Archive for the ‘politics’ Category
DHS screens a MacBook Air
Thursday, March 20th, 2008Michael Nygard baffled the TSA with his MacBook Air/SSD, which apparently looks more like a “device” than a portable computer, which was enough to let him miss his flight.
Fortunately, the DHS/TSA knows that being as secretive as they are is not good for the reputation, so they started a blog to deceive the public make things a little bit more transparent.
How transparent can be seen in a new post, in which Bob, apparently working in the DHS PR department, screens the MacBook Air. His findings are delusive interesting:
“The MacBook does look completely different than your typical laptop or DVD player. I can’t get into specifics of course, but there were a couple of areas on the X-ray that could pique some interest for TSOs.”
So, “he can’t get into specifics of course” - apparently they even declare x-ray images of consumer hardware as a state secret sensitive security information (SSI).
I can’t even begin to explain my disgust with this type of politics.
Wahlbeobachter in Germering
Monday, March 3rd, 2008Wie angekßndigt, habe ich mit map zusammen gestern abend die IT-gestßtzte Auszählung in Germering beobachtet.
Am frĂźhen Nachmittag begannen wir, uns in Wahllokalen (Stadthalle, Wittelsbacher Schule, Kirchenschule) vorzustellen und anzukĂźndigen, dass wir abends gerne kurz vorbeikommen mĂśchten. Gleichzeitig wollten wir die Gelegenheit nutzen, die EDV-Wahlhelfer beim Aufbau der IT zu beobachten.
In dieser Zeit haben wir ca. 20 von 41 Wahllokalen besucht, mit gemischten Ergebnissen.
In mindestens der Hälfte der Fälle begegnete uns mal mehr, mal weniger starke desinteressierte Belustigung (“Ach, kommt jetzt die OSZE auch schon zu uns?”), zweimal war man eher misstrauisch und wollte wissen, ob dies mit dem Rathaus abgesprochen sei (es wuĂte aber immer mindestens ein Helfer, dass Wahl und Auszählung Ăśffentlich sei - man stritt sich dann eher intern und sagte zu uns: “Wenn es denn sein muss!”).
In einem Wahllokal war der stellvertretende Wahlvorstand ein mindestens so groĂer Kritiker wie wir, er schimpfte auf das System, insbesondere auf die nicht transparente Gesamtberechnung und das Betriebssystem:
“wenn’s den Schmarrn scho wollen, dann g’hĂśrt da a Linux auf CD hin, von dem man bootet, und das gesamte System muss vorab im Sourcecode runterladbar sein!”
Er bezeichnete die händische Auszählung der Kommunalwahl zwar als “Scheissjob”, die Risiken der IT-LĂśsung seien aber zu groĂ, um die Vorteile aufzuwiegen.
In einem Wahllokal begegnete man uns anfänglich eher freundlich-desinteressiert, bis dann eine Helferin bemerkte, es gäbe da doch so eine Organisation oder einen Verein, die da was in die Richtung machen wĂźrden, wie hieĂen die denn noch gleich - als ich bemerkte, sie meine wohl den CCC, änderte sich die Haltung des stellvertretenden Wahlvorstands massiv:
“Also in diesem Fall mĂśchte ich Sie doch bitten, dass Sie sich vorab ans Rathaus wenden.”
Ich entgegnete, wir stĂźnden bereits seit längerem mit dem Rathaus in Kontakt, die Beobachtungen seien abgesprochen. Er begann, darĂźber zu schimpfen, dass er nicht informiert sei und verlangte, dass wir den Wahlleiter kontaktieren, damit dieser ihm das OK gäbe. Wir lieĂen ihn mit der Bemerkung allein, er kĂśnne sich gern mit dem Wahlleiter abstimmen, wir wĂźrden am Abend dann vorbeikommen. Kurz darauf sahen wir ihn mit Handy am Ohr und empĂśrtem Gesichtsausdruck an uns vorbeiziehen.
Allgemein hatte man den Eindruck, dass einige Leute vom Rathaus vorab auf unseren Besuch vorbereitet wurden. In 2-3 Fällen wurde man beim Stichwort Wahlbeobachtung oder IT-gestßtzte Auszählung ungewÜhnlich offiziell, aber sehr freundlich, und beeilte sich zu versichern, wir kÜnnen jederzeit vorbeikommen, die Auszählung sei ja Üffentlich, man sei sich sicher, wir wßrden in der Praxis sehen, welche Vorteile das System bringe.
In ca. 3/4 der besuchten Wahllokale hatten wir die Gelegenheit, mit den Helfern Ăźber unsere Motive und Bedenken zu diskutieren. Es war klar, dass wir bei diesen Leuten nicht mit Argumenten Ă la “Das ist eine LĂśsung, die ein Problem sucht” anfangen mussten, denn die Helfer erhofften sich durchweg hohe Zeitersparnis und einfachere Auszählungen. FĂźr die Wahlhelfer ist das System eindeutig die LĂśsung eines Problems, das sie alle paar Jahre wieder haben.
