E-Voting: Im Betriebssystem der Demokratie
Thomas Grechenig und sein Team von der Forschungsgruppe für industrielle Software der TU Wien beraten das Wissenschaftsministerium im laufenden Projekt zur Einführung von E-Voting anlässlich der kommenden ÖH-Wahl. ORF.at sprach mit Grechenig über die Herausforderungen, die Wahlen via Internet an Sicherheitstechnik und die betroffenen Institutionen stellen.
Das Projekt von Wissenschaftsminister Johannes Hahn (ÖVP), bei der Wahl zur Österreichischen HochschülerInnenschaft (ÖH) im kommenden Mai eine Option zum E-Voting via Internet einzuführen, ist nach wie vor stark umstritten.
Anhaltende Kritik
So hat sich der ÖH-Bundesvorstand gegen die per Verordnung des Ministers eingeführte Möglichkeit zur Abstimmung übers Netz ausgesprochen. Verhindern kann er das Projekt jedoch nicht. Datenschutzexperte Hans Zeger bezeichnete E-Voting am vergangenen Freitag als "verfassungsrechtliches Problem, das dazu geeignet ist, das Vertrauen der Bürger in demokratische Prozesse zu gefährden".
Die Hochschülerschaftsvorsitzenden der Medizinischen Universität Wien (MUW), der Wirtschaftsuniversität (WU) Wien und der Veterinärmedizinischen Universität Wien (VUW) wiederum sehen in E-Voting "einen Zusatznutzen", der es vielen Studenten überhaupt erst ermögliche, an der Wahl teilzunehmen.
Herausforderung an staatliche Infrastruktur
Thomas Grechenig und Gerald Fischer von der Forschungsgruppe für industrielle Software an der TU Wien (INSO) beraten das Wissenschaftsministerium und das mit der technischen Umsetzung beauftragte Bundesrechenzentrum (BRZ) in Sicherheitsfragen und bei der Integration der technischen Komponenten für das E-Voting-System bei der ÖH-Wahl.
Fischer sieht die Sicherheitsprobleme beim E-Voting als weitestgehend gelöst an. Grechenig plädiert nachdrücklich für die nachhaltige Planung und Implementation einer staatlichen Sicherheitsinfrastruktur für E-Voting und andere E-Government-Anwendungen. Das koste zwar in den ersten Jahren fünf bis zehn Euro pro Bürger, biete aber eine solide Grundlage für weitere Projekte wie den elektronischen Austausch von Gesundheitsdaten.
Zur Person:
Thomas Grechenig ist Professor für Software-Technik und Interaktive Informatik an der TU Wien (INSO). Er leitet die Forschungsgruppe "Industrielle Software-Technik" und ist als international anerkannter IT-Architekt für E-Government-Projekte und gesamtstaatliche IT-Strategie weltweit tätig.
Gerald Fischer ist Mitarbeiter von Prof. Grechenig und Spezialist für elektronische Wahlverfahren. Seine Expertise im wirtschaftlichen und wissenschaftlichen Bereich umfasst darüber hinaus E-Government-Systeme, IT-Großbetriebe, Bankinformatik und Rechenzentren.
Insgesamt sind derzeit sieben bis zehn Personen am INSO mit dem Thema E-Voting beschäftigt.
ORF.at: Welche Aufgabe hat Ihr Team konkret bei Einführung des E-Votings bei der ÖH-Wahl?
Thomas Grechenig: Unsere Aufgabe ist es, das Team im Wissenschaftsministerium zu unterstützen, technologisch zu beraten und aufzupassen, ob die Zulieferer der einzelnen Komponenten ihre Arbeit richtig machen. E-Voting ist aus unserer Sicht ein Integrationsthema. Es sind mehrere technische Komponenten und Systeme, die über einen längeren Zeitraum hinweg koordiniert funktionieren müssen. Wenn Sie in einer Firma ein Geheimnis schützen wollen, nützt es auch nichts, einfach nur einen Safe hinzustellen. Sie brauchen ein Sicherheitskonzept, das potenzielle Einbrüche bei unterschiedlichen Bedingungen und Phasen abbildet und abwehrt. Es geht daher nicht nur um eine gute Wahlsoftware und um den vielzitierten Code Review oder die Bürgerkartenumgebung. Das ist nur die Spitze des Eisbergs. Es sind viele kleine Vorgänge. Die Etablierung eines Sicherheitskonzepts und seine Durchsetzung im ganzen Wahlverfahren ist der wesentliche Mechanismus, der zu prüfen ist, der angemessen funktionieren muss.
ORF.at: Wie lange hatten Sie für die Vorbereitungen zu den ÖH-Wahlen Zeit?
Grechenig: Etwas weniger als ein Jahr. Wir sind zu einem Zeitpunkt zum Team geladen worden, an dem die erste Ausschreibung schon draußen war. Da ist uns aufgefallen, dass vom reinen Wahlverfahren her alles sehr durchdacht und reif war. Aber bei der IT-Infrastruktur darunter gab es noch konzeptive Schwächen. Da haben wir begonnen aufzuwerten.
ORF.at: Aus welchen Komponenten besteht das E-Voting-System?
