Niemand würde es wagen, Wahlergebnisse zu fälschen

Die neuen Sicherheitslücken der Diebold-Wahlmaschinen geben Anlass zur Besorgnis. Doch der Hersteller selbst übt sich in Gelassenheit

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Wahlen sind in einer repräsentativen Demokratie unabdingbar, auch wenn sie für viele nur noch die Wahl zwischen Pest und Cholera darstellen mögen. Aber damit sie auch wirklich als Wahlen und nicht nur als Farce angesehen werden, müssen bestimmte Bedingungen erfüllt werden. Eine davon ist die Nachprüfbarkeit der Wahl. Bei der Wahl des US-Präsidenten im November ist eine solche Nachprüfbarkeit von weitreichender Bedeutung, da sich bis heute die Zweifel an der Rechtmäßigkeit der Präsidentschaft George W. Bushs halten (George W. Bush ist rechtlich, aber wahrscheinlich nicht faktisch der von der Mehrheit gewählte US-Präsident). Doch die Wahlmaschinen, die die bekannten Stanzmaschinen (Warum die Amerikaner sich bei den Wahlen verzählen) ablösen sollen, sind umstritten, weil sie fehleranfällig sind und die Programme grobe Sicherheitslücken aufweisen.

Der Wahlmaschinenhersteller Diebold wehrte sich anfangs mittels des umstrittenen Digital Millenium Copyright Act gegen Kritik (Urheberrecht gegen Kritiker). Nachdem diese Maßnahme nicht fruchtete und weitere Ungereimtheiten wie nicht zertifizierte verkaufte Wahlmaschinen durch das kalifornische Voting System and Procedures Panel ans Licht der Öffentlichkeit gelangten, entschloss man sich beispielsweise in Kalifornien, die Dieboldschen Wahlmaschinen zunächst nicht bei der Präsidentschaftswahl einzusetzen (Kalifornien verbietet elektronische Wahlsysteme von Diebold), sollten nicht zusätzliche Auflagen erfüllt werden, allen voran die Möglichkeit, die Eingabe auszudrucken. In anderen Staaten dagegen war man mit der gegebenen Sicherheit zufrieden (Sicherheit von Wahlcomputern weiterhin umstritten). Mittlerweile spricht man von einem riesigen Experiment bei den Wahlen.

Nun jedoch fanden sich in der letzten Zeit erneut Sicherheitsmängel bei den Wahlmaschinen, welche den Hersteller dazu bewogen, auf der bugtraq-Mailingliste schnell die Wogen zu glätten. Stein des Anstoßes war diesmal eine Meldung in Wired, in der über eine von Bev Harris entdeckte Sicherheitslücke berichtet wurde. Die Journalistin, Mitbetreiberin von blackboxvoting.org und maßgeblich für die Kritik an den Wahlmaschinen verantwortlich (Das Problem mit den elektronischen Wahlsystemen und der amerikanischen Demokratie), hat zusammen mit Herbert Thompson die Sicherheitslücke dokumentiert, in der Diebold jedoch nur eine geringfügige Gefahr sieht.

Thompson, der unter anderem Computersicherheit am Florida Institut of Technology lehrt, schrieb ein Visual Basic Script - die Wahlcomputer laufen unter dem MS-Betriebssystem Windows -, um die Ergebnisse des Wahlcomputers zu fälschen. Hierbei nutzte er das Wissen über die zwei Tabellen, die der Wahlcomputer anlegt. Eine enthält die Daten über die einzelnen abgegebenen Stimmen, die andere lediglich die Gesamtsummen.

Man muss nur wissen, wonach man sucht. Wenn ich weiß, dass ich die Stimmenanzahl für Stan Smith erhöhen will, dann schreibe ich das Script entsprechend, lasse in der Tabelle nach dem Namen Stan Smith suchen, erhöhe die Anzahl und verringere sie bei einem anderen Kandidaten entsprechend.

Dass diese Manipulation nicht auffällt, solange die einzelnen Stimmen ("raw data") in Ruhe gelassen werden - dafür sorgt das Global Election Management System (GEMS), das zwar Manipulation am GEMS sofort sichtbar macht, jedoch nicht solche, die außerhalb des GEMS stattfinden. Ein zweites Script bestätigte Thompson die vorgenommenen Änderungen.

