4.3 Aufzeichnungssysteme

Wir unterteilen Aufzeichnungssysteme in direkte und Online-Aufzeichnungssysteme. Direkte Aufzeichnungssysteme erfordern die Präsenz des Wählers in einer elektronischen Wahlzelle oder in einem geschlossenen System (z.B. im elektronischen Parlament), während Online-Aufzeichnungssysteme die Stimmabgabe über unsichere Kanäle eines Netzwerkes realisieren.

4.3.1 Direkte Aufzeichnungssysteme

Erst ab 1988 setzte in den USA eine signifikante Verbreitung direkter Aufzeichnungssysteme (Direct Record Voting Sytems, DRVS) ein. Ein Display präsentiert die Wahlmöglichkeiten entweder in elektro-optischer oder mechanischer Form (der Wahlschein befindet sich z.B. in Papierform an der Oberfläche eines Automaten). Zur Eingabe dienen konventionelle Tasten, Sensor-Tasten, Touch-Screens, elektronische Stifte (z.B. Lichtstift) oder andere Eingabegeräte. Die Eingaben werden in ein verarbeitbares Signal transformiert und direkt zum Auswertungssystem übertragen. Eine der optionalen Funktionen direkter Aufzeichnungssysteme besteht darin, daß sie dem Wähler eine Bestätigung seiner getroffenen Entscheidungen liefern. Selbst wenn eine visuelle Anzeige die Eingaben des Wählers und Resultate darstellt, folgt daraus keinesfalls, daß die Daten korrekt verarbeitet wurden. Eine nachträgliche Verifikation der Auswertung durch eine neutrale Instanz bleibt unabdingbar.

Direkte Aufzeichnungssysteme haben entscheidende Sicherheitsdefizite. Es existiert kein Sicherheitsprotokoll, das zwischen einer unsachgemäßen Wählerbedienung sowie der fehlerhaften Eingabe, Übertragung und Auswertung unterscheidet.

"There are problems... The first is that there is no difference between a voter failing to vote and a machine failing to record a vote. The second problem is that the correctness of the machine data entry cannot be checked" (Baraani-Dastjerdi/Pieprzyk/Safavi-Naini, 1994, S. 3).

Aktive und passive Attacken bieten neue Betrugsmöglichkeiten, besonders die Infiltration mit Computer-Anomalien (Trojanische Pferde, Würmer, etc.), daher ist die Korrektheit der in das Auswertungssystem eingehenden Daten schwer überprüfbar.

Konventionelle parlamentarische Abstimmungsanlagen gehören dieser Art an, wenn sie keine kryptographischen Mechanismen einsetzen. Die Sicherheit basiert auf einer geschlossenen Infrastruktur, damit keine Angriffe von einem externen Rechnernetzwerk erfolgen können, doch sind Insiderangriffe durchführbar. Einige Realisierungsarten unterstützen zudem keine Authentifikation des Teilnehmers. Im Abstimmungszeitpunkt kann ein böswilliger Abgeordneter versuchen, eine Stimme für einen abwesenden Kollegen abzugeben. Im Streitfall existieren keine Beweismittel, um zwischen Systemfehler oder absichtlicher Manipulation durch einen Abgeordneten zu unterscheiden.

Ein noch gravierenderes Sicherheitsdefizit weisen direkte Aufzeichnungssysteme auf, wenn sie die aufgezeichneten Stimmen nach Ende des Auswertungsprozesses löschen. Ein nachträgliches Rückverfolgen einer angenommenen Manipulation ist danach undurchführbar.
 

4.3.2 Online-Aufzeichnungssysteme

Online-Aufzeichnungssysteme übertragen Wahldaten über ein unsicheres Netz zu den Auswertungssystemen, die über eine Registrierungdatenbank potentieller Teilnehmer verfügen können. Auch wenn der über das Netz gesendete E-Wahlschein keine authentifizierbare Information enthält, ist die Rückverfolgung durch Verkehrsanalyse immer noch möglich, da die Kommunikationsprotokolle Pakete transferieren, die Angaben über Quell- und Zieladresse enthalten (im Header). Zur Stimmabgabe dient ein Terminal oder terminalartiges Medium. Unsichere Telephon-Wahlsysteme oder E-Mailwahlsysteme gehören beispielsweise zu den Online-Aufzeichnungssystemen. In einem Telephonwahlsystem kann sich der Teilnehmer durch Eingabe einer spezifischen PIN-Nummer authentifizieren, die von der Administration benützt wird, um seine Berechtigung zu prüfen. Anschließend trifft der Teilnehmer seine Entscheidung durch Eingabe der passenden Nummernkombination, die mit Parteien, Kandidaten oder anderen Optionen korrespondiert. Wiederholt eine Computer-Stimme des Auswertungssystems die getroffenen Entscheidungen, dann kann der Wähler davon ausgehen, daß seine Eingaben korrekt empfangen wurden. Mit der Bestätigung des Wählers terminiert der nichtanonyme Wahlprozeß.