Warum die SPD ihren Wahlcomputer zur Wahl der Parteivorsitzenden ausschalten muss

tl;dr: Die SPD benutzt für ihre Mitgliederbefragung zum Parteivorsitz einen Wahlcomputer und kann damit das Ergebnis der Online-Abstimmung in die Tonne kloppen. Sie sollte den Wahlcomputer abschalten und den dort registrierten Mitgliedern Briefwahlunterlagen schicken.

Die SPD wählt durch Mitgliederbefragung einen neuen Parteivorsitz. Das stimmt nicht ganz, es findet eine Mitgliederbefragung statt und der Parteitag soll dann die im Mitgliedervotum siegreich hervorgegangenen Kandidatïnnen zum Parteivorsitz wählen.

Jedenfalls kann seit heute abgestimmt werden, zu meiner Verwunderung auch online. Da ich in der Piratenpartei im Zuge der Einführung von LiquidFeedback sehr viel mit dem Thema Wahlcomputer zu tun hatte, komme ich nicht umhin, die Online-Abstimmung der SPD kommentieren zu müssen.

Dieser Blogbeitrag könnte sehr kurz sein, wenn ich einfach darauf verweise, dass Wahlcomputer nicht gehen, der Chaos Computer Club (CCC) hat hierzu eigentlich schon alles geschrieben. Leider gibt es immer wieder Menschen, die der Meinung sind, geheime Wahlen/Abstimmungen über Computer oder im Netz wären doch möglich, also möchte ich im weiteren Verlauf auf einige Dinge hinweisen, um zu erklären, warum es nicht möglich ist.

Der Dienstleister

Die SPD nutzt den Online-Abstimmungs-Dienstleister Scytl. Über Scytl berichtete erst Anfang des Jahres das Schweizer Magazin „republik.ch”, Zitat:

The company withholds important information about the testing of its e-voting system or requires expensive licenses for those reviews to be carried out. The company has also funneled Spanish public funds and EU research money into client acquisition instead of investing them into further development as stipulated. Meanwhile, there was also an incident involving flawed voting in Australia.

Alleine das sollte schon davon abhalten, auf diesen Dienstleister zurück zu greifen (abgesehen davon, dass geheime Online-Wahlen nicht möglich sind), die SPD entschied sich anscheinend dennoch dazu, Scytl für ihre Online-Abstimmung zu benutzen.

Das Verfahren

Das SPD Verfahren läuft so, dass man sich zunächst online registrieren muss. Dann bekommt man ab heute eine Email zugesendet, die zwei Links enthält. Mit dem ersten Link kommt man dann auf eine Seite, auf der man seine Mitgliedsnummer und sein Geburtsdatum eingeben muss. Auf dieser Seite erhält man dann eine PIN. Mit dieser PIN geht man dann auf den zweiten Link in der Email, die man erhalten hat, gibt die PIN ein und kann dann abstimmen. Dann erhält man noch ein „digitales Zertifikat“ mit dem man überprüfen kann, „ob Deine Abstimmung korrekt erfolgt und gesichert worden ist“. Der ganze Vorgang wird hier auch noch mal in einem Video erklärt.

Demgegenüber das Verfahren per Brief: Die Unterlagen werden an die Adresse jedes SPD-Mitglieds geschickt. Das SPD-Mitglied füllt den Abstimmungszettel aus, dieser kommt in einen Umschlag. Das SPD-Mitglied muss eine Eidesstattliche Erklärung (!) ausfüllen, dass man selbst abgestimmt hat, die Abgabe einer falschen Eidesstattlichen Versicherung gegenüber einer Behörde oder einem Gericht ist strafbar. Der Umschlag mit dem Abstimmungszettel und die Eidesstattliche kommen in einen weiteren Umschlag, das alles wird an die SPD geschickt. Das Verfahren wird auch auf YouTube erklärt.

Die Probleme

Hier beschreibe ich verschiedene Probleme mit dem Online-Verfahren, wobei ich keinen Anspruch darauf erhebe, dass die Liste abschließend ist.

