E-Voting-Konzept für Bürgerkarten-User
Das österreichische Konzept für Wahlen via Internet sieht vor, dass sich die Nutzer über die Bürgerkartenfunktion gegenüber dem System authentifizieren. ORF.at sprach mit Thomas Rössler, der in seiner Dissertation ein Konzept für Internet-Wahlen im Rahmen der heimischen E-Government-Strategie entworfen hat, über Anonymität und Sicherheit bei Internet-Distanzwahlen.
Die Einführung von E-Voting, also der Stimmabgabe bei Nationalratswahlen über das Internet, ist in Österreich umstritten. Im Frühjahr 2009 soll ein erster Testlauf anlässlich der Wahl zur Österreichischen Hochschülerschaft (ÖH) stattfinden. Die ÖH-Bundesvertretung ist dagegen, Wissenschaftsminister Johannes Hahn (ÖVP) dafür.
Das österreichische E-Voting-Konzept wurde an der TU Graz unter der Ägide von Reinhard Posch entwickelt, der im Bundeskanzleramt für IT-Fragen zuständig ist. Es ist in das österreichische E-Government-Konzept integriert und sieht demgemäß die Identifikation des Wählers über die Bürgerkartenfunktion vor.
ORF.at sprach mit Rössler, der im Rahmen seiner Dissertation das EVITA genannte Konzept für Internet-Wahlen in Österreich skizziert hat.
Zur Person:
Thomas Rössler ist Informatiker und promovierte an der TU Graz bei Reinhard Posch und Rüdiger Grimm zum Thema E-Voting im Rahmen des österreichischen E-Government-Gesamtkonzepts. Rössler arbeitet im Bereich E-Government und IT-Sicherheit am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz.
Rösslers Dissertation, auf die im Text Bezug genommen wird, ist über den Link am Ende seiner Publikationsliste abrufbar.
ORF.at: Sie haben im Rahmen Ihrer Dissertation ein E-Voting-Framework mit dem Namen EVITA entwickelt. Wie sind Sie dazu gekommen, sich mit E-Voting zu beschäftigen?
Thomas Rössler: Wir haben uns an der TU Graz mit E-Voting schon seit längerem beschäftigt. Wir durften etwa im Rahmen der Arbeitsgruppe des Innenministeriums sowie an den Empfehlungen des Europarats zu E-Voting mitarbeiten.
Die Synergieeffekte zwischen E-Voting und E-Government liegen mit dem Element der Bürgerkarte quasi auf der Hand. Österreich ist im E-Government Spitzenreiter in Europa, und gerade die Bürgerkarte bietet für die Identifikation und Authentifizierung der Einzelpersonen eine hervorragende Basis. Wir haben uns gefragt, wie man das Identitätsmanagement unseres E-Government-Konzepts mit den Bereichsidentifikatoren auf ein E-Voting-Konzept umlegen kann.
Die technische Herausforderung bestand darin, mit den Java-Bibliotheken, die man für das E-Government und die Bürgerkarte schon hat, eine Gesamtlösung zu erarbeiten. Dieses Konzept, das wir auf den Namen EVITA getauft haben, setzt auf einem sehr hohen Abstraktionslevel an. Es nützt nichts, eine Technologie in den Vordergrund zu stellen und sie in ein vorgegebenes Schema zu pressen.
Es geht darum, zu bewerten, welche Anforderungen man an die Registrierungsprozedur hat, wie man Wähler identifiziert und was man tun muss, um die Sicherheit gewährleisten und Vertrauen herstellen zu können. Wir sind davon ausgegangen, dass wir nur den Baukasten des E-Government-Systems zur Verfügung haben.
ORF.at: Wie kann man sich ein E-Voting-System für Österreich vorstellen?
Thomas Rössler: Wichtig ist, dass man den Prozess so betrachtet, wie er von den Bürgern gelebt wird. Man muss dem Wähler etwas anbieten, was er schon kennt. Die Briefwahl gibt es bereits. Man sollte den Vertrauensbonus, den die bestehenden Systeme wie die Briefwahl haben, nutzen und sie technisch so abbilden, dass man an bestehendes Vertrauen anknüpfen kann. Das ist der erste Schritt. Auf organisatorischer Ebene geht es dann darum, die Wahlphasen zu definieren. Wir haben sie in die Registrierungsphase und die nachgelagerte Wahlphase aufgeteilt. Dadurch hat man eine Vorgabe dafür, was man technisch tun muss, um beispielsweise doppelte Stimmabgaben zu verhindern oder etwas gegen das Family-Voting-Problem, also den Einfluss Dritter auf das Stimmverhalten von Wahlberechtigten, zu unternehmen. Ich persönlich kann mir gut vorstellen, dass man den E-Voting-Prozess in Österreich in zwei Phasen trennen wird.
