Abstimmung zum Parteivorsitz: Hackerclub warnt vor Online-Voting der SPD

Die Abstimmung zum Parteivorsitz kann von SPD-Mitgliedern bis zum 25. Oktober per Wahlzettel oder online abgehalten werden. Die Tatsache, dass alle Mitglieder ihre Wahl übers World Wide Web abgeben können, wird in der SPD als „Premiere“ angekündigt.

Doch nun wurden Gegenstimmungen und Warnungen laut. Denn beim Online-Voting soll ein umstrittenes Verfahren zum Einsatz kommen. In einem Blog mit dem Titel „Warum die SPD ihren Wahlcomputer zur Wahl der Parteivorsitzenden ausschalten muss“ hat Ex-SPD- und Ex-Piraten-Parteimitglied Christopher Lauer, auf gravierende Probleme und Mängel des Systems hingewiesen.

Denn so könne sich zum einem „jede Person, die Zugriff auf die Geburtsdaten und Mitgliedsnummern von SPD-Mitgliedern hat“ dem System gegenüber authentifizieren und einloggen.

„Es ist anscheinend möglich, für verschiedene SPD-Mitglieder eine Email-Adresse anzugeben. Das heißt wenn aus welchen Gründen auch immer eine Person mehrere Emails zur Online Abstimmung bekommt und die Mitgliederdaten der entsprechenden Mitglieder hat (zum Beispiel, weil alle Familienmitglieder SPD-Mitglieder sind und einen Email-Account benutzen), ist nicht überprüfbar, ob eine Person für alle abgestimmt hat oder ob jedes Mitglied tatsächlich nur einmal abgestimmt hat.“

Zudem sei das Abstimmungsergebnis nicht nachvollziehbar: „Das System gibt mir zwar an, dass ich für Kandidatin 1 gestimmt habe, weiß ich aber, ob das System tatsächlich meine Stimme auch für Kandidatin 1 gezählt hat? – Nein.“, so Lauer.

Weiter betont Lauer, dass das Verfahren, so wie alle Onlineverfahren anfällig für Phishing, also Zugangsdatenklau sei. Eine online zugängliche Datenbank, die die Stimmergebnisse speichert, stelle darüber hinaus potenzielles Ziel für Hackerangriffe dar.

Zu guter Letzt könne die SPD das Ergebnis ihrer Online-Abstimmung selbst nicht nachvollziehen. „Eine Online-Abstimmung hat nur dann einen Wert, wenn das Abstimmungsergebnis jeder einzelnen Person für die Abstimmenden öffentlich abrufbar ist. Wenn sich nicht zurückverfolgen lässt, wer wie abgestimmt hat, erhält die Mandatsprüfungs- und Zählkommission ein Abstimmungsergebnis, dem man entweder vertraut, oder eben nicht.“

Hackergruppe warnt

Der Chaos Computer Club hat in den vergangenen Jahren wiederholt die Schwächen von Wahlcomputern aufgezeigt und lehnt „Cybervoting“ grundsätzlich ab. „Wahlen sollen frei, geheim und allgemein nachvollziehbar sein. Sie gleichzeitig geheim und nachvollziehbar zu gestalten, ist aber mit einem Computer nicht umsetzbar“, meint Linus Neumann, Hacker und Sprecher des Chaos Computer Club (CCC) gegenüber dem SPIEGEL.

„Entweder sind die Stimmen geheim, dann ist aber das Zustandekommen des Ergebnisses nicht nachvollziehbar – oder das Zustandekommen des Ergebnisses ist nachvollziehbar, und die Stimmen sind nicht mehr geheim.“

Wähler könnten dem System nicht vertrauen, weil sie es nicht nachvollziehen könnten, so Neumann.

Erfahrungen mit dem „Cybervoting“

In der Schweiz ist es in den vergangenen Monaten immer zu Ärger mit einem mit der Schweizer Post entwickelten Wahlsystem des spanischen E-Voting-Weltmarktführers Scytl gekommen, dessen System auch bei der SPD zum Einsatz kommt.

„Wie das Republik-Magazin kürzlich wieder gezeigt hat, ist Scytl nicht einmal fähig, sogenanntes E-Counting korrekt durchzuführen, das heißt, Papierzettel elektronisch unterstützt auszuzählen“, sagt Hernâni Marques, Sprecher und Vorstandsmitglied des Schweizer CCC, dem SPIEGEL.

So sind bei der Europawahl im Mai in Spanien zahlreiche Stimmen an rechte statt linke Partien gegangen. „Was Onlinewahlen angeht, hat Scytl völlig versagt und gezeigt, keine Ahnung der zugrundeliegenden Mechanismen zu haben“, so Marques.

Das System von Scytl sei somit „für eine Parteiumfrage nicht geeignet, geschweige denn für eine amtliche Wahl, wie das in der Schweiz gedacht war.“

Ende Februar hatte die Schweizer Post, die das Wahlsystem in der Schweiz zusammen mit Scytl implementiert, Hacker und Sicherheitsforscher aufgefordert, den Quellcode des E-Voting-Systems bei einem Penetrationstest zu prüfen. Die kanadische Krypto-Forscherin Sarah Jamie Lewis und ihr Team konnten Schwachstellen aufdecken, die es potenziellen Angreifern ermöglichen könnten, Stimmen unbemerkt zu verändern.

Die Fehler sind derart gravierend, dass die Parlamentswahlen in der Schweiz erstmals seit vielen Jahren ganz ohne Internetwahlen stattfinden“, so Marques.

Marques hält es generell für unverantwortlich, Onlineabstimmungen mit privaten, potenziell unsicheren Geräten und beliebigen Browsern auf Online-Voting-Webseiten zuzulassen. (rm)