Stattdessen konzentrierten wir uns darauf, unsere Vorbehalte zur Sicherheit des Systems darzulegen und die Aufmerksamkeit dafĂźr zu wecken, inwieweit das, was der Computer am Schluss als Ergebnis auswirft, vertrauenswĂźrdig sei.
Ich persĂśnlich war erstaunt, wie viele Leute fĂźr diese Argumente empfänglich waren - sehr häufig konnten wir bei den Helfern die Ăberzeugung wecken, dass das verwendete Programm doch zumindest vorab von einer interessierten, unabhängigen Gruppe sowie der BevĂślkerung getestet werden mĂźsse.
Als Pro-IT Argument war sehr häufig zu hĂśren, dass die Handauszählung extrem fehleranfällig sei - eine Helferin (Informatikerin “mit CCC-Erfahrung”) meinte sogar, die Fehler glichen sich im Laufe des Abends nur deswegen aus, weil “alle Augen, egal ob schwarz, rot, grĂźn oder gelb, nachts um zwei auf Halbmast hängen”.
Einige Male war auch zu hĂśren, dass wir doch nicht ernsthaft erwarten, dass jemand eine Kommunalwahl fälscht, um einen “Depperljob” im Stadtrat zu machen (Zitat einer Stadträtin). Ich denke, wir konnten vermitteln, dass es zum einen nicht wirklich um die Wahrscheinlichkeit eines Fälschungsversuch ginge und sich zum anderen wohl jedes Mal genug “Deppen” fänden, die zum Teil auch vor unlauteren Motiven nicht zurĂźckschrecken (s. Dachau).
Zu den IT-Systemen bleibt nicht viel zu sagen. Diese wurden zwischen 12 und 15 Uhr aufgebaut, standen immer in Sichtweite der Helfer und waren nur selten bereits während der Wahl hochgefahren. Die USB-Sticks wurden nicht mit dem System ausgeliefert, sondern wurden den Wahlvorständen vom Wahlleiter am Morgen der Wahl zusammen mit den weiteren Unterlagen ausgehändigt. Die meisten Vorstände legten die Sticks während der Wahl anscheinend zu den weiteren Unterlagen, die meist unter oder neben den Tischen der Helfer standen.
Gegen 18 Uhr begann man zuerst mit der Auszählung der BĂźrgermeister- und Landratswahl. In dem Wahllokal, in dem wir diese beiden Auszählungen beobachteten, brauchte man fĂźr 266 abgegebene Stimmen jeweils ca. 10 Minuten sowie nochmals die gleiche Zeit zum AusfĂźllen der Protokolle. Im Anschluss daran begannen die Helfer sofort, die Urnen des Stadtrats zu Ăśffnen und die Stimmzettel zu Ăśffnen und stapeln. Dies allein dauerte sicher 10 Minuten und sah äuĂerst mĂźhsam aus - es stellt sich die Frage, ob WahlbĂźcher nicht einfacher zu handhaben wären.
Interessanterweise fand sich in einer Urne ein A4-Blatt mit politischen Parolen - es ist also einem Wähler problemlos gelungen, ein zusätzliches Blatt in die Urne zu schmuggeln.
Das Aufbringen der Identifikationsbarcodes fĂźhrte zur ersten Verwirrung, man wusste nicht, ob es verschiedene BarcodebĂśgen fĂźr Stadtrat und Kreistag gebe und entschloss sich dann, einfach die obersten Codes fĂźr die eine Wahl zu nutzen und bei der zweiten Wahl zumindest mit einem neuen Blatt zu beginnen.
Auch die ersten Kontakte mit dem Computer waren nicht ganz fehlerfrei: Die Software machte nicht genau das, was man lt. der Screenshot-basierten Anleitung zu erwarten hatte. Dies fĂźhrte zu einer VerzĂśgerung von ca. 10 Minuten, in der sich zwei Helferinnen sichtbar Ăźberfordert durch die drei Fenster klickten und versuchten, die verschiedenen Zahlen der Wahl (A1 und A2 Stimmen) an den falschen Stellen einzugeben. Mindestens eine der Beiden hatte nach eigener Aussage die EDV-Schulung besucht.
Das Einlesen der ersten Stimmzettel war anfänglich äuĂerst zäh - nur ca. jeder 10. Einleseversuch gelang, die Fehlbedienungen waren zahlreich (nicht geĂśffnet, nicht geschlossen, zu häufig eingelesen) - interessanterweise mischte sich bald die älteste Wahlhelferin des Lokal (Typ Bäuerin, Mitte 70) ein und erklärte den Anwesenden, dass der Barcodeleser zwar “scho a Schmarrn” sei, mit der richtigen Ăbung aber ganz gut zu bedienen sei.
Wir ermittelten anfänglich Werte von 2-5 Minuten pro Stimmzettel, die sich aber schon nach ca. 20 Stimmzetteln auf annehmbare Werte von 30 Sekunden - 2 Minuten reduzierten.
