Die Qual der Wahl

Im Nachgang der Wahl am 8. Januar 2023 kam es in Brasilien zu Protesten und Straßenblockaden. Die Wahl gilt als umstritten. Demonstranten besetzten unter anderem das Regierungsviertel.

Demonstranten am 8. Januar 2023 im Regierungsbezirk (Quelle)

Eine Forderung war die Offenlegung des Quellcode („source code“) der in Brasilien eingesetzten Wahlmaschinen. Lange vor der Wahl gab es bereits Proteste bezüglich der Wahlmaschinen. Es wurden unter anderem gedruckte Stimmzettel gefordert.

„We demand auditable paper ballots and public verification of votes“ (Quelle)

Grund genug das Thema Wahlmaschinen einmal genauer zu beleuchten. Wir sprachen mit einem Experten für Software über dieses Thema. Hier ist unser Interview:

Zukunft Freiburg: Zunächst dürfen wir dich kurz vorstellen und für deine Zeit danken: Du hast einen Abschluss in Informatik und langjährige Erfahrung in der Entwicklung von Software und Hardware in der Industrie. Beginnen wir vielleicht mit dieser Frage: Wie ist deine Meinung zu Wahlmaschinen? Verhindern oder begünstigen diese Wahlbetrug?

„Ich sehe Wahlmaschinen kritisch. Sie erleichtern Wahlbetrug eher als dass sie ihn erschweren. Bei einer Wahl mit Stimmzetteln besteht durch Wahlbeobachtung eine gute Möglichkeit Betrug zu erkennen. Bei Wahlmaschinen ist Manipulation hingegen für Beobachter nicht erkennbar. Man könnte sogar weiter gehen und sagen, wer Wahlmaschinen einsetzt möchte Manipulation nicht verhindern sondern sie ermöglichen. Für einen Betrüger sind die Stimmzettel ein Problem: Es sind Beweise, die er fälschen oder verschwinden lassen müßte, damit sein Betrug nicht erkennbar wird. Die Auszählung in Wahlmaschinen hingegen hinterläßt keine Spuren.“

Zukunft Freiburg: Kannst du ein Beispiel machen, wie solche Manipulation funktionieren kann? Geht das über das Internet?

„Das ist eher unwahrscheinlich. Man kann leicht feststellen, ob Geräte mit dem Internet verbunden sind bzw. ob überhaupt Netzwerk-Hardware verbaut ist. Ein Netzwerk-Kabel wäre für jeden erkennbar und die Hardware um Funk-Verbindungen aufzubauen, würde spätestens bei einer optischen Inspektion des Innenlebens der Wahlmaschine auffliegen.

Wahrscheinlicher sind da eher Methoden aus dem Baukasten der computergestützten Steganographie sowie eine ab Werk betrügerische Software.“

Zukunft Freiburg: Das klingt spannend, was ist denn Steganographie?

„Mit Steganographie bezeichnet man die Kunst der verdeckten Kommunikation. Zunächst ist eine Unterscheidung zur Kryptographie sinnvoll: Wenn man eine verschlüsselte Nachricht verschickt, dann kann nur der Empfänger mit dem passenden Schlüssel den Inhalt lesen. Dass diese Nachricht aber existiert und dass sie verschickt wurde, ist für einen Dritten leicht erkennbar. Zum Beispiel weil diese per EMail verschickt wurde und ein Dritter Zugang zum EMail-Server hat. Ohne den Schlüssel bleibt die Nachricht aber nutzlos. Das ist Kryptographie.

Im Gegensatz dazu wird durch Steganographie eine Nachricht unbemerkt und unbemerkbar an einen Empfänger übermittelt. In der Regel teilen sich Absender und Empfänger dazu geheimes Wissen wie kommuniziert werden soll. Am Besten ist ein Beispiel zum Verständnis: Sagen wir Alice und Bob wollen verdeckt kommunizieren und dafür den Stadtpark nutzen. Wenn Alice eine ‚0‘ übermitteln möchte, setzt sie sich auf die Parkbank am Brunnen, wenn sie eine ‚1‘ übermitteln möchte, setzt sie sich gegenüber auf die Parkbank unter der großen Eiche. Wenn Bob eine ‚0‘ übermitteln möchte, geht er vor 12 Uhr in Sichtweite daran vorbei und um eine ‚1‘ zu übermitteln nach 12 Uhr. Auf diese Weise können Alice und Bob miteinander kommunizieren und jeden Tag jeweils ein Bit austauschen. Unwissende Dritte bemerken davon überhaupt nichts – selbst wenn sie wenige Meter entfernt im Park zusehen. Der ganze Vorgang hinterläßt physisch keine Spuren und Alice und Bob wechseln kein einziges Wort miteinander oder irgendeine Geste.“

Zukunft Freiburg: Zurück zu den Wahlmaschinen: Wie funktioniert sowas in diesem Kontext?