Gerald Fischer: Da ist zuerst die Wählerevidenz, die eine der wesentlichen Anforderungen in diesem Projekt ist. Dann ist da zum anderen eine technische Infrastruktur, mit der man die Authentifizierung, die Verschlüsselung und so weiter bewerkstelligen kann - die unter anderem aus der Bürgerkarte und den damit verknüpften Modulen besteht. Dann natürlich die Endgeräte der Anwender und die herstellerspezifischen Komponenten. Das Bundesrechenzentrum muss seine Infrastruktur an die Anforderungen des E-Voting-Systems anpassen. Sie müssen sich beispielsweise darum kümmern, dass Denial-of-Service-Attacken verhindert werden. Diese Anforderung wird aber bei einem Betreiber wie dem BRZ schon in vielen anderen betriebenen Applikationen erfüllt. Je nach Granularität der Betrachtung besteht ein E-Voting-System aus fünf bis sieben großen konzeptiven Teilen, die wiederum selbst auch aus vielen Einzelteilen bestehen. Bei einer konventionellen Papierwahl ist das im Übrigen nicht anders.
ORF.at: Es geht auch um die Integration der österreichischen Bürgerkarteninfrastruktur mit der zugekauften E-Voting-Lösung des spanischen Herstellers Scytl.
Grechenig: Wenn Sie mit so einer Software in ein Rechenzentrum hineingehen, dann können Sie nicht einfach diese Software mir nichts, dir nichts auf einem Computer installieren. Sie müssen in vorher genau definierter Form schauen, wo die Komponenten herkommen. Ist es sichergestellt, dass sie nicht korrumpiert wurden? Die derzeit oft sehr kritische öffentliche Prüfung des Wahlverfahrens ist ja durchaus berechtigt und gut. Wir sind auch nicht immer zufrieden, denn Zeit und Geld waren knapp bisher. Aber Techniker sind wohl nie ganz zufrieden, streben nach Perfektion.
ORF.at: Was macht diese Wahlsoftware von Scytl eigentlich?
Fischer: Die Software an sich hat die Aufgabe, den Kern des Wahlvorgangs elektronisch abzubilden. Also: Wer kann gewählt werden, welche Kandidaten und welche Listen. Die Wahlapplikation hat die Aufgabe, dafür zu sorgen, dass nur die Personen, die in der Wählerevidenz stehen, tatsächlich wählen können. Weiters muss sie deren Stimmen an eine elektronische Wahlurne weiterleiten. Die Wahlsoftware dient auch als Schnittstelle in der Mitte, die alle diese Teilsysteme miteinander verbindet. Weiterhin hat sie die Aufgabe, gesicherte Verbindungen aufzubauen, den Wählern eine Webapplikation zur Verfügung zu stellen, die Wahlkommission zu authentifizieren und so weiter. Das sind die Kernaufgaben von diesem System, das aber seinerseits auf vielen Systemen im Hintergrund aufbaut.
ORF.at: Wir reden hier vom Wählen über das Internet, einer offenen Infrastruktur, die einige Sicherheitsprobleme hat.
Fischer: Das ist ein unzulässiges Argument. Das Internet an sich ist offen. Ein geschützter Kanal, der das Internet als Transportmittel verwendet, ist gesichert. Bei jeder großen Infrastruktur, auch wenn sie geschlossen und supersicher ist, müssen Sie damit rechnen, dass Sie auf Ebene der Leitungen nicht mehr alleine sind. E-Voting setzt auf kryptographische Verfahren auf, die in vielen anderen Sicherheitsbereichen ebenfalls sicher funktionieren und akzeptiert sind.
Grechenig: Die Begriffe sicher oder nicht sicher suggerieren in solchen Fällen wohl etwas Falsches. Sie verwenden einfach das öffentliche Netz als Leitungsinfrastruktur. Sozusagen als Autobahn. Sie könnten theoretisch eigene Wahlkabel verlegen, das wäre aber auch nicht sicherer. Die Methode der Verschlüsselung, die gesamte Sicherheitskette ist wichtig. Sie bauen ja auch keine eigenen Straßen, um Geld sicher zu transportieren. Das wäre extrem teuer und gleichzeitig überhaupt nicht sicherer. Billiger ist es, teure Geldtransporter über die öffentliche Straße zu schicken. Wichtig ist das ganze Verfahren, das Sicherheit "erzeugt". Wenn ich mir in Deutschland die Gesundheitstelematik ansehe, dann wird dort ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein speziell gehärtetes Linux-Derivat unter dem Namen Sina verwendet. Das ist ein definierter Standard der deutschen Bundesregierung, um extrem hohe Netzwerksicherheit in öffentlichen Netzen zu erzielen. Keine große Hexerei. Das ist konzeptiv auch schon fünf bis sechs Jahre alt. Aber sehr, sehr sicher. Es sichert alle VPN-Tunnel einer Infrastruktur, die diesen BSI-Standard anwendet. Da kann niemand reinschauen. Wenn jemand das irgendwann knacken sollte, dann wird man nachbessern. Aber so einfach ist das nicht. Bis heute ist das keinem gelungen. Wäre schön, wenn sich die österreichische Bundesregierung auch zu solchen selbstdefinierten Standards, die für alle öffentlichen Projekte und Verfahren gelten, durchringen würde.
Fischer: Wenn Sie eine eigene Kabelinfrastruktur haben, dann werden sie die aus eigenem Interesse zusätzlich mit kryptographischen Verfahren schützen, um vorzubeugen. Der Sicherheitsgewinn, den sie durch eine physisch getrennte Infrastruktur haben, ist marginal.
