2.2 Sicherheitsanforderungen

Die Systemsicherheit gilt als zentraler Schlüsselfaktor für die Erstellung lebensfähiger Wahlprotokolle. Ein elektronisches Wahlsystem stellt im Kontext der elektronischen Demokratie ein empfindsames Instrument dar, das Realität, Veränderbarkeit und Wirksamkeit eines Regierungssystems beeinflußt. Die Grundprinzipien einer demokratischen Verfassung und des Parlamentarismus können bei unsicheren Wahlprotokollen durch Manipulation des Entscheidungsprozesses verfälscht werden. Deswegen müssen die Sicherheitsanforderungen erfüllt werden. Allerdings können die derzeitigen konventionellen Wahlen diese auch nicht vollständig erfüllen: Beispielsweise läßt sich nach einer Nationalratswahl (Bundestagswahl) nicht überprüfen, ob und wie eine bestimmte Stimme in das Wahlergebnis eingegangen ist, oder ob eine böswillige Administration Wahlscheine für Nichtwähler abgegeben hat.

2.2.1 Authentifikation

2.2.1.1 Wahlberechtigungsprüfung

E-Wahlverfahren müssen den Teilnehmerkreis auf wahlberechtigte Personen eingrenzen können. Deshalb ist es erforderlich, die Identität des konkreten Teilnehmers zu überprüfen, bevor dieser einen gültigen Wahlschein abgeben darf. Ein Angriff gegen das digitale Wahlsystem, mit dem besonders bei der Kommunikation über offene Rechnernetzwerke gerechnet werden muß, besteht darin, daß Angreifer die Identität anderer Wahlteilnehmer vortäuschen, d.h. sich für andere Personen ausgeben. Der Angreifer könnte dann mehrfach Stimmen unter anderen Namen zur Administration transferieren. Durch die Veränderung von E-Mail-Adressen oder WWW-Seiten kann im Netz eine beliebige Identität vorgetäuscht werden. Solche "Maskeraden" sollen durch die Authentifikation der Wahlteilnehmer verhindert werden. Deswegen darf kein Teilnehmer ohne vorherige Autorisierung Stimmen abgeben.

Bei der Identifikation eines Wahlteilnehmers wird dessen Identität bestimmt, indem seine Identifikationsinformation mit einem Referenz-Merkmal (z.B. Teilnehmer_ID, Name, etc.) verglichen wird. Bei der Authentifikation erbringt der Wähler einen Nachweis der angegebenen Identität. Die Authentifikation von Wahlteilnehmern kann durch drei unterschiedliche Prinzipien erfolgen, nämlich durch

2.2.1.2 Gleichheit

Jeder Wähler soll genau einen Wahlschein abgeben können, der im Wahlverfahren gleich zu zählen ist. Ein Wähler darf nach erfolgter Authentifikation nicht mehrere gültige Wahlscheine zur Stimmabgabe erhalten.

2.2.1.3 Wahlschein-Authentizität

Der Wahlschein muß fälschungssicher gestaltet und seine Rechtsgültigkeit (Authentizität) für jeden Beteiligten (Teilnehmer, Administration, etc.) einsehbar sein. Der E-Wahlschein sollte als eindeutige Datenstruktur identifizierbar sein.

2.2.2 Autorisierung

Die Wahl-Server müssen gegen unberechtigten Zugriff auf ihre Ressourcen geschützt werden. Um unautorisierten Zugriff auf Daten, Programme sowie auf andere Ressourcen zu vermeiden, muß anhand der Autorisierung ermittelt werden, wer auf eine Ressource wie zugreifen darf. Unter Zugriffskontrolle verstehen wir Regeln, die aussagen, wer auf ein Objekt zugreifen darf. Die Entscheidung, ob ein bestimmter Zugriff erlaubt wird, sei als Zugriffsentscheidung definiert. Bei der Autorisierung wird eine definierte Menge von Rechten an eine Person (durch Identifier dargestellt) zugewiesen. Die Autorisierungsentscheidung bewirkt, ob bestimmte Rechte an die Person übertragen werden können.

