Warum ist elektronische Abstimmung so schwierig?

[heisenberg]

Das Thema elektronische Wahl ist ja immer mal wieder in den Medien. U. a. wegen böser Sicherheitsprobleme die eine ordnungsgemässe Wahl stören.

Ich habe schon ein paar Mal drüber nachgedacht. So schwierig scheint das Thema finde ich das eigentlich gar nicht.

Grundsätzlichen Anforderungen

• Anonyme Stimmabgabe
• Überprüfbar
• Nur berechtigte dürfen wählen

Idee dazu

• Jeder Abstimmungsprozess hat eine eigene ID
• Jeder Wähler hat eine ID(1 Person = 1 ID, auf einer Art sicherem Speicherstick enthalten)
• Jeder Wähler hat für einen Abstimmungsprozess eine zusätzliche Zufalls-ID(Diese wird nur auf dem sicheren Stick gespeichert und unabhängig von der Personen-ID im Wahlergebnis).

Bei der Wahl wird die ZufallsID zusammen mit der Wahlentscheidung pro Wähler erfasst. Zusätzlich wird eine einfache Liste von PersonenIDs gespeichert unabhängig von der Wahlentscheidung mit der Zufalls-ID. Damit ist sichergestellt, dass jeder nur einmal wählt und im Nachhinein nachvollziehbar wer in welchem Wahllokal oder überhaupt gewählt hat. Die Wahlentscheidung des Wählers wird zusätzlich auf dem Stick gespeichert.

Verifizierungsmöglichkeiten

• Man kann die Anzahl der PersonenIDs mit der Anzahl der abgegebenen Stimmen vergleichen.
• Jeder kann über ein öffentliches Webportal mit seiner nur Ihm bekannten Wähler-ID-für-eine-spezielle-Wahl seine persönliche Wahlentscheidung mit seinem Stick(Der das eigene Abstimmungsverhalten enthält) verifizieren.
• Das Wahlgesamtergebnis ist als signiertes Archiv aus dem Internet herunterladbar. Interessenten können das Ergebnis komplett herunterladen und selbst nach Belieben auf Manipulationen untersuchen.
• Zusätzliche Sicherheit kann eine Live-Protokollierung erfolgen, welche Wahl-Zufalls-ID(keiner Person zuzuordnen) welche Wahlentscheidung getroffen hat, am besten im Textformat, so dass eine Überprüfung durch Laien möglich ist.

[schwedenmann]

Hallo


Allein daran scheitert dein versuch
Jeder Wähler hat eine ID(1 Person = 1 ID, auf einer Art sicherem Speicherstick enthalten)

Wie willst du das Oma Noop beibringen, oder gar per Stick wählen lassen, wenn sie

a. nicht mal Internet hat
b. nicht mal eine PC hat, geschweige eine USB-Stick
c. von a + b keine Ahnung hat


mfg
schwedenmann

[heisenberg]

Na, der Oma sage ich dann: "Dass ist Dein Wahlschlüssel. Das musst Du Dir aufheben. Und wenn Du wählen gehst, dann steckst Du dass da in das Wahlschloss rein, und dann geht da die Wahlmaschine an."

Aber natürlich. Das mag jetzt mal eine Anregung zur Diskussion sein. 80 Mio Wahlsticks und die Bereitstellung noch dazu ist schon ein gewisser Aufwand.

Wählen per Internet soll das jetzt nicht sofort sein. Wäre aber durchaus noch etwas zum drauf rumdenken.

[outis]

Und darüber hinaus ist es wesentlich schwieriger, den weiteren Weg eingegebener Daten zu verfolgen als Stimmzettel in einem Wahllokal.

[tobo]

Dieser Stick wird ja auch nicht benötigt, der Wähler benötigt nur die eindeutige ID. Kann man genauso gut auf einem Zettel per Post zuschicken, wird ja bei der normalen Wahl auch so gemacht!? Man müsste sich halt drauf verlassen können, dass diese ID-Verifizierung nur bei Abgabe der Stimme erfolgt (0,1) und später keinen Bezug zum Inhalt der Stimmabgabe besteht. Aber, bislang ist da ja jedes System gebrochen worden!? Gibt es da irgendwas, was von Fachleuten als sicher angesehen wird? Außerdem kann der elektronische Zugang zuhause ja schon manipuliert sein und zusätzlich lassen sich Online-Wahlportale auch mit Anfragen fluten, die dann halt für Wähler den Zugang unmöglich machen (und sei es nur temporär). Im Wahllokal muss nach der Aufstellung der Gerätschaft diese bis zur Wahl überwacht werden - bei einer normalen Wahl macht man morgens einfach die Kiste leer. Und ganz großer Minuspunkt: bei einer normalen Wahl kann man einfach nachzählen, bei einer manipulierten elektronischen Wahl (sofern man das überhaupt weiß), geht das nicht (oder bringt nichts).

