| Autor | Beitrag | ||
 (Unregistrierter Gast) |
Es ist unumgänglich, dass die Stimme direkt von der Person abgegeben wird. Die Grundsätze sind: die Wahl ist frei, gleich, geheim und direkt. geheim und direkt ist eine elektronische Abstimmung nie. Was ich auf den Zettel schreibe, davon weiß nur ich. Was ich in den PC tippe davon erfährt mitunter die ganze Welt | ||
| Philipp Wälchli |
"direkt" bezieht sich nicht auf die Art und Weise, wie die Stimme abgegeben wird, sondern auf den Modus des WahlVERFAHRENS, wobei "direkte" Wahl der "indirekten" gegenübergestellt ist, d. h. eine Wahl, bei der die Wahlberechtigten direkt die zu Wählenden bestimmen und nicht erst ein Wahlmännergremium o. dgl., das dann in einem zweiten Schritt erst die eigentlich zu Wählenden bestimmt. Im übrigen gibt es genügend sichere und erprobte Verfahren, eine Stimmabgabe mit elektronischen Mitteln möglich zu machen, ohne dass die ganze Welt davon erfährt. Elektronische Stimmabgabe muss auch nicht über einen PC erfolgen, es gibt viele andere Möglichkeiten wie Wahlmaschinen, Nutzung der Telecom-Infrastruktur usw. Bevor man daher eine Salve gegen ein Verfahren schiesst, sollte man doch vielleicht erst soviel Informationen darüber sammeln, dass man nicht sein eigene völlige Unkenntnis dokumentiert. | ||
| Klaus Schneider (Unregistrierter Gast) |
"Im übrigen gibt es genügend sichere und erprobte Verfahren, eine Stimmabgabe mit elektronischen Mitteln möglich zu machen" ? Genau dies wird von so vielen Leuten (begründet) bezweifelt, dass zum Beispiel eine entsprechende öffentliche Petition an den Deutschen Bundestag das derzeitige System überforderte. Auch in diesem Forum kann man sich ja über die auf diese Zweifel gegründeten Einsprüche (Einsatz von Wahlmaschinen) gegen das Ergebnis der letzten Bundestagswahl informieren. | ||
| Philipp Wälchli |
Erstens einmal ist es eine triviale Feststellung zu behaupten, Einsprüche gründeten bspw. auf Zweifeln. Denn Einspruch kann nur erhoben werden, indem ein Grund angegeben wird. Dies bedeutet jedoch nicht, dass der Grund auch wirklich besteht: Er kann sich bei näherer Prüfung als nicht stichhaltig oder gar bloss als vorgeschoben bzw. vorgetäuscht erweisen. Zweifel sind im übrigen nie ein Grund, etwas zu tun oder zu lassen. Zweifeln lässt sich nämlich stets an allem und immer. Die Frage ist, ob ein Zweifel begründet, erheblich oder was auch immer sei, so dass die bezweifelte Sache wirklich in Frage steht. Dass jemand zweifelt, weil er bzw. sie nicht informiert ist, ist daher kein Grund, der irgend etwas rechtfertigen könnte. Daher wäre es durchaus nett, statt Pauschalverurteilungen einmal wirklich konkrete Gründe anzugeben. Nach wie vor besteht auch kein Grund, undifferenziert zwischen Stimmen zu unterscheiden, die angeblich direkt, und solchen, die angeblich indirekt abgegeben werden: Auch ein Stimmzettel ist ein Medium, so wie ein Zuruf in offener Versammlung ein Medium ist. Direkte Stimmabgabe wäre daher, streng genommen, vielleicht, wenn man den Kandidaten seiner Wahl an den Haaren ins Amt schleifen würde, wie das weiland bei Bischofswahlen üblich war. Im übrigen ist es doch auch erstaunlich zu sehen, welche Gründe gegen elektronische Wahlhilfsmittel angeführt werden, wenn man so sieht, wie bedenkenlos die Leute andauernd ihr Geld einem Automaten anvertrauen, ihre Geschäfte über Internet (unverschlüsselt zudem meist!) abwickeln, ihre Intimitäten über Telephon austauschen usw. usf., als ob da nicht mindestens so viel wenn nicht mehr Missbrauchspotential vorhanden wäre als bei Wahlen! Wirtschaftsspionage ist evidentermassen auch sehr viel häufiger als Manipulationen von Wahlen. Zudem besteht technisch kein wesentlicher Unterschied etwa zwischen einem Online-Banking-System und einem elektronischen Wahlverfahren, einmal davon abgesehen, dass solche Banking-Systeme im Kern schon älter sind und daher meist noch auf einer kryptographisch deutlich schlechteren Stufe stehen als die elektronischen Systeme, die heute für Wahlen erprobt werden. | ||
| Martin Fehndrich |
1. Den Widerspruch direkte Wahl zu Wahlcomputern seh ich jetzt auch nicht. 2. Die Zweifel sind ja recht ausführlich begründet. Die Hauptpunkte sind auf der einen Seite, der fehlende Nachweis einer konkreten Manipulation, auf der anderen Seite die fehlende Öffentlichkeit der Stimmenauszählung, also der fehlende zweifelsfreie Nachweis, daß alles mit rechten Dingen abläuft. 3. Der Geldautomat-Vergleich hinkt etwas. Ein unsicheres System rechtfertigt noch kein anderes. Einen Geldautomaten nutzt man freiwillig, und am Ende belegt der Kontoauszug, daß alles in Ordnung ist. | ||
| Philipp Wälchli |
Wenn der Nachweis einer Manipulation fehlt, dann kann zumindest ich nicht erkennen, inwiefern dies zu Zweifel führen sollte. Im Allgemeinen wird man ein Ergebnis solange als richtig ansehen, bis Manipulationen nachgewiesen oder doch wenigstens begründet vermutet werden. Der Vergleich mit Geldautomaten und - wer aufmerksam gelesen hat - mit anderen Systemen wie Online-Banking usw. hinkt nicht im mindesten. Bei einem Geldautomaten ist die Nutzung erstens so ganz freiwillig auch nicht, denn faktisch haben viele Finanzinstitute dafür gesorgt, dass es anders kaum mehr möglich ist, etwa durch Reduktion der Schalter, Schalteröffnungszeiten und sogar durch Zuschläge für Schaltergeschäfte, die auch am Automaten abgewickelt werden könnten. Der Kontoauszug belegt auch erst im Nachhinein. Bei Geldautomaten besteht aber die Möglichkeit des Quittungsausdruckes. Grundsätzlich könnte man dies auch bei Wahlautomaten so machen: Quittungsausdruck, der dann auch in eine Urne geworfen wird. Bei Widersprüchen o. dgl. kann man dann auch die Urne auszählen. Auch die fehlende Öffentlichkeit des Auszählungsvorganges ist kein wirkliches Argument dagegen. Denn diese Öffentlichkeit besteht ja praktisch doch eher nur virtuell. Wer begibt sich schon als Zuschauer zu einer Stimmenauszählung? Wichtige Vorgänge wie die Auswertung auf höherer Ebene, Berechnen der verschiedenen Verteilungsvorgänge usw. geschehen zudem zentral und sind auch nicht sonderlich öffentlich, ausserdem für manche Durchschnittsbürger auch schon gar nicht mehr nachvollziehbar, so dass sie auch mit den veröffentlichten und beglaubigten Zahlen der einzelnen Wahllokale die Gesamtverteilung nicht selbständig überprüfen können. Ob das nun eine Maschine macht oder ein Mensch, spielt keinen Unterschied: in beiden Fällen braucht es Vertrauen. Die Überwachung solcher Systeme kann durchaus auch auf andere Weise sichergestellt werden als durch eine breite (zumeist faktisch ohnehin eher ideologisch-virtuelle) Öffentlichkeit. Ganz entscheiden ist sodann aber, dass die verwendeten kryptographischen Verfahren grundsätzlich gleicher Art sind, ob es sich nun um Online-Banking oder Abstimmen per Internet handelt. Diese Verfahren sind nicht nur praktisch erprobt, sondern auch mathematisch analysiert und auf ihre Sicherheit hin getestet. Anders gesagt: Es ist leicht, das Schloss eines Wahllokales zu öffnen, ohne jegliche Spur zu hinterlassen. Eine kryptographische Methode mit mathematisch nachgewiesenen Eigenschaften kann man nicht auf die gleiche Weise "knacken". Es gibt sogar Verfahren, die nachweislich nicht zu brechen sind. Ich persönlich vertraue meine Geheimnisse lieber einem One-time-pad mit mathematisch nachgewiesener Sicherheit an als einer Urne mit zweifelhaftem Sicherheitsschloss und einem Wachssiegel. | ||
| Martin Fehndrich |
Zweifel, weil die Nachweisbarkeit bestritten wird und damit die Möglichkeit Manipulationen zu bemerken. Der Quittungsausdruck ist eines der diskutierten Konzepte, wobei das dann wieder in dir Richtung geht, selber den Zettel zur markieren und in die Urne zu tun. Kryptographie hilft an der Stelle auch nicht weiter (wird in Deutschland und den Niederlanden auch nicht verwendet - die Technik ist da eher älter und ausgereifter), weil der Wähler nicht die Kontrolle über den Rechner hat und Ein- und Ausgabe notwendigerweise unverschlüssel vonstatten geht. Das Ergebnis ist auch öffentlich und aufgebröselt auf die Wahllokale und jeder kann es nachrechnen. Wobei ich Dir rechtgeben muß, daß die Auswertung und Sitzverteilung nicht unbedingt hinterfragt oder nachgerechnet wird, und selbst wenn ein Anbgeordneter in der Wahlnacht rein und im Endergebnis rausgerechnet wird, wird das schulterzuckend zur Kenntnis genommen. Als Wahlbeobachter kann ich morgens die leere Urne, am Tage die Wähler Zettel einwerfen und abends die Auszählung beobachten - oder dies den vertrauenswürdigen Leuten vom Wahlvorstand überlassen. Beim einer Wahl mit Wahlcomputern delegiert man gezwungenermaßen einen Teil dieser öffentlichen Kontrolle an eine technische Prüfung im Vorfeld. Morgen wird der Deutsche Bundestag wieder einige Einsprüche gegen die Bundestagswahl zurückweisen. Darunter auch vier Wahleinsprüche wegen Wahlcomputern und drei wegen negativer Stimmgewichte. Die Einspruchsführer haben Wahlprüfungsbeschwerde beim Bundesverfassungsgericht angekündigt. | ||
| Philipp Wälchli |
Der Unterschied ist der, dass es spezifische Mittel gibt, um elektronische Systeme zu verifizieren. Im übrigen sollte man vielleicht auch einmal klären, wovon man spricht. Jedenfalls mir will scheinen, dass immer dann, wenn auf diesem Forum von elektronischen Anlagen gesprochen wird, verschiedene Dinge vermengt werden. Beispielsweise gibt es elektronische Hilfsmittel, mit denen die Auswertung traditioneller Stimmzettel vorgenommen wird. Ich sehe an sich keinen Grund, warum man nicht Stimmzettel genau so gut einer Zählmaschine anvertrauen sollte wie Geldscheine. Auch gegen Wahlformulare, auf denen ein Kreuz gemacht werden kann für Erst- und für Zweitstimme, durch einen Scanner zu schicken, der genau nur diese Kreise auswertet und sonst nichts, erscheint mir grundsätzlich unproblematisch. Dass solche Systeme geeicht werden müssen, damit sie zuverlässig funktionieren, ist ja eigentlich eine Binsenweisheit. Auch bei einer Auswertung nur durch Menschen (in der Regel benützen sie aber auch noch mindestens Notizpapier) kann Fehler erzeugen. Wieder eine andere Sache sind Wahlautomaten. Daneben gibt es auch Verfahren, wie die Stimmabgabe überhaupt anders erfolgen kann, etwa durch Nutzung des SMS-Dienstes, über Internet u. dgl. Schliesslich waren auch elektronische Abstimmungsanlagen in Parlamenten schon ein Thema. Unglücklich scheint mir, wenn Eigenarten dieser unterschiedlichen Systeme vermengt werden, um dann daraus den elektronischen Systemen überhaupt einen Strick zu drehen. Da sollte man, guter katholischer Tradition folgend, die Gabe der Unterscheidung walten lassen. | ||
| Martin Fehndrich |
Das Ausgangsposting geht da nicht ins Detail. Auf der Lexikonseite Wahlcomputer wird versucht die Konzepte zu klassifizieren. Die aktuelle Wahlprüfung bezieht sich auf die in Deutschland zugelassenen und verwendeten Wahlgeräte, allerdings auch auf das allgemeine Prinzip dahinter. Damit diese Frage verfassungsrechtlich geklärt werden kann, unterstützen wir entsprechende Wahlprüfungsbeschwerden. | ||
| Philipp Wälchli |
Die erwähnte Seite verzeichnet ausschliesslich negative Meldungen. Die verschiedenen Links in die Schweiz, namentlich auf den ersten grossen Erfahrungsbericht mit E-Voting, fehlen bspw. Wenn der gesamte Ansatz von vorneherein so negativ geprägt ist, fragt sich, was als Ergebnis am Ende herausschauen kann. Gewiss ist es richtig und wichtig, dass neue Hilfsmittel wie Wahlgeräte allseitig umfassend auf Tauglichkeit, Verlässlichkeit, Sicherheit usw. geprüft werden. Allerdings weiss ich nicht, welche Frage es hier verfassungsrechtlich zu klären gibt. Die Verfassung schreibt Wahlen zwingend vor. Wahlen können aber nur mittels eines Mediums erfolgen. Das einfachste und am meisten gebrauchte Medium des Menschen ist die gesprochene Sprache. Für Wahlen ist sie allerdings nur bedingt brauchbar, etwa weil bei offener mündlicher Stimme das Wahlgeheimnis nicht gewahrt bleibt. Grundsätzlich ist aber nicht einzusehen, was an einem Medium wie einem Stimmzettel, auf dem mittels Symbolen (Kreuzen) die Stimme markiert wird, und einer brieflichen Stimmabgabe wesentlich verschieden sein soll. Ferner ist auch nicht einzusehen, was grundsätzlich der wesentliche Unterschied sein soll zwischen brieflicher Stimmabgabe und Stimmabgabe über ein elektronisches Medium. Sofern die Rahmenbedingungen wie Wahlgeheimnis usw. eingehalten werden, sind alle Medien - einfach nur Medien. Daher sehe ich wirklich nicht im geringsten ein, was es dabei verfassungsrechtlich noch wesentliches zu klären gäbe. | ||
| Ulrich Wiesner |
Natürlich auch ein Wahlcomputer die Stimmen richtig zählen, wenn er richtig programmiert ist. Das können aber nur diejenigen beurteilen, die unmittelbaren Zugriff auf die Software haben. Damit ist die Kontrolle der Integrität der Wahl auf wenige Personen beschränkt. Eine Wahl mit Wahlcomputern gleicht deshalb einer Stimmzettelwahl, bei der die Stimmzettel hinter verschlossenen Türen ausgezählt werden. Auch in einem solchen Fall kann ja richtig gezählt werden. Verfassungsrechtlich geklärt werden muss, ob diese Einschränkungen der öffentlichen Kontrolle der Ergebnisermittlung mit dem Demokratieprinzip vertragen. Es geht nicht darum, ob man den wenigen Insidern, die die Wahl noch kontrollieren können, vertrauen kann, sondern ob man ihnen vertrauen muss. Dass sich die Wahlbehörden eine ordnungsgemäße Wahldurchführung selbst bescheinigen, das kannte man jedenfalls bisher überwiegend aus autoritären Staaten. | ||
| Martin Fehndrich |
@Philipp Hast Du Links aus der Schweiz? Die Meldungen aus Deutschland fallen fast alle in einen der Bereiche 1. Kritischer Aspekt aus der IT-Ecke (und die überleben auch, da insb. heise permanente Links verwendet) 2. Jubelartikel nach dem Schema "Erfolgreicher Einsatz von Wahlcomputern in Ennigerloh" Artikel über den Einsatz im Ausland gibt es in D natürlich auch nur, wenn etwas schief gelaufen ist (also Bush oder Chavez gewählt wurden). Der wesentliche Unterschied der Medien bei der Stimmabgabe, wir haben mit Papier einfach ein paar tausend Jahre mehr Erfahrung. Eine elektronisch abgegebene und gespeicherte Stimme ist nicht mehr greifbar und für den Wähler ist das ganze System nicht mehr so einfach zu überschauen (wenn überhaupt). | ||
| Philipp Wälchli |
Das sind Aussagen, die ich nach meinem Kenntnisstand schlicht nicht nachvollziehen kann: Es gibt genügend Prüfverfahren, mit denen auch der einfachste Bürger nachvollziehen kann, ob die Stimmenzählung vollständig und korrekt erfolgt ist. Schon heute gibt es solche Verfahren in manchen Anwendungsbereichen. Die Frage ist nur, wie sauber bei der Einführung der Systeme gearbeitet wird und wie gut die entsprechenden Möglichkeiten öffentlich bekannt gemacht werden. Ein sehr simples Verfahren, das in vielen Bereichen heute schon breite Anwendung findet, ist CRC. Damit kann bspw. ohne weiteres nachvollzogen werden, ob Stimmen nicht gezählt oder manipuliert wurden. Die Ermittlung des Gesamtergebnisses kann heute ohnehin schon nicht individuell nachgeprüft werden - wer kann schon in allen Wahllokalen gleichzeitig anwesend sein und zuschauen? Immerhin kann mit Kenntnis der genauen Verfahrensbestimmungen und der rohen Teilergebnisse die Sitzverteilung selbst nachgerechnet werden - das wird auch in Zukunft möglich sein. Anders als bei manuellen Verfahren besteht aber bei elektronischen die Möglichkeit, ein Fehlerprüfverfahren miteinzubauen - so etwas läuft bspw. ab, wenn wir eine CD hören, eine Datei kopieren oder übers digitale Telephonnetz sprechen. Grundsätzlich gibt es alle erforderlichen Möglichkeiten heute schon, man muss sie nur verwenden. Diese haben an sich den Vorteil, dass sie mathematisch beweisbare Sicherheit bringen, was bei manuellen Auswertungsverfahren so nicht gegeben ist. Das Problem ist nicht, dass es diese Verfahren nicht gäbe oder dass sie nur Spezialisten verstünden. Einen Prüfwert berechnen kann jeder, der das 1x1 beherrscht. 50'000 Stimmzettel nachzählen wird hingegen schon schwierig. Das eigentliche Problem liegt darin, dass die Politik die entsprechenden Sicherheitsvorgaben geben muss und dass sie natürlich nachgeprüft werden müssen, auch (siehe Bsp. der Prüfziffern) durch den Bürger. Dass es eine systembedingte Prüfungslücke gebe, ist bisher nichts weiter als eine schlichte Unterstellung. | ||
