4.3.1 Direkte Aufzeichnungssysteme
Erst ab 1988 setzte in den USA eine signifikante Verbreitung direkter Aufzeichnungssysteme (Direct Record Voting Sytems, DRVS) ein. Ein Display präsentiert die Wahlmöglichkeiten entweder in elektro-optischer oder mechanischer Form (der Wahlschein befindet sich z.B. in Papierform an der Oberfläche eines Automaten). Zur Eingabe dienen konventionelle Tasten, Sensor-Tasten, Touch-Screens, elektronische Stifte (z.B. Lichtstift) oder andere Eingabegeräte. Die Eingaben werden in ein verarbeitbares Signal transformiert und direkt zum Auswertungssystem übertragen. Eine der optionalen Funktionen direkter Aufzeichnungssysteme besteht darin, daß sie dem Wähler eine Bestätigung seiner getroffenen Entscheidungen liefern. Selbst wenn eine visuelle Anzeige die Eingaben des Wählers und Resultate darstellt, folgt daraus keinesfalls, daß die Daten korrekt verarbeitet wurden. Eine nachträgliche Verifikation der Auswertung durch eine neutrale Instanz bleibt unabdingbar.
Direkte Aufzeichnungssysteme haben entscheidende Sicherheitsdefizite. Es existiert kein Sicherheitsprotokoll, das zwischen einer unsachgemäßen Wählerbedienung sowie der fehlerhaften Eingabe, Übertragung und Auswertung unterscheidet.
"There are problems... The first is that there is no difference between a voter failing to vote and a machine failing to record a vote. The second problem is that the correctness of the machine data entry cannot be checked" (Baraani-Dastjerdi/Pieprzyk/Safavi-Naini, 1994, S. 3).
Aktive und passive Attacken bieten neue Betrugsmöglichkeiten, besonders die Infiltration mit Computer-Anomalien (Trojanische Pferde, Würmer, etc.), daher ist die Korrektheit der in das Auswertungssystem eingehenden Daten schwer überprüfbar.
Konventionelle parlamentarische Abstimmungsanlagen gehören dieser Art an, wenn sie keine kryptographischen Mechanismen einsetzen. Die Sicherheit basiert auf einer geschlossenen Infrastruktur, damit keine Angriffe von einem externen Rechnernetzwerk erfolgen können, doch sind Insiderangriffe durchführbar. Einige Realisierungsarten unterstützen zudem keine Authentifikation des Teilnehmers. Im Abstimmungszeitpunkt kann ein böswilliger Abgeordneter versuchen, eine Stimme für einen abwesenden Kollegen abzugeben. Im Streitfall existieren keine Beweismittel, um zwischen Systemfehler oder absichtlicher Manipulation durch einen Abgeordneten zu unterscheiden.
Ein noch gravierenderes Sicherheitsdefizit weisen direkte
Aufzeichnungssysteme auf, wenn sie die aufgezeichneten Stimmen nach Ende
des Auswertungsprozesses löschen. Ein nachträgliches Rückverfolgen
einer angenommenen Manipulation ist danach undurchführbar.
4.3.2 Online-Aufzeichnungssysteme
Online-Aufzeichnungssysteme übertragen Wahldaten über ein unsicheres Netz zu den Auswertungssystemen, die über eine Registrierungdatenbank potentieller Teilnehmer verfügen können. Auch wenn der über das Netz gesendete E-Wahlschein keine authentifizierbare Information enthält, ist die Rückverfolgung durch Verkehrsanalyse immer noch möglich, da die Kommunikationsprotokolle Pakete transferieren, die Angaben über Quell- und Zieladresse enthalten (im Header). Zur Stimmabgabe dient ein Terminal oder terminalartiges Medium. Unsichere Telephon-Wahlsysteme oder E-Mailwahlsysteme gehören beispielsweise zu den Online-Aufzeichnungssystemen. In einem Telephonwahlsystem kann sich der Teilnehmer durch Eingabe einer spezifischen PIN-Nummer authentifizieren, die von der Administration benützt wird, um seine Berechtigung zu prüfen. Anschließend trifft der Teilnehmer seine Entscheidung durch Eingabe der passenden Nummernkombination, die mit Parteien, Kandidaten oder anderen Optionen korrespondiert. Wiederholt eine Computer-Stimme des Auswertungssystems die getroffenen Entscheidungen, dann kann der Wähler davon ausgehen, daß seine Eingaben korrekt empfangen wurden. Mit der Bestätigung des Wählers terminiert der nichtanonyme Wahlprozeß.