  1. Jede Person, die Zugriff auf die Geburtsdaten und Mitgliedsnummern von SPD-Mitgliedern hat, kann sich gegenüber dem System authentifizieren. Hat sich dieses für die Online-Abstimmung registriert, erhält man dann den PIN, um online für dieses Mitglied abzustimmen. Jede Vorsitzende eines SPD-Ortsvereins sollte über diese Daten verfügen, wie ein SPD-Mitglied hier berichtet.
  2. Es ist anscheinend möglich, für verschiedene SPD-Mitglieder eine Email-Adresse anzugeben. Dies wird im FAQ zur Online-Abstimmung explizit thematisiert. Danach ist es explizit kein Problem, wenn mehrere Mitglieder unter einer Email-Adresse angemeldet sind. D.h. wenn aus welchen Gründen auch immer eine Person mehrere Emails zur Online Abstimmung bekommt und die Mitgliederdaten der entsprechenden Mitglieder hat (zum Beispiel, weil alle Familienmitglieder SPD-Mitglieder sind und einen Email-Account benutzen), ist nicht überprüfbar, ob eine Person für alle abgestimmt hat oder ob jedes Mitglied tatsächlich nur einmal abgestimmt hat.
  3. Auch wenn im FAQ versichert wird, dass niemand nachvollziehen kann, wie man die Stimme Abgegeben hat, denn das Abstimmungsergebnis soll, so SPD, verschlüsselt sein: Genau das ist das Problem von geheimen Online-Abstimmungen (die nicht gehen). Denn das System gibt mir zwar aus, dass ich für Kandidatin 1 gestimmt habe, weiß ich aber, ob das System tatsächlich meine Stimme auch für Kandidatin 1 gezählt hat? Nein. D.h. die Abstimmungsdatenbank ist eine riesengroße Black Box (Was wahrscheinlich auch nicht stimmt, da ich davon ausgehe, dass zumindest einige Administratoren rein gucken können).
  4. Das Verfahren ist, wie alle Online-Verfahren anfällig für zum Beispiel Phishing. Gleichzeitig ist eine online zugängliche Datenbank, die die Stimmergebnisse speichert, ein potentielles Ziel für Hackerangriffe. In Zeiten, in denen zum Beispiel Russland per Hacking Wahlen beeinflusst oder es zumindest versucht, ist es zumindest nicht aus der Luft gegriffen, hier eine Gefahr zu sehen. Immerhin geht es um die Wahl zum Vorsitz einer Regierungspartei der Bundesrepublik Deutschland.
  5. Die SPD wird das Ergebnis ihrer Online-Abstimmung nicht nachvollziehen können: Eine Online-Abstimmung hat nur dann einen Wert, wenn das Abstimmungsergebnis jeder einzelnen Person für die Abstimmenden öffentlich abrufbar ist. Dann kann nämlich jeder und jede sich das Ergebnis angucken, sicher gehen, dass die eigene Stimme so gezählt wurde, wie man sie abgegeben hat und man kann Freunde und bekannte fragen, ob sie so abgestimmt haben, wie es angezeigt wird. Die SPD beschreibt das Problem ironischerweise selbst im FAQ zur Online-Abstimmung: „Auch dann lässt sich durch die Verschlüsselung nicht zurückverfolgen, wer wie abgestimmt hat.“ Wenn sich nicht zurückverfolgen lässt, wer wie abgestimmt hat, erhält die Mandatsprüfungs- und Zählkommission ein Abstimmungsergebnis, dem man entweder vertraut, oder eben nicht. In meinen Augen ein ziemlich großes oder.

Fazit

Natürlich kann es auch bei Briefwahlen Manipulationen geben: Die SPD stellt aber technisch und organisatorisch sicher, dass eine Manipulation der Briefwahl so unwahrscheinlich wie möglich ist. Nicht zuletzt verlangt sie von den Abstimmenden eine Eidesstattliche Versicherung. Des weiteren wird durch einen technisch-organisatorischen Prozess bei der Auszählung sicher gestellt, dass jede Stimme korrekt gezählt wird, und das es bei der Auszählung zu keinen Manipulationen kommt. Die Abstimmung zieht hieraus ihre Legitimität.

Demgegenüber steht die Online-Abstimmung, die aus den oben beschriebenen Gründen inherent unsicher ist. Ich kann die Motivation verstehen, warum sich die SPD mit einer Online-Abstimmung modern geben will. Was ich nicht verstehen kann ist, wie man gegen den Stand des Wissens auf diesem Gebiet einen Wahlcomputer Nutzen kann, dessen Ergebnis nach eigener Aussage im FAQ zur Online Abstimmung für die Partei nicht nachvollziehbar ist.

