Chancen und Risiken von elektronischen Wahlen - … GUUG.pdfChancen und Risiken von elektronischen...
Transcript of Chancen und Risiken von elektronischen Wahlen - … GUUG.pdfChancen und Risiken von elektronischen...
Chancen und Risiken von elektronischen Wahlen
Dr. Christian Paulsen
DFN-CERT Services [email protected]
2/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Agenda
EinführungVorgehensweise DissertationBedrohungsanalyseAnalyse existierender WahlverfahrenAnwendungskontexteErgebnisse / Zusammenfassung
3/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung
Definition Elektronische WahlenVerwendung elektronischer Hilfsmittel bei der Durchführung mindestens einer der folgenden Prozesse:
WähleridentifizierungStimmabgabeStimmauszählung
4/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung: Warum E-Voting?
Schnelle und automatisierte ErgebnisermittlungUnterstützung der Wähler bei komplexen Wahlverfahren / FehlerkorrekturenOrtsunabhängige StimmabgabeJunge Wähler motivieren / Moderner StaatErhöhung der WahlbeteiligungVerifizierbarkeitKosten
5/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung: Nachteile E-Voting
Sicherheit / ManipulierbarkeitKomplexitätTransparenz / Nachvollziehbarkeit eingeschränktRechtskonformität?„Junk Voting“„Family Voting“Digitale SpaltungKosten
6/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung
Quelle: B. von Prollius: Rechtliche und technische Aspekte von Internetwahlen im internationalen Kontext, Hochschule der Medien Stuttgart, 2008
7/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung
Varianten elektronischer Wahlverfahren:Stand-Alone-Verfahren
Wahlgeräte / WahlcomputerDigitaler Wahlstift
Mobile VotingWahlen per SMS
InternetwahlverfahrenWahlen via Internet
Mischformen:Vernetzte Wahlgeräte / Smartphones u. Laptops
8/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung
Präsenzwahlen Distanzwahlen
Elektronische Wahlen Wahlcomputer / Digitaler Wahlstift
Internetwahlen
Papierbasierte Wahlen Wahlen im Wahllokal mit Wahlurne
Briefwahlen
9/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung: Wahlgeräte
Beispiel NEDAP-Geräte:Bedieneinheit für den WahlvorstandProgrammier- und AusleseeinheitSerielle Verbindung mit PC, auf dem die Wahlsoftware läuftViele Angriffsmöglichkeiten:
Austausch / Umprogrammieren des internen SpeichermodulsWahlsoftware manipulierenSämtliche Schnittstellen angreifbar (Innentäter)Sicherheitsprinzip: „Security by Obscurity“
10/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Quelle: Chaos Computer Club
Einführung: Wahlgeräte
11/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Mehrfacher Einsatz bei parlamentarischen WahlenViele Proteste (Deutschland, Niederlande, Irland...)Bundesverfassungsgericht: Einsatz von NEDAP-Wahlgeräten bei Bundestagswahl 2005 verfassungswidrigHauptkritikpunkt: Mangelnde Nachvollziehbarkeit / Überprüfbarkeit
Einführung: Wahlgeräte
12/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Digitaler WahlstiftGeplanter Einsatz bei der Hamburger Bürgerschaftswahl 2008Grund: Komplexes WahlverfahrenExpertenrunde äußerte BedenkenFolgen: Wahlstift wurde nicht eingesetzt
Quelle: http://www.halbach.com
Einführung: Wahlgeräte
13/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung: Mobile Voting
Mobile Voting: Abstimmung per SMSBeispiel:
Zustimmung zur Gesetzesvorlage 1:SMS mit dem Inhalt „89876765-7873“ an ein zentrales Stimmregister senden
14/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
2005: Schweizer Kanton Zürich setzt M-Votingtestweise bei Volksabstimmung einErgebnis: Nicht zukunftsträchtig, keinen weiteren EinsatzBedrohungen:
Gefälschte SIM-KartenIMSI (Int. Mobile Subscriber Identity)-Catcher als Man-In-The Middle AngriffDOS-AttackenManipulation der Mobilfunkgeräte mittels Over-The-Air-ProvisioningInsiderattacken
Einführung: Mobile Voting
15/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung: Internetwahlen
Wahlen via InternetKomplexeste E-Voting-VarianteWahlsystem bestehend aus:
WahlserverWahlclientWahlsoftware
Herausforderung: Trennung von Authentizität und StimmabgabeTheoretische kryptographische Konzepte gibt es seit 1980
16/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung: Internetwahlen
Bereits durchgeführte Internetwahlen (Beispiele):
Studierendenwahl Uni Osnabrück 2000Estland 2005 (Kommunalwahlen) und 2007 (Parlamentswahlen)GI-Präsidiumswahlen seit 2006Österreichische Hochschulwahlen 2009Betriebsratswahlen Deutsche Telekom 2005Umfangreiche E-Voting-Datenbank unter http://www.e-voting.cc
17/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Einführung: Stand E-Voting
Diskussionen über das Pro und Contra von E-Voting
Emotional geführte LagerkämpfeFokus auf Sicherheitsfragen
Vernachlässigung Praxisrelevanz / Benutzbarkeit
Fokus liegt auf politischen PräsenzwahlenVernachlässigung anderer Anwendungskontexte
„NEDAP-Urteil“ des Bundesverfassungsg.Das Aus für E-Voting?