ORF.at: Eine Briefwahl ist dennoch etwas anderes als ein E-Voting-System. Das Vertrauen ist nicht eins zu eins übertragbar.
Thomas Rössler: Im nächsten Schritt geht es dann schon um die technische Ebene. Die komplexen kryptographischen Vorgänge bei der Verschlüsselung der Stimmen sind nicht für jeden nachvollziehbar.
Um beweisen zu können, dass das System sicher ist, benötigt man eine unabhängige Prüfinstanz. Die Zertifizierungsschemata gibt es bereits, und sie sind beispielsweise der technische Ankerpunkt für Signaturerstellungskomponenten. Die digitale Signatur ist der händischen Unterschrift rechtlich bereits gleichgestellt.
Diesen Prozess sichert man mit technischen Zertifizierungen der eingesetzten Software- und Hardware-Systeme. Das heißt, ich muss als Wähler nicht wissen, wie das System funktioniert. Ich vertraue der unabhängigen Prüfinstanz, die das angesehen und evaluiert hat. Wenn das Prüfsiegel drauf ist, habe ich einen gewissen Vertrauensbonus. Außerdem muss jemand das System auditieren und die Wahl beobachten.
Jemand muss das Rechenzentrum betreiben, wie beispielsweise bei ÖH-Wahlen. Ob der Betrieb dort sicher und zertifiziert ist, muss durch unabhängige Dritte sichergestellt werden. Jedem Wahlsystem, ob elektronisch oder auf Papier, muss eine Art von Gewaltenteilung zugrunde liegen. Man hat immer in letzter Instanz Beobachtungsorgane und Auditiervorgänge durch unabhängige Dritte oder Kreise, die gegenläufige Interessen haben, wie etwa die Parteienvertreter in den Wahlkommissionen.
Die werden sich gegenseitig auf die Finger schauen. Was immer auf technischer Ebene passiert mit Verschlüsselung und Protokollen, ob ich jetzt blinde Signaturen verwende oder Mixnetzwerke oder Kombinationen, das ist am Ende eine Frage der Kosten, denn ein solches System wird in der Regel ausgeschrieben und angeboten. Letztlich vertraue ich aber auf die Zertifizierung. Die technischen Systeme in dieser Kategorie sind sicher. Man baut da schon auf gegebenem Wissen auf.
ORF.at: Wie stellen Sie sich den Wahlvorgang in seinen Grundschritten vor?
Thomas Rössler: Als Vorbild nehmen wir die Wahlkarte oder die Briefwahl. Bis zu einem Stichtag vor der Wahl kann man sich zur Briefwahl oder zum E-Voting anmelden. Das ist der erste Schritt. Der Bürger meldet sich unter Verwendung der österreichischen elektronischen Identität, der Bürgerkarte, an und registriert sich für die Wahl. Er unterschreibt dabei elektronisch, dass er auf die Teilnahme auf Papierweg in erster Linie verzichtet und elektronisch wählen möchte.
Am Ende der Registrierungsprozedur bekommt er irgendeine Form von elektronischer Wahlkarte. Diese Wahlkarte wird dann in einem bestimmten Zeitfenster für die Wahl eingesetzt. Denn ob ich die elektronische Wahl parallel zur Papierwahl stattfinden lasse oder in einer vorgelagerten Zeit, das ist auch wieder Auslegungssache. Organisatorisch würde ich vorschlagen, sie vorzulagern, damit man auftretende Probleme dann durch herkömmliche Papierwahlen abfangen kann.
Wenn er die elektronische Wahlkarte hat, dann braucht der Wähler zum Wahltermin nur noch die Karte an den E-Voting-Server schicken, der sendet ihm dann den elektronischen Stimmzettel, sofern er diesen nicht schon mit der Wahlkarte bekommen hat. Der Wähler füllt den elektronischen Stimmzettel aus - wobei er auch die Möglichkeit haben muss, eine ungültige oder leere Stimme abzugeben.