Ich versuche es noch einfacher zu formulieren: Die SPD würde ihre Briefwahlstimmen nicht an einen Dienstleister auslagern, der der SPD versichern würde, dass er die Stimmen korrekt auszählt, ohne dass die SPD nachvollziehen kann, ob er das auch tatsächlich tut. Genau das macht die SPD aber grade bei ihrer Online-Abstimmung.

Ein Follower wies mich darauf hin, dass wohl 1/3 der Mitglieder an der Online-Abstimmung teilnehmen wollen. Aber selbst wenn es nur 1% wären: Ich würde das Ergebnis einer Mitgliederbefragung, das zum Teil durch einen Wahlcomputer zustande kommt, der nicht nachvollziehbare Ergebnisse liefert, nicht anerkennen.

Um das ganze in konstruktive Bahnen zu lenken: Die SPD sollte den Mitgliedern, die sich für die Online-Wahl registriert haben Briefwahlunterlagen zuschicken und dann ihren Wahlcomputer ausschalten, noch ist Zeit dafür.

Update 11:40 Uhr:

Ich habe einen Link zur Pin-Webseite der SPD-Abstimmung bekommen. Dieser beginnt mit “https://spd.secured.vote/cd-portal/#/requestPIN/” hier folgt dann ein Zahlen- und Buchstaben Code a la “asfas292asdasd292adssd586” und dann folgt  “?electionId=mbf20191&lang=de_DE” wobei “mbf20191” für Mitgliederbefragung 2019 1 stehen dürfte. Ich hab mit der URL ein Bisschen rumgespielt und wenn man den Zahlen- und Buchstabencode durch einen Beliebigen Satz ersetzt, kommt man auch auf die Seite, auf der man die PIN abfragen kann. Das legt den Verdacht nahe, dass jeder von außen mit Geburtsdaten und Mitgliedsnummern an PINs kommen kann. Der Zahlen- und Buchstabencode in der URL scheint somit “security by obscurity” zu sein, was nochmal gegen den Dienstleister spricht (abgesehen davon, dass geheime Online Wahlen/Abstimmungen nicht möglich sind).

Update 12:06 Uhr:

In einer vorherigen Version des Textes stand, dass die Abgabe einer falschen Eidesstattlichen Versicherung Strafbar ist. Sie ist allerdings nur dann strafbar, wenn Sie gegenüber einer Behörde falsch abgegeben wird.

Weiterhin war es mir möglich, mit der Hilfe eines SPD-Mitgliedes, das noch nicht seine PIN abgerufen hatte, zu testen, ob mit selbst generierten Links wie oben beschrieben ein Abrufen der Pin möglich ist. Dem scheint nicht der Fall zu sein, d.h. die Zahlen- und Buchstabenkette in der URL wird mitgesendet und scheint wohl etwas damit zu tun zu haben, ob man vom System eine PIN bekommt oder nicht.

Update 12:26 Uhr:

Da sich in den Kommentaren diejenigen häufen, in denen mir versucht wird zu erklären, dass geheimes Online-Voting doch geht: Bitte spart euch die einfach. Ich schalte sie nicht frei. Ich habe meinen Standpunkt bezüglich Online-Voting klar gemacht und ich möchte nicht vom Gegenteil überzeugt werden. Ich kann nur nochmal darauf verweisen, was der CCC und andere zum Thema bereits festgestellt haben: Es geht nicht. Ich diskutiere auch nicht darüber, ob es den zweiten Hauptsatz der Thermodynamik wirklich gibt.