„Die Funktion von Wahlmaschinen ist zum Beispiel so, dass dem Wähler auf einem Touch-Screen die Namen der Kandidaten in einer Liste angezeigt werden, nachdem ein Wahlhelfer die Wahlmaschine freigegeben hat. Normalerweise berührt der Wähler auf dem Bildschirm den Name des Kandidaten und bestätigt danach seine Auswahl. Die Wahlmaschine zählt dann seine Stimme.

Betrügerische Software auf der Wahlmaschine kann aber ab Werk versteckte Funktionen beinhalten. Man könnte zum Beispiel die Ecken des Touch-Screens nutzen, um diese versteckten Funktionen zu aktivieren. Beispielsweise könnte man in die Software einbauen, dass durch nacheinander Berühren der 4 Ecken im Uhrzeigersinn, der danach ausgewählte Kandidat durch Auszählungsbetrug am Ende gewinnt. Es braucht dann nur einen eingeweihten Wähler, der diese Funktion am Wahltag bei seiner Stimmabgabe auslöst. Bei einer Testwahl zur Überprüfung der Wahlmaschine würde diese trotzdem immer einwandfrei arbeiten, da niemand diese versteckte Funktion kennt und auslöst. Nur durch Test ist die Betrugsfunktion praktisch nicht erkennbar. Die Auslösung der Funktion erfolgt gewissermaßen über computergestützte Steganographie.“

Zukunft Freiburg: Waren schonmal ab Werk unerwünschte Funktionen in Geräten vorhanden?

„Ja, abseits von Wahlmaschinen, besaßen Geräte ab Werk häufiger unerwünschte Eigenschaften. Beispielsweise hatten Chiffiermaschinen der schweizer Firma Crypto AG absichtlich eingebaute Schwachstellen, damit westliche Geheimdienste im Kalten Krieg, allen voran solche aus den USA, die chiffrierten Nachrichten leicht entschlüsseln konnten.

Ein etwas aktuelleres Beispiel ist der „Abgas-Skandal“ bei dem das Motor-Steuergerät anhand des Fahrprofils [Drehzahl, Geschwindigkeit, Leistung, etc.] erkannte, ob das Fahrzeug im realen Straßenverkehr oder auf dem Teststand genutzt wurde. Für den Teststand wurde eine emissionsärmere Ansteuerung des Motors aktiviert, die oftmals zu Lasten der Leistung ging.“

Zukunft Freiburg: Wäre das Beispiel mit den eingeweihten Wählern und den Wahlmaschinen nicht riskant? Was wenn einer davon auspackt?

„Man kann das Beispiel leicht verfeinen und gegen jedes denkbare Szenario absichern. Es war nur ein Beispiel um das Prinzip zu erklären. Bleiben wir beispielsweise bei den 4 Ecken des Touch-Screens: Man könnte sich vorstellen, dass man aus dem aktuellen Datum im Gerät eine Kombination berechnet, in welcher die Ecken berührt werden müssen. Dann hätte bereits am nächsten Tag nach der Wahl die genutzte Kombination der eingeweihten Wähler keine Wirkung mehr. Man könnte den Betrug also nicht mehr nachstellen und folglich würde die Geschichte niemand glauben. Bei der nächsten Wahl gäbe es bedingt durch das Datum wieder eine andere Kombination – die alte wäre nutzlos und hätte keinen Effekt mehr. Nur dem Hersteller bzw. dem Autor der Software wäre es möglich diese vorab zu berechnen.

Man kann sich sogar dagegen schützen, dass der eingeweihte Wähler nicht wie gewünscht betrügt. Dann setzt man einfach für jeden Kandidaten anhand seiner Position in der angezeigten Liste eine eigene Kombination fest. So könnte der eingeweihte Wähler entweder nur ganz normal wählen oder eben so wie gewünscht den Betrug starten.

Und zur Not man kann auch ganz ohne eingeweihte Wähler auskommen. Zum Beispiel könnte die Software an einem bestimmten Tag pro Monat die Betrugsfunktion zu Gunsten einer Position in der Liste aktivieren. Beispielsweise läßt man am ersten Wochenende des Monats den ersten Kandidaten gewinnen, am zweiten Wochenende den zweiten usw. Dann braucht man nur einen einzigen Eingeweihten in der Kommission welche das Datum der Wahl festsetzt. Es besteht in diesem Beispiel eine geringe Wahrscheinlichkeit, dass dies bei einem Test der Wahlautomaten erkannt würde. Auch dies kann man reduzieren, zum Beispiel indem man die Betrugsfunktion zusätzlich nur dann aktiviert, wenn die Kandidaten in der Liste in einer bestimmten Reihenfolge sortiert sind – zum Beispiel alphabetisch aufsteigend. Alles eine Frage der Kreativität.“

Zukunft Freiburg: Gewissermaßen wie beim Abgas-Skandal eine Erkennung, ob es eine reale Wahl ist oder ob die Wahlmaschine getestet wird?