Thomas Grechenig: Ich will jetzt nicht suggerieren, dass beim vorliegenden E-Voting ähnlich hohe Vorgehensstandards vorliegen wie in der deutschen Gesundheitstelematik. Wir können beim ÖH-E-Voting-Verfahren nicht ähnlich stringent vorgehen wie dort. Das ist ein Zwei-Milliarden-Euro-Projekt, das unvergleichlich komplizierter und größer ist. Wenn dort 300 Millionen Euro in die Sicherheit fließen, dann ist das ein gewaltiges Investitionspotenzial. Hier bei der ÖH-Wahl bildet das BM eine Briefwahl elektronisch ab. Die hat nun einmal verschiedene Stärken und Schwächen. Wir lernen dabei alle dazu. Es gibt zwei Güter des geheimen Wahlrechts. Man muss sicher sein, dass man nicht nachverfolgen kann, was der Wähler gewählt hat. Das zweite ist, dass man sicherstellt, dass jemand nicht gegen seinen Willen dazu gezwungen wurde, seine Stimme für eine bestimmte Liste abzugeben. Diesen zweiten Teil schützt man bei der Briefwahl ja so, indem man den Wähler unterschreiben lässt, dass er nicht beeinflusst wurde. Das kann man auch technisch analog lösen. Es erzeugt einen Druck auf den Wähler, darauf zu achten, dass er beim Wählen nicht beobachtet wurde. Die Briefwahl schwächt diesen zweiten Teil natürlich. So ist das eben: Veränderung bringt immer Vor- und Nachteile. Mit der Infrastruktur, die in dem Projekt ausgeliefert wurde, sind wir nicht an jeder Stelle glücklich. Aber wir gehen lieber offensiv damit um. Wir wollen daraus lernen und E-Voting lieber Stück für Stück sicher machen als irgendwann irgendetwas gezwungen zu schlucken, das man nicht selbst bewusst gestaltet und verbessert hat.
ORF.at: Die Computer der Nutzer sind auch Teil der Infrastruktur. Können die auch alle sicher gemacht werden?
Fischer: Eine absolute Sicherheit werden wir nie gewährleisten können. Das gilt aber auch für die Papierwahl. Auch da kann man sich Angriffe vorstellen, etwa eine gut versteckte Kamera an der Decke der Wahlzelle. Hier geht es um die Authentizität der Wahlsoftware, die an den Client übertragen wird, und alles, was damit zusammenhängt. Man kann zwar nicht sicherstellen, dass der PC, auf dem der Client läuft, sauber ist, aber man kann schon dafür sorgen, dass der Client selbst nicht manipuliert wurde. Das sind die Themen, die die größten Herausforderungen in diesem Projekt darstellen. Wir sind aber so weit, dass wir gewährleisten können, dass entweder keine Manipulation an der Client-Software stattgefunden hat, oder dass wir es merken, wenn die Software manipuliert wurde. Der Code, der auf dem Client-PC läuft, muss signiert sein. Das ist einer der Schlüsselfaktoren. Wenn sich jemand nicht sicher ist, ob sein PC virenfrei ist, dann sollte er einfach die Papierwahl nutzen.
ORF.at: Wenn ich wählen will, brauche ich meine Karte mit Bürgerkartenfunktion und ein Kartenterminal. Außerdem einen PC mit Internet-Zugang. Die Wahlsoftware selbst läuft im Browser?
Fischer: Genau. Die Authentizität der Wahlsoftware wird dabei über eine gesicherte Verbindung überprüft. Für den Wähler soll es ein Minimum an Anforderungen geben. Es soll möglich sein, mit dem Browser zu wählen.
Grechenig: Es wäre außerdem in Hinblick auf E-Voting bei großen Wahlen wie etwa Nationalratswahlen sinnvoll, eine Hotline für interessierte Online-Wähler einzurichten. Die Hotline-Mitarbeiter könnten sich beispielsweise remote in den PC der Wähler einloggen, ihn überprüfen und bei technischen Problemen helfen. Das kostet natürlich mehr Geld. Dazu wäre wohl auch ein Schulterschluss zwischen den politischen Akteuren, ein Konsens der Innovativen nötig. Das Vertrauen der Bürger ist wichtig. Wir müssten Institutionen und Anlaufstellen bereitstellen, die Konkretes zur Vertrauenserhaltung leisten können. Den Wettlauf zwischen Virenprogrammierern und den Herstellern von Virenscannern kennt man. Irgendeine Malware wird es immer geben. Man wird hier Richtlinien und Guidelines ausgeben, denen die Nutzer folgen können, damit die üblichen Risiken vermieden werden. Man kann sich gegen bekannte Attacken gut schützen, etwa dem Szenario, bei dem jemand bei einem Großprovider einsteigt und bei Wahlen ganze Regionen abzuschalten versucht.
Fischer: Dieses Argument kommt auch immer wieder. Es wird aber wahrscheinlich mehr als eine Person draufkommen, dass etwas nicht stimmt, wenn plötzlich ein ganzer Provider oder eine ganze Region vom Netz abgehängt wird. Es gibt viele solcher Szenarien, beispielsweise auch das mit dem riesigen Botnet, das die Wahlen angreifen soll. Die sind teilweise haarsträubend und mehr als an den Haaren herbeigezogen.
Grechenig: Wenn ich nicht vom Fach wäre, würde ich mich fürchten. Weil ich vom Fach bin, ärgern mich rein polemische Beiträge. Amerikanische Wahlcomputer haben beispielsweise rein gar nichts mit der ÖH-Wahl zu tun. Da geht es nur um Stimmungserzeugung. Sachliche Bedenken - etwa die der Verfassungsleute und Wahrechtler - die sind extrem hilfreich. Das Risiko des Super-Netzausfalles oder "großer" Sabotageakte muss man nicht unbedingt technisch behandeln. Bei den ÖH-Wahlen hat man eine schöne organisatorische Variante gefunden, indem die Papierwahl nach dem E-Voting stattfindet. Damit könnte die elektronische Wahl im unwahrscheinlichen Fall der Sabotage für ungültig erklärt werden kann, und die Wähler können nachträglich "papierwählen" gehen.