Dann schickt er diese Stimme technisch gesichert zum Server, der ihm bestätigt, dass die Stimme eingelangt ist und gezählt wird. Somit ist der Vorgang für den Bürger abgeschlossen. Aus Sicht des Bürgers läuft der Vorgang zusammengefasst so: registrieren, Wahlkarte empfangen, Stimmzettel einlösen und ausfüllen und schließlich die Stimme abgeben.
ORF.at: Der Personenkreis, der sagen kann, wie sicher ein solches System ist, ist in Österreich sicher überschaubar. Wie kann eine unabhängige Prüfinstanz aussehen?
Thomas Rössler: Es gibt dafür schon international eine gelebte Infrastruktur von Zertifizierungsstellen, wie etwa für die elektronischen Signaturen. Es gibt beispielsweise das Zertifizierungsschema Common Criteria, in dessen Rahmen sich die Mitgliedsstaaten gegenseitig versichern, Zertifizierungen im Rahmen dieses Schemas zu akzeptieren.
Unter diesem Schema gibt es für bestimmte Produkte und Produktklassen sogenannte Schutzprofile. Ein Schutzprofil hält die Sicherheitsanforderungen für ein System in beliebiger technischer und organisatorischer Tiefe fest. Darin steht, was ein System können muss, um vor dem Hintergrund des Schutzprofils als sicher zu gelten.
Es gibt einige Initiativen, die Schutzprofile für E-Voting erstellen. Da gibt es eines, welches das deutsche BSI gestaltet hat, bei dem wir mitwirken konnten. Dann gibt es die Europarat-Empfehlung aus dem Jahr 2004, die schon so formuliert worden ist, dass die dort ausgeführten Punkte als Prüfbasis verwendet werden können. Wenn das Schutzprofil gegeben ist, ist es mir eigentlich einerlei, welche Instanz mir das prüft.
Ich kann mir vorstellen, dass das E-Voting-System, das man in Österreich einsetzt, von einem französischen Software-Hersteller zugekauft wird, der das in Deutschland gemäß Common-Criteria-Schutzprofil zertifiziert. Die österreichischen Verantwortlichen können dann davon ausgehen, dass das System den Anforderungen genügt. Dann ist die erste Schicht der Zertifizierung abgeschlossen.
Die zweite Frage betrifft das Gesamtsystem im Betrieb. Wie begutachte ich das, an einer realen Wahl gemessen? Da gibt es einerseits die Vorstellung, dass man A-SIT, die österreichische Bestätigungsstelle für die Signaturherstellungsgeräte, heranzieht. Es gibt einen expliziten Passus im ÖH-Gesetz, dass diese Stelle für die Begutachtung zuständig ist. Aber letztlich liegt es im Ermessen des Wahlveranstalters.
Klar ist es vertrauensfördernd, wenn man eine Instanz wählt, die bereits heute einen Vertrauensvorschuss hat, beispielsweise A-SIT oder eine internationale Bestätigungsstelle. Am Wahltag liegt es auch in der Hand der Wahlbeobachter, das zu verifizieren. Das Zusammenspiel der Wahlbeobachter und der Zertifizierungsstellen ist wichtig.
ORF.at: Welche Eigenschaften müssen die Wahlbeobachter mitbringen? Müssen das Experten für Kryptographie sein?
Thomas Rössler: Das Thema E-Voting hat die Anforderungen an die Wahlbeobachter natürlich geschärft und verändert. Das bedeutet nicht, dass nur Wahlbeobachter geeignet sind, die ein kryptographisches Know-how haben. In den Europaratsempfehlungen steht, dass das Wahlsystem Möglichkeiten bieten muss, die Wahl auditieren zu können. Bei elektronischen Wahlsystemen ist das nicht leicht zu bewerkstelligen, keine Frage.
Es hängt auch davon ab, welches System verwendet wird. Das Mindeste, was man tun kann, ist, in Analogie zu den Papierwahlen, dass man Zwischenstände protokolliert. Ein grundsätzliches Verständnis des Wahlbeobachters in Bezug auf die technischen Vorgänge ist aber sicherlich notwendig. Er muss wissen, wo die Angriffspunkte sind.