Andere Wahllokale waren sichtlich besser bestĂźckt mit kompetenten Wahlhelfern, die mit einem Durchsatz von bis zu 3 Stimmen pro Sekunde die Zettel einlasen.
Die korrekte DurchfĂźhrung der Kontrolle war hierbei sehr unterschiedlich. Es gab Teams, die zu dritt oder viert das Auslesen beobachteten, sich jede Stimme laut vorlasen und mit OK quittierten. Andere saĂen zu zweit vor dem Computer, beide mit den Augen auf dem Stimmzettel auf der Suche nach Stimmen, während der Barcodeleser sehr schnell vor sich hinpiepte und niemand auf den Bildschirm sah. Solche Szenen konnten wir bei ca. 1/3 der Wahllokale beobachten - mir persĂśnlich war es hier nicht mehr mĂśglich, mitzuverfolgen, ob das Einlesen der Stimmen korrekt erfolgte. Es kam sogar mehrmals vor, dass man erst nach dem fertigen Einlesen des Zettels bemerkte, dass bereits seit geraumer Zeit eine Fehlermeldung auf dem Bildschirm stand und alle Eingaben vom Computer nicht angenommen wurden (der Barcodeleser piept immer).
Wie zu erwarten haben wir kein einziges Mal den Fall beobachtet, dass ein Wahlhelfer im Laufe der Wahl die addierten Ergebnisse auf Validität ßberprßft.
Interessanterweise war die Zahl der kumulierten und panaschierten Stimmzettel um ein Vielfaches hĂśher, als wir dies vorher gesagt bekamen. Einige Wahlhelfer sprachen von 1/3 Partei, 1/3 kumuliert, 1/3 panaschiert, mir persĂśnlich kam der Anteil der komplexen Stimmzettel sogar noch hĂśher als 2/3 vor - selbst bei der Kreistagswahl mit 70 abzugebenden Stimmen.
Bereits gegen 20 Uhr zeichnete sich ab, dass die Auszählung sehr schnell beendet sein wĂźrde, und tatsächlich waren fast alle Wahllokale gegen 21:30, spätestens 22:00 Uhr mit dem Einlesen der Stimmzettel fertig und nur noch damit beschäftigt, die Zettel den verschiedenen Stapeln zuzuordnen, den E-Stapel durchzusehen und die GĂźltigkeit einzelner Stimmzettel zu beschlieĂen oder Protokolle auszufĂźllen.
GegenĂźber der Endzeit frĂźherer Kommunalwahlen von “bis zu 3 Uhr morgens” war die Zeitersparnis tatsächlich sehr deutlich, auch wenn uns eine Helferin sagte, wer bis drei Uhr morgens auszähle, kĂśnne es einfach nicht. Mit der richtigen Organisation und einem fähigen Team sei man problemlos bei manuellem Auszählen bis Mitternacht fertig.
Noch ein kurzes Statement zu den Kosten: Wie mir die Bßrgermeisterkandidatin der Grßnen mitteilte, wurden die 100 neuen Rechner, die fßr die Wahl verwendet wurden, im Hinblick auf Weiterverwendung in einer Schule angeschafft und seien somit nicht als Kosten der elektronischen Auszählung zu werten. Die Kosten der Software belaufe sich fßr Germering auf 240,- EUR Lizenz- und Wartungskosten pro Jahr an die AKDB.
Mein Fazit:
Die Vorteile der Software wie Einfachheit der Auszählung und Schnelligkeit sind nicht von der Hand zu weisen und ßbertreffen teilweise sogar die Erwartungen der Rathausangestellten. Auch die Kostenaspekte kann man wohl eher vernachlässigen - selbst wenn man die Schulungen einrechnet, ist dies eine Summe, die bei weitem nicht an die Kosten einer NEDAP- oder Wahlstift-Wahl herankommt und noch gut zu vertreten ist.
Trotzdem bleiben unsere Argumente valide, seien es die etwas abstrakten Gefahren fehlerhafter oder manipulierter Softwarealgorithmen oder die bereits im Vorfeld vermuteten Verletzungen der Vorschriften des 4-Augen-Prinzips und des Nachprßfens. Diese waren in meinen Augen sogar schlimmer als erwartet, da ich nicht damit gerechnet hatte, dass EDV-unerfahrene Wahlhelfer einen solchen Durchsatz beim Einlesen der Stimmzettel erreichen kÜnnen. Wie erwartet vertrauen viele Wahlhelfer dem System nach kurzer Zeit blind und achten nur noch auf das Piepsen, aber nicht mehr darauf, welche Stimme tatsächlich gerade eingelesen wird.
Positiv Ăźberrascht war ich von der “Awareness”, die wir bei den Wahlhelfern wecken konnten. Mindestens die Hälfte konnte unsere Argumente verstehen, einige wollten sich im Anschluss sogar dafĂźr einsetzen, dass diese Software erst dann wieder genutzt werden dĂźrfe, wenn eine Zertifizierung und unabhängige PrĂźfung stattgefunden habe. Der oben genannte Kritiker der Software wollte so weit gehen, die ausgedruckten Protokolle nicht zu unterschreiben, weil er das Ergebnis nicht nachvollziehen kĂśnne. Wie dieser Fall ausgegangen ist, ist mir nicht bekannt.