[superkret]

Zu diesem Thema mal ein Video, das das Ganze meiner Meinung nach kurzweilig und gut erklärt.
Ist allerdings auf Englisch:

https://www.youtube.com/watch?v=w3_0x6oaDmI

[heisenberg]

Und darüber hinaus ist es wesentlich schwieriger, den weiteren Weg eingegebener Daten zu verfolgen als Stimmzettel in einem Wahllokal.

Ich vermute es würde schleichend auch die Faulheit und Spartendenzen um sich greifen: Wieso tragen wir jetzt USB-Sticks mit Wahlergebnissen durch die Gegend. Das können wir doch auch über sichere Leitungen realisieren? Wieso sollen wir teure sichere Leitungen mieten, es gibt doch das Internet?

Die Verifikation bei meiner Idee fusst darauf, dass eine kritische Masse die eigenen Ergebnisse überprüft. Sichergestellt, dass das tatsächlich passiert ist das nicht. Und dass die Verifikationsabfragen nicht auch von kompromitierten Systemen dann doch richtig (für den Wähler) wiedergegeben werden(und beim Zusammenzählen würden dann einfach andere Daten verwendet), dazu müssten die Verifikationsdaten komplett extern sein und überprüft, dass die vollständig valide sind. Ein Wahlarchiv könnte ja auch redundante Daten enthalten mit richtigen und hinzugefügten falschen Daten.

Das Video weisst auch darauf hin, das USB-Sticks eine ganz schlechte Idee sind. Vermutlich weil man im schlimmsten Fall einfach die Software komplett austauschen kann.

[wanne]

Die Piraten hatten das Thema sehr ausführlich. Und da hat man sich mehrfach dagegen entschieden. Die Probleme sind folgende:

Zuerstmal das Totschlagargument:
Der Punkt wird zwar immer so dargestellt:

• Anonyme Stimmabgabe

Haben möchte man aber eigentlich:

• Unerpressbarkeit

Die Idee war ursprünglich: Wer anonym wählt kann nicht erpresst werden:
Er sagt einfach jedem, dass er nach Wunsch gewählt hat, und wählt, was er denkt.
Das Problem an der Sache hast du eine eindeutige ID, kann man dich nach dem Wahlgang danach fragen. Und dann im Ergebnis nachprüfen, ob das stimmt. Wenn nicht gits gebrochenen Rippen.
Eine sofortige Veröffentlichung der Stimmabgabe könnte das zwar verhindern, führt aber dann zu der Möglichkeit Wahlzeitkoelationen zu machen.
Deswegen sind bei besseren Wahlen auch Stimmzettel mit Bildern invalide und es wird genau vorgeschrieben wie angekreuzt wird, und diese Kreuze zur Korrektur ausgestrichen werden. (Stimmzettel dürfen nicht individualisiert werden.) Defakto soll die Stimme des einzelnen eben nicht nachvollziehbar sein.



Das Problem das bei den Piraten überwog war aber das folgende:
Warum will man Elektronisch wählen? Papierwahlen funktionieren doch gut. Man braucht also einen konkreten Vorteil.
Da gibt es prinzipiell zwei bekannte

1. Billigeres nachzählen.
2. Remote Abstimmungen.

Hier die Probleme mit beiden:

1. Das bleibt nur so lange erhalten, solange man die Daten direkt elektronisch auswertet. Sobald man eine 2. Auszählung macht, die nicht auf die Integrität des ersten Datensatzes vertraut, fällt der teil weg.
   Vertraut werden kann der nur, wenn ein zweiter nachzählt. Dann kannst du aber eben gleich öffentlich auszählen. Schlicht und einfach der einfachere Weg um das zu erreichen.
   Man könnte da schon Systeme bauen, dass jeder seine eigene Hardware bekommt, die einsteckt und die dann alle als CSV hergeben oder so und dann jeder seinen eigenen Code zum auszählen schreiben kann. Aber das ist dann eher komplizierter als einfach den Computer hinstellen und den Zettel drucken lassen. Und das ist wieder komplizierter als einfach einen Kuli hinlege. Das system ist in der hinsicht einfach nicht mehr großartig zu optimieren.
2. Damit sowas funktioniert, musst du dann eine vertrauliche, integre und immer verfügbare IT-Lösung hinbauen. Letzteres ist defakto unmöglich, kann aber durch ein offline-backup sichergestellt werden. Die ersten beiden nur durch harte komplexe Crypto alla gpg oder TLS. (Oder vertrauneswürdige Hardware. Aber die gibt es halt nicht. Das ist nicht nachvollziehbar.)
   Ich mach gpg als deutlich nachvollziehbarer empfinden, als irgend welches auf die Hände schauen. (Wer mal in einer Zaubervorstellung war, weiß wie anfällig das ist.) Für 99% der Leute selbst bei den Piraten ist das anders. Hybride Crypto mit passenden Signaturen nachzuvollziehen ist für Oma extrem schwer.