ORF.at: Man kann auch subtiler vorgehen. Mit Deep Packet Inspection die Kommunikationsmuster der E-Voting-Anwendung erkennen und diese dann gezielt stören, so dass der Anwender frustriert ist und aufgibt.
Fischer: Mag sein, dass man den Wähler frustrieren kann, aber er kann anschließend immer noch auf Papier wählen gehen. Damit sie diese Frustration erzeugen können, müssen Sie einen immens hohen Aufwand betreiben. TCP/IP ist bei uns relativ weit unten im Protokollstack. Wir setzen mit kryptografischen Verfahren wie SSL auf. Diese von Ihnen angesprochenen Angriffe auf die Infrastruktur setzen außerdem voraus, dass es gelingt, beispielsweise in die Zentrale eines großen Rechenzentrums vorzudringen. Das sind alles Dinge, die ein 16-Jähriger nicht eben in der Mittagspause schafft.
Grechenig: Wenn wir anfangen würden, uns schon jetzt gegen alle denkmöglichen Risiken präventiv abzusichern, dann würden uns alle für wahnsinnig erklären. Technologisch würde ich das gerne tun, aber man muss da immer Kosten und Nutzen gegeneinander abwägen. Wenn an einem Wahltag im Winter in ganz Österreich zwei Meter Schnee fallen, dann wird die Wahl wiederholt werden, falls die Wahlbeteiligung bei zehn Prozent landet, weil das ganze Land stillstand.
Fischer: Probleme wie DDOS-Attacken sind der breiten Öffentlichkeit schwer zu vermitteln, weil man dazu dann doch ein tieferes Wissen über die IT-Infrastruktur braucht.
ORF.at: Welche Probleme sind aus Ihrer Sicht noch ungelöst? Wofür brauchen Sie noch Unterstützung?
Grechenig: Ich persönlich würde mir ganz generell für elektronische Wahlen eine Projektführung wünschen, die alles, was gerade im IT-Projekt passiert, so rasch wie möglich transparent stellt, damit Bürger und Experten sich über die Vorgänge informieren können. Das würde aber drei- bis viermal so hohe Mittel erfordern wie jene, die üblicherweise budgetiert werden. Man bräuchte eine Projektführung, die alle Dokumente rasch freigibt - ausgenommen die, bei denen man sich entscheidet, sie aus sicherheitstechnischen Gründen nur einem ausgewählten Personenkreis zur Verfügung zu stellen. Die Kosten dafür wären zwar hoch, aber ich würde mir wünschen, dass sich jedermann über den aktuellen Stand des Projekts jederzeit informieren kann. Klar ist auch, dass das viel aufwändiger ist, weil sie gewissermaßen jede Woche technische Gesamtbilanz machen müssen. In der Vorplanung des E-Votings bei ÖH-Wahlen hatte man nicht mit so viel Aufsehen und Öffentlichkeit gerechnet. Das zieht sehr viele Ressourcen ab für Spezialplanungen, Öffentlichkeitsarbeit, Projektdynamik und Beratung der Interessensgruppen. Ich freue mich aber über jeden qualifizierten Vorschlag, wie man das System angreifen könnte, weil wir es hier mit einem Testfall und Lernfall zu tun haben. Wenn mir jedoch jemand sagt, dass Wahlmaschinen unsicher seien, dann kann ich damit nichts anfangen, weil wir es hier nicht mit Wahlmaschinen zu tun haben. Wenn mir dagegen jemand sagt, dass der Security-Layer der Bürgerkartenumgebung nicht gut genug ist - wir haben auch bei uns einzelne Techniker, die dieser Ansicht sind - dann höre ich mir das an und schaue nach, ob das in dem Projekt eine Rolle spielt. Es gibt schon eine große Zahl von Fragen, die vorab im professionellen Kreis diskutiert werden sollten. Das selektive Hochhalten von Risikopotenzialen erweckt den Eindruck, als wäre das alles unsicheres Treibholz. Das ist aber nicht der fachliche Realstand. Die Sicherheitsprobleme im E-Voting sind lösbar.
ORF.at: Wir reden hier sozusagen vom Betriebssystem der Demokratie. Inwiefern sind Sie und Ihre Kollegen als IT-Experten auf die Macht und die Verantwortung vorbereitet, die mit der Einführung von E-Voting auf Sie übergeht?
Grechenig: Diese Verantwortung können wir natürlich nicht allein und direkt schultern, aber wir können unseren Teil leisten. Ich persönlich sehe das so, dass es in der Informationstechnik mehrere Themen gibt, die öffentliche Aufmerksamkeit auf sich ziehen, die insgesamt zum großen und wichtigen Bereich der kritischen IT-Infrastruktur eines Landes gehören. Das Thema wird im politischen Topmanagement unterschätzt. E-Voting gehört dazu oder auch z. B. die Frage, wie man mit Gesundheitsdaten aller Bürger umgeht. Es geht darum, diese kritische IT-Infrastruktur eines Staates qualifiziert sicherzuhalten und rechtemäßig gut aufgeteilt zu gestalten, so dass es ein Gleichgewicht zwischen den Rechten der Bürger und des Staates gibt. Dazu brauche ich eine Denkweise, die der modernen IT auch würdig ist. Da wünsche ich mir im Bundeskanzleramt, im Innenministerium und an anderen Stellen, die für (IT-)Sicherheit verantwortlich sind, Vorgehensweisen, die aus meiner Sicht heute noch nicht ausreichend existieren. Wir brauchen dort zentrale Budgets für konkrete IT-Projekte. Die Leute, die heute im Bundeskanzleramt an IT-Fragen arbeiten, sind hochkompetent, aber sie sitzen nicht in den Projekten im Feld. Das ist schlecht. Wenn ich eine IT-Infrastruktur aufbaue, dann muss ich diese Leute mit einem Budget ausstatten und mit ihren konkreten Vorstellungen und Standards in den Projekten arbeiten lassen. Deutschland ist mit dem Bundesamt für Sicherheit in der Informationstechnik hier schon weiter. Ich habe nichts davon, wenn ich eine Sicherheitsstruktur fürs E-Voting habe, eine zweite im Gesundheitssystem und eine dritte im Innenministerium. Das kostet viel Geld, ist nicht homogen und damit langfristig weniger sicher als es mit gleichen Mitteln möglich wäre.
