Passwörter nicht ausreichend geschützt zu haben, ausgespäht worden zu sein oder Computerpannen verbrochen zu haben. Man muss kein Edward Snowden sein, um zu verstehen, dass man nur zu leicht aufgrund von Bequemlichkeit viele Risiken eingeht.
- Internetwahlen werden fälschlicherweise immer gern mit Onlinebanking verglichen. Müssten elektronische Stimmen nicht anonym sein, wären elektronische Wahlen genauso sicher wie jede andere verschlüsselte Transaktion. Das Problem ist aber, dass Wähler ihre Stimme persönlich, anonym, aber nicht nachvollziehbar abgeben sollen – ein inhärenter Widerspruch bei elektronischen Transaktionen. Beim Onlinebanking kann man jederzeit den Geldfluss von beiden Seiten nachverfolgen, es gibt beidseitige Transaktionsbelege, aber bei E-Voting kann und darf man das nicht, da die Stimme anonym abgegeben werden muss. Man müsste sich dazu schon auf das gesamte System 100% verlassen können, ohne allerdings eine Möglichkeit der Nachvollziehbarkeit zu haben. Internetwahlen mit Onlinebanking zu vergleichen, ist wie Postkarten mit WhatsApp: Bei dem einen wird die Stimme anonym über einen unsicheren Kanal ohne Nachweis, aber mit viel Vertrauen geschickt – bei dem anderen kommt eine Stimme authentifiziert, autorisiert und beidseitig geloggt an. Bei Onlinebanking können beide Seiten auf Kontoauszügen die Transaktion nachvollziehen, bei E-Voting soll das ja nicht möglich sein.
- Das heutige Papierwahl-System überzeugt und besticht mit seiner Einfachheit. Man kann die Schritte, die für jeden verständlich sind, selbst einem Volksschüler erklären. Es ist ein durchdachtes, bewährtes System mit einem bestimmten Ablauf mit mehreren Kontrollfunktionen. Es ist transparent, da es auch Wahlbeisitzer und Wahlbeobachter einbezieht. Die Stimmabgabe mit Stift und Papier hat sich als sichere Wahlmethode bewährt und ermöglicht die Nachzählbarkeit einzelner Stimmen. Zudem ist gerade in Österreich nach der Beeinspruchung der Bundespräsidentenstichwahl auf Grund von Formfehlern kaum auszudenken, welche Verschwörungstheorien die verlierende Partei suggerieren würde.
- Eine weitere Frage ist die generelle Motivation, warum E-Voting in Österreich überhaupt eingesetzt werden soll. Wieso ein bestehendes, vertrauenswürdiges System ersetzen, das funktioniert? Kostenersparnis und Erhöhung der Wahlbeteiligung werden oft als Argumente geliefert, sind beide allerdings bereits durch Studien entkräftet. Die Motivation einer Killer Applikation für die an schwacher Verbreitung kränkelnden Bürgerkarten zu schaffen, ist groß. Das könnte eine E-Voting-Anwendung werden. Zudem ist es ausgesprochen absurd, jener Wahlkommission, die mit der jetzigen "Technologie" (Kleber von Papierkuverts) bereits Probleme hat, die fehlerfreie Implementierung, Betrieb und Kontrolle eines elektronischen Wahlsystems zuzutrauen.