| Philipp Wälchli |
Nun wage ich neuerdings zu widersprechen: Papier als solches ist erst seit ein paar Jahrhunderten in Gebrauch, etwa seit der Renaissance. Erst kürzlich hatte ich ein wichtiges Dokument aus dem 16. Jh. in Händen, das eine autorisierte, authentische Fassung eines massgeblichen Textes enthielt: Es ist auf Pergament geschrieben. Das Papier des 16. Jahrhunderts und der folgenden bis etwa Mitte 19. Jh. war auch nicht das, was wir uns heute als Papier so gewohnt sind: Statt aus Zellstoff wurde es aus Hadern (gebrauchten Lumpen, daher auch der Haderlump) hergestellt. Davor schrieb man auf Pergament oder Wachstafeln, noch früher auf Papyrus, das eines der vergänglichsten Materialien überhaupt ist, auf Tonscherben (Ostraka), Stein, Metall oder feuchten Ton. Papier hat also keineswegs eine tausendjährige Geschichte, sondern schafft es so auf gut 500 Jahre. Aber auch in Bezug auf Papier als Medium der Stimmabgabe sieht es historisch dünn aus: So lange ist es bspw. in Deutschland noch nicht her, dass die Stimmabgabe mündlich und öffentlich erfolgte. Warum sonst heisst es wohl "Stimme"? Stimmabgabe durch Zuruf ist wohl das älteste Verfahren überhaupt neben dem schon erwähnten Schleppen des Gewählten. Durch Schleppen hat man bekanntlich nicht nur Bischöfe, sondern etwa auch römische Kaiser gewählt. Daneben kamen auch die bereits erwähnten Tonscherben zum Einsatz, etwa beim Ostrakismos, der genau nach diesen benannt ist. Ein ebenfalls lange Zeit verwendetes Verfahren zur geheimen Stimmabgabe bestand in der Verwendung von Kugeln, in Athen auch von Scheiben. Diese hiessen Ballots, der Begriff ist noch dem Englischen geläufig, steckt aber auch in bulletin, bolletino u. ä. Die Römer verwendeten die ebenfalls schon erwähnten Wachstäfelchen, tabulae oder tabellae, daher dann leges tabellariae. Der Stimmzettel oder Wahlzettel auf Papier als die vorherrschende Form hat sich frühestens im Lauf des 19. Jahrhunderts durchgesetzt, und auch dies ist nicht so ganz richtig: In einem Gremium wie dem Bundestag wird ja noch schön klassisch durch Handerheben abgestimmt oder durch Hammelsprung wie im römischen Senat. Auch Abstimmung durch Namensaufruf und Zuruf wird immer noch verwendet, so ja im Bundesrat, wie wir alle seit dem Schnellrufer-Urteil wissen. Durch Drehkreuze als erste mechanische Stimmaschinen oder Wahlautomaten jagt man seit Jahrzehnten die Teilnehmer gewisser Schweizer Landsgemeinden, was man noch als eine Sonderform des Hammelsprunges deuten kann. Also auch unter diesem Aspekt betrachtet will sich die tausendjährige Papiergeschichte nicht einstellen. Ich meine allerdings, dass Erfahrung und Tradition eines seien, mathematisch beweisbare Prüfverfahren eine andere. Vielleicht entsinnt sich der eine oder andere noch der Neunerprobe. Eine CRC-Prüfung ist im Grunde nichts anderes, nur der Algorithmus ist ein anderer. Davon kann ich aber immerhin zwingend mathematisch beweisen, dass dann, wenn die CRC falsch ist, ebenso wie bei der Neunerprobe, ein Fehler vorliegen muss. Das kann ich beim Papier schlicht nicht. Im übrigen habe ich auf die wesentlichen Berichte zu den Versuchen in der Schweiz schon bei früheren Gelegenheiten hingewiesen und mag daher an dieser Stelle nicht wiederholen, was ich bereits aufgeführt hatte. | ||
| Martin Fehndrich |
Erweitern wir Papier auf physisch greifbares Medium, das Konzept bei Tonscherben ist dasselbe. Bei den beweisbaren Prüfverfahren (wo wird soetwas eingesetzt?) seh ich nicht, wie das funktionieren soll, ohne daß der Wähler seine Stimmabgabe damit beweisen kann. | ||
| Philipp Wälchli |
Nur ist eben mit einem physisch greifbaren Medium erst sehr spät, nämlich etwa ab Mitte des 19. Jahrhunderts, konsequent gewählt worden. Der Ostrakismos ist etwas genuin anderes, auch die Wahlen in den römischen Comitien sind nicht wirklich Wahlen in unserem Sinne gewesen. Die Ballotage ist wiederum etwas eigenes und anderes. Die moderne Form der Wahl ist ohnehin ein Kind der jüngeren Vergangenheit. Also ist es doch reichlich übertrieben, von Jahrtausenden Erfahrung zu sprechen. Mathematische Prüfverfahren werden überall eingesetzt, nur dass man sie meistens erst dann mitbekommt, wenn plötzlich das System einen CRC-Fehler beim Kopieren einer Datei meldet. Eine kleine Suche im Web nach dem Stichwort "Integritätsprüfung" kann da schon aufschlussreich sein. Eine einfache Möglichkeit, eine Reihe zu prüfen, besteht darin, sie als Zahlwerte darzustellen. Beim Wahlverfahren des deutschen Bundestages ist dies sogar ziemlich einfach: Es gibt zwei Stimmen, eine davon wird für eine Wahlkreiskandidatur abgegeben, eine andere für eine Parteiliste. Nehmen wir der Einfachheit halber an, es gebe 6 Parteien, von denen jede in jedem Wahlkreis eine Kandidatur aufstelle, daneben aber keine unabhängigen Kandidaturen und keine lokalen Parteien, die gar nicht im ganzen Bundesgebiet antreten. Dies ist eine Vereinfachung zur Illustration der Sache, die Anwendung lässt sich aber auf andere Konstellationen durchaus ausdehnen. Nun können wir die Stimmabgabe als Zahlwerte darstellen: Wir ordnen jeder Wahlkreiskandidatur eine Stelle zu: Kandidatur 1 ist die 1. Stelle, 2 die 2. usw. Damit erhalten wir eine 6-bit-Zahl. Das besondere an dieser Zahl ist, dass sie nur an einer Stelle eine 1 haben darf, an allen anderen muss 0 stehen. Damit können wir bereits prüfen, ob die Stimmabgabe korrekt war, denn wenn unter diesen 6 Stellen zwei oder mehr 1 auftreten, dann hat der Wählende sich nicht an die Regeln gehalten (1. Integritätscheck). Wir tragen also für jede nicht gewählte Kandidatur eine 0 an der entsprechenden Stelle ein, für die gewählte statt eines Kreuzchens auf Papier eine 1 an der betreffenden Stelle. Somit erhalten wir eine Binärzahl von 6 Stellen, etwa 001000. Für die Parteilisten verfahren wir entsprechend; aus Sicherheitsgründen können wir auch die Zuordnung der Stellen zu den Listen so ändern, dass sie nicht dieselbe ist wie für die Wahlkreiskandidaturen, aber dies ist letztlich belanglos. Somit erhalten wir wiederum eine zweite Binärzahl für die Zweitstimme, bspw. 100000. Eine dritte Zahl weisen wir vor der Wahl den Wahlberechtigten zu. Diese Zahl wird durch einen Zufallsgenerator nach gewissen Regeln erzeugt. Diese Regeln hier zu erläutern, darf wohl unterbleiben. Man kann einmal nach den Stichworten "Zufallsgenerator" und "fehlerkorrigierende Codierung" oder "Prüfziffern" im Web suchen. Bspw. könnten wir sagen, wir möchten für die Wahlberechtigten nur Zahlen, die ohne Rest durch 11 teilbar sind, vergeben. Damit lässt sich dann auch gleich ohne irgendwelchen zusätzlichen Aufwand durch eine simple Division erkennen, ob ein manipulierte Zahl auftaucht. Da die Wahllokale örtlich genau bestimmt sind und niemand in einem fremden Wahlkreis wählen darf, macht es übrigens nichts, wenn in verschiedenen Wahlkreisen verschiedene Wähler dieselbe Zahl zugewiesen erhalten. Damit die Sache aber läuft, müssen wir eine ausreichend lange Zahl haben, damit sie für die Bevölkerung eines Wahlkreises auch ausreicht. Dafür benötigen wir eine Binärzahl von wenigstens 32 Stellen, vielleicht doch besser gleich 48. Wie auch immer, wir vergeben diese Zahlen individuell für jeden Wähler vor der Wahl. Gleichzeitig erzeugen wir einen Code, der dem Wähler zugestellt wird. Das Erzeugen der Wählerzahlen und der Codes wird am besten an eine Stelle delegiert, die danach nichts mehr mit der Wahl zu tun hat. Man könnte bspw. auch verschiedene private Firmen, die auf derartige Fragen spezialisiert sind, abwechselnd vor den Wahlen beauftragen. Damit ist zumindest ausgeschlossen, dass eine zentrale Wahlbehörde irgendwelchen Unfug treibt. Die Liste der Wählerzahlen und der Codes wird übrigens vernichtet, bzw. die Briefe an die Wähler werden ausgedruckt, ohne dass die Informationen intern gespeichert werden. Nun erhalten wir eine Binärzahl, die sich zusammensetzt aus: Wählerzahl (48 Stellen) + Erstimmenzahl (6 Stellen) + Zweitstimmenzahl (6 Stellen), dies ergibt eine Totalzahl von 60 Binärstellen. Dies ergibt übrigens eine Zahl, die dezimal dargestellt so um die 18 Stellen hätte. Nun geben wir in unseren Wahlautomaten zuerst die Wählerzahl ein, dann die Erststimme und die Zweitstimme. Abschliessend fragt die Maschine nach unserem Code. Intern macht die Maschine folgendes: Sie addiert die Erst- und die Zweitstimme zum laufenden Ergebnis. Dann setzt sie aus der Wählerzahl und den beiden Stimmabgaben die Totalzahl zusammen. Nun kommt der Code ins Spiel: Nach einem vorgegebenen Verfahren, das eine sogenannte "Trp-door"-Funktion enthält, verschlüsselt die Maschine unsere Totalzahl, wobei ein bestimmtes Ergebnis herauskommt. Dieses Ergebnis enthält nun die Wählerzahl und die beiden Stimmabgaben in verschlüsselter Form. Der Witz daran ist, dass wir mit einer solchen Verschlüsselung mathematisch beweisbar ohne den Entschlüsselungscode nichts rekonstruieren können. Es ist daher unmöglich, die Stimmabgabe aus dieser Zahl zu eruieren. Da wir für diese Art der Verschlüsselung zwei Codes brauchen, nämlich einen Code zum Verschlüsseln und einen Code zum Entschlüsseln, ist es mathematisch unmöglich, ohne den Entschlüsselungscode den Klartext wiederherzustellen. Nicht einmal der Wählende kann dies, denn er hat ja nur den einen Code, nicht den anderen (diesen erzeugen wir gar nicht!). Aber die Maschine druckt dem Wählenden eine Quittung aus, die nur Datum, Uhrzeit, Wahllokal und die verschlüsselte Ergebniszahl enthält. Die Maschine tut nun folgendes: Sie speichert die Stimmabgaben als laufende Additionen ab, daneben die Ergebniszahlen in der verschlüsselten Form als Liste, die am Ende ausgedruckt wird. Die Maschine tut noch etwas mehr: Sie führt nämlich die Liste der Ergebniszahlen mit Hilfe einer CRC-Funktion, also einer laufenden Prüfsumme, mit der am Ende garantiert werden kann, dass Fehler ausgeschlossen sind; wäre die CRC-Nachrechnung falsch, wäre die Wahl ungültig. Und was ist nun der Witz an der Sache? Am Ende druckt uns die Maschine das Endergebnis aus und eine Liste der Zahlen, die aus den Eingaben jedes Wählers erzeugt wurden. Das Endergebnis können wir nun tatsächlich nur "glauben". Es enthält nämlich über das nackte Ergebnis hinaus keine Informationen! Das ist aber kein Nachteil, denn damit kann überhaupt nicht nachvollzogen werden, wer wie gestimmt hat. Zugleich können wir die Algorithmen, Baupläne, Programmierungen usw. der Maschine veröffentlichen und jeglicher Analyse überlassen, die irgendwer machen möchte: Es ist mathematisch garantiert, dass daraus keinerlei Rückschlüsse auf das Wahlverhalten möglich sind. Aber umgekehrt haben wir eine Liste sämtlicher Stimmabgaben, die ALLE Informationen enthält, die aus der Wahl anfallen. Wir könnten daraus jederzeit genau rekonstruieren, wer wie gestimmt hat. Nur ist dies unmöglich, weil wir die Entschlüsselungscodes gar nicht haben. Hingegen weiss der einzelne Wahlberechtigte, wie er gestimmt hat, und kennt seine Wählerzahl; zudem hat er die Quittung mit seiner Ergebniszahl. Er kann nun die Liste durchsehen, ob seine Ergebniszahl auftaucht. Er kann mit Hilfe des Codes und des verwendeten Algorithmus, den wir ja öffentlich bekannt machen, nachprüfen, ob seine Ergebniszahl richtig ist. Wäre seine Stimmabgabe verfälscht worden, dann könnte auch nicht dieselbe Ergebniszahl herausschauen. Zudem haben wir die Reihe der Ergebniszahlen mit einer CRC-Funktion laufend geprüft; die Nachrechnung der CRC-Endsumme anhand der veröffentlichten Ergebniszahlen kann jedermann mit Hilfe des veröffentlichen CRC-Algorithmus selbst nachprüfen. Zu alldem braucht es nur gewisse mathematische Kenntnisse und Rechenfähigkeit oder einen geeigneten Taschenrechner. Vermutlich würden auch bald spezialisierte Geräte angeboten, die die Algorithmen bereits gespeichert haben und entsprechend programmiert sind, so dass man nur die entsprechenden Zahlen eingeben muss. Letztlich könnten auch alle Wähler zusammenkommen, vor aller Augen ihre Zahlen vorlegen und aus der Liste nachrechnen, so dass jeder genau sehen kann, dass es bei allen andern stimmt (oder ggf. nicht). Dies ist nun nur ein Modell, das noch in verschiedenster Hinsicht ausgebaut, zusätzlich abgesichert und vervollkommnet werden kann. Es ging mir aber mehr ums Prinzip als um die Einzelheiten. Daher vorerst einmal nur soviel. Immerhin hoffe ich gezeigt zu haben, dass es, ein Minimum an Kenntnis der Materie vorausgesetzt, durchaus Verfahren gibt, die eine Sicherheit und Nachprüfbarkeit garantieren, die mathematisch genau berechenbar und beweisbar und traditioneller "papierener" Stimmgabe insofern sogar überlegen sind. | ||
| Philipp Wälchli |
Noch ein kleiner Nachtrag: Nur um diesen Punkt klarzustellen: Im oben beschriebenen Ansatz ist es unmöglich, die verschlüsselten Stimmen in Klartext zurück zu entschlüsseln. Dies kann nicht einmal der betreffende Wähler selbst. Es ist also etwa so, als ob man die Tür verschlossen und den Schlüssel vernichtet hätte. Was der Wähler tun kann, ist eine Wiederholung seines Weges: Er kann mit seiner Wählerzahl, dem Code und der genau gleichen Stimmabgabe die Ergebniszahl erneut berechnen und zeigen, dass diese übereinstimmt oder eben nicht. Was in diesem Modell nicht vorgesehen ist, ist eine Prüfung, ob der Wähler tatsächlich so gestimmt hat. Bei einem Papier-Modell wäre es bspw. immer noch möglich, die aufbewahrten Wahlzettel auf die Fingerabdrücke des Wählers zu untersuchen und so nachträglich diesen Zettel dem bestimmten Wähler zuzuordnen und nachzuprüfen, ob seine Behauptung, er habe so und so gestimmt, auch zutrifft. Möchte man dies ausschliessen, gäbe es bei einem elektronischen Verfahren durchaus Möglichkeiten dazu. Man könnte bspw. dem Wähler auch den Entschlüsselungscode geben oder diese Codes bei einer dritten Stelle deponieren. Der Witz ist ja eben der, dass bei einem solchen auf kryptographische Verfahren gestützen Vorgehen genau definiert werden kann, was wie abgesichert werden soll, und dass dabei u. U. die Möglichkeit gegeben ist, eine mathematisch garantierte absolute Sicherheit zu erzielen, etwa durch One-time-pad-Verfahren u. dgl. Stillschweigend habe ich vorausgesetzt, dass es vorerst nur um ein Verfahren geht, bei dem einfach nur Wahlautomaten in den Wahllokalen stehen. Eine Identitätsprüfung der Personen wird dabei nicht durch die Maschinen vorgenommen, sondern durch Mitglieder des Wahlbureaus, die z. B. den Personalausweis prüfen, in einer Wählerliste nachschauen und den betreffenden Wähler gleich ausstreichen. Man kann es dann auch so handhaben, dass erst im Wahllokal aus einem Vorrat von durch eine andere Stelle erzeugten Wählernummern und aus einem ebensolchen Vorrat von Codes dem jeweiligen Wähler je eine Einheit zugeteilt wird. Dabei kann man die Nummern und die Codes durch zwei verschiedene Stellen erzeugen lassen und diese in verschlossenen Umschlägen ins Wahllokal liefern lassen; am Umschlag ist sogleich ohne Hilfsmittel erkennbar, ob er geöffnet wurde. Das Personal kann auch zufällig einen Umschlag greifen, denn in dem eben geschilderten Modell spielt es keine Rolle, wer welche Nummer und welchen Code bekommt. Nur die beiden Stellen, die diese Zahlen erzeugen, müssen den Algorithmus kennen. Für die nächste Wahl werden wiederum neue Nummern und Codes erzeugt (one-time-pad-Prinzip), so dass es grundsätzlich gleichgültig ist, was ein Wähler danach damit anfängt. Er kann damit im TV auftreten oder die beiden Zahlen ins Internet stellen. Solange man nicht auch noch die Stimmabgabe oder aber die Quittungs-Zahl kennt, kann man damit noch nicht einmal ermitteln, welche Zahl auf dem Endausdruck dem betreffenden Wähler entspricht. Natürlich gibt es immer noch Angriffsmöglichkeiten, die wir so noch nicht ausschliessen konnten. So bleibt es nach wie vor möglich, dass man etwa eine Mikrokamera in die Wahlkabine schleusen kann, um damit zu filmen, wer was eingibt. Eine andere Angriffsmöglichkeit bestünde in der Analyse der Speicherbausteine, womit man allerdings nur einige wenige Spuren ehemaliger Speicherzustände und somit vielleicht ein halbes Dutzend konkrete Stimmabgaben rekonstruieren könnte. Eine andere Möglichkeit bestünde im Versuch, die Maschinen irgendwie nach aussen zu koppeln und die laufenden Eingaben zu überwachen. Dagegen beugt allerdings schon eine Bauweise vor, die keine externen Schnittstellen vorsieht. Solche und ähnliche Angriffe sind nach wie vor möglich, allerdings sind diese auch gegen papiergestützte Verfahren möglich. Man kann auch mit Gewalt in ein Wahllokal eindringen, Wähler bestechen, im Vorfeld einer Wahl bedrohen oder eine Granate ins Wahllokal werfen. Dies ist aber ebenso gegen traditionelle Verfahren möglich. Nun kann man auch noch fragen, was denn nun der Vorteil eines solchen Modells sei. Immerhin klingt dies alles ziemlich aufwendig und umständlich. Dies ist es aber nicht, denn alle verwendeten Techniken gibt es bereits und sind bereits im Einsatz; ein tauglicher Chip für eine solche Maschine könnte so für ca. 10 Euro hergestellt werden. Nummern und Codes lassen sich mit heute vorhandenen Mitteln in rauhen Mengen binnen kürzester Zeit erstellen. Dies bedingt bei der Vorbereitung also keinen erheblichen Mehraufwand gegenüber heute; zudem kommt man mit weniger Hilfspersonal aus, schliesslich ist das Ergebnis schneller bekannt, nämlich binnen Minuten nach Schliessung des Wahllokals. Und die Sicherheit und Prüfbarkeit des Ergebnisses wird ebenfalls noch erhöht, durch entsprechende Gestaltung der Automaten können auch Versehen der Stimmberechtigten vermindert werden usw. usf. Wem die im skizzierten Modell geschilderten Eigenschaften nicht ausreichen, der kann weitere definieren, die ebenfalls erreichbar sind. | ||