ORF.at: Sollte das nicht die Bürgerkarteninfrastruktur leisten?
Grechenig: Die ist ja nur ein kleiner Teil des Systems. Die Bürgerkarteninfrastruktur ist kein Regierungsnetzwerk. Fragen Sie mal nach, welche Sicherheitsarchitektur der Elektronische Akt in Österreich hat. Da werden Sie sicherheitstechnisch nichts Außergewöhnliches hören. Da passiert halt im Moment nichts, weil die Nutzung noch nicht besonders breit und effektiv ist. Man müsste das konzentrierter angehen: Wenn man beispielsweise 300 Millionen Euro über fünf bis zehn Jahre zur Verfügung hätte, an einer zentralen Stelle, die dafür verantwortlich ist, und an der niemand vorbei kann, und mit der die Projekte gemeinsam aufgebaut werden, dann könnte man eine vernünftige gesamtstaatliche Sicherheitsarchitektur aufbauen. Als ein Beispiel könnte da E-Voting dienen. Natürlich brauche ich - wenn Sie vom Betriebssystem der Demokratie reden - ein eigenes Wahlrechenzentrum, das eine eigene IT-Infrastruktur unterhält. Damit gehe ich langfristig nicht zu einem Lieferanten. Da muss man so viele Auflagen stellen, dass man gar nicht fertig wird mit dem Erfüllen. Was ich mittelfristig benötige, ist eine Stelle, an der dieses Betriebssystem politisch und rechtlich zu Hause ist, mit entsprechenden organisatorischen und personellen Strukturen sowie eigene Wahlrechenzentren hochfahren. Da müsste man zentral unter dem Stichwort kritische IT-Infrastruktur mehr investieren. E-Voting ist da nur ein kleines Beispielprojekt.
ORF.at: Sie sehen das also als Aufgabe des Staates. Als einen Auftrag, den man nicht outsourcen kann.
Grechenig: Das kann man überhaupt nicht outsourcen. Welcher Private soll das denn machen? Das muss der Staat selbst einrichten und steuern. Man muss hierzu eine Task Force aufbauen. Die politisch Verantwortlichen haben noch nicht akzeptiert, dass man hier erst relativ viel vorinvestieren muss. Das muss auf ganz hohem Niveau mit den richtigen Leuten aufgebaut werden. In Deutschland ist man konzeptiv weiter. In Österreich ist man allerdings, das muss man korrekterweise deutlich festhalten, im Bezug auf die Umsetzung in Projekten weiter. Wir sind sehr gut im Feld, im Umsetzen. Aber wenn es darum geht, wie wir unsere informationelle Selbstbestimmung verteidigen, wie wir unsere Bürger gegen Verbrecher oder Geheimdienste verteidigen, die unsere Daten abzapfen wollen, da haben wir Nachholbedarf. Da sollte man von zentraler Stelle ruhig mutiger sein und entsprechend budgetieren.
ORF.at: Die Angst vor Manipulationen bleibt aber. Wie wollen Sie verhindern, dass eine Regression in eine Art Technoschamanismus stattfindet und nur noch ein kleiner Zirkel von Spezialisten darüber entscheidet, ob Wahlen korrekt abgelaufen sind und die Regierung auch wirklich demokratisch legitimiert ist?
Grechenig: Wie bereits gesagt: Mit einer über alle Maßen transparenten Projektführung. Kernteile der Software müssen auf eine Art und Weise geschrieben sein, dass sie für die meisten Menschen, die programmieren können, gut verständlich sind. Es gibt aber auch noch ein anderes Verfahren, mit dem man schrittweise Vertrauen aufbauen kann. Wir hatten neulich beim E-Voting-Beirat einen sehr interessanten Beitrag von Karl Korinek, den ehemaligen Präsidenten des Verfassungsgerichtshofs. Korinek ist sehr skeptisch, was E-Voting angeht. Man kann solche Bedenken nur dann auffangen, wenn die Gremien, die sich um E-Voting kümmern, nicht nur mit Technikern besetzt sind. Man muss das Thema integriert bearbeiten. Ich muss das ganze System betrachten und sehen, wie es sich im Lauf des Prozesses verändert. Es kann nicht sein, dass der Techniker mit dem System davonläuft. Der Techniker ist Aufklärer, aber er ist auch Lieferant und gewissermaßen Knecht. Er darf nicht die Leitung übernehmen. Wenn Korinek nachfragt, wie es beim E-Voting mit dem Wahlgeheimnis aussieht, dann muss klar sein, dass der Techniker schnell mit der Lösung zur Stelle sein sollte, dass man einen Disclaimer anbringt, den man anklicken muss. Die Hüter des Wahlgeheimnisses fragen und schaffen an. Der Techniker erläutert und führt aus. Auch hier geht es letztlich um Integration, allerdings sind die Antworten nicht so schnell zu finden. Die Beteiligten müssen sich in fachlich breit gestreuten Arbeitsgruppen zusammenfinden und das Thema diskutieren. Deshalb brauchen wir eine lange Vorlaufzeit. Ich glaube nicht, dass wir heute unmittelbar zu jenem finalen Ratschluss finden, mit dem wir in der Zukunft elektronische Wahlen sicher und garantiert unangreifbar machen. Das geht nur über den Weg einzelner Wahlverfahren, die man konkret durchführt und daraus lernt. Es geht nicht um Theorien, sondern darum, es zu implementieren und daraus zu lernen. Sie können tolle Kommissionen einsetzen, die lange und ausführlich darüber diskutieren. Aber wenn die nichts Konkretes tun, dann ist all das wenig wert. Gutes E-Voting entsteht, indem man in der Praxis anhand von zwei, drei Verfahren lernt, wie es gut und besser funktioniert. Man wird nur schrittweise besser. Dieser Prozess muss alle relevanten Institutionen der Gesellschaft einschließen. Er darf niemals technikgetrieben sein. Die Führung muss von denen kommen, die etwas vom Wählen selbst verstehen.