Update 15.10.19 8:31 Uhr:

Der Tagesspiegel Checkpoint berichtet in der heutigen Ausgabe über die unsicheren Online-Wahlen der SPD. In diesem Zusammenhang bemerkenswert ist das Zitat des SPD-Sprechers:

Es kommentiert ein SPD-Sprecher auf Checkpoint-Nachfrage: Man sei sich der Schwierigkeiten durchaus bewusst, lege allerdings Wert „auf eine sichere Online-Abstimmung“. „Das Verfahren wurde intensiv anhand mehrerer Testdurchläufe geprüft. Wir sind gut aufgestellt.“ Und: „Es haben sich viele ältere Mitglieder für das Onlineverfahren registriert. Auch mehr als 250 Mitglieder über 90-Jahren. Das finden wir ziemlich cool.“

Dazu einige Gedanken:

  1. Es ist schön, dass die SPD Wert auf eine sichere Online-Abstimmung legt. Allerdings ist die Online-Abstimmung der SPD nicht sicher, wie oben beschrieben worden ist.
  2. Ob das Verfahren in Testdurchläufen funktioniert hat ist auch egal, denn es ist ja genau dieses Verfahren, das Tür und Tor für Manipulation öffnet.
  3. Die Freude, dass sich mehr als 250 Mitgliedern über 90 angemeldet haben, ist in meinen Augen verfrüht. Denn, wie oben beschrieben, kann die SPD nicht überprüfen, ob tatsächlich die registrierten Mitglieder abstimmen, oder jemand, der Zugriff auf die Email der Person hat. Dass bei einer über 90 Jahre alten Person auch eine weitere Person Zugriff auf das Email-Postfach hat, ist nicht so unwahrscheinlich.

Fazit: Die bisherigen Reaktionen der SPD legen eine bemerkenswerte Ignoranz für das Problem an den Tag. Wie Enno Park in einem Beitrag auf t3n richtig bemerkt, würde es aktuell ausreichen, dass jemand plausibel behauptet, die Online-Abstimmung gehackt zu haben, um den ganzen Wahlprozess zum SPD-Vorsitz nachhaltig zu torpedieren.

Update 15.10.19 18:37 Uhr:

Spiegel Online hat meinen Artikel aufgegriffen, um über das Online-Voting der SPD zu berichten. Der CCC Deutschland und Schweiz weisen nochmal darauf hin, wie ungeeignet die von der SPD ausgewählte Software genau ist.

Weiterhin verblüffend ist die Reaktion der SPD:

Die SPD will es ihren Mitgliedern trotz der Bedenken gegen das Online-Wahlverfahren weiter ermöglichen, ihre Stimme übers Netz abzugeben. Auf SPIEGEL-Anfrage heißt es von Seiten der SPD, dass “100-prozentige Sicherheit” bei keinem Wahlgang garantiert werden könne, weder online noch offline.

Wir reden hier darüber, dass die SPD bei der Wahl zu ihren neuen Vorsitzenden nicht in der Lage sein wird, die Integrität von 180.000 Stimmen zu garantieren und alles was kommt ist der Verweis auf “100-prozentige Sicherheit”. Was hier grade an Crisis-Management zu Tage tritt ist 100-prozentige Verantwortungslosigkeit. Ich zumindest würde mir wünschen, dass die Regierungspartei einer G8-Nation ein Bisschen verantwortungsbewusster mit der Frage umgeht, ob ihre neue Parteispitze durch die Parteibasis oder russische Hacker bestimmt wurde.

Update 16.10.19 8:29 Uhr:

Aus Richtung SPD kommen jetzt zwei verschiedene Vorwürfe, die versuchen, die von mir und dem CCC vorgebrachten Mängel am Verfahren anzugreifen. Ich sage bewusst “anzugreifen”, denn es ist bemerkenswert, dass die Sicherheits- und Verfahrensmängel nicht einfach argumentativ entkräftet werden, sondern dass eben Vorwürfe und Unterstellungen gemacht werden.

Vorwurf: Das Timing

Verschiedentlich wurde vorgebracht, dass es ja nicht besonders konstruktiv von mir sei, solche gravierenden Bedenken an dem Tag vorzubringen, an dem die SPD ihr Online-Voting startet. Dazu kann ich nur sagen, dass ich seit Mai 2019 nicht mehr SPD-Mitglied bin. Ich habe daher von den ganzen Planungen bezüglich des Online-Votings nichts mitbekommen. Dass ich es mitbekommen habe, war auch eher Zufall. Davon abgesehen muss ich auch sagen, dass die Mängel so gravierend sind, dass ich selbst der SPD nicht zugetraut hätte, ein Online-Voting auf diese Art zu Veranstalten. Als ich noch SPD Mitglied war, habe ich auf verschiedenen Ebenen mit Amtsträgerïnnen über Online-Beteiligung geredet. Hierbei habe ich immer klar gemacht, dass geheime Wahlen über das Netz nicht möglich sind und eine Online-Abstimmung immer nachvollziehbar sein muss.