| Martin Fehndrich |
Was der Wähler tun kann, ist eine Wiederholung seines Weges: Er kann mit seiner Wählerzahl, dem Code und der genau gleichen Stimmabgabe die Ergebniszahl erneut berechnen und zeigen, dass diese übereinstimmt und mir so beweisen, daß er auch wirklich die richtige Partei gewählt hat. Die Nachprüfbarkeit geht hier zulasten der geheimen Wahl. Wenn die Wählerangaben (Wähler Nr. etc.) bekannt sind, kann man einzelne Stimmabgaben auch so nachrechnen (also bei der begrenzten Wahlmöglichkeit faktisch zurückrechnen), da braucht man keinen Rückwärts-Schlüssel. Und es wird sicher Zweifel geben, ob das System wirklich für jedermann so einfach durchschaubar ist. | ||
| Philipp Wälchli |
BITTE ERST EINMAL GENAU LESEN UND DANN KRITISIEREN! Langsam, aber ganz langsam, werde ich ärgerlich. Der Eindruck, dass es hier gewissen Leuten nur darum geht, ihre Vorurteile zu bestätigen, erscheint mir unabweisbar. Auf dieser Grundlage lässt sich nicht diskutieren. Wer richtig aufgepasst hätte, hätte bemerken müssen, dass es einem nichts nützt, eine Wählernummer zu haben. Dazu bedarf es zusätzlich noch des Codes. Und ohne den Quittungsausdruck kann man unter vielen tausenden Zahlen noch nicht einmal die richtige ausfindig machen. Zudem geht es ja darum, dass der WÄHLER nachprüfen kann, ob seine Stimme richtig angenommen wurde. Wenn er das geprüft hat, kann er seine Nummer und seinen Code samt Quittungsausdruck zum Anzünden der Zigarette oder meinetwegen auch als Klopapier verwenden. GEGEBENENFALLS kann er damit aber auch beweisen, dass seine Stimme nicht richtig oder gar nicht ermittelt wurde. BEI PAPIERWAHLEN KANN ER DIES NICHT! Denn er müsste unter vielen tausenden Zetteln SEINEN EINWANDFREI identifizieren können. Bspw. mit Hilfe der Fingerabdrücke könnte dies aber auch jemand anderer, in obigem Modell kann es ausser dem Wähler niemand. Um es einmal auf den Punkt zu bringen: Man kann natürlich von einem neuen Verfahren verlangen, dass es gegen JEGLICHEN Missbrauch sicher sei. Aber gilt dies auch für das heutige Verfahren? Im übrigen möchte ich nochmals darauf hinweisen, dass es an der Zeit wäre, sich einmal richtig zu informieren. Solange zum Thema weiterhin auf Basis von Vorurteilen und Unterstellungen "debattiert" wird, werde ich mich dazu nicht weiter äussern. | ||
| Martin Fehndrich |
Na dann geb ich das Vorurteil nochmal zum ausräumen frei: Es gibt es eine Quittung, mit der der Wähler beweisen kann, was er gewählt hat, oder ein Teil der Nachprüfbarkeit geht verloren. | ||
| Thorsten Köster (Unregistrierter Gast) |
"GEGEBENENFALLS kann er damit aber auch beweisen, dass seine Stimme nicht richtig oder gar nicht ermittelt wurde." In dem Modell geht das exakt dann, wenn alle Wähler zusammenkommen und Ihre Stimmabgabe öffentlich machen. Schließlich könnte der hypothetische Wahlcomputer immer noch die Addition falsch durchführen. Hier ist in dem beschriebenen Modell absolut nichts gesichert. ("Intern macht die Maschine folgendes: Sie addiert die Erst- und die Zweitstimme zum laufenden Ergebnis...") Und aufgrund der nicht vorhandenen "Rückrechenbarkeit" aus den ach so gut geschützten "Ergebniszahlen", kann das auch nicht überprüft werden, wie ja immer wieder betont wurde. Damit ist die Wahl also entweder geheim oder überprüfbar, aber nicht beides zusammen. | ||
| Philipp Wälchli |
Wenn man richtig lesen könnte, dann hätte man merken müssen: 1.) dass jeder Wähler unabhängig von jedem anderen für sich allein nachprüfen kann, ob seine Stimme überhaupt und ob sie korrekt verbucht wurde. Nur alle Stimmen lassen sich nicht ohne Mitwirkung aller Wähler rekonstruieren, aber das soll ja aus Gründen des Wahlgeheimnisses, das hier von vielen so hoch gehalten und als grösstes Hindernis elektronischer Systeme angesehen wird, ja gerade auch so sein. 2.) dass wir auf allen Zahlenreihen Prüfsummenrechnungen mitlaufen lassen, die eindeutig ergeben, ob die Additionen korrekt waren oder nicht und die teilweise am Gesamtausdruck auch nachgeprüft werden können, durch jeden beliebigen Wähler oder Nichtwähler. (Technisch werden wir übrigens eher keine einfachen Bitmuster verwenden, sondern für jede mögliche Stimmabgabe bestimmte Zahlen bzw. Bitmuster definieren, die sogar besser für Prüfsummenverfahren und Verschlüsselung geeignet sind; zum Illustrieren des Grundverfahrens sind diese aber eher weniger geeignet.) 3.) dass somit Wahlgeheimnis und Überprüfbarkeit sich nicht ausschliessen. Nun darf man ja wohl darauf warten, welcher ach so triftiger Einwand wieder hineininterpretiert wird. | ||
| Thorsten Köster (Unregistrierter Gast) |
Sorry, das sollte nicht so angreifend klingen, aber ich verstehe es echt nicht. Da brauche ich wirklich noch mal eine Erklärung, und zwar nur beschränkt auf die Auszählung. Wahrscheinlich habe ich was überlesen. Wovon ich momentan ausgehe: In der ausführlichen Beschreibung oben finde ich keinen Schutz der Addition der einzelnen Stimmen. Wenn jetzt die Maschine aufgrund eines böswilligen Betriebsprogramms Stimmen falsch verbucht, kann ich das als Wähler nicht nachprüfen, da ich ja nicht weiß, wie die anderen Wähler gestimmt haben. Zumindest solange die Maschine nicht die einzige verbleibende Stimme einer Partei wegnimmt und ich zufällig für diese Partei gestimmt habe. Das einzige, was ich (so wie ich das lese) mit dem oben beschriebenen System nachprüfen kann, ist, dass ich an dieser Maschine gewählt habe und wie ich gewählt habe bzw. meine gewählt zu haben, nicht aber, ob die Maschine meine Stimme auch zum Ergebnis der von mir gewählten Partei hinzugezählt hat. Oder eben zum Ergebnis einer anderen Partei. Bitte beschreibe mir doch nochmal die Schutzvorkehrungen für diesen Fall. Ich stehe hier wohl wirklich auf dem Schlauch. | ||
| Thorsten Köster (Unregistrierter Gast) |
OK. Ich glaube der Knoten ist geplatzt: Überprüfbar wird das ganze dann, wenn die Maschine eine kombinierte Liste "Wählercodezahl <-> abgegebene Stimmen" ausspuckt. Dann könnte jeder Wähler hergehen und überprüfen, ob neben seinem Code auch die richtige Stimme steht. (Oder habe ich jetzt schon wieder was übersehen?) | ||
| Thorsten Köster (Unregistrierter Gast) |
Allerdings müssten dann alle Wähler diese Liste auch kontrollieren. Ist dann zwar nicht so, dass sie Ihre Wahl öffentlich machen müssten, aber sie müssen trotzdem alle zusammenkommen. P.S.: Ich kann durchaus lesen und über das Gelesene vorurteilsfrei nachdenken.  | ||
| Ulrich Wiesner |
Das beschriebene Verfahren erlaubt dem Wähler nachzuweisen, wie er gewählt hat. Ein Wähler, der seinen Wählercode und seine Quittungszahl einem Dritten vorlegt, kann damit beweisen, wie er gewählt hat. Dadurch kann der Wähler seine Stimme verkaufen, er wird außerdem erpressbar. Dies widerspricht, wie schon von Martin erwähnt, dem Prinzip der geheimen Wahl, die immer Quittungsfrei seien muss. Das dargestellte Verfahren erlaubt auch, die Stimme eines Wählers zu ermitteln, dessen Wählernummer bekannt ist. Im dargestellten Beispiel würde man dazu für alle möglichen Kombinationen aus Erst- und Zweitstimme (6 Kandidaten oder Enthaltung x 6 Parteien oder Enthaltung = 49) die verschlüsselten Ergebniszahlen ermitteln, und die Liste aller Ergebniszahlen danach durchsuchen. Dieser Brute-Force Ansatz scheint auch bei mehr als 6 Wahlvorschlägen noch aussichtsreich. Die Wahleinsprüche in Deutschland wenden sich im übrigen nicht gegen elektronische Wahlen im allgemeinen, sondern gegen die spezielle Implementierung in bestimmten Geräten. Allerdings bezweifele ich, dass sich die Grundsätze geheim, transparent und überprüfbar gleichzeitig in einem Black-Box-Ansatz erfüllen lassen. | ||
| Philipp Wälchli |
Zunächst einmal ganz langsam: Es hat keinen Sinn, ein technisches Verfahren zu konstruieren, in dem eine Reihe von Additionen, bei denen es sich um eine höchst wichtigte, nämlich in diesem Fall um dasjenige, weshalb man die ganze Übung veranstaltet, Angelegenheit geht, ohne Prüfmechanismus geführt wird. Wie angedeutet würde man in der Praxis wohl eher eine bestimmte Zahlenkombination (oder ein Bitmuster, das gewisse nachoprüfbare Eigenschaften aufweist) den Stimmen zuweisen, und zwar wiederum durch Zufallsereignisse. Eine Zweitstimme für die SPD bekäme dann vielleicht das Bitmuster 11001010111000111110010100100101. Die Zuteilung der Bitmuster ist dabei völlig beliebig, sie muss nur bei jeder Wahl eindeutig erfolgen, die Bitmuster als solche können dabei gewisse prüfbare Eigenschaften aufweisen und so gewählt werden, dass sie sich voneinander nach bestimmten Kriterien, die technisch leicht prüfbar sind, unterscheiden. Nun führen wir diese Reihen von Stimmen bspw. (es gibt verschiedene Möglichkeiten) als Additionen der betreffenden Stimmen. Da die Bitmuster bestimmten Charakteristika genügen, ergeben sich durch deren Addition auch bestimmte neue Muster, die gewisse Charakteristika aufweisen. Technisch können wir sogar noch weitergehen und bei jeder Abgegebenen Stimme jeder Reihe sowie einer Zählreiehe je einen bestimmten Wert hinzuaddieren. Und darüber lassen wir dann quer und längs die Prüfsummenrechnungen laufen. Solche Prüfsummenrechnungen haben die Eigenart, dass sie bei jedem einzelnen Rechnschritt stimmen müssen. Sobald also nach einer Stimmabgabe eine einzelne Prüfsumme nicht korrekt ist oder es zwischen verschiedenen Prüfsummen Widersprüche gibt, ist eindeutig nachgewiesen, dass ein Fehler aufgetreten ist. Da dies keine technische Vorlesung ist, muss ich es bei diesen Ausführungen belassen. Daneben führen wir aber auch die Liste der einzelnen Stimmabgaben in verschlüsselter Form. Diese erscheinen in einer fortlaufenden Liste und am Ende in einem Kontrollausdruck. Unser hypothetischer Wähler erhält einen Quittungsbon, auf dem z B. steht: "Wahl des deutschen Bundestages vom 7. 1. 2007 Wahllokal Warnigerode Quittung A01X-B2Y8-0023-AAKJ-HP17-0990". Was nun der Wähler tun kann, ist folgendes: Er kann mit seinem Quittungsbon die Liste aller verschlüsselten Stimmabgaben durchsehen. Im Kontrollausdruck des Wahllokales Warnigerode vom 7. 1. 2007 müsste dann also irgendwo die Bezeichnung A01X-B2Y8-0023-AAKJ-HP17-0990 auftauchen; wenn nicht, weiss er, dass seine Stimme nicht oder nicht korrekt verbucht wurde. Seinen Quittungsbon kann er zum Behuf der Anfechtung auch dem Wahlausschuss oder wem immer vorlegen. Denn damit kann man nur genau das prüfen, was unser hypothetischer Wähler getan hat, nämlich schauen, ob diese Quittung auch im Kontrollausdruck existiert. Es können auch ALLE Wähler gemeinsam und offen ihre Quittungen mit dem Kontrollausdruck vergleichen, und dies nota bene auch anonym (indem etwa alle Quittungen in eine Urne geworfen und danach von den Wählern blind je wieder eine daraus gezogen wird). Wer wie gestimmt hat, lässt sich damit nicht ermitteln. Die einzelnen Wähler können ausserdem noch etwas weiteres tun: Sie können die Korrektheit der Prüfziffern nachrechnen, die mitveröffentlicht wurden (was allerdings schon ein wenig mehr erfordert). Nun kann ein hypthetischer Wähler auch noch mehr tun: Er kann mit Hilfe seiner Wählernummer und seines Einmal-Codes nachrechnen, ob seine Quittung auch tatsächlich seiner Stimmabgabe entspricht. Dazu braucht er aber entweder ein entsprechendes Hilfsmittel oder entsprechende eigene Kenntnisse und Fähigkeiten. Nötig ist dies auch nicht; der Wähler kann seinen Code und seine Wählernummer grundsätzlich nach Gebrauch vernichten (wenn nicht sogar allgemein davon Gebrauch gemacht wird, diese Angaben auf einem flüchtigen Medium abzugeben, etwa durch getrennte Maschinen, die in der Wahlkabine je eine Wählernummer und einen Einmalcode anzeigen). Damit besteht keineswegs die Gefahr, die uns Oberlehrer Wiesner weismachen will, dass die Wähler ihre Stimmabgabe nachweisen können und erpressbar werden. Oberlehrer Wiesner weiss nämlich nicht einmal zwischen Wählernummer und Einmalcode zu unterscheiden. Mit einer von beiden Angaben kann man nicht viel anfangen, denn bei den dargelegten Stellenzahlen ist es zwar nach wie vor möglich, wenn man etwa eine Wählernummer kennt, alle möglichen Codes zu generieren und damit die 49 von Oberlehrer Wiesner errechneten Stimmabgabeoptionen zu verschlüsseln. Bei Wählerzahlen von 48 oder mehr Stellen und Codes von ebensolcher oder grösserer Länge (der Code sollte so lange sein wie die gesamte zu verschlüsselnde Nachricht, in diesem Falle also Stellenzahl von Wählernummer plus Summe aller Stellen der Stimmabgabeoptionen) wünschen wir von Herzen Herrn Prof. Dr. Dr. h. c. mult. Wiesner viel Vergnügen. Dabei nützt uns die Kenntnis einer Wählernummer samt zugehörigem Code auch noch nicht viel, sofern wir nicht auch noch des Wählers Quittung haben, denn die Wählernummer wird ja spontan bei Eintritt ins Wahllokal neu vergeben, ebenso der Code in einem zweiten Schritt. Wir müssen dann also auch noch eindeutig wissen, wer am Eingang welche Wählernummer erhalten hat und danach noch welchen Code. Der Wähler, der als einziger alle diese Informationen in einer Hand hat, sie aber nach Belieben vernichten oder verteilt aufbewahren kann, hat es also in der Hand, wieviel er von sich preisgeben will. Ein Dritter hat keine unmittelbare Möglichkeit, sich dieses Wissen anzueignen, und falls doch, nützt es ihm nur für die anstehende Wahl. Im übrigen ist es ja dann auch so, dass die heutige Art der Wahl verfassungswidrig ist, denn wer den Fingerabdruck eines Wählers kennt, kann seine Stimmabgabe mittels Analyse der Fingerabdrücke auf den Wahlzetteln einwndfrei zuordnen. Somit wird der Wähler erpressbar, das Wahlgeheimnis ist nicht mehr gewahrt und somit m Sinne von Oberlehrer Wiesner verfassungswidrig. QED. | ||
| Ulrich Wiesner |
Es diskutiert eben jeder in dem Stil, der zu ihm passt. Gibt es zu dem vorgeschlagenen Verfahren ein White Paper oder Fachartikel? Ist das Verfahren bereits irgendwo implementiert oder im Einsatz? | ||
| Philipp Wälchli |