ORF.at: Egal wie gut dieser Prozess ist, man gibt damit aber doch die grundsätzliche Möglichkeit auf, dass jedermann die Stimmen zählen und die Wahlen überprüfen kann.
Gerald Fischer: In Österreich haben Sie diese Möglichkeit ohnehin nicht. In Deutschland schon.
Grechenig: Was würde sich denn der Bürger wünschen? Da ist die wesentliche Frage. Wenn der Bürger beziehungsweise der Wahlexperte, Verfassungsjurist, Parteienvertreter weiß, was er sich wünscht, dann gibt es aus technischer Sicht eine Lösung. Man könnte das dann im System berücksichtigen. Auch das Zählen der Stimmen. Sie können praktisch jeden realen Vorgang auch elektronisch "nachempfinden". Aufwand und Nutzen sind natürlich abzuwägen.
ORF.at: Bei Papierwahlen verlässt man sich ja auf die Wahlkommissionen, in denen die Parteien vertreten sind. Nach dem Motto: Die Parteien sind einander so spinnefeind, dass die Wahl wohl in Ordnung ist, wenn die sich auf das Ergebnis einigen können. Brauchen die Parteien jetzt auch hochspezialisierte E-Voting-Experten?
Grechenig: Eigentlich schon. Jede Partei müsste sich einen Experten ihres Vertrauens holen, der beurteilen kann, ob der Prozess korrekt abgelaufen ist. Je mehr wir über das technische Verfahren des elektronischen Wählens in Erfahrung bringen, desto mehr Transparenz wird auch entstehen. Das ist heute noch nicht vorhanden. Das muss man schrittweise verdichten. Man kann sich schon eigene Kommissionen vorstellen, die beobachten, ob im Rechenzentrum und an anderen Stellen alles korrekt abläuft.
ORF.at: Also eine spezielle E-Voting-Kommission?
Grechenig: Nein, eher als Teil der konventionellen Wahlkommission. Ich halte nichts davon, eigene Ämter dafür zu schaffen. Wir müssen das Verfahren so weit kriegen, dass es den konventionellen Instanzen dient. Natürlich werden die dann verstärkt werden müssen. Auch hier muss migriert werden. Wenn dort mehr zu tun ist, muss man auch mehr investieren. So weit sind wir an der Stelle noch nicht. Ein gemischtes System erzeugt anfangs einfach Mehraufwand.
Fischer: Auf der einen Seite fordert man von einem E-Voting-System, dass es so sicher ist, dass es nur mit enormer Fachkenntnis und riesigem Aufwand betrieben werden kann. Andererseits sollte es von jemandem, der in seinem Leben noch nie etwas von Kryptographie gehört hat, kontrolliert werden können, wobei das Vertrauen aus dem technischen Verständnis erwachsen soll. Das ist klarerweise ein starker Widerspruch.
Thomas Grechenig: Ich bin dafür, die erforderliche Kompetenz in der Wahlkommission anzusiedeln.
Fischer: Ja, aber man muss dann in der Wahlkommission erst das Vertrauen schaffen, dass das technische System gut funktioniert.
Grechenig: Ein Großteil der Bürger weiß auch nicht, dass die Parteien auch heute schon Zugang zur kompletten Wählerevidenz haben. Und damit auch zur Meldeadresse. Unser Wahlsystem gibt den Parteien durchaus viele Rechte. Man müsste auch mal bei den Parteien nachschauen, wie sicher deren jeweilige Wählerevidenzen sind.
ORF.at: Im aktuellen Regierungsprogramm steht ja, dass eine zentrale digitale Wählerevidenz erstellt werden soll.
Grechenig: Das ist angedacht und geplant.
ORF.at: Das ist die Voraussetzung für bundesweites E-Voting.