Ich werde bewusst keine Nachzählung verlangen, da ich denke, wir schneiden uns damit ins eigene Fleisch. Durch eine korrekte Nachzählung bekommt das Verfahren eine Validierung, dies es nicht verdient.. Trotz zum Teil zu schnellem und schlampigem Einlesen rechne ich damit, dass die Ergebnisse bis auf wenige AusreiĂer, die man dann nicht manuellen oder elektronischen Fehlern zuordnen kann, Ăźbereinstimmen. Dann ist der BevĂślkerung noch weniger zu vermitteln, dass die Gefahr dadurch nicht gebannt ist, sondern wir dieses Mal nur “GlĂźck” hatten, dass keiner fälschen wollte.
Die persÜnliche, mßhsame Kontaktaufnahme mit den Wahlhelfern, Politikern und Zuständigen im Rathaus bringt hier um einiges mehr. Der Frau an meiner Seite ist es als Wahlhelferin in ihrem Wahllokal gelungen, im Laufe des Abends alle Wahlhelfer davon zu ßberzeugen, dass das System dringend nachgebessert werden muss. Steter Tropfen hÜhlt den Stein.
Softwarefehler bei Wahlen
Wednesday, February 27th, 2008Lt. Hanno hat das Hamburger Abendblatt am Dienstag beim Abdruck der einzelnen Wahllokalergebnisse die Zahlen zweier Parteien vertauscht. Kann passieren, aber man beachte die Entschuldigung:
âDiesmal haben wir die Daten nicht per Hand, sondern Ăźber eine Software eingelesen. Und was passiert? Da, wo GAL in der Liste steht, tauchen die Prozentzahlen der FDP auf - und umgekehrt. [..] Unsere Leser kĂśnnen wir nur um Entschuldigung bitten.â
Es tut gut, bestätigt zu werden…
(Via Hanno’s Blog)
Die bayerische Kommunalwahl und die IT
Wednesday, February 27th, 2008In den letzten 24 Stunden ist aus einem leichten “Staub aufwirbeln” ein ziemlicher Wirbelsturm geworden, und schuld daran sind Artikel wie dieser und dieser.
Aber von Anfang an…
Halb durch die “Hacker zu Wahlhelfern” Aktion des CCC, halb aus Interesse und “BĂźrgerverantwortung” habe ich mich in Germering schon circa Mitte letzten Jahres als Wahlhelfer angemeldet. Bei der Gelegenheit wollte ich auch gleich meine Meinung und Expertise zu Wahlcomputern kundtun und anbieten, aber es war niemand da, der mir zuhĂśren wollte. Die Rathausangestellte war allerdings so nett, sich neben meinen Kontaktdaten auch zu notieren, dass ich ein IT-Experte mit Security-Hintergrund sei.
Dann war lange nichts, und ich hatte schon befĂźrchtet, meine Kontaktdaten seien verloren gegangen - bis mich vor drei Wochen dann abends ein Anruf vom Wahlleiter der Stadt Germering erreichte, der mich nicht nur als Wahlhelfer einsetzen wollte, sondern aufgrund meiner Ausbildung und meiner Erfahrung auch auf einen speziellen Job positionieren wollte - den des EDV-Wahlhelfers. Er erklärte mir, man setze in Bayern selbstverständlich keine Wahlcomputer ein, hätte aber fĂźr die komplizierten Kommunalwahlen (StichwĂśrter Panaschieren, Kumulieren, Streichen) eine elektronische Auszählhilfe, die mittels Barcodes und -lesern die Berechnung des Endergebnisses vereinfacht. Neben den “normalen” Wahlhelfern setze man in Germering auch auf Freiwillige mit IT-Kenntnissen, die zur Administration der erforderlichen Hard- und Software sowie Fehlerbehebung während der Auszählung verantwortlich seien.
Natßrlich sagte ich, auch aus Interesse an dieser Technik, zeitnah zu, und so wurde ich am 20. Februar zu einer EDV-Wahlhelferschulung ins Rathaus eingeladen. In netter Atmosphäre wurden mir und einem weiteren ehrenamtlichen Helfer (pensionierter Elektrotechniker) von zwei IT-Angestellten des Rathauses ein paar Details zu den Verfahren der Wahl, unserer Aufgabe, der Software und ihren mÜglichen Fehlern sowie weitere interessante, aber unkritische Fakten erzählt. Zum Abschluss durften wir dann selber kurz einen Stimmzettel per Barcode einlesen sowie die wichtigsten Fehler und ihre Behebung testen.
Direkt im Anschluss dokumentierte ich die mir nun bekannten Details im Wiki des CCC Regensburg, den ich bereits vorher auf der Suche nach Details zu Wahlverfahren und Software gefunden hatte. Die MutmaĂungen und Abschätzungen der anderen Teilnehmer wurden dabei von mir nicht verändert, sondern nur die Kapitel 8 und 9 ergänzt.