Thompson selbst gibt zu, dass jemand, der auf diese Art die Daten verfälscht, ein gewisses Insiderwissen haben muss, hält es andererseits aber für sehr bedenklich, dass "ein Teenager mit einem Laptop" dazu in der Lage wäre. Wie blackboxvoting am 22.09.2004 demonstrierte, wäre sogar ein Schimpanse in der Lage, sich zufällig in einen Wahlcomputer zu "hacken".

Da die offiziellen Wahlergebnisse aus den Summen, nicht aber aus den Einzelstimmen generiert werden, wäre eine Manipulation in der Form, wie sie Thompson demonstrierte, nur dann ausgeschlossen, wenn nachträglich die Einzelstimmen mit den Gesamtstimmen abgeglichen werden, was nicht immer getan wird. Wenn allerdings, wie vorgeschrieben, nach der Wahl die Speicherkarten der Wahlmaschinen überprüft und die Ergebnisse mit denen des GEMS verglichen werden, so wären die beschriebenen Manipulationen obsolet, da die Ergebnisse der Speicherkarten gegenüber denen des GEMS Vorrang haben.

David Jefferson, Computerwissenschaftler am Lawrence Livermore National Laboratoy, widerspricht der Dieboldschen Ansicht, dass trotz der Sicherheitslücken Manipulation weitgehend ausgeschlossen werden könne, da das vorgeschriebene Wahlprozedere solche Änderungen wie erläutert verhindert bzw. aufdecken würde:

Diejenigen, die bei der Wahl mithelfen, folgen nicht immer den Regeln. Daher ist es wichtig, dass Beobachter über Sicherheitslücken informiert sind, um ihrerseits Risikominimierung betreiben zu können.

Dass die vom "Secretary of State's Office" herausgegebenen Richtlinien nicht immer befolgt werden, hat sich übrigens bereits im März herausgestellt. Einige Staaten ignorierten die Richtlinie bzw. weigerten sich, diese zu befolgen.

Ein solch angreifbares System konnten wir uns nicht vorstellen...

Für Herbert Thompson sind diese Sicherheitslücken umso überraschender, stellen sie doch genau die Art von Lücken dar, die in dem Roman "The Mezonic Agenda: Hacking the Presidency" vorkommen. Co-Autor ist Herbert Thompson selbst:

Als wir das Buch schrieben, erschien uns das dort beschriebene Wahlsystem etwas weit hergeholt. Wir konnten uns nicht vorstellen, dass ein tatsächlich existierendes System solche Angriffsziele bieten würde.

Auch Jefferson sieht in den Sicherheitslücken weniger böswillige Absicht als vielmehr ein Zeichen für Diebolds Inkompetenz. Sein Urteil: "Die Programmierer Diebolds wissen einfach nicht, wie man ein sicheres System aufsetzt."

Es spreche einiges dagegen, dass die Sicherheitslücken tatsächlich ausgenutzt werden können, so Diebold. Zunächst ist festgelegt, dass keine einzelne Person alleinigen Zugriff auf Wahlmaschinen hat. Manipulationen würden also automatisch von anderen entdeckt werden. Weiterhin würden gefälschte Summen bei einem Update der Summen überschrieben werden, außerdem sei das "versteckte Programm", das Thompson beanstandet, eher ein Sicherheitsfeature. Im GEMS werden alte Daten mit 1, neue dagegen mit 0 markiert. Dies soll beispielsweise verhindern, dass Testdaten mit realen Daten verwechselt werden. Eine weitere Erklärung für das Feature gab Diebold gegenüber Wired nicht.

Diebolds Standpunkt zur Zeit ist also klar: Alles ist ganz harmlos, und so lange, wie die vorgeschriebenen Wahlprozeduren eindeutig befolgt werden, sind auch die Sicherheitslücken nicht von Belang. Ein Fazit, dem sich David Jefferson nicht anschließen kann. "Statt ein System zu entwickeln, das sich auf eine perfekte Ausführung der Wahlregelungen verlässt, hätte Diebold mehr darauf setzen sollen, Manipulationen per Design zu verhindern."

Diebold dagegen hat noch ein weiteres Argument, wenn es darum geht, sich keine Sorgen zu machen. David Bear, Sprecher der Firma, bringt es auf den Punkt: Niemand würde es wagen, Wahlergebnisse zu fälschen. Das sei nämlich verboten und würde schwer bestraft werden.