Grechenig: Ich werde die Ernsthaftigkeit dieses Unternehmens daran messen, wie hoch es budgetiert wird. Wenn da, sagen wir, von zwei Millionen Euro die Rede ist, dann wird es sich um ein Software-System handeln. Wenn da der fünffache Betrag aufgeführt ist, dann ist es im Sinne des "Betriebssystems der Demokratie" angemessen. Damit kann man ein ganzes Wählerservice schaffen. Das ist viel mehr als eine nackte Wählerevidenz. Durch die Transformation eines großen Wahlvorgangs in elektronische Formen gibt es so viele Randprobleme, die plötzlich auftauchen, an die man nicht denkt. Mit zehn Millionen könnte man adäquate Technologie beschaffen und gute Leute einstellen. Hier geht es nicht darum, schlau zu improvisieren! So wie das derzeit läuft, stehen der Aufmerksamkeit, der öffentlichen Bedeutung sowie dem merkbaren Schutzbedürfnis des Themas E-Voting keine angemessenen Mittel zu Verfügung. Wenn der Staat dagegen sagt: Das ist mir wirklich wichtig, dann muss er da angemessen investieren. Und zwar so, dass zumindest zehn Profis, die 15 bis 20 Jahre Industrieerfahrung mit heiklen Sicherheitsthemen haben, zur Verfügung stehen. Geführt von jemandem, der weiß, wie er sie führen muss. Machbar ist das Thema und mit entsprechender Ernsthaftigkeit und Nachhaltigkeit auf ganz hohem Niveau.
ORF.at: Und man muss die Leute so gut bezahlen wie, sagen wir, die Banken.
Grechenig: Genau. Wenn man das Thema ernst nimmt, dann müsste man dafür so viel Geld in die Hand nehmen wie die Banken. Wenn man sagt, dass man E-Voting macht, dann muss man sich als Staat natürlich schützen und die Verantwortung wahrnehmen. Und auf diesem Markt stehen sie in Konkurrenz zu privaten Unternehmen mit denselben Problemen, die aber willens sind, dort zu investieren. Die Hälfte kriegen Sie mit Goodwill, aber auf der anderen Seite müssen Sie die Leute, das Know-How, die Profis auch einkaufen.
ORF.at: Was kostet das?
Grechenig: Bei Nationalratswahlen würde ich in investiertes Geld pro Wähler rechnen. Nach einer Kette von Erfahrungen bei bundesweiten Wahlen wird man die Infrastruktur haben, dann wird es mit jedem Wahlgang billiger. Aber am Anfang muss man sehr viel investieren. Zur ÖH-Wahl werde ich betreffend Aufwände nichts sagen, da muss ich Sie an den Auftraggeber verweisen. Die Realrechnung ist relativ, weil viele Leute ihr Know-how unentgeltlich einbringen. Es ist nicht alles komplett ausfinanziert. Das Projekt erbringt ja eine Reihe von Querleistungen für andere landesweite elektronische Wahlgänge. Wenn ich das real ausbudgetieren und industriell belegen müsste, um eine ÖH-Wahl vernünftig sicherzumachen, würde ich eineinhalb Jahre vorher anfangen wollen und größenordnungsmäßig fünf bis sechs Millionen Euro investieren. Die ÖH-Wahlen sind eher komplexe Wahlen - und ich bin Techniker und wünsche mir daher immer viel plus Risikoaufschläge. Aber unter der Hälfte würde ich es ungern machen. Bei einer Nationalratswahl ist die Frage deswegen schwer zu beantworten, weil wir heute keine wirklich vollständige Infrastruktur im Sinne eines "Betriebssystems der Demokratie" haben. Den Aufbau für diese Infrastruktur würde ich auf fünf bis zehn Euro pro Bürger schätzen. Pro Wahlberechtigten. Das ist die Größenordnung. Die Frage ist, was wollen Sie mit der Infrastruktur tun? Wenn Wählen ein "heiliges Gut" ist und Sie ein großes Projekt daraus machen mit darauf spezialisierten Mechanismen auf der Bürgerkarte, die nichts anderes tun, und man eine Art permanentes Wahlkuvert an jeden Bürger schickt, dann ist das ein nationales IT-Projekt. Da kalkuliere ich zwischen fünf und hundert Euro pro Bürger. Bei hundert Euro pro Bürger habe ich für jeden die persönliche Gesundheitsakte für jeden Bürger mit dabei. Das wäre ein Projekt über vier bis sechs Jahre Aufbauzeit. Mit den besten international ausweis- und verkaufbaren Sicherheitsmechanismen. Es ist zu teuer, eine solche Infrastruktur nur für Wahlen allein aufzubauen. Gleichzeitig brauche ich aber diese Art von IT-Infrastruktur, wenn ich sicherheitstechnisch top sein will. Deswegen bin ich so vorsichtig mit Festlegung auf einen festen Betrag. Es kommt darauf an, auf welche Komponenten ich aufbauen kann. Bei einer Wählerevidenz würde der Staat vielleicht zwei Millionen budgetieren. Ich würde zehn nehmen und noch andere Dinge mit hineinpacken wollen. Wenn ich alles auf einmal machen kann, wird es billiger. Wenn man schrittweise, inkrementell vorgeht, wird es teuer. Weil Zielrichtung und Steuerung stärker schwanken. Dort liegt die operative Schwierigkeit. Persönlich glaube ich, dass man als IT-bewusster, moderner Staat über die nächsten fünf bis zehn Jahre größenordnungsmäßig fünf bis zehn Euro pro Bürger jährlich in den Aufbau einer solchen zentralen Infrastruktur investieren sollte. Wir sind ja in einem Zeitalter, wo wir alle Industrie, Konsumenten, öffentliche Verwaltung ein großes informationstechnisches Verkehrsnetz etablieren. Gute Verkehrsregeln und Sicherheitseinrichtungen müssen uns etwas wert sein. Wilder Westen und Selbstjustiz auf der Datenautobahn ist kein zweckmäßiges Zielszenario. Man würde sich dafür Geld in anderen Projekten ersparen. Das ist aber in der ausgesprochenen Form nicht mehr als das Wunschkonzert eines vielgereisten Ingenieurs.
ORF.at: Warum wollen Sie eine solche Infrastruktur aufbauen?