Bei nochmaligem Erwägen bin ich zu dem Schluss gekommen, dass die Ausführungen über Prüfzifferverfahren u. dgl. wohl für Uneingeweihte zu wenig anschaulich waren. Daher nun ein konkretes, aber stark vereinfachtes Beispiel, wie so etwas gehen könnte. Ich nehme der Einfachheit eine Abstimmung, bei der es also nur zwei Optionen gibt, Ja und Nein. (Man könnte sich auch eine Stichwahl zwischen zwei Kandidaturen denken, A und B, oder ein Zweiparteien-System.) Zudem setze ich voraus, dass es keine Enthaltungen gibt. Dies dient der Vereinfachung und Überschaubarkeit. Man kann sich aber vorstellen, dass es in der Tat auch vorgeschrieben ist, dass eine Stimme abgegeben werden muss und dass sie eine bestimmte Option enthalten muss, also nicht leer sein darf und somit nicht eine Enthaltung darstellen kann. Unser Wahlautomat nimmt daher auch nur Ja oder Nein bzw. Kandidatur A oder B entgegen, eine dritte Möglichkeit gibt es nicht. Wir stellen uns bspw. vor, dass der Automat einen Bildschirm hat, auf dem links die eine, rechts die andere Alternative aufleuchten und dass dann entweder über Bildschirmberührung an diesen Stellen oder über zwei eindeutig zugewiesene Tasten am Bildschirmrand (wie bei den meisten Mobiltelephonen auch) die Auswahl zwischen diesen Optionen erfolgt. Danach zeigt der Automat die gewählte Option an und fragt nach, ob man damit einverstanden ist, worauf man wiederum mit "Bestätigen" oder "Verwerfen" reagieren muss, so dass also unabsichtliche, versehentliche Stimmabgabe technisch weitestgehend ausgeschlossen sein sollte. Die Problematik der verschlüsselten Quittung samt Wählernummer und Einmalcode lassen wir der Einfachheit halber dieses Mal beiseite, geht es doch nur darum zu zeigen, wie die Sache dem Grundsatz nach beim "Zusammenzählen" funktionieren kann. Nachdem der Automat unsere Stimme registriert hat, geht er intern zum Abspeichern und Zählen, d. h. Summieren über. Nun wendet er dabei einen Kniff an: Er zerlegt die beiden Optionen in zwei Teile: Wer für A ist, ist auch gegen B, wer hingegen für B ist, ist auch gegen A. Daher führt er intern nicht zwei Kolonnen, sondern vier: für A, gegen A, für B, gegen B. Eine fünfte Kolonne ist die Prüfsumme. In einem weiteren Speicher legt unser Automat eine Liste aller Ergebnisquittungen an; diese müssen je einzeln abgespeichert werden, damit sie am Ende auch alle einzeln ausgegeben werden können. Zugleich lässt sich anhand dieser Liste auch die Anzahl abgegebener Stimmen nachzählen, wofür wir auch einen einfachen Zähler verwenden könnten (was aber eigentlich überflüssig ist). Im weiteren betrachten wir nur mehr die fünf eigentlichen Ergebniskolonnen: Stimmabgabe:___für A:___gegen A:___für B:___gegen B:_____Prüfsumme: A______________2______0_________0_______5__________7 A______________4______0_________0______10_________14 B______________4______3_________4______10_________21 A______________6______3_________4______15_________28 B______________6______6_________8______15_________35 B______________6______9________12______15_________42 B______________6_____12________16______15_________49 A______________8_____12________16______20_________56 A_____________10_____12________16______25_________63 So sieht die vollständige Aufstellung der Stimmabgaben und ihrer Verwertung im Automaten für die ersten 9 Fälle aus. Das heisst: so SÄHE sie aus, warum sie nicht so aussieht, wird später erklärt. Was also tut unser Automat? Er betrachtet die Stimme und entscheidet über das weitere Vorgehen: Ist es eine Stimme für A, dann addiert er zum letzten Wert der Spalte "für A" 2 hinzu und in der Spalte "gegen B" 5. Ist es eine Stimme für B, dann addiert er 4 zum letzten Wert der Spalte "für B" und 3 zum letzten Wer in Spalte "gegen A" hinzu. Anschliessend addiert er die Werte der vier ersten Spalten und schreibt dieses Additionsergebnis als Prüfsumme in Spalte "Prüfsumme". Was können wir nun damit anfangen? Schauen wir uns eine beliebige Zeile dieser Aufstellung an, z. B. die 5. von oben: Der Wert in Spalte "für A" ist 6. Wir können nun sofort erkennen, dass dies eine gerade Zahl ist. Somit besteht die Möglichkeit, dass dieser Eintrag korrekt ist; wäre der Wert hingegen ungerade, so wäre er mit Sicherheit falsch. Teilen wir den Wert 6 durch 2, ergibt sich, dass drei Stimmen für A abgegeben wurden. Der Wert in Spalte "gegen A" beträgt ebenfalls 6. Dieser Wert ist durch 3 teilbar, somit ergibt sich, dass er korrekt sein kann. Wäre hingegen an dieser Stelle etwa der Wert 4 oder 5 vorhanden, dann wäre mit Sicherheit ein Fehler festgestellt. Teilen wir 6 durch 3, erhalten wir zudem die Anzahl der Stimmen, die gegen A abgegeben wurden, nämlich bisher 2. Nun können wir die beiden aus den Spalten "für A" und "gegen A" ermittelten Stimmenzahlen zusammenzählen und erhalten 3+2=5. Schauen wir nun in die Liste der getrennt abgespeicherten Ergbinscodes, dann können wir dort ermitteln, dass diese ebenfalls 5 Einträge enthält. Somit ist also auch die Summe der registrierten Stimmabgaben insgesamt offenbar korrekt. Betrachten wir nun die Spalte "für B", so finden wir dort den Wert 8. Dieser Wert ist durch 4 teilbar, also kann er korrekt sein. Aus dieser Division erhalten wir zugleich die Anzahl der Stimmen für B, nämlich 2. Dieser Wert stimmt auch mit der Stimmenzahl, die unter "gegen A" ermittelt worden ist, überein, was die Annahme weiter bestärkt, dass die Eingaben bisher korrekt verarbeitet wurden. In der Spalte "gegen B" finden wir schliesslich den Wert 15, der durch 5 teilbar ist, was wiederum darauf hindeutet, dass dies ein korrekter Wert sein kann; wäre an dieser Stelle hingegen ein Wert wie 7 oder 8 zu finden, wäre mit Sicherheit ein Fehler festgestellt. Aus der Division durch 5 erhalten wir wiederum die Anzahl Stimmen, die gegen B abgegeben wurden, nämlich 3. Dieser Wert stimmt zugleich mit jenem überein, der für die Spalte "für A" ermittelt wurde, was wiederum für Korrektheit spricht. Wir können wiederum die Stimmen aus den beiden zuletzt betrachteten Spalten zusammenzählen und erhalten wiederum 5 Stimmen insgesamt, was mit unserer Rechnung aus den beiden ersten Spalten übereinstimmt und auch im Vergleich mit der Liste der registrierten verschlüsselten Ergebniscodes geprüft werden kann. Ausserdem können wir auch die Spalten "für A" und "gegen B" vergleichen sowie die beiden Spalten "gegen A" und "für B"; da sie jeweils dasselbe Ergebnis zeigen, steigt die Wahrscheinlichkeit eines korrekten Ergebnisses weiterhin. Nun schauen wir uns noch die letzte Spalte "Prüfsumme" an: Diese enthält den Wert 35. Addieren wir die 4 Werte in den vorangehenden Spalten der 5. Zeile miteinander, ergibt sich genau dieser Wert. Unsere Prüfsumme stimmt also mit den Werten überein. Zudem können wir diesen Wert ohne Rest durch 7 teilen und erhalten 5, die Anzahl der bisher abgegebenen Stimmen, was wir ja bereits bei den vorausgehenden Prüfungen der Gesamtstimmenzahl erhalten haben. Nun denken wir kurz nach: Wir addieren entweder 2 zur ersten Spalte und 5 zur vierten oder aber 3 zur zweiten und 4 zur dritten Spalte, also in jedem Fall den Wert 7. Somit ist es gleichgültig, was immer wir als Stimme verbuchen, in jedem Fall muss in jeder neuen Zeile gesamthaft 7 hinzukommen. Die Werte der Prüfsummen müssen also immer eine durch 7 teilbare Zahl ergeben, sonst ist ein Fehler aufgedeckt. Und nun kommt die Überraschung: Wir führen diese Aufstellung in unserem Wahlautomaten gar nicht. Warum dies? Wenn wir diese Aufstellung so laufend weiterführten, dann könnte jemand versuchen, sich diese zu beschaffen. Gelingt es ihm, die Reihenfolge der Wähler (Stimmenden) zu rekonstruieren, dann kann er aus der Folge der Einträge auch ermitteln, wer wie gestimmt hat, sofern es ihm gelingt, die einzelnen Wähler zu identifizieren. Dagegen könnten wir verschiedenes unternehmen, etwa die Aufstellung laufend umsortieren. Aber das ist erstens aufwendig, zweitens wiederum fehleranfällig und drittens auch gar nicht nötig. Was ich nicht weiss, kann ich bekanntlich auch niemand verraten. Zudem liegen ja die gesamten Stimmabgaben sicher verschlüsselt in einer separaten Liste vor, die jeder Wähler mit seinem Quittungsbon vergleichen kann. Nein, wir gehen anders vor: Wir legen intern 5 Speicher an (Variable in der Terminologie der meisten Programmiersprachen), die wir unseren 5 Spalten oder Kolonnen zuweisen. Diese 5 Speicher enthalten am Anfang alle den Wert 0. Bei der ersten Stimmabgabe werden die betreffenden Werte zu den Speichern hinzuaddiert. Dann erhalten wir aus den Speichern das Bild, das die erste Zeile unserer obigen Aufstellung zeigt. Nach der zweiten Eingabe sehen die Inhalte der fünf Speicher aus wie die 2. Zeile unserer Aufstellung usw. Nur sieht man stets nur den letzten Stand, also gewissermassen immer nur eine einzelne Zeile unserer obigen Aufstellung. Das genügt aber, daran die verschiedenen Prüfungen vorzunehmen und daraus die Stimmen für A, für B und insgesamt zu berechnen. Unser Automat tut nun aber nach jeder Stimmabgabe noch etwas mehr: Er prüft nämlich die verschiedenen oben dargelegten Kontrollmechanismen nach jeder Eingabe und gibt augenblicklich eine Meldung aus, falls etwas nicht stimmen sollte. Daher werden wir vielleicht intern eine Kopie dieser Speicher anlegen, so dass diese doppelt vorkommen: Auf der einen Kopie dieser fünf Speicher arbeitet jeweils die Eingaberoutine, danach prüft die Kontrollroutine, ob die Prüfverfahren alle aufgehen. Wenn kein Fehler festgestellt wurde, dann wird der Inhalt dieser 1. Kopie der Speicher in die 2. Speicherkopie übertragen. (Wiederum können wir eine Routine einbauen, die nochmals nachprüft, ob beide Kopien der Speicher identisch sind bzw. die Prüfrechnungen auch an der 2. Kopie durchführt.) Danach erst wird die nächste Eingabe entgegen genommen und wieder in der 1. Kopie verarbeitet, geprüft, danach in die 2. Speicherkopie übertragen usw. Wie eingangs angedeutet, handelt es sich bei diesem Beispiel um ein sehr vereinfachtes Modell. In der Praxis werden mit Sicherheit wesentlich komplexere Prüfverfahren angewandt werden, die gegenüber unserem Modell weit grössere Sicherheit bieten. Man kann aber doch daran, wie ich meine, sehen, wie man eine solche Addition verschiedener Reihen technisch durchführen und dabei sicherstellen kann, dass keine Werte unzulässig verändert werden. Dabei wird bspw. dem Wahlgeheimnis ein grosser Stellenwert eingeräumt: So ist nach einigen Eingaben nicht mehr erkennbar, wer wann wie gestimmt hat. Bei ganz wenigen Wählern lässt sich auch ohne Manipulationen erraten, wer wie gestimmt hat. Denken wir an ein Gremium von 5 Leuten, von denen wir wissen, dass mit 3 Stimmen gegen 2 etwas beschlossen wurde: Wenn wir die 5 Leute einigermassen kennen, können wir schon vermuten, wer wohl wie gestimmt hat. In einer Gemeinde mit 20 Wahlberechtigten sieht es immer noch ähnlich aus. In einem Wahllokal, dem einige tausend Wähler zugeschrieben sind, lässt sich aber schon nach ein paar Dutzend Stimmabgaben aus der Kenntnis der Summen für A und für B nicht mehr zurückschliessen, wer wie gestimmt hat. Die Prüfsumme können wir übrigens auch ausgeben, etwa laufend auf einem Streifen wie bei Morestelegraphen ausdrucken. Diese Zahl enthält nämlich keinerlei Information über die Stimmen: Gleichgültig, wie jemand gestimmt hat, immer wird die Prüfsumme um 7 erhöht. Ausser der Anzahl abgegebener Stimmen und einem Rückschluss darauf, ob diese korrekt verbucht wurden, lässt sich aus dieser Zahl also nichts ableiten. Die einzelnen Stimmabgaben lassen sich im Wahlautomaten auch nicht mehr nachvollziehen. Arbeiten wir mit einer Kopie der Speicher, so lassen sich in dem Augenblick, in dem die neue Eingabe verarbeitet, aber noch nicht übertragen worden ist, maximal zwei Speicherzustände erschliessen. Kann man den Automaten auseinandernehmen und einer Hardware-Analyse unterziehen, so können auch noch bis zu ca. 10 vorherige Speicherzustände rekonstruieren. Mit 10 rekonstruierten Speicherzuständen lassen sich aber, durch Vergleich zwischen jeweils zwei einander folgenden Zuständen, aber maximal nur 9 Stimmabgaben rekonstruieren. Ein solcher Eingriff kann aber kaum unbemerkt geschehen, der Automat müsste etwa gestohlen oder aufgebrochen werden, was einem klassischen Urnendiebstahl entspräche, also kein spezifischer Angriff auf die elektronische Komponente ist. Im übrigen gibt es Analogien zu herkömmlichen Verfahren: So sei ans Prinzip der doppelten Buchführung erinnert (die m. W. im 14. Jh. erfunden wurde). Im antiken Athen gab es auch bereits ein Verfahren, bei dem zwei flache Scheiben, von denen die eine in der Mitte eine Bohrung aufwies, die mit den Fingern verdeckt werden konnte, in die Schlitze zweier Urnen geworfen wurden. Die gelochte und die geschlossene Scheibe hatten dabei unterschiedliche Bedeutung, ebenso die beiden Urnen, die eine stand für ungültig, die andere für gültig. Nach Ende der Abstimmung wurden die Urnen geöffnet, und die Zahl der Scheiben in beiden Urnen musste übereinstimmen, ebenso mussten sich die Summen der einen Sorte in der einen Urne komplementär zu denen in der anderen Urne verhalten; bei Abweichungen war die Abstimmung ungültig und musste wiederholt werden. Wir haben es hier also mit einer Art mathematischer Nachbildung solcher Vorgehensweisen zu tun, die den Vorteil haben, dass ihre Sicherheit mathematisch berechenbar ist. Hinzu kommen mathematische Verfahren zur Prüfsummenbildung, Verkettung und Fehlerkorrektur. (Es sei an dieser Stelle an die 9er- und 11er-Probe erinnert, soweit sich heute im Zeitalter der Taschenrechner daran noch jemand erinnern kann.) Ich meine, dass wohl spontan die meisten Leute zugeben dürften, dass sie von einer auf diese Weise wie oben beschrieben gebildeten Aufstellung überzeugt sein würden. Dabei habe ich nur Verfahren angewandt, die einfach sind und noch keineswegs eine absolute Korrektheitsgarantie geben. In der Praxis kämen hier, wie bereits gesagt, noch ausgefeiltere Verfahren, mit denen sich eine viel höhere Gewissheit des Ergebnisses garantieren lässt, zur Anwendung, nur eignen sich diese Verfahren weniger zur einfachen Darstellung und sind weniger leicht einsichtig als diese knappe und doch schon vergleichsweise lange geratene Skizze. | ||
| Thorsten Köster (Unregistrierter Gast) |
Sorry, aber ich bin immer noch nicht überzeugt: Das eben beschriebene Verfahren sichert meiner Meinung nach nur die "Integrität" der Daten (d.h. die Addition wurde richtig durchgeführt -> Speicherfehler, etc.), nicht aber die "Korrektheit" der Daten (d.h. die richtigen Daten wurden addiert -> mein Angriffsszenario). Ich sehe das Problem also sozusagen an der "Grenze" zwischen Eingabe und Ergebnisberechnung. Wenn das böswillige Betriebsprogramm dem im vorigen Posting beschriebenen "Additionsmodul" falsche Daten unterschiebt, ist dies meiner Meinung nach ohne Quittung und zugehöriger Kontrollliste nicht nachzuweisen. Quittung heißt in diesem Fall, dass der Wähler eine z.B. mit den weiter oben beschriebenen kryptographischen Verfahren erzeugte Nummer zugewiesen und ausgedruckt bekommt. Auf der Kontrollliste muss diese Nummer zusammen mit der Stimmabgabe aufgelistet sein. Nun muss jeder Wähler nach der Wahl überprüfen, ob seine Kontrollnummer mit seinem Stimmverhalten auf dieser Liste auftaucht, damit wir sicher sein können, dass mein Angriffsszenario nicht zutrifft. Eine andere Möglichkeit zur Überprüfung des Ergebnisses in dem Sinne "was hineingeht kommt auch wieder heraus" sehe ich nicht, da ja die Rückrechenbarkeit des Wahlverhaltens aus der Quittungszahl explizit ausgeschlossen wurde. | ||
| Philipp Wälchli |