Beides Punkte, über die man diskutieren kann, weil auch Papier da nicht perfekt ist, aber zumindest bei den Piraten, sind die meisten der Meinung dass Papier trotz allem einfach besser abschneidet.
Warum ein system durch ein schlechteres ersetzen?

Das muss man btw. ausdrücklich für die Briefwahl nochmal anders bewerten.
Da hat man ähnliche bis schlechtere Voraussetzungen als beim elektronischen wählen.
Aber da wurde auch geurteilt, dass das nur solange legitim ist, als das das einige Prozent ausmacht, und so das Missbrauchspotential zumindest klein bleibt. Eine reine Briefwahl finden deutsche Richeter nicht ausreichend sicher.

[uname]

Die Wahl müsste ähnlich wie Bitcoins organisiert sein. Aber auch die sind nicht 100% sicher. Problem bei IT ist auch, dass großflächiger Betrug aufgrund zentraler Systeme nicht auffällt. Ich möchte an dieser Stelle allen Wahlhelfern danken. Sie sichern unsere Demokratie.

[heisenberg]

Bitcoins ist ja gerade ein lustiger Vergleich, wo gelegentlich manch Geschäftsführer die eigene Bitcoin-Bank um ein paar Prozent Dividende in Eigeninitiative erleichtern

[superkret]

Warum ist das überhaupt ein Thema?
Was stimmt denn nicht mit der Papierwahl, die wir momentan haben, und die seit Jahrzehnten funktioniert?
Bzw. was könnten die Gründe dafür sein, dass einige Interessengruppen so sehr eine elektronische Wahl haben wollen?

[heisenberg]

Also ich persönlich finde die elektronische Wahl deswegen interessant, weil ich hoffe, dass der Aufwand für eine Wahl dann geringer ist und man auch mal mehr Abfragen könnte. "...mal schauen, was das Volk dazu sagt." Also vielleicht auch mal thematisch.

[Canaglie]

Nicht nur anonyme Stimmabgabe, auch die Möglichkeit zur Enthaltung oder das Ungültig-Machen der Stimme müssen möglich sein.

[uname]

...mal schauen, was das Volk dazu sagt.

Es ist schon ein Unterschied ob man in der Stadt gefragt wird, im Internet was anklickt oder sich doch ins Wahllokal schleppen muss.

[superkret]

...mal schauen, was das Volk dazu sagt.

Es ist schon ein Unterschied ob man in der Stadt gefragt wird, im Internet was anklickt oder sich doch ins Wahllokal schleppen muss.

Wenn man sich die Ergebnisse mancher Internet-Umfragen ansieht, ist das auch gut so.
http://newsfeed.time.com/2012/08/14/mou ... bly-wrong/
https://www.theguardian.com/environment ... rch-vessel

[Lord_Carlos]

Warum ist das überhaupt ein Thema?
Was stimmt denn nicht mit der Papierwahl, die wir momentan haben, und die seit Jahrzehnten funktioniert?
Bzw. was könnten die Gründe dafür sein, dass einige Interessengruppen so sehr eine elektronische Wahl haben wollen?

(Hoffentlich) Einfacher und somit hoehere Wahlbeteiligung. Das ist jedenfalls meine Vermutung und persönliches "dafuer" argument. Unterm strich ist es nicht wiegen die Nachteile die Vorteile fuer mich aber dennoch nicht aus.

Edit: Ueberfluessiger Woerter Entfernt.

[AndreK]

Warum ist das überhaupt ein Thema?
Was stimmt denn nicht mit der Papierwahl, die wir momentan haben, und die seit Jahrzehnten funktioniert?
Bzw. was könnten die Gründe dafür sein, dass einige Interessengruppen so sehr eine elektronische Wahl haben wollen?

(Hoffentlich) Einfacher und somit hoehere Wahlbeteiligung. Das ist jedenfalls meine Vermutung und persönliches "dafuer" argument. Unterm strich ist es nicht wiegen die nachteile die vorteile fuer mich aber dennoch nicht aus.

VÖLLIGER BLÖDSINN!

Ich würde mich vor jedem Politiker e k e l n, der via Stimmautomat gewählt wurde. Genauso bin ich gegen Briefwahl. Beides öffnet die Tür für Manipulationen. Der Stimmautomat sogar für gigantische Wahlmanipulation. Das ist unkontrollierbar.

Die Lösung ist die Wahlpflicht. Jeder Bürger muss ins Wahllokal gezwungen werden. Selbst wenn er dort den Wahlzettel öffentlich verbrennt oder verspeist. Wer nicht kommt muss mit einem empfindlichen Ordnungsgeld belegt werden.