„Ja, genau. Man kann dafür zusätzliche Kriterien betrachten. Gute Kriterien scheinen beispielsweise die Zeitspanne der Abstimmung und das Intervall der Stimmabgabe. Wenn die Abstimmung nur wenige Stunden dauert und die Stimmen sehr schnell hintereinander eingegeben werden, ist es vermutlich ein Test der Wahlmaschine. In diesem Fall würde man die Betrugsfunktion abgeschaltet lassen. Sofern die Abstimmung über einen vollen Tag läuft und die Stimmen eher ungleichmäßig eintreffen ist eine reale Wahl sehr wahrscheinlich.“

Zukunft Freiburg: Die individuelle Wahlentscheidung eines Wählers ist für Außenstehende ja geheim. Aber die Anzahl der Wähler, die ließe sich überprüfen, zum Beispiel durch das Wählerverzeichnis. Man kann also nicht einfach Stimmen entfernen oder hinzufügen. Wie ganz konkret könnte ein Betrug ablaufen ohne entdeckt zu werden?

„Angenommen es gibt zwei Kandidaten, nennen wir sie mal Bob und Eve. Die Wahlmaschine soll jetzt dafür sorgen, dass Eve gewinnt. Nun gibt es zwei Fälle: Entweder Eve gewinnt tatsächlich ganz regulär, dann gibt es nichts weiter zu tun. Hat Bob aber mehr Stimmen bekommen als Eve, dann könnte man einfach einen Vote-Flip machen. Die Stimmen von Bob und Eve werden einfach getauscht. Die Anzahl der Stimmen bzw. der Wähler ändert sich dabei nicht. Ideal sind solche Vote-Flips bei knappen Wahlergebnissen. Ob nun Bob 51% oder 49% der Stimmen bekommt, das wird in der öffentlichen Wahrnehmung kaum Misstrauen erregen.

Wenn Eve vergleichsweise unbeliebt ist, sagen wir sie bekommt tatsächlich nur 20% und Bob hingegen 80% der Stimmen, dann würde ein Vote-Flip in der öffentlichen Wahrnehmung sicher auffallen und die Gesellschaft würde Betrug wittern. Für eine betrügerische Software macht es dann Sinn, die Verhältnisse neu zu berechnen, sodass Eve zumindest nur 51% der Stimmen erhält. Auch hierbei ändert sich an der Anzahl der Wähler nichts.“

Zukunft Freiburg: Eine der Forderungen der Protestierenden in Brasilien war den Quellcode der Wahlmaschinen offen zu legen. Der Hersteller scheint das bisher abzulehnen. Würde dies dabei helfen Betrug zu erkennen?

„Die Forderung zeigt natürlich in die richtige Richtung. Aber helfen kann nur der Verzicht auf Wahlmaschinen. Würde man den Quellcode veröffentlichen, ist noch lange nicht gesagt, dass dies auch dem entspricht, was auf den Wahlmaschinen läuft. Der Hersteller könnte eine bereinigte Version veröffentlichen und auf den Wahlmaschinen läuft weiterhin die betrügerische Software. Um dies zu prüfen, müßte man den Quellcode compilieren [übersetzen in Maschinensprache] und das Resultat mit dem Programm auf den Wahlmaschinen vergleichen. Aber selbst dann müßte man noch das Betriebssystem, das BIOS und sogar den Compiler einer genauen Inspektion unterziehen, um auszuschließen, dass über diese Wege betrügerische Funktionen eingebracht werden. Betriebssysteme bestehen aus vielen Millionen Programmzeilen. Selbst für den Fall, dass der Zugang zum Quellcode des Betriebssystems möglich wäre, so wäre dies auch für Experten wie die Suche nach der Nadel im Heuhaufen. Und ein Wähler kann solche Prüfungen nicht durchführen. Und schon gar nicht vor Ort am Wahltag.“

Zukunft Freiburg: Könnte man sagen Wahlmaschinen erschweren die Wahlbeobachtung?

„Wahlmaschinen verhindern sogar die Wahlbeobachtung. Der Vorgang der Auszählung ist durch die Wahlmaschine unzugänglich geworden. Kein Wähler kann die Auszählung beobachten oder ihr Resultat überprüfen. Wie gesagt, wer Wahlmaschinen einsetzt, möchte Manipulation nicht erschweren, sondern möglich machen.“

Zukunft Freiburg: Wie sicher sind die Wahlen in Deutschland? Was würdest du verbessern?

„In Deutschland werden keine Wahlmaschinen eingesetzt, von dem her ist es weniger eine fachliche Frage als vielmehr eine persönliche. Persönlich halte ich die Wahlen in Deutschland für vergleichsweise sicher, allerdings gibt es auch hier Schwachstellen. Um sie sicherer gegen Wahlbetrug zu machen, müßte man vor allem die Briefwahl abschaffen.

Andere Verbesserungen wären die Wählerverzeichnisse voraussetzungslos öffentlich auslegen und trotz Vorlage einer Wahlbenachrichtigung stets auch die Ausweisdokumente der Wähler prüfen. Meine Erfahrung ist, dass dies dann häufig nicht getan wird.“

Zukunft Freiburg: Vielen Dank für das Gespräch