Zeitgleich schrieb ich eine Mail an eine interne CCC-Mailingliste zum Thema Wahlcomputer in Bayern:
Moin,
ich habe im Regensburg-Wiki einen längeren Abschnitt zu meinen
Informationen mit dem Zählsystem und dem Ablauf der Auszählung im Zuge
einer Schulung zum EDV-Wahlhelfer in Germering geschrieben.Vermutungen Ăźber Sicherheit wollte ich dort erstmal nicht
unterbringen, bin aber an Euren Meinungen interessiert.Ich persĂśnlich stehe dem hier eingesetzten System eher aufgeschlossen
gegenĂźber.
Es handelt sich grob gesagt um eine elektronische Hilfe/Vereinfachung
zu den bisher Ăźblichen Strichlisten der Wahlhelfer.Die Wahl selber erfolgt komplett mit Papier und Stift, d.h. auf dem
Stimmzettel kann der Wählerwille nicht gefälscht werden.
Im Gegensatz zum Hamburger Wahlstift erfolgt hier eine Kontrolle
bezĂźglich der Ăbereinstimmung von Wählerwille und gezähltem Ergebnis.
Hierzu mĂźssen natĂźrlich die Vorgaben zur ĂberprĂźfung der Auszählung
eingehalten werden, aber dies war IMHO auch bereits bei rein manuellen
Auszählungen notwendig.Ich sehe somit eine groĂe Chance auf Aufdeckung, was simple
Wahlfälschungen durch falsche Zuordnung von Barcode und Kandidat oder
Rekonfiguration des Lesers anbelangt.Was die weiteren im Wiki angesprochenen Angriffsszenarien betrifft:
Gegen systematisches “Verrutschen” des Lesers ist man genauso wenig
gefeit wie bei analogem Auszählen, im Gegensatz dazu kann hier sogar
jederzeit das eingelesene Ergebnis mit dem physikalischen Stimmzettel
verglichen werden, ohne alle Zettel neu auszählen zu mßssen.Internet-Schnittstellen sind (nach Aussage der zuständigen EDV) nicht
vorhanden, ich werde am 2. März darauf achten.Mitgebrachte Rechner hinterlassen einen faden Beigeschmack, auch wenn
mir momentan noch nicht klar ist, wie man hierdurch unauffällig die
Ergebnisse fälschen kann.Eine verdeckte Individualisierung der Stimmzettel erscheint mir nur
schwer denkbar. Vom logistischen Aufwand mal abgesehen sind die
dreistelligen Barcodes der Kandidaten ziemlich kurz (max 2cm,
schlechte AuflĂśsung). Meine Kenntnisse, was Barcodes anbelangt, sind
mangelhaft, aber bei fast 30.000 Wahlberechtigten allein in Germering
wĂźrde es mich wundern, wenn man mit handelsĂźblichen Barcodelesern
knapp 12.000.000 (30.000 Wähler x 40 Kandidaten x 5 Parteien x 2
Wahlen) individuelle Barcodes in dieser GrĂśsse unterscheiden kann.
Hier lasse ich mich aber gern eines besseren belehren. Die vorgesehene
Individualisierung der Stimmzettel erfolgt nach Abschluss der Wahl
durch Aufkleben eines Barcodes auf jeden Stimmzettel. Hier ist
natßrlich darauf zu achten, dass dies tatsächlich erst nach der Wahl
erfolgt.Die einzige echte Problematik sehe ich in der Zuordnung der einzelnen
Stimmen eines Stimmzettels auf das Gesamtergebnis. Hier ist keine
Livekontrolle während der Auszählung vorgesehen (aber umständlich
mĂśglich), d.h. auch wenn das Programm die Stimmverteilung auf dem
Stimmzettel korrekt wiedergibt, kĂśnnte es im Hintergrund nach einer
nicht mehr Ăźberschaubaren Anzahl von Stimmzetteln die Verteilung
(fast) beliebig verteilen.Hier erscheint mir eine stichprobenhafte Kontrolle einzelner
Wahllokale erforderlich, im ersten Schritt vielleicht durch Nutzung
der anscheinend sehr umfangreich und simpel gespeicherten csv-Dateien
des Programms, darßber hinaus auch durch manuelles Auszählen der
Stimmzettel.Eure Meinung?
Der nächste Tag begann dann vielversprechend - mit einer Mail des EDV-Leiters der Stadt mit der “dringendsten” Bitte um RĂźckruf “bzgl. CCC”.
Man schien sich vorbereitet zu haben, ich war anscheinend auf Lautsprecher geschaltet, im Hintergrund konnte ich mehrere Personen vernehmen, darunter wahrscheinlich die beiden Schulungsleiter.