Die Verwaltung der Zugriffsrechte auf die Ressourcen bzw. Funktionen obliegt einer bestimmten Autorität (Administrator). Diese Rechte sind oft in Form von Lese-, Schreib- und Ausführungsrechten in einer Datenbank gespeichert. Um Autorisierungsentscheidungen treffen zu können, ist eine sichere Information über die Identität der Nutzer nötig. Es muß überprüft werden, ob die Wahlleiter (Administratoren) die Berechtigung zur Ausstellung von Wahlscheinen und zum Zugriff auf die Wählerdatenbank haben. Ein geschützter Teil des Gesamtsystems ist der Rechner (Account) des Wählers, auf dem sich z.B. ein noch nicht ausgefüllter Wahlschein oder eine zur Stimmabgabe benötigte Geheiminformation befindet.

In allen Wahlphasen sind nur autorisierte Personen berechtigt, Zugriffe auf Ressourcen durchzuführen. Die Zugriffskontrolle muß z.B. beim Registrieren der Wähler, bei der Erstellung von Teilnehmerlisten, beim Zuweisen von Berechtigungen, Veröffentlichen der Resultate, Warten usw. durchgeführt werden.

2.2.3 Integrität

Unter der Forderung der Datenintegrität verstehen wir, daß alle im Wahlprotokoll transferierten und gespeicherten Daten nicht manipuliert werden können.

2.2.3.1 Übertragungsintegrität

Ein Kommunikationssystem für digitale Wahlen muß daher die Eigenschaft besitzen, Daten unversehrt zwischen Wähler und Administration zu transportierten und sie vor beabsichtigten Störungen zu sichern. Wahlscheine dürfen nicht auf der Übertragungsstrecke zur Administration durch Angreifer modifiziert oder durch gültige Fälschungen ersetzt werden können, ohne daß dieser Angriff erkennbar ist. Die Übertragungsintegrität garantiert auch, daß der Wähler aus irgendeinem Grund sein Votum nochmals sendet, obwohl bei der Administration die Stimme korrekt empfangen wurde. Das Problem der Übertragungsintegrität läßt sich prinzipiell durch zwei Anforderungen realisieren:

Der erste Ansatz erfordert den Aufbau von isolierten Netzwerken bzw. geschützen Kommunikationskanälen, die ausschließlich für die Durchführung von E-Wahlen benutzt werden (z.B. Parlament). E-Wahlen, die landesweit in einer geschützten Infrastruktur erfolgen, führen unweigerlich zu hohen Kosten, weil dadurch der Aufbau einer eigenständigen Netzinfrastruktur notwendig wird. Durch den Einsatz von Kryptographie kann die Übertragungsintegrität elektronischer Stimmabgaben auf Infrastrukturen mit unsicheren Kanälen (z.B. öffentliche Netze) erreicht werden, da z.B. das Telefonnetz oder das Internet für die Übertragung genutzt werden kann.

2.2.4 Korrektheit

Führen alle Systemprozesse die Spezifikation des Wahlprotokolls ordnungsgemäß aus, dann werden alle gültigen Stimmen korrekt ausgezählt. Die Korrektheit impliziert die ordnungsgemäße Operation der Hardware- und Software-Komponenten der Auswertungs-Server. Ein fehlerhaftes Wahlsystem, das z.B. Implementierungs- und Hardwarefehler beinhaltet, kann die Auswertungsgenauigkeit beeinträchtigen. Daher empfiehlt es sich, die Systemkomponenten vor der IRL-Anwendung (In Real Life) ausreichend zu testen. Tritt ein Auswertungsfehler auf, so läßt sich dieser erkennen, wenn der Auswertungsprozeß durch unabhängige Dritte oder durch die Öffentlichkeit überprüfbar ist.

2.2.5 Verifizierbarkeit

Das Wahlergebnis kann nicht gefälscht werden, wenn es überprüfbar ist. Wir unterscheiden zwischen zwei Formen der Verifikation des Resultates nach dem Grad der Transparenz der Auswertung, nämlich (1) interne und (2) externe Verifikation (durch die Öffentlichkeit).

2.2.5.1 interne Verifikation

Die interne Verifikation beschränkt die Überprüfung der Auswertung auf die Administration und weitere unabhängige Dritte. Aus der Sicht des Teilnehmers läßt sich die Berechnung des korrekten Endresultates nicht nachvollziehen. Allerdings schließt die interne Verifikation ein, daß die Teilnehmer eine vertrauenswürdige Instanz mit der Auswertungsprüfung beauftragen.

