Anläßlich der Oberbürgermeisterwahl in Cottbus hat der Chaos Computer Club den Einsatz von Nedap-Wahlcomputern in der Praxis beobachtet. Die hier beobachteten Vorgänge führen die vom Hersteller Nedap soufflierte Argumentation der Cottbusser Wahlleitung von den "geschützten Umgebungen" und angeblicher lückenloser Kontrolle ad absurdum. Die Teilnahme der Öffentlichkeit an den Wahlhandlungen war unzureichend gewährleistet, eine effektive Kontrolle der Wahlen und die Verifikation des Wahlergebnisses waren nicht möglich und offenbar auch nicht erwünscht.
In der Praxis zeigte sich als einziger Vorteil der Wahlcomputer die schnelle "Auszählung" des Ergebnisses. In allen anderen Punkten genügt das Gesamtsystem nicht den Anforderungen an Sicherheit, Überprüfbarkeit und Nachvollziehbarkeit einer Wahl, die im Grundgesetz verankert sind. [2] Die Wähler, Wahlhelfer und Wahlvorstände stehen in der Praxis vor einer undurchschaubaren "Black Box", deren Manipulationsfreiheit nicht nachgewiesen werden und deren gelieferte Ergebnisse niemand verläßlich prüfen kann.
Die Wahlcomputer wurden in mehreren Fällen vor der Ankunft des Wahlvorstands angeliefert und standen unbewacht im frei zugänglichen Wahllokal, bestenfalls unter Aufsicht des Schulhausmeisters. Gesichert waren die Wahlcomputer mit einer einfachen Bleiplombe, die sich mit wenig Aufwand fälschen bzw. manipulieren läßt.
Die auf dem Deckel des Computergehäuses angebrachten Siegel von Nedap und der Physikalisch-Technischen Bundesanstalt (PTB) waren zwar eine leichte Verbesserung gegenüber den zuvor verwendeten Papiersiegeln, stellen aber kein ernsthaftes Hindernis für einen motivierten Angreifer dar. Für den Wähler sind die Siegel unsichtbar hinter einer Abdeckklappe verborgen. Der Wahlvorstand widmete den Siegeln bei der Inbetriebnahme keinerlei Aufmerksamkeit, selbst eine plumpe Totalfälschung der Siegel wäre nicht aufgefallen.
Die für den Wahlvorstand einzig wichtige Anzeige war das Display des Computers mit dem Stimmzähler. Sobald dieser bei der Inbetriebnahme eine Null anzeigte, wurde der Computer als in Ordnung betrachtet. Damit wurde die Grenze des Verständisses der Wahlhelfer zum Thema "Computermanipulation" deutlich.
Das Stimm-Modul war in den Wahlcomputern ausschließlich durch ein Briefkastenschloß gesichert und somit beliebig gegen ein manipuliertes Modul (z. B. mit verborgenem Manipulationsprozessor) austauschbar. Dieser Angriff würde nicht einmal einen Austausch der Software im Wahlcomputer erfordern. Lediglich eine Kopie der korrekten Wahlkonfiguration hätte in das manipulierte Modul kopiert werden müssen.
Der Prüfbericht lag dem Wahlcomputer als Ausdruck bei. Ein Außentäter hätte diesen Ausdruck problemlos gegen eine Fälschung austauschen können, die zu seiner manipulierten Software paßt. Dazu wäre nur ein kurzer Zugriff auf den Wahlcomputer vor der Inbetriebnahme nötig gewesen. Selbst ein Austausch der Software ohne gefälschten Prüfbericht und ohne Simulation der korrekten Prüfsumme ("Checksumme") wäre nicht aufgefallen, da nicht einmal die Prüfsumme der Software vor Ort im Wahllokal verifiziert wird. Durch die Überwachungslücke bei der Anlieferung ist dies ein realistisches Angriffsszenario.
Eine Bedrohungsanalyse für Wahlfälschungen ergibt, daß Manipulationen von Wahlen meist von Innentätern, wie Politikern, die wiedergewählt werden wollen, ausgehen. Demnach müssen sich die Sicherheitsmaßnahmen eines Wahlsystems auf die effektive Verhinderung von Innentäter-Angriffen konzentrieren. In der Praxis kann dies nur durch Öffentlichkeit und eine mehrstufige transparente Kontrolle geschehen.
Die Vorbereitung und Konfiguration der Wahlcomputer in Cottbus fand im nicht öffentlich zugänglichen zentralen Wahlbüro statt. Die Wahlvorstände vor Ort hatten keinerlei Möglichkeit zu prüfen, ob die Software auf dem Wahlcomputer korrekt ist und der vorgeschriebenen Version entspricht. Ein Innentäter im zentralen Wahlbüro riskiert also nicht, daß seine Manipulation im Wahllokal entdeckt wird.
Inwieweit im zentralen Wahlbüro organisatorische Sicherheitsmaßnahmen ergriffen wurden, die Manipulationen erschweren, ist mangels Zugang der Öffentlichkeit nicht überprüfbar gewesen. Hier herrscht offenbar noch immer das Prinzip "security by obscurity" statt die vom Gesetzgeber geforderte Transparenz und Nachvollziehbarkeit.
Eine nach der Veröffentlichung des CCC-Prüfberichts extra anberaumte Verifikation der Software der Cottbusser Wahlcomputer fand durch die Physikalisch-Technische Bundesanstalt statt. Nach welchen Kriterien und mit welchen Prüfmethoden hier vorgegangen wurde, war nicht zu erfahren. Schon bei der Zulassung der Nedap-Wahlcomputer konnte die PTB keine ernsthafte Überprüfung der Systemsicherheit vorweisen, wie die vom CCC vorgelegte Sicherheitsanalyse zeigt. [1] Blindes Vertrauen in die Experten der PTB ist hier demnach fehl am Platze.