Nach anfänglich mßhsam unterdrßckter EmpÜrung ßber meine Aktion der VerÜffentlichung der Schulungsdetails konnten wir dann doch noch ein halbwegs konstruktives Gespräch ßber IT-basierte Hilfsmittel zu Wahlen, den Zielen des CCC und den Grundsatzentscheidungen Sicherheit durch Offenheit vs. security through obscurity fßhren. Hier kam es zu einigen interessanten Aussagen des EDV-Angestellten, wie beispielsweise:
Jede Software hat Fehler, auch die Auszählungssoftware. Als EDV-Wahlhelfer ist man in der bestmĂśglichen Position, diese Fehler auszunutzen, um die Wahl zu stĂśren oder gar zu fälschen. Es kann daher nicht im Interesse der die Wahl durchfĂźhrenden Organe sein, diese Fehler in der Ăffentlichkeit vor der Wahl diskutiert zu wissen.
Freies Zitat
Nach längerer Diskussion versicherte er mir, er glaube mir, keine destruktiven Motive zu haben, wĂźrde die endgĂźltige Entscheidung, ob ich als EDV-Wahlhelfer noch einsatzfähig sei, aber seinen Mitarbeitern Ăźberlassen - diese lieĂen anscheinend aber keinen Zweifel daran, dass sie (aus Angst vor StĂśrung der Wahl? aus Ărger Ăźber mein Verhalten? aus Kränkung?) nicht mehr mit mir zusammenarbeiten mĂśchten. Er bat mich, die mir ausgehändigte Dokumentation Ăźber Ablauf und Hard- und Software schnellstmĂśglich wieder ins Rathaus zu bringen und bat mich um Verständnis, dass ich als EDV-Wahlhelfer nicht mehr erwĂźnscht sei.
Zum Abschluss riet er mir, mich doch noch als normaler Wahlhelfer eintragen zu lassen - dies mĂźsse zwar nun durch den Wahlleiter, der Ăźber den Vorgang informiert sei, genehmigt werden, aber da man mich dabei ja genau beobachten kĂśnne, sei die Gefahr einer StĂśrung durch mich ja gering.
Sichtlich beeindruckt von den Argumenten schrieb ich auch Ăźber dieses Telefonat eine Mail an die CCC-Mailingliste:
Nun, es war ein kurzes VergnĂźgen.
Der Stadt Germering ist die Wahl ‘08 Webseite des CCC bekannt, nach
meinen gestrigen AusfĂźhrungen dort ist man heute sehr schnell an mich
herangetreten und hat mir offenbart, dass ich “ja gehĂśrig Staub
aufgewirbelt” habe.Die EDV-Verantwortlichen fĂźhlten sich auf den Schlips getreten, dass
ich Informationen, die mir nur im Zuge meiner Aufgabe als EDV-
Wahlhelfer bekanntgegeben wurden, Ăśffentlich verbreitet habe und
darĂźber hinaus auch noch ManipulationsmĂśglichkeiten aufzeige.
Noch dazu sei ein GroĂteil der Seite ja fehlerhaft - im späteren
Verlauf des Gesprächs kam heraus, dass sich dies wohl, wie auch die
ManipulationsmĂśglichkeiten, auf bereits vorher von Anderen verfasste
Absätze des Wikis bezog.
Es sei bedauerlich, dass ich nicht während meiner Schulung auf
Geheimhaltung hingewiesen wurde, allerdings hätte mir klar sein
kĂśnnen, dass diese Informationen mindestens als Verwaltungs-interna
anzusehen seien, die nicht publik gemacht werden sollten.
Ich wurde gradheraus gefragt, ob ich eine Manipulation der Wahl plane
beziehungsweise welche Agenda ich verfolge.Man habe ein ernsthaftes Problem, mich unter diesen Umständen mit der
verantwortungsvollen und sensitiven Aufgabe des EDV-Wahlhelfers zu
beschäftigen und bitte mich um Verständnis, dass ich hiermit von
meinen Pflichten befreit sei und die bisher ausgehändigten
Informationen zeitnah zurĂźckgeben soll. Ich dĂźrfe mich gerne noch als
normaler Wahlhelfer bewerben, ßber eine Betätigung in diesem Feld habe
dann der Ăźber die Tatsachen informierte Wahlleiter zu entscheiden.Ich muss gestehen, dass ich an dieser Situation zum Teil selber schuld
bin. Es wäre fairer gewesen, die Verantwortlichen darßber zu
informieren, dass ich plane, alle mir bekannten Informationen zu
verÜffentlichen. Hier hätte ich deutlich geschickter vorgehen kÜnnen.
Dass die Umstände nun ein merkwßrdiges Bild auf mein Engagement
werfen, ist verständlich. Man kann mir allerdings zugutehalten, dass
ich mehrmals darauf hingewiesen habe, dass meine Bewerbung “politisch”
motiviert ist und ich zum einen zur Verhinderung von Wahlcomputern,
zum anderen zur Informationssammlung der PC-gestßtzten Auszählung
mitarbeite.Ein wenig irritiert bin ich Ăźber die Aussage, dass die Prozeduren und
Informationen als “Interna” zu behandeln seien. Man ging sogar so
weit, einzuräumen, dass in den Hilfsmitteln zur Wahl wahrscheinlich
Schwachstellen vorhanden seien (”Software ist nie fehlerfrei”), diese
aber vor der Wahl nicht bekannt sein sollten, um eine Ausnutzung
selbiger zu verhindern (= security through obscurity).