Vorwurf: Ich lege zu hohe Maßstäbe an die Abstimmung an, sie sei ja keine Wahl im eigentlichen Sinne

Die Mitgliederbefragung der SPD führt schlussendlich zu einer Wahlempfehlung für den Parteitag, welches Kandidatenteam zukünftig die SPD anführen soll. Insofern ist das hier nicht ein Kaninchenzüchterverein, der zu klären versucht, wo die nächste Leistungsschau stattfinden soll, sondern die Regierungspartei einer G8-Nation, die ihren zukünftigen politischen Kurs bestimmen möchte. Das hat auch unmittelbar Einfluss auf die Frage, ob die jetzige Bundesregierung bis zum Ende der Legislatur bestehen bleibt, oder ob es zum Beispiel vor 2021 Neuwahlen im Bund gibt. Dabei nehmen am Online-Voting 180.000 von 426.000 Mitgliedern teil, eine nicht zu ignorierende Gruppe.

Andere und ich vergleichen das Online-Voting nicht mit einer geheimen Wahl, wir messen die SPD einfach an dem, was sie selbst schreibt. Im FAQ zum Online-Voting schreibt sie, dass sich durch die Verschlüsselung innerhalb des Abstimmungsprozesses nicht nachvollziehen lässt, wer wie abgestimmt hat. Wenn sich aber nicht nachvollziehen lässt, wer wie abgestimmt hat, hat niemand eine Möglichkeit, das Ergebnis des Online-Votings zu überprüfen. Beispiel: Ein SPD Mitglied stimmt für Team 1. Die Maschine macht irgendwas. Am Ende steht in der Datenbank eine Stimme für Team 1. Würde jetzt jemand überprüfen wollen, ob diese Stimme tatsächlich eine Stimme für Team 1 war, gibt es keine Möglichkeit dies zu tun. Man muss der Maschine glauben. Stimmt jemand für Team 1 und die Maschine zählt aus welchen Gründen auch immer die Stimme für Team 2, gibt es auch keine Möglichkeit, diesen Fehler zu finden.

Bei einer Briefwahl gibt es natürlich Manipulationsmöglichkeiten, allerdings lassen sich die eingegangenen Wahlzettel immer wieder nachzählen. Das heißt die SPD kann sich immer wieder überzeugen, dass die Stimme auch tatsächlich so abgegeben wurde wie im Gesamtergebnis vermerkt. Das Online-Voting der SPD ist so, als würde die SPD 180.000 Briefwahlzettel einem externen Dienstleister zum auszählen geben, dieser Dienstleister würde einmal das Ergebnis mitteilen und dann sagen, dass eine Nachzählung des Ergebnisses nicht möglich ist. Das bedeutet, der Vorwurf der zu hohen Maßstäbe ist vollkommen absurd. Das SPD-Verfahren ist in sich fehlerhaft.

Update 16.10.19 17:48 Uhr:

Ich hatte die Kandidatïnnen-Teams zur SPD Vorstandswahl gefragt, wie sie zum Online-Voting der Partei stehen. Kein einziges Team hat meine Anfrage beantwortet.

Der Podcast Lauer und Wehner

Sollte Dir dieser Text gefallen haben, höre doch mal in unseren Podcast “Lauer und Wehner” rein. Du findest ihn auf verschiedenen Plattformen.

Folgt @LauerundWehner auf Twitter

Den Feed des Podcasts findet ihr hier.

“Lauer und Wehner” gibt es auch auf Spotify.

“Lauer und Wehner” auf iTunes.

“Lauer und Wehner” auf YouTube.