Im Gegensatz zu den bisher sonst vorgebrachten Einwänden handelt es sich bei der Frage nach möglichen Manipulationen zwischen Eingabe und Anzeige einerseits und der tatsächlichen internen Verarbeitung anderseits um ein sehr ernsthaftes Bedenken. In der Tat haben wir an dieser Stelle ein Problem, vor allem wenn wir auch Systeme untersuchen wie Stimmabgabe über Telecom-Infrastruktur wie Internet, SMS u. dgl. Denn dort besteht ja, im Gegensatz zu einem Automaten, eine mehr oder weniger offene Verbindung, die jederzeit angegriffen werden kann. Insbesondere auch die Ausfallsicherheit solcher Systeme stellt ein Problem dar. Unser Automat ist dabei vergleichsweise sicher, denn er steht für sich allein, braucht genau nur einen Stromanschluss, andere Schnittstellen nach aussen soll es aus Sicherheitsgründen nicht geben, alle Eingaben erfolgen über Tastatur. Für einen Eingriff in den Automaten brauchen wir also örtlichen physischen Zugang (anders als etwa beim Internet). Unser Automat soll auch mechanisch gesichert sein, also etwa durch massive Metallplatten, die auch Strahlung abschirmen, und Sicherheitsschlösser, um den Automaten abzuschliessen. Auch Bildschirm und Tastatur müssen abgedeckt und verschlossen werden können. Auch das Anbringen von Plomben sollte möglich sein. Damit lassen sich zumindest unbefugte Angriffe einigermassen ausschliessen, genauso wie bei Urnen. Es bleibt das Problem der Hersteller und des Wartungspersonals. Dagegen gibt es wiederum verschiedene Sicherungsmöglichkeiten: Wir können zunächst einmal die Baupläne, Programmierung, verwendete Algorithmen usw. veröffentlichen und der allgemeinen Prüfung anheimstellen. Ferner können wir auch gewisse Prüfmechanismen einbauen, etwa Integritätscheck der verwendeten Programmierung, feste Verschaltung der wesentlichen Algorithmen statt Software-Programmierung u. dgl. Es gibt auch gewisse kryptographische Methoden, mit denen eine Abweichung zwischen Eingabe und interner Verwertung gesichert werden könnten. Man könnte ferner überlegen, dem Wähler nach dem Quittungsausdruck den Zwischenstand vor und nach seiner Stimmabgabe anzeigen zu lassen, so dass er selbst feststellen kann, ob seine Stimmabgabe korrekt verbucht wurde. Dies berührt aber bereits das Wahlgeheimnis. Ferner gibt es die Möglichkeit von Testläufen und Stichproben, die man auch nutzen sollte. So könnte (müsste) vor jedem Wahltag zunächst eine Test-Wahl durchgeführt werden: Die Techniker programmieren im Beisein des Wahlvorstandes, von Parteivertretern, aus den Wahlberechtigten ausgelosten Beobachtern und von Freiwilligen den Automaten, indem sie ihn mit den erforderlichen Angaben versehen, etwa: 7. 1. 2007, Wahllokal Warnigerode, Testwahl1, 5 Direktmandate, 6 Parteien, Direktkandidatur 1 = XY usw. (Andere Angaben sollte es nicht brauchen, die Maschine müsste ausreichend programmiert sein, dass sie nur diese Angaben vor jeder Wahl benötigt, sonst keine.) Diese Eingaben würden offen erfolgen. Danach schreiten die genannten Zeugen zu einer Testwahl, bei der jeder vor aller Augen seine Stimmabgabe vornimmt, die sogleich protokolliert wird. Nachdem alle ihre Teststimme abgegeben haben, wird das Protokoll darüber ausgewertet, unterschrieben und gesiegelt. Danach wird es mit dem Ergebnis des Automaten-Ausdrucks verglichen. Ist beides übereinstimmend korrekt, wird der Automat zurückgesetzt und wieder vor aller Augen mit den Angaben für die echte Wahl versehen. Anschliessend wir der Anfangsstand der Zähler für die Stimmen überprüft. Danach wird der Automat verschlossen, etwa die Tastatur abgedeckt, die für diese Eingaben verwendet wird, und verschlossen sowie plombiert. Alle Anwesenden bezeugen dies unterschriftlich, man kann auch noch Notare hinzuziehen. Während des Wahlvorganges könnte man von Zeit zu Zeit unterbrechen, um den Zwischenstand zu notieren und die Prüfsummenrechnungen nachzuvollziehen. Vergleicht man im Lauf des Tages bspw. zehn solcher Zwischenstände, dann würde es auffallen, wenn z. B. eine Liste plötzlich bei einem späteren Stand weniger Stimmen hätte als bei einem früheren. Nach Ende der Wahl und Schliessung des Wahllokales würde nun als erstes wieder der Ausdruck des Gesamtergebnisses gemacht und geprüft, danach der Automat zurückgesetzt und eine zweite Test-Wahl wie vor Beginn der Wahl durchgeführt. Damit ist die Möglichkeit von Manipulationen zwar nicht völlig ausgeschlossen, aber deutlich erschwert, der Automat müsste dann schon so eingerichtet sein, dass er perfekte Wahlergebnisse vortäuschen könnte, bei der echten Wahl aber manipulieren. Bei der Veröffentlichung der verwendeten Algorithmen und Programmierungen könnte dies aber auffallen, da solches Vortäuschen nicht so ohne weiteres möglich ist. Man könnte aber auch die Not zur Tugend machen. Nun höre ich allerdings bereits die Aufschreie betreffend Wahlgeheimnis. Wie alle genialen Ideen ist aber auch diese einfach: Könnte man sich entschliessen, dass der Automat die Eingaben im Klartext speichert und ausgibt, so würde die Sache sehr viel einfacher. Der Automat müsste dann einfach folgendes tun: Jede Eingabe speichert er im Klartext ab. Dazu bestimmt er eine Nummer oder einen alphanumerischen Code, der durch einen Zufallsalgorithmus erzeugt wird. Er schreibt nun die Stimmabgaben im Klartext in einen Speicher und daneben je eine solche Nummer oder einen Code. Wesentlich ist dabei, dass diese Nummern oder Codes nicht fortlaufend aufeinanderfolgen und auch nicht nach einer andern durchschaubaren Regel. Der Wähler erhält wiederum einen Quittungsbon, auf dem Datum, Wahllokal und diese zufällig erzeugte Nummer bzw. Code stehen, nichts weiter. Am Ende der Wahl gibt der Automat das Gesamtergebnis aus und druckt zudem eine Liste, auf der alle diese Nummern oder Codes in normaler numerischer oder alphabetischer Ordnung aufgeführt sind und dahinter jeweils die Stimmabgaben im Klartext. Jetzt müssen wir nur noch intern durch Prüfverfahren sicherstellen, dass die Integrität des Speichers gewährleistet ist und dass beim Umsortieren der gespeicherten Angaben keine Verwechslungen vorkommen. Die Prüfsummen müssten natürlich ebenfalls ausgegeben werden, um sie prüfen zu können. Jeder einzelne Wähler kann nun nach Ende der Wahl den veröffentlichten Ausdruck ansehen und damit folgendes tun: Er kann nachzählen, ob die Stimmen insgesamt richtig gezählt wurden. Er kann ggf. die veröffentlichten Prüfsummen nachrechnen, ob sie mit den anderen Angaben übereinstimmen. Und vor allem kann er anhand der Liste seine Nummer oder seinen Code aufsuchen und dahinter im Klartext seine Stimmabgabe überprüfen. Danach kann er seinen Quittungsbon vernichten. Das kann er übrigens auch sogleich tun, wenn er sich die Angabe merken kann oder wenn ihm nichts an einer Nachprüfung liegt bzw. wenn er das Wahlgeheimnis höher wertet. Ein solches Verfahren hat aber natürlich gegenüber dem von mir skizzierten komplexeren einige Nachteile: So ist die Gefahr, durch Erbeuten einer Quittung Stimmen nachzuprüfen, erheblich grösser. Das nach Wählern, wenn auch anonym, geordnete Verzeichnis aller Stimmen lässt auch Rückschlüsse zu, die sonst nicht gezogen werden könnten, weil immerhin die Kombinationen bekannt sind, wer welche Liste und welche Direktkandidatur gewählt hat. Die Quittungscodes enthalten allerdings, weil zufällig erzeugt, keine Information über den einzelnen Wähler. Selbst wenn man eine Quittung auf der Strasse findet, lässt sie sich deswegen noch nicht einem bestimmten Wähler zuordnen. Letztlich, dies muss allen Kritikern einmal ins Stammbuch geschrieben werden, steht aber in jedem Fall eine Entscheidung an, was man wie sehr absichern will. Auch bei einem traditionellen Urnenverfahren gibt es kaum zu sichernde Manipulationsmöglichkeiten. Bspw. kann der Wähler nach dem Einwerfen seines Wahlzettels nicht mehr überwachen, was damit geschieht; in dem eben skizzierten Modell kann er immerhin am Endergebnis prüfen, ob seine Stimmabgabe korrekt verbucht wurde. Plomben an Urnen lassen sich übrigens knacken, das Herstellen neuer Plombierungen, von Versiegelungen usw. ist nicht so sehr schwierig und zudem den Fälschern seit Jahrhunderten geläufig. Beim deutschen Wahlverfahren, bei dem nur zwei Kreuze auf Papier angebracht werden, gibt es zudem kaum graphologische Möglichkeiten, gleiche Hände zu erkennen, anders als bei einem Verfahren, bei dem z. B. der Name des gewählten Kandidaten von Hand hingeschrieben werden müsste, denn dort könnte schon auffallen, dass grössere Zahlen offensichtlich aus derselben Hand stammen. Somit wäre es also gar nicht so schwierig, eine Urne zu knacken, Wahlzettel zu entfernen und durch anders ausgefüllte zu ersetzen. Ja, auch die in Deutschland immer noch weit verbreiteten "Sicherheitsschlösser" auch an öffentlichen Gebäuden sind nicht so sicher, dass sie nicht binnen 10 Sekunden von geübter Hand aufzubekommen wären, sogar Laien mit minimaler Instruktion können es schaffen, diese ohne sichtbare Spuren aufzubekommen. Vom Ausspionieren einzelner Wählervoten habe ich bereits gesprochen: In einem herkömmlichen System muss man sich dazu nur Zugang zu den Wahlzetteln verschaffen; wenn man über Fingerabdrücke oder Genproben der gesuchten Person verfügt, dann kann man alle Zettel danach untersuchen, was zwar aufwendig und teuer ist, aber durchaus machbar. Ferner wäre es etwa auch möglich, Mikrokameras in die Wahlkabinen zu schmuggeln und damit gezielt Leute beim Ausfüllen der Wahlzettel zu beobachten, ein Angriff, der natürlich auch gegen unsere hypothetischen Automaten möglich wäre. Wie immer man es also dreht, bleibt ein Rest Unsicherheit in jedem denkbaren System. Somit steht letztlich immer die Frage an, was wir wie sehr wogegen absichern wollen. Am Ende ist es heute einfacher, statt gut gesicherte technische Systeme anzugreifen, einfach die Klartexte bei Absender oder Empfänger zu klauen. So betreiben die USA seit der Zwischenkriegszeit eine gut ausgebaute Funkaufklärung samt Entschlüsselungsdienst, woraus die heute bekannte NSA entstanden ist. Die Sowjetunion entschied sich in derselben Zeit zu einem anderen Vorgehen: Sie spezialisierte sich darauf, Leute auszuhorchen, zu korrumpieren oder ihnen die gewünschten Informationen einfach zu stehlen. Beide Vorgehensweisen zeitigten gleichermassen beachtliche Erfolge. Um einen bestimmten Wähler auszukundschaften oder zu beeinflussen, brauche ich noch nicht einmal in den Wahlvorgang einzugreifen. Es genügt mir ja schon zu wissen, dass XY eingeschriebenes Mitglied einer bestimmten Partei ist. In einem Dorf von überschaubarer Grösse kann ich auch ganz anders vorgehen: Ich kann vor einer Wahl verkünden, dass ich meine Fabrik verlegen werde, wenn im betreffenden Wahlkreis nicht der wirtschaftsfreundliche Kandidat von Partei A gewinnt. Gegen derartige Vorgehensweisen schützt das Wahlverfahren an sich nicht im geringsten. | ||
| Philipp Wälchli |
Damit sind wir im Grunde beim Ausgangsposting angelangt: Darin wurde ja die "direkte" Stimmabgabe zwingend gefordert. Ich hatte darauf geantwortet, dass jede Stimmabgabe über ein Medium erfolgt. Der Grund ist der, dass sich Menschen nicht telepathisch verständigen können, also in einer Weise, bei der der Gedanke des einen sogleich im Denken jedes anderen Menschen bewusst wird. Sogar dabei würde sich noch die Frage stellen, ob solches Überspringen der Gedanken auch immer einwandfrei funktioniere. Stimmabgabe durch Stimme ist problembehaftet, denn die Stimme kann durch Geräusche aus der Umgebung gestört werden, der Empfänger kann schlecht hören, der Sprechende kann eine schlecht verständliche Stimme haben, einen Sprachfehler, erkältet sein usw. Was dann der Schreiber im Wahllokal aufzeichnet, wenn er die Stimme gehört hat, ist wieder eine andere Sache. Auch Stimmabagaben auf Papier, Stein, Tonscherben, mittels Stimmsteinen, Lochkarten oder was immer unterliegen solchen Störeinflüssen oder Manipulationsmöglichkeiten. Es sei nur an die berüchtigten Lochkarten-Maschinen in den USA erinnert. Die Frage war damals: Wann ist ein Loch ein Loch? Ebenso stellt sich die Frage, wann auf einem deutschen Wahlzettel ein Kreuz ein Kreuz sei. Manipulationen wären bspw. dadurch möglich, bei Stimmen für missliebige Listen oder Wahlkreiskandidaturen immer sehr genau hinzuschauen und ein Kreuz oft nicht als eines anzuerkennen, so dass dann eine leere Stimme vorläge. Wäre es etwa auch zulässig, statt ein Kreuz durch den vorgesehenen Kreis zu ziehen, den betreffenden Kreis auszumalen wie bei Windows-Optionsfeldern? Wie müssen die Kreuzbalen schauen? Müssen sie 90-Grad-Winkel zueinander aufweisen, dürfen sie auch schräg stehen? Normalerweise dürfte der "gesunde Menschenverstand" da ja schon Richtschnur sein, aber wenn man böswillig will, kann man auch da so einiges zum Streitpunkt machen. Nur nebenbei sei daran erinnert, dass es zahllose Testamentsstreitigkeiten gibt, bei denen etwa um eine aus Sicht der Anfechtenden ungewöhnliche und daher auch gleich "gefälschte" Unterschrift gestritten oder ein angeblich "unmögliches" Datum ins Feld geführt wird. Kurz: Solange wir auf ein Medium angewiesen sind, wird es dabei Probleme wie Uneindeutigkeiten, Störungen oder eben auch Manipulationsversuche geben. Ein Medium aber, soviel steht fest, benötigen wir in jedem Fall. Elektronische Medien stehen dabei nur insofern schlechter da, als wir zumindest vermeinen, bei den herkömmlichen Medien alles zu kennen und alles im Griff zu haben. | ||
| Florian (Unregistrierter Gast) |
kleine Anmerkung zu den von P. Wälchli vorgeschlagenen Quittungen mit Code (der dem Quittungsinhaber erlaubt, nachzuprüfen ob die Stimmabgabe richtig gewertet wurde): Das berührt in der Tat das Wahlgeheimnis. Wobei das zufällige Finden einer Quittung auf der Straße nicht das Problem ist. Sondern die Möglichkeit zum Stimmenkauf oder -Erpressung. Denn mit diesem System wird es dem Stimmen-"Verkäufer" möglich, dem "Käufer" den Nachweis zu erbringen, dass er wie angekündigt abgestimmt hat. Oder der gewalttätige Patriarch kann von seiner Frau oder seiner Tochter die Herausgabe der Quittung fordern, um die "richtige" Stimmabgabe überprüfen zu können. Wenn die Frau dann sagt, sie habe die Quittung vernichtet, macht sie sich schon verdächtig. Genau diese Szenarien sind es, die zur Einführung einer verbindlich geheimen Wahl geführt haben. Der Wahlberechtigte ist gezwungen, das Wahlgeheimnis zu wahren und selbst wenn er wollte könnte er es nicht brechen. (Natürlich kann die Ehefrau nach der Wahl ihrem gewalttätigen Mann erzählen, wie sie gestimmt hat. Der Mann hat aber keine Chance, den Wahrheitsgehalt dieser Erzählung zu überprüfen. Und genau dieser Aspekt ist der entscheidende um zu gewährleisten, dass der Ehemann kein bestimmtes Wahlverhalten erzwingen kann). Dieser Zwang zum Wahlgeheimnis ist ein hohes Gut. Auch in der DDR gab es schließlich Wahlkabinen, die man auch benutzen durfte - nur machte man sich halt verdächtig, wenn man es tat. Jeder mit der "richtigen" Gesinnung hätte ja schließlich keinen Grund gehabt, diese zu verstecken. | ||
| Philipp Wälchli |
Tja, da haben wir nun in der Tat ein Problem: Auf der einen Seite verlangen hier Leute, dass bei einem elektronischen System dem Wählenden BEWIESEN werden müsse, dass seine Stimme korrekt verbucht wurde. Auf der anderen Seite verlangen andere Leute und teilweise sogar dieselben, dass es keinerlei Möglichkeit geben müsse, eine Stimme zu identifizieren. Leute, ihr müsst euch ein Mal entscheiden, was ihr wollt. So simpel ist es. Wir können bei einem herkömmlichen Wahlverfahren einem Wählenden nicht beweisen, dass seine Stimme korrekt verbucht wurde. Man könnte also auch argumentieren, dass dies eine Forderung sei, die nur an elektronische, nicht aber an herkömmliche Verfahren gestellt werde und daher unfair sei. Man kann aber auch darüber debattieren, wie srikte das Wahlgeheimnis zu handhaben sei; ich glaube zum Beispiel, dass ausserhalb Deuschlands in so manchem Land, das eine alte Demokratie hat, so mancher Punkt weniger eng gesehen wird. In der Schweiz werden z. B. die Wahlunterlagen nach Hause geschickt, die Zettel werden bereits ausgefüllt zur Urne gebracht oder, vielerorts schon mehrheitlich, brieflich zurückgesandt. Die durchschnittliche Schweizer Auffassung dazu ist die, dass jede und jeder wohl selbst am besten wisse, unter welchen Umständen sie bzw. er sich am freisten entscheiden könne. Im übrigen wäre es z. B. immer noch möglich, dass der gewalttätige Ehemann von seiner Frau verlangt, dass sie ihren ausgefüllten Wahlzettel in der Wahlkabine erst mal mit der Kamera des Mobiltelephones zu Beweiszwecken aufnimmt und ihm das Bild bringt. Das mag zwar verboten sein, aber wie will man das konkret in jedem einzelnen Fall durchsetzen? | ||