18/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Agenda
EinführungVorgehensweise DissertationBedrohungsanalyseAnalyse existierender WahlverfahrenAnwendungskontexteErgebnisse / Zusammenfassung
19/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Vorgehensweise
Beschränkung auf InternetwahlverfahrenErarbeiten der Anforderungen für Sicherheit und PraxisrelevanzBasis:
WahlrechtsgrundsätzeBedrohungsanalyse
20/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Vorgehensweise
Analyse existierender Wahlverfahren:SicherheitPraxisrelevanz und Benutzbarkeit
Unterschiedliche Anwendungsbereiche berücksichtigen
Spezifische Anforderungen erarbeiten
Empfehlungskatalog erstellen
21/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Wahlrechtsgrundsätze
Wahlrechtsgrundsätze (GG, Artikel 38, Abs.1):Allgemein (Jeder darf wählen)Frei (ohne Beeinflussung und Zwang)Unmittelbar (Verteilung d. Sitze anhand der Wählerstimmen)Geheim Gleich (gleiche Rechte für Alle)
Öffentlich / transparentTeilweise im Konflikt zueinander!
22/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Agenda
EinführungVorgehensweise DissertationBedrohungsanalyseAnalyse existierender WahlverfahrenAnwendungskontexteErgebnisse / Zusammenfassung
23/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Bedrohungsanalyse
Bedrohungen Wahlclient:Malware
Viren, Trojaner, Würmer, Rootkits, Hoaxes…
Phishing(Automatisierte) Netzwerkattacken
Ausnutzen von SoftwareschwachstellenAusnutzen sonstiger Lücken (z.B. Default-Passwörter, ungeschützter Netzwerkzugang)
Hardwaredefekte / Funktionsstörungen
24/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Bedrohungsanalyse
Bedrohungen Wahlserver:MalwareNetzwerkattacken
(Distributed) Denial-of-Service-Angriffe
Hardwaredefekte / FunktionsstörungenInsiderangriffe
25/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Bedrohungsanalyse
Bedrohungen Übertragungskanal:Man-in-the-middle-Angriffe:
DNS-Spoofing / IP-SpoofingMitlesen / Entschlüsseln von StimmdatenManipulation von Stimmdaten
Verbindungsunterbrechung
26/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Bedrohungsanalyse
Sonstige BedrohungenErpressungStimmenkaufMenschliches FehlverhaltenFehler in der Wahlsoftware (absichtlich und fahrlässig)
28/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Agenda
EinführungVorgehensweise DissertationBedrohungsanalyseAnalyse existierender WahlverfahrenAnwendungskontexteErgebnisse / Zusammenfassung
29/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Analyse: Anforderungen
Sicherheitsanforderungen:
Vertraulichkeit der StimmabgabeVerfügbarkeit des WahlsystemsIntegrität / ManipulationssicherheitAuthentizität aller beteiligten InstanzenVerhinderung von Stimmenkauf und ErpressbarkeitVerifizierbarkeit / Überprüfbarkeit
30/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Analyse: Anforderungen
Anforderungen Praxisrelevanz und Benutzbarkeit:
Aktualität: Entwicklungsstand (kein Prototyp, ausreichend getestet), Supportmöglichkeiten Transparenz: verständlich und nachvollziehbarKosten: finanzieller und organisatorischer Aufwand (Vergleichsmaßstab: Briefwahlen)Usability: ohne Spezialkenntnisse intuitiv benutzbar
31/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Analyse: Kriterien
Vier Bewertungsstufen:Anforderung nicht erfüllt / keine Informationen (0)
Anforderung teilweise erfüllt (1)
Anforderung größtenteils erfüllt (2)
Anforderung erfüllt (3)
