Manfred Kloiber: In den USA stehen Wahlen an. Bei den sogenannten Zwischenwahlen im November werden Kongressabgeordnete und Senatoren gewählt. Und das geschieht in nicht wenigen Wahlbezirken mit leicht manipulierbaren Wahlcomputern, teilweise mit völlig veraltetem Gerät. Heimatministerium und Nachrichtendienste haben natürlich auch schon vor Hackerangriffen zur Manipulation der Wahlen gewarnt. Vor allem russische Hacker werden da als Gefahr ausgemacht. Und gleichzeitig taucht als leuchtendes Beispiel der Bundesstaat West-Virginia auf. Denn da soll mit einer Smartphone-App gewählt werden. Viele Politiker sind völlig begeistert. Das sei modern. Ist es aber auch sicher, Peter Welchering?
Peter Welchering: Die Wahl-App ist unsicher, über die Betriebssysteme der Smartphones kann per Schadsoftware die Stimmabgabe manipuliert werden. Die Datenübertragung ist angreifbar. Aber ja, Wahl-Apps sind modern. In den USA sollen sie die vielen Probleme mit den völlig veralteten Wahlcomputern lösen. Und auch hierzulande finden viele Wahl-Apps einfach schick und modern. Sicherheitsfragen interessieren dann nicht.
Kloiber: Kommen wir mal zur Smartphone-Wahl in West-Virginia. Die Wahl-App namens Voatz soll ja die aufwändigere Briefwahl ersetzen. Wie funktioniert das?
Welchering: Der Wähler installiert die App auf seinem Smartphone, fotografiert seinen Ausweis und lädt dieses Foto per App hoch. Dann dreht er ein kurzes Selfie von seinem Gesicht, lädt auch das hoch. Per Gesichtserkennung wird dann entschieden, ob Video und Ausweisfoto übereinstimmen. Ist das der Fall, darf er wählen.
Kloiber: Wohin und wie wird die digitale Stimme dann übertragen?
Welchering: Übertragen wird der digitale Stimmzettel auf die Server von Voates, und die Datenpäckchen werden eben per W-LAN oder Mobilfunknetz übertragen. Und hier gibt es eine Menge Angriffspunkte, aber auch eine Menge Fragen, die Voates bisher nicht beantwortet hat. Auch auf die zwölf Fragen des Deutschlandfunks zu Schadsoftware, Absicherung der Datenübertragung und verwendeter Blockchain haben wir bisher keine Antworten bekommen.
Wahl-App mit einigen Schwachstellen
Kloiber: Dann lassen Sie uns doch mal die möglichen Schwachstellen kurz durchgehen.
Welchering: Schwachstelle Nummer eins: Auf dem Smartphone ist eine Schadsoftware, die die Stimmabgabe manipuliert. Das lässt sich recht aufwändig durch Abschottung der App und ständige Sicherheitsanalyse des Smartphones einigermaßen einschränken. Zur Abschottung der App äußert sich Voatz aber nicht. Schwachstelle Nummer zwei: Die Datenübertragung nach der Stimmabgabe. Wie die Datenpäckchen hier gesichert werden – ebenfalls Schweigen bei Voatz. Auch die Sicherungsmaßnahmen des digitalen Stimmzettels bleiben unbekannt. Schwachstelle Nummer drei: Wo Voatz die Stimmabgabe dann speichert, wie diese Daten gesichert werden, verrät uns der App-Hersteller ebenfalls nicht.
Kloiber: Viele Politiker haben aber doch sehr gelobt, dass die digitalen Stimmzettel in eine Blockchain eingeschrieben werden.
Blockchain ist nicht gleich sicher
Welchering: Traditionell passiert bei einer Blockchain-Transaktion ja folgendes: Der digitale Stimmzettel wird in eine Datei geschrieben. Diese Datei wird verschlüsselt an die Wahl-Blockchain geschickt und dort an die anderen Dateien mit den anderen digitalen Stimmzetteln angehängt. Man kann sich das so vorstellen, als würde der digitale Stimmzettel eingeschweißt, damit ihn niemand mehr verändern kann. Und dieses eingeschweißte Blatt Papier wird in einen Stapel, Blockchain genannt eingeheftet. Jedes Mal wenn so etwas passiert, müsste dann der gesamte Stapel mit allen eingeschweißten digitalen Stimmzetteln an alle Beteiligten geschickt. Denn nur wenn der Aufwand für eine nachträgliche Manipulation der digitalen Stimmzettel enorm hoch ist, dann ist die Manipulation erschwert, heißt konkret: Wenn es unmöglich ist, alle Blockchain-Kopien auf allen Servern der Welt zu ändern, dann ist eine Manipulation so gut wie ausgeschlossen. Das ist aber bei der Blockchain, mit der Voatz für seine Wahl-App wird, eben nicht der Fall. Die liegt auf den Servern von Voatz kann also leicht manipuliert werden. Klar, Blockchain klingt total modern. Deshalb haben die Politiker die Wahl-App mit der Blockchain auch total gelobt. Aber hier wird ein zentrales Sicherungselement der Blockchain gerade nicht angewendet.
Kloiber: Gibt es denn Alternativen zur Wahl-App in West-Virginia?
Welchering: Klar, die traditionelle Briefwahl. Aber das finden eben viele Menschen Retro.