Inwieweit dies dem Verständnis von freien und transparenten Wahlen
entspricht, mag ich nicht beurteilen.Auch wenn ich enttäuscht bin, nicht als EDV-Wahlhelfer an der Wahl
teilnehmen zu kĂśnnen, mĂśchte ich den EDV-Leiter der Stadt hier
ausdrĂźcklich loben. Zum einen ist er mit den Kampagnen des CCC bzgl.
Wahlcomputern sehr gut vertraut und unterstĂźtzt diese auch (er habe
bereits mehrere Vorträge des CCC-Vorstands (Frank?) zu diesem Thema
gehĂśrt und sei von den Inhalten sehr angetan gewesen), zum anderen bot
er mir an, mit ihm ein Gespräch ßber die EDV-Hilfsmittel der Wahl, den
Ablauf und die Prozeduren zu fĂźhren. DarĂźber hinaus bin ich
eingeladen, während der Wahl und der Auszählung eine rein beobachtende
Rolle einzunehmen.
Dies hat mich ausserordentlich positiv Ăźberrascht, herzlichen Dank
hierfĂźr.Wenn gewĂźnscht, halte ich Euch gerne weiterhin auf dem Laufenden,
vielleicht kĂśnnt Ihr meinen langen AusfĂźhrungen ja ein paar Lehren
entnehmen - beispielsweise, den Verwaltungen gegenĂźber immer mit
mĂśglichst offenen Karten zu spielen. Sie sind beileibe nicht unser
Feind, aber wenn wir verdeckt arbeiten, sehen sie uns vielleicht so.
Meine Ansichten zur VerÜffentlichung der Informationen waren zu diesem Zeitpunkt sehr durch meinen eigenen, kommerziell geprägten Hintergrund der Informationspolitik und die Ansichten der Rathausangestellten geprägt. Im Verlauf der nächsten Stunden wurde ich durch einige Gespräche mit Freunden und CCC-lern aber davon ßberzeugt, dass diese Politik der Interna bei Wahlen und deren Prozeduren aufgrund der vorgeschriebenen Transparenz keinerlei Gßltigkeit haben kann.
Die am nächsten Tag folgende, negative Bescheinigung des Wahlleiters (“wegen der Staubentwicklung”) auf meine Anfrage, als normaler Wahlhelfer tätig sein zu kĂśnnen, konnte ich daher schon differenzierter und in einem anderen Ton beantworten:
Sehr geehrter Herr xxx,
auch wenn ich Ihre Entscheidung auf einer persĂśnlichen Ebene verstehen
kann, bedauere ich sie zutiefst.Es spricht meines Erachtens nach nicht fĂźr die Sicherheit des
Wahlverfahrens, wenn Sie einer Person, die sich im Vorfeld Ăśffentlich
Gedanken Ăźber die Verfahren der Wahl macht, von einem Hilfsposten
ausschliessen, den jeder andere ohne weitere PrĂźfung erhalten kann.Herr [EDV-Leiter] sagte mir gegenĂźber gestern wortwĂśrtlich, in der
Position des EDV-Wahlhelfers hätte ich die besten MÜglichkeiten, die
Wahl zu fälschen. Mßssen wir uns nicht Gedanken darßber machen, ob ein
Verfahren, das von einem Menschen mit IT-Kenntnissen anscheinend
gefälscht werden kann, tatsächlich fßr freie und Üffentliche Wahlen
tauglich ist?Bitte haben Sie Verständnis dafßr, dass ich trotz dieses Ausschlusses
vom Amt des Wahlhelfers von meinem Recht Gebrauch machen werde, die
Wahl und insbesondere die Auszählung zu beobachten.
Ich bekam hierauf tatsächlich noch eine sehr lange, sachliche Antwort, in der er die Ăffentlichkeit des Verfahrens, kritische Bemerkungen hierzu sowie Beobachtungen der Wahl ausdrĂźcklich begrĂźĂte. Es folgten einige nicht sonderlich Ăźberzeugende Argumente (reine Ehrenämter der Kandidaten, keine finanziellen Vorteile; Wahlfälschungen sind eine Straftat) sowie einige durchaus gute Anmerkungen zum Verfahren (bessere NachprĂźfbarkeit der Stimmzettelablesung, geringere Fehleranfälligkeit des Einlesens).
Währenddessen bereitete der CCC seine Presseerklärung vor, die dann am gestrigen Montag den Staub erst so richtig aufwirbelte und es ßber diverse IT-Ticker (interessanterweise weder heise noch golem) auch in die Mainstreampresse schaffte - unter anderem sueddeutsche.de sowie diverse regionale Portale.