2.2.5.2 externe Verifikation

Ein öffentlich verifizierbares Wahlergebnis schränkt die Manipulationsmöglichkeiten durch böswillige Administrationen stark ein. Erhöhtes Vertrauen wird dann realisiert, wenn auch die eingesetzte Software verifiziert werden kann. Grundsätzlich unterscheiden wir zwischen der individuellen und universellen Verifizierbarkeit. Erstere stellt sicher, daß der Wähler überprüfen kann, ob seine eigene Stimmabgabe richtig gezählt wurde. Letztere erlaubt jedem Wähler bzw. Beobachter zu überprüfen, ob alle Stimmen korrekt gezählt werden.

individuelle Verifizierbarkeit
Der gesamte Auswertungsvorgang muß für die Teilnehmer transparent sein, indem jederzeit Einsicht in die Auswertung garantiert wird. Dazu müssen die Wahlleiter jede gezählte Stimme in einem öffentlichen Board publizieren. Bei einer geheimen Wahl kann der Wähler prüfen, ob seine eigene Stimme korrekt gezählt wurde, doch besitzt dieser kein Wissen darüber, ob die Stimmen anderer Teilnehmer gleichermaßen korrekt ins Resultat eingegangen sind. Damit die Aktivitäten einer betrügerischen Administration aufgedeckt werden können, muß das Wahlprotokoll für den Wähler ausreichende Beweismittel bereitstellen, um strafrechtlich relevante Tatbestände zu fixieren. Je mehr Wähler überprüfen, ob ihre Stimmen korrekt gezählt wurden, desto geringer ist die Erfolgswahrscheinlichkeit eines Manipulationsversuchs. Eine böswillige Administration trägt ein hohes Risiko, da bereits ein Wähler die Manipulation aufdecken kann.

universelle Verifizierbarkeit
Bei der universellen Verifizierbarkeit kann jeder Wähler prüfen, ob auch die gesamte Stimmenauswertung ordnungsgemäß erfolgte. Dieses Kriterium verlangt nicht notwendigerweise, daß jeder Teilnehmer überprüfen kann, wie sein eigenes Votum gezählt wurde. Vielmehr soll die Korrektheit der gesamten Wahl durch irgendeinen Beteiligten (z.B. passiver Beobachter, Wähler, Administration, etc.) überprüfbar sein. Sobald aber die Manipulation wenigstens einer Stimme stattfindet, muß dieser Tatbestand von einem beliebigen Beteiligten erkannt werden. Die universelle Verifikation erfordert, daß die Administration Beweise erzeugt, um die korrekte Auswertung global nachzuweisen. Die universelle Verifikation einer Wahl wird u.a. von unabhängigen Instanzen erbracht. Falls jedoch der Wähler die Vertrauenswürdigkeit dieser Instanzen bezweifelt, kann er den universellen Verifikationsprozeß selbst ausführen.
 

2.2.6 Vertraulichkeit

Die Forderung nach Vertraulichkeit verhindert die Preisgabe wahlbezogener Informationen gegenüber Dritten (z.B. Provider, Netzbeobachter, Wahlteilnehmer, Außenstehenden). Im folgenden werden drei Formen der Vertraulichkeit unterschieden.

2.2.6.1 Vertraulichkeit der Kommunikation

Die zwischen Wahlteilnehmer und -leitung stattfindende Kommunikation, insbesondere die Übertragung von Wahlscheinen, muß inhaltlich vor der Einsicht durch unautorisierte Personen geschützt werden. Niemand darf abgefangene Stimmen mit vertretbarem Aufwand entschlüsseln.

2.2.6.2 Vertraulichkeit der Teilnehmer

Wir teilen die Vertraulichkeit der Teilnehmer in drei Stufen ein:

2.2.6.3 Vertraulichkeit der Endergebnisse

Die Vertraulichkeit der Resultate kann in drei Sicherheitsstufen eingeteilt werden:

In den meisten Anwendungsfällen ist die Geheimhaltung der Endergebnisse kaum sinnvoll, da keine externe Verifikation möglich ist, aber für militärische Entscheidungsprozesse ist diese Forderung nicht auszuschließen.