Wir freuen uns immer über Unterstützung, zum Beispiel durch einen Dauerauftrag

IBAN: DE25700222000020192089
BIC: FDDODEMMXXX

Oder über eine Zuwendung per Paypal

8 Antworten auf &‌#8222;Warum die SPD ihren Wahlcomputer zur Wahl der Parteivorsitzenden ausschalten muss&‌#8220;

  1. “Eine Online-Abstimmung hat nur dann einen Wert, wenn das Abstimmungsergebnis jeder einzelnen Person für die Abstimmenden öffentlich abrufbar ist.” — ist nicht korrekt. Ich bin kein Freund von Onlinewahlen, aber es kann kryptographisch sichergestellt (und später auch nachvollzogen) werden, dass Stimmen gezählt wurden. Der große Nachteil ggü herkömmlichen Wahlen ist, dass man hierfür Informatik mit Schwerpunkt Onlinewahlen studiert haben muss. Außerdem hilft die theoretische Überprüfbarkeit wenig, wenn es niemand tut.

    Praktisch ist es nichtsdestotrotz ein Skandal, dass es potentiellen Betrügern so leicht gemacht wird, die Wahl zu manipulieren.

      1. Die verlinkte Seite ist nicht besonders zugaenglich. Wo finde ich dort einen wissenschaftlichen Nachweis darueber, dass es technisch und theoretisch unmoeglich ist, sowohl heute als auch in der Zukunft? Soweit ich weiss (habe Informatik studiert) gibt es tatsaechlich viele Experten, die aus diversen Gruenden dieser Meinung sind. Ich stimme daher zu, dass die Aussage wahrscheinlich wahr ist. Aber solange ich keinen Negativ-Beweis sehe, wuerde ich das nicht so grundsaetzlich ausschliessen. Der zweite Hauptsatz der Thermodynamik ist stichfest nachweisbar. Fuer die theoretische Unmoeglichkeit elektronischer Wahl haette ich gerne aehnliche Nachweise.

        1. Lieber Paul,

          Vielen Dank für Deinen Kommentar, hierzu einige Gedanken:

          1. Physik und andere Wisenschaften funktionieren ja über Falsifikation, d.h. immer wenn ich eine Situation habe, in der der 2. Hauptsatz der Thermodynamik stimmt, bedeutet das nicht, dass der 2. Hauptsatz der Thermodynamik stimmt. Aber: Der 2. Hauptsatz der Thermodynamik ist experimentell leicht überprüfbar und da es bisher noch kein Perpetuum Mobile gibt, ist die Wahrscheinlichkeit, dass er richtig ist, sehr groß.

          2. Ich schließe nicht aus, dass es vielleicht Möglichkeiten gibt, online geheim und überprüfbar zu wählen, allerdings sind mir hier keine in der Realität funktionierenden Verfahren bekannt, weswegen ich dazu neige zu sagen, dass es nicht geht. So wie ich zum Beispiel die Online Wahl in Estland verstehe, scheinen die Dort die geheime Wahl de facto abgeschafft zu haben, um online nachvollziehbar wählen zu können. Ich persönlich lehne Online-Wahlen aber auch einfach aus dem Grund ab, dass meiner Meinung nach das Risiko durch Manipulation zu groß ist.

          3. Das Problem bei der SPD-Abstimmung ist, dass die SPD nie definiert hat, welche Kriterien sie da an eine Online Wahl legt. Man hätte das ganze ja auch mit anderer Software wie zum Beispiel Liquid Feedback parteiöffentlich überprüfbar abhandeln können. Was ich feststelle ist, dass es eben Diskrepanzen zwischen Online-Voting und Briefwahl gibt. D.h. bei Briefwahl ist durch den technisch-organisatorischen Prozess sicher gestellt, dass es zu so wenig Manipulation wie möglich kommt. Bei dem Online-Voting in seiner jetzigen Ausgestaltung kann ich das nicht feststellen.

          Gruß nach Südkorea

          Christopher

  2. Vor kurzem wurde auch ein E-Voting in der unabhängigen finnischen Provinz Åland gestoppt. Es sollte ebenfalls Scytl zum Einsatz kommen. Die dortige Datenschutzbehörde hatte Scytl’s Sicherheit kritisiert. Des Weiteren wurden Schwachstellen in der Schnittstelle zur sicheren Autentisierung der Anwender gefunden.

    Hier ein link zur Nachricht: https://www.hbl.fi/artikel/det-blir-ingen-natrostning-i-valet-pa-aland/

    Hier ein Link zur Datenaufsichtsbehörde Åland: http://www.di.ax/nyheter/resultat-dataskyddstillsyn-rorande-valet

    Beide Links gibt’s leider nur auf Schwedisch.

Kommentare sind geschlossen.