Nach einem kurzen Hinweis per Mail fßhrte ich dann noch ein sehr nettes Gespräch mit der Fßrstenfeldbrucker Landkreisredaktion der Sßddeutschen Zeitung, deren Redakteur von meinen Schilderungen sichtlich begeistert und betroffen war. Der daraus entstandene, bereits oben kurz verlinkte Artikel stellt zwar meine Ansichten etwas extrem dar, macht aber recht ßberzeugend klar, dass die Sicherheit der Wahl zumindest umstritten ist - fßr den Hauptartikel der Regionalausgabe wohl das bestmÜgliche Ergebnis.
Nun mehren sich, auch CCC-intern, langsam die kritischen Stimmen zur Ablehnung des Verfahrens durch den CCC, und auch ich hadere zum Teil mit mir, ob wir hier nicht zu weit gehen - aber ich denke, ich habe inzwischen meine Bedenken sehr genau eingegrenzt (aus meiner Antwort an obige Kritik):
An vielen Stellen stimme ich mit Dir Ăźberein. Die Barcodes und die Leser sind auch in meinen Augen nicht das Problem - die anonyme Individualisierung der Stimmzettel ist IMHO sogar ein grosser Vorteil zum alten System - anstatt einen groĂen Stapel Stimmzettel neu auszählen zu mĂźssen, um die Rechnungen eines Wahlhelfers nachvollziehen zu kĂśnnen, kann man im Rechner einfach nachschauen, ob der Stimmzettel so abgelesen wurde, wie er physikalisch vorliegt.
Aber:
Alles, was danach passiert, ist eine black box. NatĂźrlich muss der Computer “nur noch” addieren, aber fĂźr die Wahlhelfer ist nicht auf einen Blick ersichtlich, ob ein ausgewerteter Stimmzettel korrekt den jeweiligen Parteien oder Kandidaten zugeordnet wird.
NatĂźrlich kann man im Kopf mitzählen und nach jedem zweiten Stimmzettel auf den Reiter der Ergebnisse gucken und schauen, ob diese noch passen. Aber eine evtl. Fälschungsroutine kann auch intelligenter vorgehen und erst dann Ergebnisse fälschen, wenn schon länger niemand mehr die akkumulierten Werte ĂźberprĂźft hat. Mal ganz davon abgesehen, dass sich Programmierer auch schon bei ganz anderen trivialen Tätigkeiten vertan haben. Wer sagt mir, dass da nirgendwo ein PufferĂźberlauf stattfindet - dass beim Sicherungszustand einspielen nach einem Absturz nicht eine Routine fehlerhaft/doppelt einliest - dass die Software nicht bei einer bestimmten Konstellation von Parteienanzahl und Kandidatenanzahl “durcheinanderkommt”?Und bei all diesen Kontrollen darf man nicht vergessen, dass der typische Computernutzer seinem Gerät vertraut. Er bekommt die Anweisung, nach einer Eingabe alles zu kontrollieren. Das macht er 20 Minuten lang. Spätestens dann glaubt er dem Computer, weil der macht immer das gleiche und hat ja eh immer Recht.
Auf weitere Aspekte wie den Transfer der Ăźbermittelten Daten (Klartext, keine Hashes, keine Sicherung) per USB-Stick durch einen ehrenamtlichen Wahlhelfer, die teilweise Nutzung von Computern in Schulen, die ans Internet angeschlossen sind, oder gar Rechnern, die die Wahlhelfer selber mitbringen, will ich gar nicht erst eingehen.
Was die Zeitersparnis anbelangt: In Germering wurde mir gesagt, ohne Auszählsoftware wäre man bis ca. 4 Uhr morgens beschäftigt gewesen (~700 Wahlberechtigte pro Wahllokal). Mit Auszählsoftware, die bereits vor sechs Jahren probehalber eingesetzt wurde, hätte man die Chance, bis 2:30/3:00 Uhr fertig zu sein. Ist es das wert?
Ich bleibe dabei - auch diese sanfte Form der “Wahlcomputer” lĂśst ein Problem, das es nicht gibt.
Aktion gegen die Ăberwachung des Flugverkehrs
Wednesday, February 13th, 2008PNR-Briefe: “Am Freitag stimmt der Bundesrat Ăźber den EU-Plan zur massenhaften staatlichen Aufzeichnung und Ăberwachung von Flugreisenden ab (siehe Pressemitteilung “Kampagne zum Stopp der drohenden Ăberwachung von Flugreisenden”).
Fordern Sie Ihren Ministerpräsidenten zur strikten Ablehnung jeder verdachtslosen Protokollierung ihres Reiseverhaltens auf!”
(Via heise.)
Schneier on Security: Security vs. Privacy
Wednesday, February 13th, 2008Schneier on Security: Security vs. Privacy: “Since 9/11, approximately three things have potentially improved airline security: reinforcing the cockpit doors, passengers realizing they have to fight back and — possibly — sky marshals. Everything else — all the security measures that affect privacy — is just security theater and a waste of effort.”
(Via Daring Fireball.)