2.2.7 Nichtvermehrbarkeit

Eine unzulässige Wahlscheinvermehrung muß unbedingt entdeckt werden können. Die Nichtvermehrbarkeit schützt vor Manipulanten, die beispielsweise Router modifizieren oder durch eine Zwischenschaltung bestimmte Wahlscheine vervielfältigen. Versucht eine böswillige Administration, gefälschte Wahlscheine in den Wahlprozeß einzuschleusen, so müssen ihre Angriffe aufdeckbar sein. Für registrierte Nichtwähler kann die Administration theoretisch manipulierte Stimmen abgeben. Grundsätzlich liegt ein Wahlbetrug vor, wenn die Anzahl der eingereichten Stimmen die Anzahl der registrierten Wähler überschreitet. Zur Vermeidung der Mehrfachbenutzung durch Kopieren eines Wahlscheins muß die Administration Datenbanken zur Speicherung empfangener Wahldaten einrichten. Dies erfordert, daß jeder E-Wahlschein eindeutig identifiziert werden kann.
 

2.2.8 Nichtbeeinflußbarkeit

Vor dem offiziellen Ende der Wahlzeit darf keine Administration über die technische Fähigkeit verfügen, Zwischenresultate zu ermitteln und zu publizieren. Sobald Zwischenergebnisse (ggf. über verdeckte und geheime Kanäle) verbreitet werden, ist die Änderung bestehender Stimmenverhältnisse vor Ende der Wahlzeit möglich. Der Wähler gibt seine Stimme unabhängig ab und wird dabei nicht beeinflußt. Auch ist es unzulässig, daß ein Wähler vorgegebene Wahlscheine anderer Teilnehmer kopiert und als eigene Stimme abgibt.

2.2.9 Wahlgeheimnis

Das Wahlgeheimnis, der Rechtsgrundsatz der geheimen Stimmabgabe, gewährleistet die Entschließungsfreiheit des Wählers. Demzufolge müssen Wähler bei der Stimmabgabe anonym bleiben und es darf auch keine Kontrolle bzw. Steuerung des Wahlverhaltens geben.

In totalitären Regierungssystemen finden Wahlen zumeist offen - unter Ausschluß des Wahlgeheimnisses - statt. Zusätzlich praktizieren diese Regime zumeist Repressions-, Zwangs- und Terrormaßnahmen, um die erwünschten Wahlresultate zu erzielen.

Auch in einigen demokratisch regierten Ländern ist das Wahlgeheimnis nicht unbedingt gewährleistet. Beispielsweise sind öffentliche Wahlen in Großbritannien nicht geheim. Jeder britische Wähler ist einem Wahllokal zugeordnet und verfügt über eine eindeutige Identifizierungsnummer. Ein Wahlschein hat auch eine eindeutige Identifizierungsnummer. Da beide Nummern zusammen aufgezeichnet werden, ist das Rückverfolgen von Stimmabgaben möglich.

"In the United Kingdom public elections are not secret. Each voter can vote at one polling station and has a unique number. Each ballot paper also has a unique number and the two numbers are recorded together. It is therefore possible to determine who voted, and for which candidate" (Slessenger, 1991, S. 956).

Grundsätzlich müssen jedoch Wahlteilnehmer ohne Preisgabe ihrer Identität Stimmen abgeben können. Auch wenn ein Außenstehender die Übertragungen abhört, kann er in einem anonymen E-Wahlsystem keinen Zusammenhang zwischen Wahlscheininhalt und Wähler herstellen.

2.2.9.1 Anonymität der Stimmabgabe

Wir unterscheiden drei Stufen der Anonymität:

In einem elektronischen Wahlsystem sind Stimmabgaben uneingeschränkt rückverfolgbar, wenn für jeden Wahlteilnehmer ein Datensatz erzeugt wird, der zumindest das Votum, die Wähleridentität, Authentifikation und gegebenenfalls einen Zeitstempel enthält.

Bei der komplexitätstheoretischen Nichtrückverfolgbarkeit ist die Stimmabgabe anonym. Die angewendeten Methoden zur Anonymisierung beruhen auf schwer lösbaren Problemen. Sie realisieren eine sogenannte komplexitätstheoretische Nichtzurückverfolgbarkeit, wenn das Rückverfolgen der Stimmen

in der Praxis undurchführbar ist. Das Rückverfolgen bleibt aufgrund der kryptographischen Annahmen unrealistisch. Unter der Prämisse (fast) unbegrenzter Rechenleistung ist es doch möglich, Stimmabgaben rückzuverfolgen. Dazu sind zumeist exponentiell viele Rechenoperationen nötig.