[DeletedUserReAsG]

… jene, die am lautesten nach einer Wahlpflicht schreien, werden sich am heftigsten empören, wenn die Leute dann aus Protest eigentlich untragbare Parteien wählen. Ich hab’s genau gesehen, in meiner Glaskugel.

Wenn ich für mich die Wahl treffe, nicht wählen zu gehen, wünsche ich, dass genau das respektiert wird. Und solange sich durch ’ne Wahl allenfalls Farben, Namen und der Wortlaut der leeren Versprechen ändern, weiß ich Besseres mit meiner Zeit anzufangen.

On Topic: ich bin solchen Abstimmungen gegenüber aus drei Gründen skeptisch eingestellt: a) während bei manueller Auszählung analoger Stimmzettel entweder sehr viele Leute zusammenarbeiten müssen, um’s zu manipulieren oder der Einfluss auf das Wahlergebnis recht gering sein wird, und es zudem nachprüfbar ist, reicht u.U. ein Fehler in der Implementation eines elektronischen Wahlsystems, und es wird spurenlose Wahlmanipulation in beliebigem Umfang möglich, b) es ist ziemlich schwierig, so ein System wirklich anonym zu gestalten, und wenn das wirklich zu schaffen ist, wäre es c) nicht mehr möglich, nachzuprüfen, ob nicht jemand mit vielen Münzen und Interesse an einem bestimmten Ausgang der Wahl den Leuten mit wenig Münzen und kaum ernsthaftem Interesse an der Wahl die, ich nenne es mal so, „Tokens“ abkauft.

[superkret]

Die Lösung ist die Wahlpflicht.

Die Wahlpflicht steht für mich auf derselben Stufe wie das Abhalten der Bürger von der Wahl.
Welche Legitimation hat denn ein politisches System noch, wenn das Verweigern des legitimierenden Akts unter Strafe steht?
Die Beteiligung an der Wahl ist immer auch eine Stimme für unsere Ausprägung der parlamentarischen Demokratie (und ihrer Vertreter) an sich.
Wenn schon diese Stimme DAFÜR erzwungen wird, dann können die Politiker eigentlich auch gleich die Ämter unter sich verteilen.

[Ozelot]

Für mich ist der entscheidende Grund gegen elektronische Wahlen der, daß es den Aufwand für Fälschungen verändert. Ob Du 10 oder 1 000 000 Stimmen fälschst - Du brauchst nur eine Code-Zeile. Bei Papierwahlen steigt der Aufwand wenigstens proportional mit dem Nutzen - und damit die Möglichkeiten erwischt zu werden. Das elektronische System werden de facto nur noch wenige Augen überwachen. Das Papiersystem hängt von tausenden von Wahlhelfern in Hinterdumpfenbach und Co ab. Und das ist gut so. Anders gesagt: die Arbeitsersparnis, die elektronische Systeme bringen, ist hier gleichzeitig deren größte Gefahr. Es auch macht die Admins zu mächtig.

Das zweite Argument, inzwischen: Ich denke, daß wir derzeit kein großflächiges System bauen können, das die NSA (und vermutlich auch der FSB und der chinesische Geheimdienst) nicht infiltrieren können.

[Lord_Carlos]

Warum ist das überhaupt ein Thema?
Was stimmt denn nicht mit der Papierwahl, die wir momentan haben, und die seit Jahrzehnten funktioniert?
Bzw. was könnten die Gründe dafür sein, dass einige Interessengruppen so sehr eine elektronische Wahl haben wollen?

(Hoffentlich) Einfacher und somit hoehere Wahlbeteiligung. Das ist jedenfalls meine Vermutung und persönliches "dafuer" argument. Unterm strich ist es nicht wiegen die nachteile die vorteile fuer mich aber dennoch nicht aus.

VÖLLIGER BLÖDSINN!

Ist es voelliger bloedsinn das Interessengruppen Anwenderfreundlichkeit als Grund nehmen?
Oder ist es voelliger bloedsinn das es einfacher wird zu waehlen?
Oder ist es voelliger bloedsinn das mehr Anwenderfreundlichkeit zu hoeherer Wahlbeteiligung fuert?

Oder hast du was ganz anderes gemeint?

[thoerb]

Die Lösung ist die Wahlpflicht. Jeder Bürger muss ins Wahllokal gezwungen werden. Selbst wenn er dort den Wahlzettel öffentlich verbrennt oder verspeist. Wer nicht kommt muss mit einem empfindlichen Ordnungsgeld belegt werden.

Genau die Leute die körperlich nicht in der Lage sind ein Wahllokal aufzusuchen oder am Wahltag einen stressigen Arbeitstag haben, sollen auch noch dafür bestraft werden. Das hast du aber nicht ganz zu Ende gedacht!

[Lord_Carlos]

Oder im Ausland wohnen