| Martin Fehndrich |
Beim herkömmlichen Wahlverfahren sind wir wieder beim Medium. Papier ist fass- und beobachtbar, elektronische Medien nicht. Eine Wahlurne ist ein sehr passives Gerät, das Stimmen so auswirft, wie sie reingeworfen wurden. Ein Computer ändert aktiv den Speicherzustand einer Stimme (von Speicher A nach Speicher B auf Festplatte etc.) - da bedarf es schon eines Nachweises, daß die Stimmen die eingetippt wurden auch die sind, die ausgegeben werden. Der Nachweis erfolgt durch mehrere Maßnahmen - die laufenden Wahlprüfungen stellen diese aber als nicht ausreichend in Frage . Briefwahl (und in diese Kategorie pack ich jetzt mal die vorausgefüllten Wahlzettel) ist in Deutschland de iure immer eine Ausnahme, die zu begründen ist. Hier liegt dann auch eine Abwägung gegen Allgemeine Wahl vor, was die Reduzierung der Geheimen und Öffentlichen Wahl in den Ausnahmefällen rechtfertigen soll. Photographierte Stimmzettel sind allerdings ein Problem, auch wenn ich davon ausgehe, daß das nicht im großen Stil unbemerkt möglich ist (Ein Einzelfall wird in derselben Bundestagsdrucksache wie die Wahlcomputer behandelt). Das von Philipp skizzierte Verfahren umschifft da die Wahlcomputer-Blackbox, durch die einzeln ausgewiesenen verschlüsselten Stimmen. Der zu zahlende Preis ist die Quittung, mit der der Wähler die korrekte Stimmabgabe nach (und mir vor-) rechnen kann. | ||
| Philipp Wälchli |
Bisher haben wir eine Methode noch gar nicht in Betracht gezogen: TTP. Wir könnten weiterhin eine oder mehrere TTP, Trusted third party, miteinbeziehen. Dann läuft dies etwa so ab: Die Wahlbehörde gibt einige Zeit vor der Wahl den Auftrag an eine dritte Seite, die notwendigen Kennungen und Codes zu erzeugen. Dies könnte bspw. die entsprechende Abteilung einer Hochschule sein, eine spezialisierte Privatfirma o. dgl., und natürlich dürften die Aufträge nicht immer an dieselbe Stelle gehen, sondern es müsste abgewechselt werden. Zudem, wie bereits früher gesagt, würde je Wahlkreis oder Wahllokal getrennt gearbeitet, so dass es keine nationalen Verflechtungen gibt. Die beauftragte Stelle erzeugt nun einen Vorrat an Eingabecodes und zugehörigen Entschlüsselungscodes, die jeweils in verschlossenen, versiegelten Umschlägen stecken. Am besten werden verschlossene Umschläge mit innenliegendem Durchschlagspapier verwendet, auf die von aussen mit leeren Typen gedrückt wird, so dass die Angehörigen der betreffenden Stelle selbst die Codes nicht kennen können. Unter Aufsicht werden die beiden Teile nun abgeholt und durch getrennte Mannschaften je zu einer verschiedenen Stelle gebracht: Die Verschlüsselungscodes gehen ans Wahllokal bzw. das dort zuständige Personal, die zugehörigen Entschlüsselungscodes gehen an eine andere TTP, was eine Amtsstelle, ein Gericht, eine Person öffentlichen Glaubens usw. sein kann. Im Wahllokal zieht ein Wähler einen Umschlag blind aus einem Topf, bevor er in die Wahlkabine geht. Erst dort darf er den Umschlag öffnen, seine Nummer und seinen Code lesen und diese eingeben. Der Automat nimmt sodann die Stimme entgegen und druckt eine Quittung aus, die nur die Nummer des Wählers enthält, das Datum und den Ort der Wahl. Um sicherzugehen, könnten wir den Automaten so bauen, dass er beide Angaben mittels Sacannerleiste unmittelbar vom Blatt liest, dahinter sich aber ein Shredder befindet, der diese Angaben sogleich nach der Eingabe vernichtet. Andernfalls muss der Wähler seinen Zettel mit Nummer und Code zwingend vor den Augen des Kontrollpersonals in den Shredder oder ins Feuer werfen. Der Automat verschlüsselt nun wie gewohnt; dabei gehen wir noch einen kleinen Schritt weiter: Wir weisen aus einer Reihe von Zahlen jeder Stimmenoption eine Auswahl von mehreren Werten zu. Stellen wir bspw. eine Binärzahl mit 48 Stellen für die Stimmen zur Verfügung, so setzen wir nun nicht ein einzelnes Bitmuster für eine bestimmte Stimmabgabe fest, sondern z. B. 20 solcher Muster. Der Automat benutzt nun eine Zufallszahl, um zu bestimmen, welche der für die betreffende Stimme zur Verfügung stehenden Zahlen er bei der Verschlüsselung verwendet. Somit müsste ein Angriff auf die Verschlüsselung durch Exhaustion aller Möglichkeiten für jede mögliche Stimmabgabe gleich mehrere Kombinationen durchrechnen. Zusammen mit der Wählernummer wird nun die Stimmabgabe mittels des Verschlüsselungscodes verschlüsselt und in dieser verschlüsselten Form gespeichert und am Ende in einer Liste ausgedruckt. Der Wähler muss ja nun den Code vernichten. Dazu wären verschiedene Möglichkeiten denkbar, etwa das Shreddern, oder man könnte Code und Wählernummer auch bspw. als ein Hologramm drucken, das nur durch einen Scanner am Automaten lesbar ist, nicht aber von blossem Auge, oder die Wählernummer im Klartext drucken, den Code auf einer Magnetkarte speichern, die vom Automaten eingezogen und neu formatiert wird usw. usf. Sichergestellt muss nur sein, dass der Verschlüsselungscode nach dem Wahlvorgang wirklich vernichtet wird. Der Wähler hat nun aber seine Nummer als Quittung, und damit kann er nun zum zuständigen Gericht, Wahlausschuss oder anderen Behörde gehen, um zu beantragen, Einsicht in seine Stimmabgabe zu nehmen. Die Behörde prüft das Begehren, und dieses darf nur binnen einer Frist zulässig sein, also etwa zwischen 3 und 33 Tagen nach der Wahl. Der Wähler erhält nun eine Erlaubnis, zu der TTP zu gehen, die die Codes zur Entschlüsselung aufbewahrt. Dort muss der Wähler allein und persönlich vorsprechen, sonst erhält er keine Auskunft. Die TTP nimmt nun die öffentlich zugängliche Liste der Ergebnisausdrucke, sucht dort die Nummer des Wählers, zieht den entsprechenden Entschlüsselungscode aus dem verschlossenen Umschlag und nimmt die Entschlüsselung in Gegenwart des Wählers aus den verschlüsselten Angaben vor. Stellt der Wähler nun eine Unstimmigkeit fest, kann er bei der zuständigen Autorität wie vorstehend die Herausgabe der Unterlagen zu seiner Stimme an das Wahlprüfungsgericht verlangen und dazu einen Wahleinspruch einlegen. Nach Hause nehmen oder anderswie aufzeichnen hingegen darf er dies alles nicht. Das ist zwar etwas kompliziert, aber effektiv. Man könnte auch noch weitergehen, etwa je nur einen Teil der Entschlüsselungscodes bei einer TTP, beim zuständigen Wahlprüfungsgericht und vielleicht noch beim Wahlausschuss lagern, so dass der Code dann aus den Teilen bei allen drei Stellen erst zusammengesetzt werden müsste. Wie man sieht, gibt es noch viele unausgeschöpfte weitere Sicherungen, mit denen elektronische Verfahren nahezu in den Bereich von 100% Sicherheit gebracht werden können, womit sie die analogen Verfahren am Ende übertreffen. | ||
| Philipp Wälchli |
An dieser Stelle erlaube ich mir einmal ein wenig des Philosophierens: Transparenz. Von verschiedener Seite ist ja immer wieder Transparenz des Wahlvorganges bzw. der Auszählung usw. gefordert worden. Nur fragt sich doch, wie schon Sokrates bei Platon es tat, was denn nun Transparenz sei. Im Grunde geht es doch bei diesen Forderungen darum, dass jene, die sie stellen, kein Vertrauen in den Vorgang haben; gerade weil sie nicht vertrauen, dass alles richtig zugehe, möchten sie "Transparenz". Nun gibt es weite Bereiche unseres Alltagslebens, in denen wir ohne weiteres auf Vorgänge vertrauen, die wir im Grunde nicht durchschauen und die wir auch nicht beobachten können. Ich wähle nur einige wenige Beispiele aus einem Bereich, in dem es abenfalls um Sicherheitsfragen geht: Tagtäglich schliessen Millionen Deutsche ihre Haus-, Wohnungs-, Zimmer- und ich weiss nicht was alles noch für -Türen ab. Diese Türen sind so konstruiert, dass die Schlösser in den Türblättern oder doch in den Rahmenkonstruktionen verborgen liesen; die Riegel und Fallen sollten idealerweise unmittelbar in ihre Gegenstücke, die Schliessbleche, eingreifen und von beiden Seiten durch überlappende Türkonstruktion mechanisch geschützt und somit nicht sichtbar sein; sind sie es doch, so besteht ein Sicherheitsmangel, denn es ist bspw. möglich, einen Riegel durch den schmalen, aber doch ausreichend breiten Türspalt mittels eines Sägeblattes durchzusägen. Im Grunde kann keiner der erwähnten Millionen Deutschen sicher sein, dass das Schloss richtig geschlossen hat; er kann dies bei einer korrekt konstruierten Türe auch nicht beobachten. Somit herrscht also keinerlei Transparenz. An dieser Stelle höre ich einen möglichen Einwand: Die genannten Millionen vertrauensseliger Deutscher können ja ganz einfach den Drücker (vulgo auch: Klinke) drücken und schauen, ob die Türe sich nicht öffnet; wenn nicht, dann ist dies ein Beweis, dass die Türe durchs Schloss richtig geschlossen ist. Das stimmt, aber das ist eben keine Transparenz, denn den fraglichen Sachverhalt können die genannten Deutschen nicht beobachten, sondern nur aus seinen Folgeerscheinungen erschliessen. Und streng genommen ist dies noch nicht einmal ein Beweis, denn es sind einige Möglichkeiten denkbar, bei denen die genannte Prüfung zwar ergibt, dass die Türe nicht geöffnet werden kann, eine korrekte Schliessung aber gleichwohl nicht erfolgt ist und daher Angriffe auf die Tür, die bei korrekter Schliessung scheitern müssten, daher leicht erfolgreich sein werden, so jemand sie versucht. Doch auch wenn wir eine eigentliche Fehlfunktion auslassen, fragt sich doch, ob eigentlich die meisten Deutschen wissen, wie ein Schloss funktioniert. Von mir weiss ich, dass ich es weiss, aber ist eigentlich den meisten Deutschen klar, was geschieht, wenn sie einen Schlüssel in ein handelsübliches Schloss stecken? Ich vermute einmal, dass es den meisten Deutschen nicht klar ist. Denn wäre es ihnen klar, würden sie eiligst neue Schlösser einbauen lassen. Ohne hier auf weitere Einzelheiten einzugehen, sei doch soviel angemerkt, dass in den meisten deutschen Bauten Schlösser eingebaut sind, die Schliesszylinder nach dem Konstruktionsprinzip von Linus Yale enthalten. Diese Konstruktionsart ist nicht mehr ganz jung, sie wurde, aus dem Gedächtnis und daher unter Vorbehalt zitiert, 1861 patentiert. Ein Grossteil der heute in Deutschland verwendeten Schliesszylinder nach diesem Prinzip gehen auf ein Modell zurück, das 1958 normiert wurde. Auch dies ist also nicht ganz die modernste Möglichkeit. Und zwar bestehen diese Zylinder aus einem Kanal, in den von oben sogenannte Zuahaltungen durch kleine Bohrungen mittels Federdruck eingeschoben werden. Diese sind verschieden lang und werden durch die Zacken des Schlüssel soweit angehoben, dass die Grenze von Zacken und Zuhaltungen genau auf der Grenze des inneren drehbaren Zylinderteils zu liegen kommen sollten (durch Abnutzung, Verschmutzung u. dgl. kann das allerdings schon mal auch schief liegen). Diese Zuhaltungen liegen auf festen Positionen und in einer Reihe hintereinander. Man braucht nun nicht einmal Expertenwissen, um mit Hilfe eines Hebeinstrumentes wie einem speziell gezackten Schlüssel diese Zuhaltungen anzuheben und dann mittels Klopfen oder Schlägen so anzutreiben, dass sie die Trennstellung spontan einnehmen. Ein durchschnittlich versierter Einbrecher benötigt gerade einmal 7 bis 10 Sekunden, einen Schliesszylinder dieser Bauart ohne erkennbare Spuren zu öffnen, so dass er danach wieder ohne Spuren geschlossen werden kann. Daneben gibt es noch eine ganze Menge weiterer Angriffspunkte, die bei diesen und auch bei weiterentwickelten Systemen leicht zum Erfolg führen. So sind wohl zwei Drittel oder mehr aller Schliesszylinder falsch eingebaut: Sie stehen zu weit nach aussen vor, sind mit unzureichenden Schrauben seitlich in der Türe verankert, von billigen Deckblechen geschützt usw. Zudem sind die meisten Schliesszylinder zu wenig stark konstruiert, in Versuchen haben Kinder unter 10 Jahren es spielend geschafft, solche Zylinder abzuwürgen oder auszubrechen, geschweige denn aufzubohren. Mindestens die äusseren Flächen müssten durch solide Metallschichten geschützt sein, was bei den allermeisten Zylindern nicht der Fall ist. Viele Türen sind schliesslich auch gar nicht mit Riegeln, sondern nur mit Fallen gesichert. Betrachten wir aber auch noch ein wenig die verbreiteten Tresore: Tresore sind meistens nicht durch Sicherheitsschlösser nach dem Yale-Prinzip gesichert, sondern entweder durch Doppelbartschlösser oder aber durch mechanische Zahlenkombinationsschlösser. Beide Konstruktionen sind noch älter als die Yale-Schlösser. Wie sie im einzelnen funktionieren, wissen wohl ebenfalls nur wenige Deutsche. Gleichwohl ist es erstaunlich, dass die meisten von ihnen, die ihre Wertsachen "sicher" aufbewahren wollen, diese solchen Schlosstypen anvertrauen, denn auch in den Türen von Bankschliessfächern kommen immer noch weit verbreitet Doppelbartschlüssel zum Einsatz. Auch wenn man davon ausgeht, dass alle Tresore und Schliessfächer die Anforderungen an die Wand- und Türstärken, Aufbohrschutz, Verankerung usw. erfüllen, bleiben doch die beiden verbreiteten Schlosstypen ein Risiko. Bei Kombinationsschlössern gibt es beispielsweise zwei bewährte Angriffe: Röntgen des Schlosses und Abhören der Geräusche durch ein Stethoskop, was meist zum Erfolg führt, weil die Einrastpositionen anders klingen als die blinden Stellen. Doppelbartschlösser können mit geeigneten feinmechanischen Werkzeugen ebenfalls angegriffen werden, ohne dass Spuren bleiben. Nur erwähnt sei schliesslich, dass es auch weitere Angriffsmöglichkeiten gibt wie das stehlen der Schlüssel, Erpressen der Codes usw. Schauen wir nun einmal die Situation bei Fahrzeugschlössern an: Vor noch ca. 20 Jahren war es eigentlich bei allen neuen Wagen so, dass sie Schlösser hatten, zu denen herkömmliche Schlüssel passten, die von jedem Schlosser zugefeilt werden konnten. Die Form dieser Schlüssel konnte sogar mit stabilem Draht nachgeformt werden, was als "Recklinghauser Schlinge" unrühmlich bekannt wurde (Rechlinghausen liegt m. W. übrigens in Deutschland). Wie sieht es heute aus? Die traditionellen Schlösser finden sich nur noch selten, die meisten Hersteller sind längst zu anderen, je eigenen, von den Konstruktionen der andern Firmen verschiedenen Schlössern übergegangen, die meisten haben auch Code-Chips, elektronische Wegfahrsperren u. dgl. eingebaut. Wie man sieht, lässt sich also mit etwas gutem Willen die Lage wesentlich verbessern, ohne dass dadurch alles unbezahlbar teuer und kompliziert wird. Tja, und wie steht es nun mit der Transparenz? Es mag sein, dass die meisten Deutschen nicht wissen, wie ihre Wagenschlösser funktionieren. Sie vertrauen ihnen einfach. Das haben sie aber schon vor zwanzig Jahren gemacht, obwohl es damals durchaus keinerlei Grund gab, den betreffenden Schlössern zu trauen. Sie trauen ja auch ihren Haustürschlössern, obwohl sie sie nicht verstehen und obwohl es, vor allem, wenig echten Grund gibt, ihnen zu trauen. Es ist allerhöchstens der Anschein, man könnte auch sagen: die Einbildung oder Aberglaube, die alltäglichen Schlösser zu kennen, weil man sie jeden Tag benutzt, der einen dazu verführt, ihnen Vertrauen entgegen zu bringen. Dabei liesse sich mit wenig Aufwand viel ändern. Es gibt heute für so ziemlich jede Anforderung und jedes Budget passende Lösungen. Dies müssen noch nicht einmal teure Elektronikschlösser mit einer Kombination aus Fingerprint, Code, Fernbedienung und Badge-Karte sein, sondern könnten auch vergleichsweise einfache und traditionelle mechanische Schlösser sein. Ein Zylinder nach dem Kaba- oder Keso-Prinzip ist beispielsweise astronomisch viel sicherer als die deutschen 1958er-Einheitsschlösser. Dabei bieten elektronische Lösungen allerdings auch Vorteile, die mechanische Schlösser kaum bieten können. So gibt es etwa Schlösser, die zeitgesteuert bspw. nur unter der Woche von den Angestellten-Schlüsseln geöffnet werden können, einzelnen Schlüsseln können individuelle Türen zugewiesen werden, die wieder gelöscht werden können, bei Schlüsselverlust kann ein solcher Schlüssel nicht nur gesperrt werden, sondern beim blossen Einstecken in ein Schloss kann ein stiller Alarm ausgelöst oder der Schlüssel in der Tür blockiert werden usw. Mir will nun scheinen, dass das für Schlösser gesagte grundsätzlich identisch auch auf Wahlverfahren zutrifft: Das Fälschen und Manipulieren traditioneller Formen ist sehr viel weiter entwickelt als bei den elektronischen Pendants. Im Grunde gibt es auch keinen Beweis dafür, dass beim Einwerfen eines Zettels in die Urne nichts weiter geschieht: Es könnte dahinter ebensogut ein Shredder stecken, der die Zettel gleich vernichtet. Auch eine Houdini-Urne wäre leicht zu bewerkstelligen: Sie wird den Laien zuerst leer vorgezeigt und dann rituell versiegelt, verschlossen, plombiert usw., dabei gibt es einen versteckten Mechanismus, mit dem man ohne weiteres den Boden der Urne öffnen kann. Eine ganze Zunft lebt von derartigen Kniffen, nämlich die Zauberkünstler, die nur müde lächeln, wenn man ihnen vorschlägt, sie sollten Wahlzettel in einer zuvor untersuchten und danach verschlossenen und gesiegelten Urne austauschen: Sie machen dergleichen ja mit mit ausgewachsenen Menschen in einer Kiste oder auch schon mit einem Löwen, Tiger oder gar, wie Houdini, mit einem Elefanten. Vielleicht sollte man sich daher, statt "Transparenz" zu verlangen, besser an den Test am Drücker erinnern: Dieser macht zwar nicht transparent, was in der Tür geschieht, deutet aber darauf hin, dass die angestrebte Folge wirklich eingetreten ist. Bei elektronisch realisierten mathematischen Verfahren lässt sich derselbe Effekt erzielen, wobei seine Verlässlichkeit und Aussagekraft zugleich auch mathematisch beweiskräftig quantifizierbar ist. Dies einmal als Anstoss zum grundsätzlichen Nachdenken. | ||