Die informationstheoretische Nichtrückverfolgbarkeit garantiert die Geheimhaltung auch dann, wenn der Angreifer über unendliche Rechenleistung verfügt. Sie kann weiterhin in bedingte und unbedingte informationstheoretische Nichtrückverfolgbarkeit eingeteilt werden. Bei der bedingten informationstheoretischen Stufe läßt sich die Stimmabgabe theoretisch rückverfolgen, wenn alle (oder mehrere) an der Wahl beteiligten administrativen Instanzen ihre Daten miteinander zusammenschließen. Diese Datensammlung umfaßt auch die aus der Überwachung der Netzkommunikation gewonnenen Informationen. Für die bedingungslose informationstheoretische Stufe gilt die Geheimhaltung auch gegenüber allen Instanzen. Selbst wenn sie ihre Daten miteinander verknüpfen, bleibt die Anonymität der Teilnehmer erhalten. Eine beliebige Kooperation zwischen Administratoren, Provider, Parteien oder anderen Organisationen mit dem Zweck der Rückverfolgung des Wahlverhaltens macht diese Stufe absolut unmöglich.

2.2.9.2 Anonymität der Administration

Die Zusatzforderung steht zwar mit der Wahlgeheimnis-Definition in keinem direkten Zusammenhang, doch kann in Spezialfällen die Anonymität der Administration gefordert werden. Das gilt beispielsweise für E-Wahlen in totalitären Regierungssystemen, wo Gruppen über Themen abstimmen, die vom dortigen Regime als subversiv angesehen werden. Solche repressiven Systeme, in denen der Einzelne vollständig der Despotie des Staates ausgeliefert ist, in denen Überwachung in alle Lebensbereiche vordringt, könnten Aktivisten unter Wahrung ihrer Anonymität geheime Wahlen initiieren und leiten.

2.2.9.3 Unverkettbarkeit

In einem anonymen Wahlsystem ist die Identität der Wähler während einer Stimmabgabe nicht unmittelbar aufdeckbar. Benützt ein Teilnehmer für mehrere unterschiedliche Wahlen ein fixes Pseudonym, dann können alle seine Stimmabgaben rückverfolgt werden, wenn er sich einmal identifiziert. Dagegen verhindert die Forderung der Unverkettbarkeit die Verknüpfung einzelner Pseudonyme eines Teilnehmers.

2.2.10 Unmittelbarkeit

Das Kriterium der Unmittelbarkeit umfaßt die Unverkaufbarkeit und Unerzwingbarkeit der Stimmabgabe. Auch bei Briefwahlen besteht die Problematik, daß Wähler ihre Stimmen verkaufen oder unter Zwangeinwirkung abgeben (z.B. Altersheime).

2.2.10.1 Unverkaufbarkeit

Kein Wähler darf gegenüber Dritten nachweisen, wie er wählte, oder Dritten erlauben, unter seiner Identität zu wählen. Durch E-Wahlen könnte die bestehende Ungleichheit durch eine weitere Facette bereichert werden. Im Gegensatz zu traditionellen Verfahren ermöglichen fast alle E-Wahlprotokolle den Stimmenkauf. In einem solchen Szenario würden Wähler freiwillig ihre Stimmen (beispielsweise für anonymes elektronisches Geld) verkaufen.

Die Unverkaufbarkeit steht mit der Verifizierbarkeit in Konflikt, da das Wahlprotokoll ein Offenlegen des Stimminhaltes gegenüber Außenstehenden verhindern müßte.

Wir gehen davon aus, daß der Stimmenkäufer KF über alle öffentlichen Protokollwerte verfügt. Wahlprotokolle können dann aufgrund der Handlungsspielräume von KF in drei Stufen eingeteilt werden.

