Tübingen und Cybervoting
Danke an Leibi vom Chaos Computer Club Stuttgart die grundsätzlich anti-demokratische Eigenschaft von Cybervoting darzustellen. Vertrauen in Cyber ist schlecht, Kontrolle von Papierwahlzetteln ist besser!
Stellungnahme Chaos Siegen
Danke an Leibi vom Chaos Computer Club Stuttgart die grundsätzlich anti-demokratische Eigenschaft von Cybervoting darzustellen. Wahlen und Abstimmungen sind der Unterbau einer Demokratie. Wenn die nicht mehr einfach, simpel und für jeden ersichtlich nachvollziehbar nachzählbar ist, dann wird aus dem starken Gerüst der demokratischen Wahl ein Kartenhaus, dass zusammen fällt.
Vertrauen in Cyber ist schlecht, Kontrolle von Papierwahlzetteln ist besser!
Offener Brief an die Stadt Tübingen
Liebe Mitglieder des Tübinger Gemeinderates,
sehr geehrter OB Palmer,
Sie haben mit Beschluss vom 05. Oktober 2017 die Einführung von elektronischen Einwohnerbefragungen beschlossen. Was sicher gut meint ist und auf den ersten Blick technisch fortschrittlich und bürgernah wirkt, gefährdet in Wirklichkeit das Vertrauen in eine der Grundsäulen unserer Demokratie. Im Folgenden wollen wir Ihnen gerne erklären warum wir das so sehen:
Diskussion um Wahlcomputer gibt es in Deutschland seit über einem Jahrzehnt. Dass diese schon lange nicht mehr im Einsatz sind ist kein Zufall. Nun wollen Sie mit Ihrer ‘BürgerApp’ keine Wahl, sondern nur eine Befragung elektronisch durchführen lassen. Im Ergebnis jedoch kommt eine solche Befragung einer Wahl sehr nahe. Wir alle erleben dies aktuell bei der Diskussion um den Brexit, auch dieses Votum ist formal nicht bindend. Sie selbst stellen auf Ihrer Webseite fest: “Die Entscheidung trifft zwar der Gemeinderat, das Ergebnis der Befragung gibt dem Gemeinderat aber die wichtige Information, ob er auch im Sinne der Tübingerinnen und Tübinger handelt. Tut er dies nicht, muss er einen abweichenden Beschluss gut begründen.”
Bevor wir Ihnen unsere prinzipiellen Argumente gegen Cybervoting vortragen, erst einmal konkret zur Ihrer BürgerApp:
Konkrete technische Umsetzung
Quelltext nicht öffentlich
Das Prinzip “Public Money, Public Code” sollte aus unserer Sicht auch für Tübingen gelten, und zwar so wohl für die App, als auch den Server dieser Software. Auch und gerade für so sensible Anwendungen wie in diesem Fall. Geheimhaltung des Programmcodes erhöht deren Sicherheit nicht, es gefährdet sie, denn viele Augen sehen mehr als wenige. Und nur durch Transparenz kann Vertrauen geschaffen werden. Dies hätten sie bei der Vergabe verbindlich vorschreiben sollen.
Prüfbericht nicht öffentlich
Wir finden es grundsätzlich gut, dass Sie die entwickelte Software einem externen Sicherheits-Test unterziehen lassen haben. Aber ohne den Testbericht hat das Siegel, mit dem Sie sich schmücken, keine Aussagekraft. Denn nur im Testbericht ist ersichtlich, was geprüft worden ist. Einzig die App? Unter Vorlage des Quellcodes? Auch der Server beim Anbieter? Wurden Angriffs- (und somit Manipulations-) Möglichkeiten vorab vom Test ausgeschlossen? Welche Schwachstellen wurden gefunden? Wie schwerwiegend waren diese? Und wie stellen Sie sicher, dass die getestete Version auch die ist, die später im Einsatz ist?