Aber das müssen Beobachter auch bei Papierwahlen mitbringen, hinsichtlich der organisatorischen Fragen. Dafür gibt es ja auch die Empfehlungen des Europarates, um Hotspots zu erkennen, an denen Angriffe auf das Wahlsystem stattfinden können, und den Blick der Beobachter darauf zu schärfen.
ORF.at: Wie weit ist die Entwicklung des österreichischen E-Voting-Systems?
Thomas Rössler: Hier sind wir wieder im Bereich der E-Government-Strategie. Die gibt nicht nur die Konzepte vor, sondern bringt auch die Implementierung mit. Ein wesentlicher Beitrag zum Erfolg wäre, dass man es nicht nur den Bürgern ermöglicht, das System einfach aufzugreifen, sondern auch den Behörden und Betreibern von Infrastruktur.
Diese sollen Bürgerkartenanwendungen "out of the box" direkt in ihre Arbeitsabläufe integrieren können. Unser Innovationszentrum in Graz ist für die Umsetzung von prototypischen Lösungen für E-Government-Anwendungen zuständig.
Wenn wir auf den Plan gerufen werden, dann setzen wir die Anforderungen in prototypische Komponenten um. Zum Teil bis in Produktqualität - das ist natürlich eine Frage der Ressourcen. Aber zumindest so weit, dass Partner in Ländern und Gemeinden, die das System selbst umsetzen, selbst anpassen können. Wir treiben die Software-Entwicklung so weit voran, um Starthilfe geben zu können.
Zusätzlich gibt es eine Reihe von Core-Komponenten, die etabliert sind, die sogenannten MOA-Komponenten. Die wurden explizit in Produktqualität entwickelt. Es gibt eine ID-Komponente, die die Anwendung der Bürgerkarte ermöglicht, es gibt eine Komponente, die die elektronische Signatur prüft, eine, die sie erstellt, eine, die sie zustellt, und vieles mehr. Diese Bausteine werden in Graz betreut und sind in Open Source verfügbar.
ORF.at: Welche Rolle spielen offene Standards in Ihrem Konzept?
Thomas Rössler: Wir legen großen Wert auf Open Source und offene Standards. Wir setzen, wo immer möglich, auf internationale Standards. Gerade im XML-Bereich gibt es für die Signaturen etablierte Standards. Mitarbeiter der TU Graz haben auch an den Signaturstandards der ETSI mitgewirkt.
Nachdem Österreich in vielen Bereichen Vorreiter ist, hat man aber auch auf nationaler Ebene Standards definiert, die aber offen sind. Man spannt so den Bogen von der Idee bis zur Spezifikation. Und alle Ergebnisse dieser Prozesse sind im Rahmen der Plattform Digitales Österreich allen zugänglich - auch international. Bei den technischen Implementationen sind wir ebenfalls offen und vom Betriebssystem unabhängig.
Wir arbeiten auf Java-Basis. Was wir entwickeln, ist in Open Source verfügbar. Sowohl Behörden als auch Dienstleistern aus der Privatwirtschaft steht es frei, diese Komponenten aufzugreifen, zu betreiben und weiterzuentwickeln.
ORF.at: Unter welcher Lizenz sind die Komponenten veröffentlicht worden?
Thomas Rössler: Wir verwenden eine modifizierte Apache-2.0-Lizenz. Wir haben nur geringe Veränderungen daran vorgenommen, wie etwa den üblichen Haftungsausschluss präzisiert.
ORF.at: Wie offen kann eine sicherheitsrelevante Anwendung wie E-Voting aus Ihrer Sicht sein?
Thomas Rössler: Die Client-Software sollte Open Source sein. Da auf dem eigenen Computer Stimme und Identität zusammentreffen und ich hier die Umgebung kontrollieren kann, möchte ich diese Software vielleicht nicht vom Innenministerium erhalten, sondern von einem unabhängigen oder kritischen Dritten, beispielsweise gar vom Chaos Computer Club. Dann kann ich die Software von dem beziehen, dem ich vertraue. Wenn wir uns auf die Stimmenauszählung und die Entschlüsselung konzentrieren, dann muss ich sagen: Es nützt nichts, wenn das Open Source ist.