Exemplarisch lassen sich verschiedene Praktiken des Stimmenverkaufs unterscheiden: 2.2.10.2 Unerzwingbarkeit

Neben dem freiwilligen Stimmenverkauf muß in totalitären und demokratischen Systemen mit Personen gerechnet werden, die durch Zwangs-, Erpressungs- und Repressionsmaßnahmen bestimmte Stimmen erzwingen wollen. Auf der Seite der Crypto-Community wird die Notwendigkeit der Realisierung dieser Forderung oft verlangt (Benaloh/Tuinstra, 1994, Horster/Michels, 1995, Niemi/Renvall, 1995, Okamoto, 1997, Riera/Borrell/Rifà, 1998, etc.). Hingegen hat die Politikwissenschaftlerin Priscilla Southwell (Southwell, 1996) durch ihre Interviews mit 1200 Bürger von Oregon, die bei einer wichtigen Wahl im Jahr 1996 ihre Stimme per Briefwahl abgaben, aufgewiesen, daß nur 3 Bürger angaben, tatsächlich unter dem Einfluß von zwangausübenden Personen gestanden zu haben. Nichtsdestoweniger sollten Schutzmethoden entwickelt werden. Gibt der Wähler einmal seine Authentifikations- und Autorisierungscodes preis, so ist das Kriterium der Unerzwingbarkeit schwer zu realisieren: Die zwangausübende Person ZP kann selbst abstimmen oder die geforderte Stimme eigenständig überprüfen. Auch darf ZP dem Wähler keine Protokollwerte aufzwingen. Im Extremfall bleibt der Wähler während der Wahlzeit in einer völlig passiven Rolle.

Zwangsmodell
Zunächst wollen wir ein Zwangsmodell entwickeln und zwischen möglichen Koalitionen unterscheiden, die ZP eingehen kann, um den Wahlausgang zu steuern und zu manipulieren (Kooperationsstufen). Theoretisch ist es für ZP möglich, mit

zu kooperieren.

Die Kontrolle durch ZP wird in vier Stufen unterteilt und davon ausgegangen, daß ZP über alle öffentlichen Protokollwerte verfügt (Kontrollstufen).

Hinsichtlich der Kontrolldauer kann zwischen temporärer und permanenter Kontrolle unterschieden werden: Ferner besteht die Möglichkeit, die Zeitdimension, in der ZP eine temporäre bzw. permanente Kontrolle ausübt, in zwei Abschnitte zu unterteilen. Kontrolle kann vor und/oder während der Wahlzeit auftreten.

2.2.11 Testbarkeit

Die Testbarkeit des Wahlprotokolls beschreibt Maßnahmen zum Finden von Fehlern.

2.2.11.1 Testbarkeit der Korrektheit

Beim dynamischen Testen wird das System mit einer zufällig gewählten Menge von Stimmen ausgeführt. Ein Verifizierer vergleicht dann die Ergebnisse mit dem vorgegebenen Resultat.

2.2.11.2 Testbarkeit des Quellcodes

Zugangskontrollen, signierte Quellcodes oder Prüfsummensysteme ermöglichen erhöhte Sicherheit vor unzulässigen Modifikationen. Das Testen des Quellcodes durch unabhängige Testinstanzen minimiert die Gefahren eingebauter Computer-Anomalien. Die Erhöhung der Systemsicherheit bedingt die Mitwirkung der Öffentlichkeit am Testen.

2.2.11.3 Testbarkeit durch Öffentlichkeit

Es stellt sich die Frage, ob die Wahl-Software (speziell die Auswertungs-Software) als privat oder öffentlich zu deklarieren ist. Private Software zeichnet sich dadurch aus, daß nur vertrauenswürdige Dritte Testläufe durchführen. Öffentliches Testen ermöglicht die Ausforschung manipulativer Compiler und Computeranomalien, wenn die Performance der durch die Bürgerschaft kompilierten Programme mit jenen der Administration verglichen werden.

Elektronische Wahlsysteme, deren Programmierung (bzw. Quellcode) nicht öffentlicher Diskussion, Kontrolle und Kritik ausgesetzt wird, legen den berechtigten Verdacht eines ungenügenden Sicherheitsniveaus nahe. Sie bieten keine ausreichende Sicherheit vor nichtoffengelegten Interessen der Hersteller.