| (Unregistrierter Gast) |
Ich wünsche allen einen schönen Tag. Mit großem Interesse habe ich hier in diesem Forum die Beiträge gelesen, mit einigen Meinungen kann ich mich anfreunden, mit anderen wieder nicht. Was mich jedoch nicht abhält, auch meine Meinung hier zur Diskussion zu stellen. Vorweg möchte ich zum Ausdruck bringen, dass ich mit meiner Meinung niemandem zu nahe treten möchte. Ich halte mich für einen Demokraten, nicht dass was uns als Demokratie vorgelebt wird, ich bin für die Gewaltlosigkeit und die Freiheit aller Menschen, ich lehne alles ab was Einschränkungen im Denken einer Gesellschaft unterstützen. Mit erschrecken sehe den Wandel den unser Land im Augenblick gerade durchmacht, kriminelle und egoistische Prinzipien gewinnen immer größere Lobby`s. Ein Herr Dr. Harz entwirft ein Konzept, dies wird übernommen und in geänderter Form umgesetzt. Schon nach kurzer Zeit wird öffentlich was für moralische Grundsätze dieser Mensch hat. Immer mehr gewinne ich den Eindruck wie schmutzig das Geschäft Politik überhaupt ist. Ich stelle mir immer öfter die Frage, ist es wirklich eine Demokratie in der wir leben? Dem „kleinen Mann“ wird immer mehr zugemutet, die großen „Fische“ im Becken verschieben Millionen, Siemens verkauft seine Mitarbeiter, Betriebe schließen oder werden geschluckt. Wo ist das Land wo einst die Unternehmer stolz darauf waren wie viele Angestellte sie haben? Wo sind die Politiker die ihr Amt bekleiden weil es eine Aufgabe ist und nicht nur ein Job? Was mich noch viel betroffener macht, wo sind die Menschen die ihre Meinung sagen, wo sind die, die dieses Land ausmachen? Zu denen die, die Meinung haben, wenn es einem nicht gefällt „dann geh doch in ein anderes Land“ es gab in unserer Vergangenheit eine Zeit da wurde dies gemacht. Die Menschen schwiegen und wollten nicht sehen was geschieht, das haben wir bitter bezahlt. Ich vertrete die Meinung dass etwas passieren muss, wir können nicht warten bis Gesetze geändert sind die ein Handeln unmöglich machen, schon jetzt im Zeitalter des Computers ist es nicht mehr möglich seine abgegebene Stimme ungültig zu machen. FRAGE: oder kann mir hier jemand erklären wie ich es schaffe dem Computer zu sagen alle Parteien anzukreuzen? Ich rede vom bewussten ungültig machen meiner Stimme bei einer Wahl. Mir ist bewusst dass ich mit diesem Beitrag nichts ändern werde und kann, doch ich trage die Hoffnung in mir, dass es noch andere gibt die sich darüber Gedanken machen. Mein ganzes Leben, lebe ich in diesem Land, ich arbeite und bezahle meine Steuern, ich bin mir bewusst dass es Reformen geben muss, doch werde ich nicht schweigen oder gar auswandern damit diese Menschen weiter ein Land ausbeuten nur um sich selber nur zu bereichern. Wir alle stehen in der Verantwortung, jeder Einzelne von uns sollte sich klar darüber werden dass er alt wird, die Damen und Herren in Berlin sorgen dafür das es ihnen im Alter gut geht, für sie spielt es keine Rolle was aus der Bevölkerung wird dessen Vertreter sie mal waren. Sie halten sich schadlos an denen die sie gewählt haben, Parasiten der modernen Zeit. Ich danke für die Aufmerksamkeit, freuen würde ich mich, wenn mir jemand sagen könnte wie ich meine Stimme ungültig bekomme. Danke sagt Franz | ||
| Philipp Wälchli |
Warum in aller Welt sollten wir eine Wahlmaschine oder einen Wahlautomaten (/-Computer) so einrichten, dass bewusstes Ungültigwählen möglich sein soll? Ungültigkeit einer Stimme ist in allen klassischen Wahlverfahren schlicht und einfach - ein Fehler. Ungültigkeit kommt grundsätzlich durch zwei Mechanismen zustande: Einerseits durch Unklarheit oder Uneindeutigkeit der Stimmabgabe, anderseits durch bewusste Manipulationen, die in sichtbaren Verstössen gegen die Sicherheitsregeln des Verfahrens enden und daher zum Ausschluss der betreffenden Stimmen führen. Weshalb also sollte es einen nachvollziehbaren vernünftigen Grund geben, Wahlautomaten (um diesen Begriff einmal als Oberbegriff zu verwenden) so zu konstruieren, dass sie Manipulationen zulassen? Es gibt keinen ersichtlichen Grund dafür, vielmehr haben solche Automaten ja nur dann eine Berechtigung, wenn sie nicht bloss die Auszählung beschleunigen, sondern wenn sie auch eine höhere Sicherheit gegen Manipulationen bieten. Warum sollte es ferner einen nachvollziehbaren vernünftigen Grund geben, Wahlautomaten so zu konstruieren, dass sie das bewusste Herbeiführen von Unklarheiten oder Uneindeutigkeiten zulassen? es gibt keinen ersichtlichen Grund dafür, vielmehr sollen solche Automaten ja eben auch gegen derartige Fehler höhere Sicherheit bieten als traditionelle Stimmabgabe-Verfahren. Soweit die technische Antwort; eine andere Thematik ist die, was mit einem derartigen Ungültigwählen politisch erreicht werden soll. In den heutigen Wahlverfahren wirken sich ungültige Stimmen ja nicht anders aus als leere oder nicht abgegebene, nämlich gar nicht. Dies bedeutet, dass sie auch politisch nichts bewirken. Die Zusammensetzung der gewählten Organe ändert sich dadurch nicht, auch deren Diäten nicht. Für alles Übrige verweise ich auf die bereits laufenden Diskussionen zu den Themen Enthaltungen, Auswirkung von Enthaltungen usw. | ||
| Werner (Unregistrierter Gast) |
Man kann eine ungültige Stimme abgeben (mit dem Ungültigknopf). Vermieden werden unbeabsichtigt ungültige Stimmen. | ||
| Gelegenheitsleser (Unregistrierter Gast) |
@Franz [...] schon jetzt im Zeitalter des Computers ist es nicht mehr möglich seine abgegebene Stimme ungültig zu machen. und @Philipp Warum in aller Welt sollten wir eine Wahlmaschine oder einen Wahlautomaten (/-Computer) so einrichten, dass bewusstes Ungültigwählen möglich sein soll? Wie hier bereits geschrieben, wird das Ungültigwählen bei den momentan verwendeten Wahlgeräten ermöglicht. Denn es gibt durchaus Argumente, die aus den Grundsätzen der freien und geheimen Wahl solch eine Möglichkeit des Wählers fordern. So muss der Wähler die Möglichkeit haben, keinen der Kandidaten oder Listen wählen zu müssen (die von Philipp gut beschriebene fehlende Sinnhaftigkeit bei Wahlen mit ausreichend Kandidaten, etwa bei Bundestagswahlen, lassen wir mal außen vor) und daher den Stimmzettel als ungültig kennzeichnen zu können. Denn durch die alternative Nichtabgabe des Stimmzettels oder anderen offenen Aktionen (Stimmzettel zerreissen) würde sonst erkennbar sein, dass bzw. was der Wähler nicht gewählt hat. | ||
| Philipp Wälchli |
Sachlich geht es aber dabei um etwas anderes: Das ist Enthaltung und muss bei entsprechender Ausgestaltung des Wahlverfahrens natürlich möglich sein. Im deutschen Wahlrecht muss es natürlich etwa möglich bleiben, nur einem Direktkandidaten zu stimmen (der vielleicht Oberjuhe XY aus Wahlkreis NN ist und nicht für eine Partei und deren Liste antritt), ohne zugleich auch eine Liste wählen zu müssen. Wird der Kandidaten gewählt, ohne einer Liste zugerechnet werden zu können, fallen die Zweitstimmen seiner Wähler ja ohnehin nach Gesetzesvorschrift weg, so dass es also gleichgültig ist, wie ein betroffener Wähler bei der Zweitstimme vorgegangen ist. Zugleich bleibt durch solche Direktkandidaten ja auch sein Einfluss auf das Gesamtgremium erhalten. Technisch kann man dies alternativ so ermöglichen, dass die Stimmen getrennt abgegeben werden, bspw. an zwei verschiedenen Automaten, so dass der Wähler gar nicht an beiden gewesen sein muss, oder aber eben mittels ausdrücklicher Enthaltungsoption. Wie sinnvoll es ist, zur Wahl zu gehen, nur um vollständige Enthaltung zu signalisieren, bleibe allerdings dahingestellt. Gewiss für alle Seiten die bequemere Lösung wäre, gar nicht zur Wahl zu gehen. Die oben geforderte Möglichkeit, "seine Stimme ungültig zu machen", ist allerdings etwas anderes. Gefordert wurde ja eben gerade, gleichzeitig allen Kandidaturen die Stimme zu geben, so dass sie dadurch ungültig wird. Dies ist eine von Gesetzes wegen unzulässige Option: Kein Wähler muss einer Person oder Liste eine Stimme geben, d. h. sie kann auch keine Stimme abgeben. Gibt ein Wähler aber eine Stimme ab, so muss er sich zwingend unter den Auswahlmöglichkeiten für eine einzelne entscheiden. Weil es mit Papier und Schreibstift eben doch möglich ist, diese verbotene Option zu "wählen", sanktioniert das Gesetz einen solchen Versuch dadurch, dass es die betreffende Stimmabgabe als ganze ungültig erklärt. Nun ist es mit technischen Massnahmen natürlich möglich zu verhindern, dass jemand diese verbotene Option wählt. Diese ist dann nicht mehr möglich. Ich sehe keinen Grund, weshalb man Missbrauch des Wahlrechts noch mit technischen Mitteln abbilden sollte. Neben "Enthaltung" braucht es weiss Gott keine zusätzliche Option "Ungültig" oder "Missbrauchsversuch". Wir werden schon genug damit zu tun haben, andere Formen des Missbrauchs und der Manipulation bei technischen Wahlmedien zu verhindern. Es ist bspw. heute auch möglich, in die Wahlkabine zu gehen, seine Nase in den Wahlzettel zu schneuzen und diesen dann in die Urne zu werfen. Nach den geltenden Bestimmungen über Missbrauch ist anzunehmen, dass ein solcher Zettel ungültig wäre. Man könnte natürlich auch hier fordern, eine solche Missbrauchsmöglichkeit technisch nachzubilden. Ich glaube aber nicht, dass man dies wirklich tun sollte, ebensowenig wie das Anbringen von Bemerkungen u. dgl. auf dem Wahlzettel, was ja auch Ungültigkeit zur Folge hat usw. usf. | ||
| Werner (Unregistrierter Gast) |
Es gibt in Deutschland keine Unterscheidung zwischen ungültiger Stimmabgabe und Enthaltung. Für das Gesetz sind das alles ungültige Stimmen. Der Ungültig- oder Enthaltungknopf resultiert aus der Wahlgleichheit zu den Papierwählern, die ihren Stimmzettel ungültig machen können. | ||
| Philipp Wälchli |
Das ist ja alles nett, aber es ist nicht das, was gefordert worden war. Zitat: "Ich vertrete die Meinung dass etwas passieren muss, wir können nicht warten bis Gesetze geändert sind die ein Handeln unmöglich machen, schon jetzt im Zeitalter des Computers ist es nicht mehr möglich seine abgegebene Stimme ungültig zu machen. FRAGE: oder kann mir hier jemand erklären wie ich es schaffe dem Computer zu sagen alle Parteien anzukreuzen? Ich rede vom bewussten ungültig machen meiner Stimme bei einer Wahl." Es geht also darum, die Stimme ungültig zu machen dadurch, dass alle Parteien gleichzeitig gewählt werden, was natürlich unerlaubt und daher ungültig ist. Alles andere geht an der Fragestellung vorbei. | ||
| Ulrich Wiesner |
Die Bundeswahlgeräteverordnung (§8 Abs.2) und auch die Richtlinien für die Bauart von Wahlgeräten schreiben die Möglichkeit einer ungültigen Stimmabgabe ausdrücklich vor. Bei den in Deutschland zugelassenen Wahlcomputern gibt es für die Erst- und für die Zweitstimme jeweils auch eine Taste "Ungültig". | ||
| Philipp Wälchli |
Unserem Fragesteller schwebt etwas anderes vor, Zitat: "FRAGE: oder kann mir hier jemand erklären wie ich es schaffe dem Computer zu sagen alle Parteien anzukreuzen?" | ||
| görd |
indem er auf "ungültig" drückt, darunter fallen alle Arten des ungültig wählen. | ||
| (Unregistrierter Gast) |
Hallo Zusammen, erst einmal möchte ich allen danken für die rege Beteiligung an meiner Frage. Was mir aufgefallen ist, ist dass die Frage im Raum steht „warum“? Ich möchte es gern erklären, wenn Interesse besteht. Da auch die Wahlen nur ein Geschäft sind, Parteien bekommen Geld für jede Stimme. So möchten wir (ein paar Demokraten) signalisieren dass wir zur Wahl gehen, uns das Wohl unseres Landes am Herzen liegt, doch lehnen wir diese Art der Politik ab. Da es keine Alternativen gibt, wird der Stimmzettel durch Kennzeichnung aller Parteien ungültig gemacht. Um es ganz überzogen darzustellen, nach einer Wahl werden die Stimmzettel ausgezählt, von 1000 abgegebenen Stimmen sind 800 ungültig. Somit bekommt keine Partei Geld, aber was viel wichtiger ist, es ist klar zu erkennen dass die Wahlbeteiligung sehr hoch war, doch bewusst das Vertrauen an die Parteien entzogen wurde. Ob dies der richtige Weg ist kann ich nicht entscheiden, doch es ist ein Weg. Es mag einigen von ihnen Dumm oder Sinnlos erscheinen, doch ich bin nicht mehr willens das kleiner Übel zu wählen. Wir brauchen Politik für das Volk und nicht Machtbessere Politiker die um jeden Preis an ihren Posten kleben. Die Gesichter ändern sich, das Ergebnis für uns als Bevölkerung bleibt. Was aus Berlin kommt sind Versuche 80 Millionen Menschen zu tauschen und auszubeuten. Das beste Beispiel ist die Verschleppung von Menschen in Gefangenenlager der USA. Alle wissen es, alle sehen zu, wo sind unsere Vertreter die wir gewählt haben? Wir leben im Jahr 2007 und die Politik versagt auf ganze Linie, in Deutschland arbeiten Menschen für einen Hungerlohn, unzählige leben auf der Straße und hungern, in den Medien wird auf Menschen eingeschlagen die schon sonst vom Leben nicht viel haben. Wir zahlen unsere Abgaben, in welche Kanäle versickert das Geld. Niemand in Berlin hat den Mut zuzugeben dass die Globalisierung ein Fehler ist, was kümmert es ein Unternehmen aus den USA, England oder Schweden die ein deutsches Unternehmen gekauft haben dies zu schließen? Tausenden wird das Einkommen genommen, Familien rutschen in das Abseits, was für die Bevölkerung kommt, ist Harz 4. Mir ist ein Fall bekannt, ein 54 jähriger Mann verlor durch Schließung seinen Arbeitsplatz, der Arbeitsmarkt gibt ihm keine Chance, weil er unbequem ist und eine eigene Meinung hat und diese auch ausspricht, bekommt er Gutscheine vom Arbeitsamt. Dieser Mann hat über 30 Jahre in ein System einbezahlt, dieses System lässt ihn nun im Stich, die Politik verschärft die Maßnahmen, in den Medien wird uns gezeigt, „der faule Arbeitslose“ Ich möchte sie nicht weiter langweilen deshalb beende ich nun meine Nachricht, ich werde eines Tages auch 54 Jahre sein, in diesem Land habe ich Angst davor, da ich kein Politiker bin. Ich bedanke mich für ihre Aufmerksamkeit Franz | ||
| Good Entity (Unregistrierter Gast) |
... wird der Stimmzettel durch Kennzeichnung aller Parteien ungültig gemacht. ... es ist klar zu erkennen dass die Wahlbeteiligung sehr hoch war, doch bewusst das Vertrauen an die Parteien entzogen wurde - Ich hätte nun gefolgert, dass diese Wähler mit allen Parteien sehr zufrieden sind, sonst würden sie sie ja nicht alle ankreuzen, und dass sie sich nicht entscheiden konnten, welcher von diesen sie nun am meisten Vertrauen schenken sollen. - Irgendwie scheint die Vorgehensweise von Unregistrierter Gast bzw. Franz doch reichlich missverständlich und nicht gerade zielführend zu sein. | ||