Es fördert vielleicht das subjektive Vertrauen, und man könnte Schwachstellen entdecken, aber es garantiert Ihnen ja keiner, dass der publizierte Code dann wirklich die Software ist, die bei den Wahlen in Betrieb ist.
Man kann sich dann immer noch fragen, ob auch wirklich der publizierte Code verwendet wurde oder nicht. Oder ob nicht der Compiler modifiziert wurde. Dann kommen noch die Laufzeitumgebungen hinzu, die man beachten muss. Open Source kann Vertrauen bilden, das möchte ich sicher nicht bestreiten. Aber es ist in vielen Bereichen auch nur ein Placebo. Trotzdem bin ich dafür, dass man in kritischen Bereichen auch die Einsicht in den Code der Komponenten ermöglicht. Dabei sehe ich kein großes Problem.
Letztlich muss man aber Vertrauen in die Zertifizierung haben. Beim Zählen der Stimmen ist ja das entscheidende Kriterium der Schlüssel, der zum Entschlüsseln verwendet wird. Dieser Schlüssel muss durch die Wahlkommission, durch alle Parteien verwaltet werden. Nur wenn alle Mitglieder der Wahlkommission gemeinsam mit ihren Smartcards vor Ort sind, wird dieser Schlüssel vorhanden sein, und die elektronische Wahlurne wird gestartet.
Man kommt immer wieder darauf zurück, dass die technischen Maßnahmen wie die Quellenfreiheit des Codes und die Zertifizierung nur ein Teil des Sicherheitskonzepts sind. Man muss diese immer durch organisatorische Maßnahmen komplettieren. Die verschiedenen Interessengruppen sollen sich gegenseitig auf die Finger sehen. Das Vertrauen kann nicht nur technisch hergestellt werden.
ORF.at: Das Problem, geheime Wahlen in einer stark kontrollierten Umgebung wie dem Internet durchzuführen, bleibt aber weiterhin.
Thomas Rössler: Hier greift das österreichische Bürgerkartenkonzept. Es stimmt, dass jeder eine Nummer im Zentralen Melderegister (ZMR) hat. Jede in Österreich gemeldete Person hat eine solche Nummer. Diese Nummern werden aber nirgends im E-Government und auch nirgends beim E-Voting zur Identifikation des Bürgers verwendet.
Wenn Sie heute mit der Bürgerkarte bei Finanz Online starten, dann hat das Innenministerium keine Möglichkeit, auf Grundlage Ihrer ZMR-Nummer dort Ihre Daten abzurufen. Jeder Bereich hat seine eigene Identifikationskennzahl. Wir nehmen zwar die ZMR-Nummer als Basis, nur: Man verschlüsselt die ZMR-Nummer zu einer sogenannten Stammzahl, die nur in Ihrer Bürgerkarte gespeichert ist. Die haben Sie unter Ihrer alleinigen Kontrolle.
Damit nicht genug. Man verwendet bei jedem Vorgang, den Sie anstoßen können, eine über eine kryptographische Einwegableitung generierte Kennzahl. Die einzelnen Stellen können daraus nicht Ihre ursprüngliche Stammzahl errechnen. Beim E-Voting nach dem EVITA-Konzept geht man noch einen Schritt weiter.
Man nimmt zwar zur Registrierung eine ähnliche bereichsspezifische Ableitung, die zweimal von der ZMR abgeleitet ist und nicht auf diese zurückgerechnet werden kann. Aber beim Wahlvorgang selbst verwendet man eine Kennzahl, die noch zwei Verschlüsselungsschritte weiter von der Bereichskennzahl entfernt ist. Es ist technisch unmöglich, davon auf die Stammzahl zurückrechnen zu können.
ORF.at: In Ihrer Dissertation haben Sie einen interessanten Punkt angesprochen: den Brute-Force-Angriff auf die archivierten Daten einer alten Wahl mit den leistungsfähigen Computern der nahen Zukunft. Sprich: Mit den Computern des Jahres 2030 wird es kein Problem sein, Schlüssel zu knacken, die heute als sicher gelten.
Thomas Rössler: Kryptographische Verfahren haben in der Tat ein gewisses Ablaufdatum. Ein E-Voting-System, das auf eine einfache Verschlüsselung setzt und die Stimmdaten mit den Personendaten speichert, wäre vielleicht in 30 Jahren zu knacken.