Ein Wahlsystem besitzt die Eigenschaft der Testbarkeit durch die Öffentlichkeit, wenn

2.2.12 Verfügbarkeit

Voraussetzung für die Anwendung des E-Wahlsystems bleibt die Verfügbarkeit des Wahldienstes, d.h. alle Beteiligten möchten zu einem beliebigen Zeitpunkt innerhalb der Wahlzeit Stimmen abgeben. Deswegen muß der Netzzugang für den Wähler und die Wahl-Server während dieser Zeitspanne verfügbar sein.

Steht ein E-Wahldienst zur Verfügung, dann muß mit gezielten Angriffen durch Individuen, Gruppen oder Organisationen gerechnet werden, die das Ziel verfolgen, den Wahlprozeß zu blockieren. Die Folge einer Blockade wäre im schlimmsten Fall eine Wiederholung der Wahl.

Die Angriffe können sich auch auf die Verbindungen zwischen den Informationssystemen richten. Wer heute Glasfaserkabel durchtrennt, verhindert einige Telefongespräche. Wem dies aber in 10-20 Jahren gelingt, der wird die Verfügbarkeit von Steuerungssystemen der Wirtschaft, Bankverbindungen, digitale Fernseh- und Videoübertragungen und elektronische Wahlen reduzieren. Gleichzeitige Anschläge auf wichtige Dienstanbieter würden im Worst-Case zum Totalausfall des Kommunikationssystems führen.

Ein E-Wahlsystem ist robust, wenn einerseits durch unabsichtliches Fehlverhalten oder anderseits durch gezielte Angriffe keine Schwächung der Verfügbarkeit des Wahldienstes eintritt. Eine Wahlunterbrechung läßt sich nach der Störungsdauer unterscheiden.

Der Schaden, der aus einem Angriff, Designfehler, Implementierungsfehler, temporären Fehler etc. resultiert, könnte bei bedeutenden Wahlen eine Vertrauenskrise des politischen Systems auslösen. Aus diesem Grund muß die Infrastruktur ein hohes Maß an Verfügbarkeit repräsentieren und auftretende Fehler durch Fehlertoleranz überbrücken. Darunter verstehen wir, daß bei einem Ausfall eines Wahl-Servers sofort ein redundante Komponente seine Aufgabe übernimmt.

2.2.13 Zuverlässigkeit

Eine unzuverlässige Infrastruktur darf keinesfalls die Stimmabgabe behindern und niemals in einen inkonsistenten bzw. unbekannten Zustand gelangen. Dem Teilnehmer muß trotz Komponentenfehler oder Hochlast ein zuverlässiger Wahldienst garantiert werden. Die Funktionalitäten des Wahlsystems sind kontinuierlich aufrechtzuerhalten. Dabei steht die Fehlervermeidung im Vordergrund. Bei Systemausfällen werden besonders bei den Wahl-Servern sichere Speicher und spezielle Resynchronisationsprotokolle benötigt.

Geringe Kosten und hohe Zuverlässigkeit sind kaum vereinbar. Je hochwertiger die Hardware, um so teurer ist sie auch. Die Fehlerbehandlung verlangt einen beträchtlichen Software-Aufwand. Eine weitgehend ungestörte Systemverfügbarkeit im Fehlerfall erfordert eine Verdoppelung vieler Hardwarekomponenten. Höhere Zuverlässigkeit verlangt aufwendigere Fehlererkennungs- und Bestätigungsmechanismen, möglichst auf mehreren Ebenen der Netzhierarchie. Die hierfür nötigen Bearbeitungs- und Wartezeiten verzögern die Nachrichtenvermittlung.

2.2.14 Wartbarkeit

Die Wartung eines E-Wahlsystems umfaßt alle Tätigkeiten, die nach Abschluß der Entwicklungsarbeiten vorgenommen werden müssen. Sie wirken sich auf die Sicherheit aus.

Die Wartbarkeit eines Wahlprotokolls ist der Aufwand für das Fehlersuchen, die Korrektur und für Erweiterungen im lauffähigen Programm. Die Aufgabe liegt darin, Fehler- und Anpassungskorrekturen des E-Wahlsystems, das bereits im Betrieb ist, durchzuführen. Ein Ziel der Wartungsphase ist es auch, das Wahlprogramm zu modifizieren, um neue Anforderungen zu erfüllen. Fehler, die während des Betriebes auftreten, müssen behoben werden. Zu den Hauptgründen für Wartungsarbeiten gehören