| Philipp Wälchli |
Der "ungültig"-Knopf ist der Sache nach eine Stimmenthaltung. Die Gemeinsamkeit mit unzulässigen Stimmabgaben besteht nur darin, dass beide beim Ergebnis nicht zählen. Man könnte "ungültig" in diesem Sinne auch als "nicht zählend" umschreiben. Unserem Frager schwebt aber, wie wir ja nochmals sehen, etwas anderes vor: Er möchte eine unzulässige Manipulation vornehmen, mit der ein "Zeichen" gesetzt werden könne. Er sieht dies in dem Vorgehen, alle Kandidaturen aller Listen anzukreuzen, womit er wohl ungefähr ausdrücken will, es seien alle etwa dieselben Typen, weshalb es nicht möglich sei, unter ihnen eine Auswahl zu treffen; zugleich wird dadurch, weil ja eben eine solche "Auswahl" nicht eindeutig und daher unzulässig ist, die Stimme eben auch "ungültig". Daher glaube ich nach wie vor nicht, dass er mit dem betreffenden Knopf, wie immer er auch beschriftet ist, zufrieden ist; er möchte im Grunde so etwas wie einen Knopf, der mit "Protest" oder "gegen alle" oder sogar: "gegen das System" beschriftet wäre und auch separat so ausgewiesen würde. Der "ungültig"-Knopf leistet dies zweifellos nicht; wie bereits ausgeführt soll er das ja auch gar nicht leisten. Eine Wahl dient ja bekanntlich dazu, innerhalb eines bestehenden Systems funktionsfähige Organe zu bestellen, nicht jedoch dazu, andauernd über das System als solches zu entscheiden. In diesem Punkt sind die Krawallanten ganz links und ganz rechts doch etwas klarsichtiger, verleihen sie ihrer Ablehnung des Systems als solchem doch unverkennbaren Ausdruck auf eine Weise, die auch ganz klar wahrgenommen wird. Es gäbe allerdings unzweifelhaft noch eine ganze Reihe weiterer Arten, Systemkritik zum Ausdruck zu bringen, die zugleich differenzierter und vor allem zivilisierter wären. | ||
| Philipp Wälchli |
Der "ungültig"-Knopf ist der Sache nach eine Stimmenthaltung. Die Gemeinsamkeit mit unzulässigen Stimmabgaben besteht nur darin, dass beide beim Ergebnis nicht zählen. Man könnte "ungültig" in diesem Sinne auch als "nicht zählend" umschreiben. Unserem Frager schwebt aber, wie wir ja nochmals sehen, etwas anderes vor: Er möchte eine unzulässige Manipulation vornehmen, mit der ein "Zeichen" gesetzt werden könne. Er sieht dies in dem Vorgehen, alle Kandidaturen aller Listen anzukreuzen, womit er wohl ungefähr ausdrücken will, es seien alle etwa dieselben Typen, weshalb es nicht möglich sei, unter ihnen eine Auswahl zu treffen; zugleich wird dadurch, weil ja eben eine solche "Auswahl" nicht eindeutig und daher unzulässig ist, die Stimme eben auch "ungültig". Daher glaube ich nach wie vor nicht, dass er mit dem betreffenden Knopf, wie immer er auch beschriftet ist, zufrieden ist; er möchte im Grunde so etwas wie einen Knopf, der mit "Protest" oder "gegen alle" oder sogar: "gegen das System" beschriftet wäre und auch separat so ausgewiesen würde. Der "ungültig"-Knopf leistet dies zweifellos nicht; wie bereits ausgeführt soll er das ja auch gar nicht leisten. Eine Wahl dient ja bekanntlich dazu, innerhalb eines bestehenden Systems funktionsfähige Organe zu bestellen, nicht jedoch dazu, andauernd über das System als solches zu entscheiden. In diesem Punkt sind die Krawallanten ganz links und ganz rechts doch etwas klarsichtiger, verleihen sie ihrer Ablehnung des Systems als solchem doch unverkennbaren Ausdruck auf eine Weise, die auch ganz klar wahrgenommen wird. Es gäbe allerdings unzweifelhaft noch eine ganze Reihe weiterer Arten, Systemkritik zum Ausdruck zu bringen, die zugleich differenzierter und vor allem zivilisierter wären. | ||
| görd |
So ein "Protest"-Knopf wäre vielleicht nicht ganz übel. Das könnte "Protestwähler" vielleicht davon abhalten Rattenfängern von links oder rechts auf dem Leim zu gehen. | ||
| Philipp Wälchli |
Das wage ich zu bezweifeln. Die Schwierigkeiten liegen doch wohl eher bei einer in Teilen der Bevölkerung erschreckenden Unkenntnis über das politische System und damit auch Unkenntnis über die Bedeutung von Wahlen, was zu verschiedenen Missverständnissen und Fehlinterpretation des Zwecks von Wahlen führt. Man sehe sich bloss einmal das allererste Posting, mit dem dieses Thema eröffnet wurde, an: Im Kern handelt es sich um eine Kombination aus zwei Missverständnissen, nicht mehr und nichts anderes. Im übrigen wäre ein "Protest-Knop" ohne weitere Auswirkungen in den Augen der potentiellen "Protestwähler" von "Rattenfängern" höchstens ein Surrogat, mit dem sie sich kaum begnügen dürften, weil sie ja eben wollen, dass "endlich jemand etwas tut". | ||
| (Unregistrierter Gast) |
Hallo zusammen, als erstes möchte ich mich bei allen für ihre Meinung bedanken. Zum zweiten möchte ich sagen, dass ich eine E- Mail zu betreffender Stelle gesandt habe um mich registrieren zu lassen. Dass dies noch nicht geschehen ist bedaure ich sehr. Da ich weder ein Mensch bin der nur anonym seine Meinung sagt finde ich den Vorwurf von Good Entity nicht zutreffend. Ich hätte mich nicht in diesem Forum eingetragen, wenn ich nicht bereit wäre auch etwas dazu zu lernen, ich vertrete hier meine Meinung. Sie mag ihnen nicht plausibel sein, einigen mag ich damit zu nahe treten, doch bewege ich mich in dem Rahmen der mir gegeben wird… Demokratie. Ich teile einige ihrer Bedenken, genau dies lässt mich seit geraumer Zeit politisch aktiv sein. Leider greifen sie nur einen Teil der von mir genannten Punkte auf, was ich hier zum Ausdruck bringen möchte ist relativ einfach. In diesem System bin ich groß geworden, ich erkenne eine starke Veränderung, viele kleine Gruppen polarisieren, sie finden ihre Anhänger bei den Menschen die einfach keine Zukunft sehen. Mein Gedanke zielt viel mehr darauf ab, ein moralisches und ethisches System zu erhalten wie wir es einst hatten. Mein Bestreben ist es, möglichst viele Menschen zu einer Wahl zu bewegen, ihnen ihre Verantwortung näher zu bringen. Doch immer öfter komme ich mit mir in Konflikte, ich werde gefragt: Was ist die wirkliche Alternative? So entstand der Gedanke des „wach Rüttelns“, mit demokratischen Mitteln einen Weg zu gehen der den Menschen etwas gibt, nämlich Hoffnung. Es tut mir leid wenn ich missverstanden wurde, ich entschuldige mich für meine mangelhafte Bildung, mit weiteren Beiträgen werde ich ihre kostbare Zeit nicht mehr beanspruchen. Danken möchte ich auch für die neuen Impulse. Mir freundlichen Grüßen Franz | ||
| Philipp Wälchli |
Gegen das Bestreben, Leute wachzurütteln, ist nichts einzuwenden. In der Tat hätten ja mehr als genug es doch wohl auch nötig. Die Frage stellt sich aber, welches die tauglichste Methode sei. Mir will scheinen, dass das Wahlrecht dazu kein geeigneter Hebel sei. Denn Wahlen stellen in der Tat nur einen Ausschnitt aus dem politischen Gesamtsystem dar. Insofern ist das auf der Titelseite dieses Forums gegebene Zitat nicht völlig abwegig: Wahlen sind zwar kein "Detail", aber doch von begrenzter Bedeutung, Aussagekraft, Wirkung und Tragweite. Sehr viel, was wichtig, entscheidend und grundsätzlich ist und jeglichem politischen System voraus liegt,entzieht sich dem Zugang durch Wahlen. Es sei nur an den Gedanken des "Gesellschaftsvertrages" erinnert: Dieser Gedanke ist schön, in gewisser Weise anschaulich und einleuchtend - aber eine Fiktion: Niemals sind in der Geschichte die Einwohner ganzer Länder zusammengekommen, haben eine Art riesigier Landsgemeinde gebildet und miteinander debattiert, um am Ende einen Vertrag über die Gründung eines Staates zu schliessen. Das geht so praktisch nicht und ist auch nicht nötig, weil allen historischen Gemeinwesen andere Organisationsformen als Vorläufer vorausgingen, die mehr oder weniger formalistisch in die neuen Organisationsformen übergeführt wurden. Möchte man die Leute grundsätzlich wachrütteln, so müsste man in diesen vor-staatlichen, gesellschaftlich-allgemeinpolitischen Raum vorstossen. Welches das tauglichste Mittel dazu sei, müsste im einzelnen stets neu bestimmt werden. Wahlen sind im allgemeinen kein taugliches Mittel, weil sie zu einem viel engeren, innerstaatlichen Raum gehören. Nur bedingt tauglich war der Versuch von Günther Eich, mit seinem Hörspiel "Träume" in die deutschen Gemüter einzudringen: Er verursachte zwar einen kurzfristigen Skandal, stiess aber mehrheitlich auf Ablehnung. Noch schlimmer war der Versuch der RAF-Terroristen, die deutsche Seele gleichsam wach zu bomben, etwa nach dem Motto: Wenn es nur laut genug knallt, dann hören sie uns schon. Gehört wurden die Knalle zwar, die Reaktion war allerdings wiederum Ablehnung, die eher zu einer gesellschaftlichen Verhärtung als zu einer Art von Aufbruch führte. Jemand hat sogar das Wort von der "bleiernen Zeit" geprägt. Dabei waren diese RAF-Leute teilweise ja von höchsten Idealen geprägt und wollten, jedenfalls aus ihrer Sicht, nur das beste. Sehr anschaulich ist eine Debatte dieser jungen Idealisten mit dem von ihnen entführten H. M. Schleyer in einem semi-dokumentarischen Film nachgestellt worden, deren Inhalt durch Zeugenaussagen glaubwürdig bestätigt ist: Sie sprechen Schleyer während seiner Geiselhaft auf seine SS-Vergangenheit an. Moralische Entrüstung und Ablehnung des Faschismus sind aus jeder Silbe zu hören, die die jungen RAF-Leute sagen. Schleyer hält ihnen entgegen, sie könnten die damalige Zeit nicht verstehen, weil sie sie nicht erlebt hätten, er habe vieles tun müssen, was er eigentlich nicht wollte, aber was damals getan sein musste. Wenige Tage danach erschiesst einer der Entführer, der an dieser Debatte beteiligt war, Schleyer, weil es keinen anderen Ausweg für die Entführer mehr gibt, die Polizei ihnen zu nahe gekommen ist. Auf den naheliegenden Gedanken, dass es vielleicht doch ein Widerspruch sein könnte, Menschen zu entführen, in Haft zu halten und am Ende zu erschiessen, wenn man die SS ablehnt, scheinen sie nicht gekommen zu sein. Das blosse Gewalt, wie idealistisch oder moralisch sie auch immer "begründet" sein will, in jedem Fall abzulehnen ist, darauf sind sie wohl ebenfalls nicht gekommen. Das bewusste Ungültigmachen seiner Stimme durch Vornahme einer Manipulation, die unzulässig ist, ist an sich zwar keine Gewalttat, stellt aber eben nach den Massstäben des Systems einen Missbrauch dar, wenn auch vielleicht nur einen milden. Entsprechend werden solche Stimmen auch gewertet, nämlich gar nicht. Sie werden daher nichts bewirken, höchstens eine Verschärfung der Gesetze, um eben solche Manipulationen auszuschliessen. Schon gar bei einem Wahlautomaten wird man unzulässige Manipulationen mit technischen Mitteln auszuschliessen versuchen. So kann Wachrütteln also nicht geschehen. Aber vielleicht hilft uns die alte, of verschriene Bibel etwas weiter? Darin steht immerhin der Satz: "Seid sanft wie die Tauben und klug wie die Schlangen." Ich meine, dass man diesen Satz als Ratschlag durchaus ernst nehmen kann und soll: Die Menschen lassen sich nämlich durch sanfte Methoden eher gewinnen als durch Gewalttat, Regelverstösse usw. Und vor allem: Was immer man zu erreichen versucht - mit Vorteil sollte man sich eine kluge Methode dafür ausdenken, die auch wirklich tauglich ist. | ||
| franz000 |
Hallo Philipp, ich danke Ihnen für die Antwort. Es ist eine wahre Freude ihren Ausführungen zu folgen. Besonders ist mir die Geschichte der RAF ins Auge gesprungen, zu dieser Thematik habe ich meine ganz eigenen Gedanken. Vielleicht ein Paar Beispiele: Ist der Gedanke der Gewalt wirklich von diesen jungen Menschen ausgegangen, oder wurden sie von einem System in diese Position gebracht um sie zu kriminalisieren? Wurden sie vom „System“ unterwandert um sie mit diesem „System“ unschädlich zu machen? Wir schreiben von einem System, wo ist die Demokratie? Wie würde in der heutigen Zeit ein Widerstand (in demokratischen Grenzen) vom „System“ vereitelt? Durch die ständige Manipulation in den Medien wird eine Unsicherheit geschaffen die den Machthabern ihre Macht sichert. Deshalb stimme ich Ihrem Argument zu, meine Art des Widerstands ist ein Rechtsbruch, somit gebe ich dem „System“ die Möglichkeit gegen diesen Rechtsbruch vorzugehen, am Ende kann nur das scheitern liegen. Ich sehe Gewalt nicht als die Lösung, jedoch die „Demokratie“ wie wir sie kennen auch nicht. Nun stehe ich wieder mit diesem Gefühl der Ohnmacht da, vielleicht ist der einzig richtige Weg, doch dieses Land zu verlassen. Bedauern würde ich meine Bekannten und Freunde, doch verlassen würde ich ein System, ein System was in meinen Augen nur noch wenig von meinem Verständnis von Demokratie beinhaltet. Mit einem freundlichen Gruß und bestem Dank Franz | ||
| Good Entity (Unregistrierter Gast) |
Von der elektronischen Stimmabgabe zur RAF in zwei Tagen oder zehn Postings. Ich hoffe, dass uns sowas in der Praxis nie passiert. Wie würde in der heutigen Zeit ein Widerstand ...? - Ich glaube nicht, dass die Männer und Frauen der RAF sich mit der Manipulation an elektronischen Stimmabgabegeräten beschäftigt hätten. Was könnten sie also stattdessen jetzt tun, um die Bevölkerung "elektronisch" aufzuschrecken oder in Panik zu versetzen ("wachrütteln")? Phishing Mails verschicken? Kinderpornos drehen und über Internet vertreiben? Beides ist zumindest ähnlich öffentlichkeitswirksam wie damals die Banküberfälle, Erpressungsversuche und Attentate. Zum Thema Gewalt gegenüber Wehrlosen würde es auch passen. wo ist die Demokratie? - Gestern bei Sabine Christiansen waren 91 % der Anrufer gegen eine Freilassung von Christian Klar und Brigitte Mohnhaupt. Das ist natürlich weder repräsentativ noch irgendwie "demokratisch". Ich wage aber zu bezweifeln, dass sich das Ergebnis bei einer tatsächlich im Sinne von Franz000 durchgeführten demokratischen Abstimmung (ob elektronisch oder nicht) wirklich davon signifikant unterscheidet. Ob das gut oder richtig ist? Das geht nun endgültig am Thema vorbei. | ||
| mma |
Was eine RAF selbst mit den elektronischen Möglichkeiten machen würde, ist schwer zu sagen. Aber was würde die einfache Anhängerschaft tun? Würde sie sich allerorten ausgehorcht fühlen, beim elektronischen Wählen genauso wie beim Christiansen-TED? Würde sie sich ebendarüber ausgerechnet im Internet austauschen? | ||
| Philipp Wälchli |
Das Folgende stelle ich einmal unkommentiert hier ein: ====================================================== UNO-Award für Zürcher «e-Voting»-Pilotprojekt Zürich. SDA/baz. Die Versuche mit elektronischer Stimmabgabe im Kanton Zürich sind bei den Vereinten Nationen (UNO) auf besonders Interesse gestossen. Sie werden Ende Juni im UNO-Sitz in Wien mit dem Public Service Award 2007 ausgezeichnet. Der Preis werde am 26. Juni durch Regierungsrat Markus Notter anlässlich des 7. Globalen Forums der Uno zum Thema «Reinventing Government» in Wien entgegengenommen, wie die Kantonale Informationsstelle am Sonntag mitteilte. Laut UNO sind die vom Bund unterstützten Zürcher e-Voting-Versuche eine «Inspiration und Ermutigung für andere Tätigkeiten im öffentlichen Sektor». Das Pilotprojekt e-Voting im Kanton Zürich wurde 2002 in Zusammenarbeit mit dem Bund und den Kantonen Genf und Neuenburg lanciert. Das Konzept wurde vom Statistischen Amt erarbeitet, der Pilot wurde 2006 abgeschlossen. Besondere Herausforderungen waren neben der elektronischen Übermittlung (unter anderem per Handy) auch die notwendigen Sicherheitsbestimmungen. In Koordination mit der Bundeskanzlei plant der Kanton Zürich nun die flächendeckende Ausweitung des e-Voting-Systems. Auch am Abstimmungssonntag vom 17. Juni konnten Stimmberechtigte einiger Zürcher Gemeinden (Bülach, Schlieren, Bertschikon) per e-Voting ihre Stimme abgeben. Erstmals wurde dabei die Daten zentral bei der Kantonsverwaltung erfasst. -------------------------------------------------------------------------------- Copyright 2007 by Basler Zeitung online |