|
|
Authentifikation | Bei einigen direkten Aufzeichnungssystemen ist die Authentifikation durch Besitz, Wissen und biometrischer Verifikation realisierbar. Bei Online-Aufzeichnungssystemen ist eine empfangene Mail oder eine identifizierte PIN-Nummer kein zufriedenstellender Nachweis der Teilnehmeridentität. PIN-Nummern lassen sich durch Dritte ohne großen Aufwand abhören. E-Mail-Adressen können gefälscht werden. Das SMTP (Simple Mail Transfer Protocol) sieht keine Verifikation der Absenderadresse vor. Der Nachweis, daß eine E-mail von einem bestimmten Wähler stammt, ist abstreitbar. |
Übertragungsintegrität | Die Übertragung von Entscheidungsdaten über ein unsicheres Medium ist durch keine Sicherheitsvorkehrungen geschützt. Das System läßt keine Unterscheidung zwischen gezielter Manipulation und zufälligem Systemfehler zu. E-Mailsysteme erlauben jedem Administrator eines "Mail Transfer Agents" (MTA) den Inhalt des Wahlscheins unbemerkt zu modifizieren. Außerdem ist die selektive Unterdrückung von Wahlscheinen durchführbar. Bis ein E-Wahlschein die jeweilige Administration erreicht, können Verzögerungen von mehreren Monaten auftreten. Manchmal kommt eine gesendete E-Mail niemals beim Empfänger an. |
Korrektheit | Ein korrektes Endergebnis ergibt sich nur dann, wenn alle Eingaben in das Auswertungssystem korrekt sind und dessen Hard- und Software fehlerfrei funktionieren. |
Verifizierbarkeit | Manipulationen der aufgezeichneten Daten sind unerkennbar, wenn die empfangenen Stimmen nicht publiziert werden. |
Vertraulichkeit | Die im Klartext übermittelten Wahldaten können durch Angreifer selektiv aufgezeichnet und abgehört werden. Online-Aufzeichnungssysteme unterstützen keine Vertraulichkeit der Kommunikation. Systemadminstratoren haben bei E-Mailsystemen auf den Inhalt der Mailbox Zugriff. |
Nichtvermehrbarkeit | Jede böswillige Administration ist imstande, unentdeckt Stimmen für Nichtwähler abgeben. |
Nichtbeeinflußbarkeit | Die Nichtbeeinflußbarkeit hängt von der Vertrauenswürdigkeit einer Administration ab. |
Wahlgeheimnis | Die Stimmenübertragung von einem authentifizierbaren Netzknoten erlaubt Rückschlüsse über die Senderidentität. Die Telefonkarte oder Handy-Wertkarte, die im Voraus bezahlt wird, gewährleistet Anonymität des Teilnehmers. Bei Wertkarten-Handysystemen kann der sendende Teilnehmer zwar angepeilt und abgehört, doch nicht identifiziert werden. |
Unmittelbarkeit | Das Kriterium der Unmittelbarkeit wird nur im Wahlzellen-Szenario erreicht, vorausgesetzt eine Identitätsprüfung findet statt. |
Effizienz | Da kein Papiermedium benützt wird, sind Effizienzsteigerungen zu erwarten. |
Skalierbarkeit | Bei einer großen Teilnehmerzahl (mehrere Millionen) hängt die Skalierbarkeit von Anzahl, Verteilung der Auswertungssysteme und von der Kanalkapazität ab. |
Ortsunabhängigkeit | Online-Aufzeichnungssysteme erreichen die Ortsunabhängigkeit. |
Flexibilität | Online- und direkte Auswertungssysteme können theoretisch beliebige Formate unterstützten. |
Änderbarkeit | Die Änderbarkeit wird nicht unterstützt. |