Das würde aber voraussetzen, dass die Stimmen aufbewahrt wurden. In Österreich werden die Stimmen bei der Papierwahl nicht langfristig gespeichert, sondern nach einer bestimmten Frist vernichtet. Elektronisch gilt der gleiche Maßstab. Es gibt keine Archiv-CDs. Trotzdem sollte man den Einwand beachten. Es ist nötig, neben der Verschlüsselung einen zweiten Sicherheitsmechanismus einzuführen, mit dem man die Anonymität gewährleistet.
Auf der Stimme selbst sollen keine Identitätsdaten zurückbleiben, die einen Rückschluss von der Stimme auf den Wähler ermöglichen würden. Damit wäre gewährleistet, dass auch ein Angreifer in der Zukunft, der die Verschlüsselung der Stimmen knackt, diese nicht auf die Wähler rückführen könnte.
Die Verschlüsselung mit einem Hardware-Security-Modul und die Unterstützung durch die entsprechenden organisatorischen Rahmenbedingungen würde all das erfüllen, was man heute technisch benötigt und würde alle Sicherheitsmaßnahmen übertreffen, die wir heute von Papierwahlen kennen.
ORF.at: Sind die E-Voting-Systeme, die Sie in Ihrer Dissertation beschreiben, schon einsatzbereit?
Thomas Rössler: Das EVITA-Konzept wurde bereits prototypisch implementiert, ja. Es gibt Server- und Client-Komponenten, die wir in Graz entwickelt haben. Die Betriebsphase ist allerdings eine weitere Herausforderung. Wir wollen aber keine Konkurrenz zum Markt sein.
ORF.at: Welche Hersteller von E-Voting-Lösungen gibt es in Österreich?
Thomas Rössler: Wenige bis keine. Es gibt Dienstleister, die E-Voting auf Basis zugekaufter Komponenten anbieten könnten. International gibt es verschiedene Hersteller, wie zum Beispiel Scytl in Spanien, die schon E-Voting-Lösungen verkauft haben.
ORF.at: Welche Gesetze müssten in Österreich geändert werden, um E-Voting zu ermöglichen?
Thomas Rössler: Jede Form von Distanzwahl - darunter auch E-Voting - stellt vor dem Hintergrund der österreichischen Verfassung eine gewisse Herausforderung dar. Es hat in den 1980er Jahren durch die niederösterreichische Landesregierung den Versuch gegeben, Briefwahlen bei Kommunalwahlen einzuführen. Dabei hat eine Klage der Republik vor dem Verfassungsgerichtshof ergeben, dass die Richter die Briefwahl nicht für mit der Verfassung vereinbar gehalten haben.
Man kann nicht die Verantwortung zur Geheimhaltung der Stimme und dafür, dass die Stimmabgabe ohne Einflussnahme erfolgt ist, auf den Wähler abwälzen. Die Situation hat sich mit der Wahlrechtsnovelle vom Frühjahr 2007 geändert. Damit wurde die Möglichkeit zur Briefwahl in die Verfassung aufgenommen. Unserer Arbeitsgruppe im Innenministerium ist aber auch klar, dass man bei Distanzwahlen das sogenannte Family-Voting-Problem, also die Beeinflussung der Wählenden, nicht ausschließen kann. Das würde bedeuten, dass man die Verfassung in diesem Punkt anpassen müsste.
Man müsste E-Voting gegebenenfalls explizit ermöglichen. Man könnte natürlich auch andersrum argumentieren, dass das E-Voting nichts anderes ist als eine elektronische Briefwahl. Das ist aber Sache der Juristen. Da man die Beeinflussung des Wählers zum Wahlzeitpunkt technisch nicht ausschließen kann, muss man versuchen, das Problem organisatorisch zu lösen.
Unser Lösungsvorschlag entspricht dabei jenem, der in Estland zum Einsatz gekommen ist. Dort schließt die elektronische Wahl einige Tage vor der Papierwahl. Wenn man sich aber beim E-Voting beeinflusst gefühlt hat, kann man das bei der Papierwahl zur Anzeige bringen - es ist ja strafrechtlich relevant -, und man kann dann auf Papier nochmals wählen, und die alte Stimme wird durch die neue Stimme ersetzt.
(futurezone/Günter Hack)