Endgeräte nicht vertrauenswürdig
Wie der Name schon sagt, soll die ‘BürgerApp’ vorwiegend auf Smartphones zum Einsatz kommen. Aber wie stark wollen Sie sich von Befragungs-Ergebnissen leiten lassen, wenn die Stimmen zum größten Teil von unsicheren Geräten aus abgegeben wurden? In Deutschland ist das mobile Betriebssystem ‘Android’ mit 76% Marktanteil aktiv genutzter Geräte klar Spitzenreiter. Doch die aktuelle und somit sicherste Version 9 läuft auf so wenigen Geräten, dass dessen Hersteller Google diese Version nicht einmal in seinen eigenen Statistiken aufführen kann. (Stand 24.02.2019).
Dem Anbieter muss vertraut werden
Wie Sie selbst nicht bestreiten: “Die Stadtverwaltung erhält lediglich die Ergebnisse.” …des Betreibers ‘neongelb’. Sie sind somit darauf angewiesen, dass Ihnen der Betreiber das korrekte Ergebnis übermittelt. Woher nehmen Sie dieses Vertrauen? Allein ein Blick auf die technische Umsetzung der Webseite von ‘neongelb’ lässt nichts Gutes vermuten. Das Unternehmen lässt diese von einem großen Betreiber in den USA betreiben. Auch ist die Seite nicht nach Stand der Technik abgesichert und gibt ungefragt Nutzer:innen Daten an Facebook weiter, ohne dies auch nur in den Datenschutzbestimmungen offen zu legen. (Stand 24.02.2019; Analyse-Ergebnis bei dataskydd.net; PDF-Backup). Mindestens genau so gut möglich ist allerdings eine, nicht durch den Betreiber, beabsichtigte Manipulation. Das dies nicht aus zu schließen ist, bekennt ‘neongelb’ ehrlicherweise selbst: “Eine hundertprozentige Sicherheit gegen Hackernetzwerke kann es trotz aller Anstrengungen nicht geben.” Hinzu kommt die Manipulationsmöglichkeit durch eine(n) Innentäter(in), sei es aus Frust oder beispielsweise auf Grund einer Erpressung. Bei den Themen der Befragung wird es auch um Projekte in Millionenhöhe gehen, somit gibt es klare wirtschaftliche Anreize für einen Angriff auf die Abstimmungsergebnisse.
Grundsätzliches K.O.-Kriterium
Doch selbst für den (theoretisch möglichen) Fall, dass Sie es schaffen sollten ein System zu designen, umzusetzen und dann auch noch dauerhaft zuverlässig und sicher zu betreiben, sollten Sie davon absehen. Ein solches System wäre so komplex, dass es für die Abstimmenden nicht mehr möglich ist, den gesamten Vorgang zu verstehen. Aber gerade diese einfache Nachvollziehbarkeit des Abstimmungsvorgangs und der Auszählung verleiht dem Ergebnis seine Legitimation in der Bevölkerung. Jeder Mensch kann problemlos Wahlbeobachter:in werden und den Vorgang innerhalb von Minuten durchdringen.
Beim Einsatz eines Computers ist diese so nicht gewährleistet.
Es gibt zwei Arten von computerbasierten Abstimmung: manipulierbare oder nicht nachvollziehbare. Weder das Eine noch das Andere ist in einer Demokratie akzeptabel. Dies hat das Bundesverfassungsgericht schon vor fast 10 Jahren erkannt und als grundgesetzwidrig untersagt.
Auch uns ist bewusst, dass korrekt durchgeführte Abstimmungen aufwändig sind und sich nicht mal eben mit einem Druck aufs Handydisplay durchführen lassen. Aber sie funktionieren seit Jahrzehnten zuverlässig! So sehr wir Ihr bemühen um mehr Beteiligung der Bürger schätzen und (grundsätzlich) unterstützen, ist dies der falsche Weg dies zu erreichen.
Computer haben unser Leben in vielen Bereichen vereinfacht und helfen Probleme zu beseitigen, aber mit Digitalisierung kann nicht jedes Problem gelöst werden. Beenden Sie dieses gefährliche Experiment bevor Sie es richtig begonnen haben. Finger weg von Cybervoting!
Gerne erläutern wir unsere Argumente auch in einem persönlichen Gespräch. Herzlichst, Ihr Chaos Computer Club Stuttgart presse@cccs.de