Die beiden Schlüssel für die Freischaltung der Wahlcomputer, die eigentlich von zwei Wahllhelfern getrennt aufbewahrt und gehandhabt werden sollten, wurden häufig entweder von einer Person verwahrt oder lagen einfach auf dem Tisch herum. Abgesehen vom lächerlichen Schutzgrad der Schlösser war so nicht einmal die technische Absicherung des Vier-Augen-Prinzips für wesentliche Bedienhandlungen gegeben.
Im Vorfeld wurde seitens der Kreiswahlleiterin Frau Sabine Hiekel explizit die Herausgabe der Liste der Wahllokale verweigert. Dies kann nur als Versuch gewertet werden, eine öffentliche Beobachtung der Wahl zu erschweren.
Die Beobachtung der Inbetriebnahme der Wahlcomputer war jedoch weitgehend problemlos möglich. In einigen Stimmbezirken bedurfte es allerdings telefonischer Rücksprache mit der Wahlleitung, bevor die Inbetriebnahme beobachtet werden durfte.
In mindestens einem Wahllokal verweigerte der Wahlvorstand zunächst die öffentliche Verlesung des Wahlergebnisses und den Einblick in den Ausdruck mit dem Stimmergebnis. "Ich bin dazu nicht befugt", lautete die so schlichte wie falsche Auskunft des Wahlvorstands. Erst die mehrfache nachdrückliche Wiederholung der Frage und der Verweis auf die Rechtslage führte zu einer äußerst widerwilligen Schnellverlesung der Resultate. In anderen Wahllokalen wurde die "Auszählung" so hastig durchgeführt, daß eine effektive Einsichtnahme der Öffentlichkeit in den Vorgang nicht möglich war.
Die Wahlhelfer unterschrieben das Wahlprotokoll, obwohl sie vorher noch keine Kenntnis von den gezählten Stimmen hatten. Erst auf Nachfrage nahmen sie vom Papierausdruck des Computers Kenntnis. Von einer Auszählung, die gesetzlich vorgeschrieben ist und den Charakter einer öffentlichen Prüfung des Ergebnisses hat, kann durch die vollständig intransparente Handhabung der Wahlcomputer keine Rede mehr sein.
Frau Hiekel verweigerte die Teilnahme der Öffentlichkeit an der Vorbereitung der Wahlcomputer. Da die Konfiguration bereits bis zu zehn Tage vor der Wahl stattfand, steht zu vermuten, daß die Vorbereitung zum Zeitpunkt unserer Anfrage wenige Tage vor der Wahl bereits abgeschlossen war.
Ebenfalls verweigert wurde uns die Begleitung eines Wahlvorstands mit Stimm-Modul und Ergebnisausdruck zum zentralen Wahlbüro. Die Teilnahme am Auslesen der Stimm-Module und damit an der Zusammenzählung der Wahlresultate fand ebenfalls unter explizitem Ausschluß der Öffentlichkeit statt. Frau Hiekel empfand offenbar schon die Frage danach als Zumutung. Hier zeigt sich eine Haltung gegenüber dem Bürger als Wahlbeobachter, die mit dem Amt eines Wahlleiters, der die demokratischen Grundrechte achten und schützen muß, nicht vereinbar ist.
Zusammenfassend ist festzustellen, daß wesentliche Teile der Wahl (Vorbereitung der Wahlcomputer und Summierung der Wahlergebnisse) unter Ausschluß der Öffentlichkeit stattfanden. Die Wahlvorstände in den Stimmbezirken hatten äußerst unterschiedliche Auffassungen von "Öffentlichkeit". Zwischen bereitwilliger Auskunftsfreude und offener Obstruktion war alles anzutreffen. Eine effektive Kontrolle der Wahl war bedingt durch die prinzipiellen Eigenschaften von Wahlcomputern nicht möglich.
Es wurden von uns keine Vorkommnisse beobachtet, die auf eine Manipulation der Wahl hindeuten. Wie der Hergang zeigt, waren wir aber faktisch nicht in der Lage, eine etwaige Innenmanipulation festzustellen, selbst wenn sie stattgefunden hat, obwohl wir als größere Gruppe sicherheitstechnisch versierter Experten an vielen Stellen dreizehn Stunden lang alles beobachtet haben, was wir beobachten durften.
Ein Wahlbetrüger hätte auch aus anderen Gründen ein leichtes Spiel gehabt: Fast alle befragten Cottbusser bringen den Wahlcomputern und den handelnden Personen grenzenloses Vertrauen entgegen, und obwohl etwa jeder Dritte von der Manipulationsanfälligkeit der Geräte aus der Presse gehört hatte, schloß auch diese Gruppe von informierten Wählern jede Manipulation kategorisch aus, ohne dies sachlich begründen zu können. Die zur Entdeckung einer etwaigen Manipulation erforderliche kritische Distanz gegenüber dem Wahlsystem war nur höchst selten anzutreffen. Die wenigen Wähler, die sich über den Einsatz von Wahlcomputern empört zeigten, waren von Beruf ausnahmslos Informatiker.
Fazit: Vertrauen ist gut, Kontrolle nicht möglich.
Anmerkung zur Methodik: Die beschriebenen Vorkommnisse sind durch Beobachtungsprotokolle mehrerer Zeugen oder Audio- und Videoaufzeichnungen belegt. Die Beobachter haben sich ausdrücklich zurückhaltend, freundlich und den Wahlablauf nicht behindernd verhalten. Sie haben sich gegenüber dem jeweiligen Wahlvorstand als interessierte Bürger bzw. Journalisten vorgestellt.