Grechenig: Alles, was ich mir hier wünsche, ist die (Informations-)Rechte des Bürgers beschützt zu sehen. Was auch immer wir bauen, es muss das Recht des Bürgers auf seine eigenen Daten erhalten bleiben. Diese zentrale Sicherheitsarchitektur und Infrastruktur, von der ich da spreche, hat nur den Zweck, unsere europäischen Bürgerrechte in diesem System zu erhalten. Mir wäre das Bundeskanzleramt als Koordinationsstelle für ein solches Vorhaben lieber als das Innenministerium, weil das traditionell auch andere Aufgaben hat, und der Sicherheitsapparat traditionell ein anderes Verhältnis zum Bürger haben muss als etwa Soziales und Gesundheit. Die denken anders. Müssen sie auch. In Österreich müssen demnächst rund 12.000 dezentrale Sicherheitskomponenten bei den Ärzten ausgetauscht werden. Ich finde es bedenklich, dass das Bundeskanzleramt in so einem Projekt nicht steuern kann. Denn diese Geräte definieren ganz stark staatliche Infrastruktur. Wir haben diese Komponenten selbst teilweise mitgestaltet vor fünf Jahren. Ich könnte diese Geräte nehmen und daraus Wahlendgeräte machen, die wirklich sicher sind. Nur das wiederrum kann und soll die Gesundheit nicht bestimmen. Sie verstehen: der Aufbau von zwei, drei IT-Infrastrukturen in einem kleinen Land ist zu teuer und der Schwanz, etwa das Gesundheitssystem, sollte nicht mit dem Hund, also allen anderen Bereichen der staatlichen Verwaltung wedeln.
ORF.at: Mich erinnert das Problem mit den Datenspeichern ja immer an die Atomkraft: Großprojekte ohne Technikfolgenabschätzung, Gesundheitsakten, die wie Atommüll in Endlagerstätten vor sich hinstrahlen.
Grechenig: Bei Gesundheitsakten ist es vergleichbar. Weil mit größeren gestohlenen Mengen von Gesundheitsakten haben Sie die Analogie der langen Halbwertszeit. Die betroffenen Menschen müssen sprichwörtlich das Zeitliche segnen, bis es beinahe uninteressant ist, was in diesen Akten steht. In so einer grundsätzlichen Frage hätte ich gerne das Bundeskanzleramt mit einer anständigen Task Force involviert, um beispielsweise eine beschlagnahmefeste, verteilte IT-Infrastruktur zu schaffen. Dazu braucht es aber schlaue Köpfe, relevantes Budget und nicht einfach einen Lieferauftrag an einen der großen auf dem Markt. Das können die alle nicht wirklich, weil es das in dieser Form noch nicht gibt: Neutral, der Staat schützt die Datenhoheit des Bürgers, der Staat evolviert die informationelle Selbstbestimmung des Bürgers. Was kommt heraus, wenn Google und IBM gemeinsam das Gesundheitswesen erobern wollen? Maximierung der Marktdurchdringung und Verwertbarkeit. Das ist okay, deren Profession, deren Rolle. Aber irgendwer muss da denn doch die Rechte des Bürgers auf Augenhöhe beschützen. Das können nur die etablierten Institutionen der öffentlichen Verwaltung.
ORF.at: Finden Sie E-Voting gut?
Grechenig: E-Voting ist nicht gut und nicht schlecht. Ich halte es aber für äußerst unwahrscheinlich, dass man in zehn bis zwanzig Jahren keinerlei elektronische Wahlverfahren im öffentlichen Bereich haben wird. Deswegen glaube ich, dass es wichtig ist, mit dem Thema offensiv umzugehen und zu zeigen, wie gutes und sicheres E-Voting herzustellen ist. Persönlich oder für uns als Forschungsgruppe ist das E-Voting ein guter Beispielfall, um darauf hinzuweisen, dass Informationstechnik und staatliche Infrastruktur ein virulentes Thema ist, mit dem man bewusst umgehen muss. Es ist ein gutes Thema, um Öffentlichkeit für andere Themen zu schaffen. Ich kann es so sagen: Ich finde E-Voting nicht schlecht.
ORF.at: Bundes-CIO Reinhard Posch hat gesagt, dass E-Voting auf Bundesebene im Rahmen der nächsten zehn bis zwölf Jahre kommen wird. Ist das realistisch?
Grechenig: Es ist vorsichtig formuliert. Wenn man es will, kann man es rascher tun. Persönlich glaube ich, dass man die nächste Nationalratswahl dazu verwenden könnte, ein stilles Begleitprojekt zu machen, im Sinne einer Simulation. Man kann natürlich vonseiten der Politik auch sagen: Wir legen das auf Eis, auch nach den Testwahlgängen. Letztlich ist das keine technische, sondern eine politische Entscheidung. Die IT-Revolution hat eine lustige Eigenschaft. An manchen Stellen geht sie wahnsinnig langsam. Andere Dinge kommen dann aber sehr schnell. Wenn wir auf der Consumer-Industrie-Ebene aufgrund kommerzieller neuer Möglichkeiten eine sichere Infrastruktur in den nächsten drei, vier Jahren ins Feld kriegen, dann könnte beispielsweise E-Voting einfach eine der Transaktionen sein, die im Rahmen von sicheren Payment-Verfahren locker über die Bühne gebracht werden kann. Wenn wir E-Voting zur nächsten Nationalratswahl haben wollen, dann müssten wir spätestens in einem Dreivierteljahr schwer Gas geben. Dann wäre es noch machbar.
(futurezone/Günter Hack)