32/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Analyse: Kriterien
Beispiel: VerifizierbarkeitIndividuell verifizierbar Universell verifizierbar
Schwach verifizierbar Der einzelne Wähler kann prüfen, ob seine Stimme überhaupt berücksichtigt wurde
Alle Wähler können den Wahlablauf prüfen und beobachten
Stark verifizierbar Der Wähler kann zusätzlich prüfen, ob seine Stimmabgabe korrekt ins Ergebnis eingeflossen ist
Alle Wähler können zusätzlich prüfen, ob alle Stimmen von autorisierten Wählern abgegeben wurden
33/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Analyse: Kriterien
Beispiel: Verifizierbarkeit
35/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Analyse: Verfahren
Evaluierte Wahlverfahren:POLYASEVOXREVSSERVEVoteremote / W.I.E.N. / T-VoteAdderHeliosPnyxEstnisches Wahlsystem
36/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Agenda
EinführungVorgehensweise DissertationBedrohungsanalyseAnalyse existierender WahlverfahrenAnwendungskontexteErgebnisse / Zusammenfassung
37/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Anwendungskontexte
Anwendungsszenario A: Politische WahlenA1: Präsenzwahl mit PapierstimmzettelnA2: Briefwahlverfahren
Anwendungsszenario B: Wahlen im WirtschaftsumfeldB1: Präsenzwahl mit PapierstimmzettelnB2: Briefwahlverfahren
Anwendungsszenario C: Wahlen in nichtpolitischen Organisationen / Vereinen
C1: Präsenzwahl mit PapierstimmzettelnC2: BriefwahlverfahrenC3: Präsenzwahl mit Handabstimmung
38/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Anwendungskontexte
Ersetzen / Ergänzen der existierenden Verfahren durch elektronisches Verfahren nur dann sinnvoll, wenn insgesamt mindestensdas Niveau gehalten wird!
Daher: Äquivalente Analyse nichtelektronischer Verfahren
Ergebnisse dienen als Kriterium / Referenz für Eignungsanalyse
39/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Anwendungskontexte
Beispiel: Ergebnisse Parlamentarische Wahlen mit Papierstimmzetteln
40/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Anwendungskontexte
Überlagerung der Spiderwebdiagramme
41/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Agenda
EinführungVorgehensweise DissertationBedrohungsanalyseAnalyse existierender WahlverfahrenAnwendungskontexteErgebnisse / Zusammenfassung
42/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Ergebnisse / Fazit
Für einen Ersatz nicht geeignete Verfahren:Erfüllen insgesamt die Anforderungen schlechter als nichtelektronische Verfahren
Bedingt geeignete Verfahren:Ausgeglichenes Verhältnis zwischen Mehrwert und Nachteil / Nachbesserungen möglich
Geeignetes Verfahren: Mehrwert ist vorhanden
44/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Ergebnisse / Fazit
Kein Verfahren für Ersatz von Präsenzwahlen im politischen (A1) und wirtschaftlichen Umfeld (B1) geeignetZwei Verfahren bedingt für Ersatz / Ergänzung der Briefwahl im politischen Umfeld (A2) geeignet (B2: fünf)Großteil der Verfahren für einen Einsatz in unpolitischen Vereinen (C) bedingt geeignet bzw. geeignet
45/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Ergebnisse / Fazit
Wahlgeräte bieten im Verhältnis zur Papierwahl kaum VorteileAusblick Internetwahlen: Verifizierbarkeit könnte Mehrwert erzeugenVoraussetzung: Grundsätzlicher Wandel der InternetarchitekturNutzung in nichtpolitischen Vereinen als Briefwahlersatz könnte Vorteile bringen
46/47© 2003-2011 DFN-CERT Services GmbH / Elektronische Wahlen / GUUG HH
Ergebnisse / Fazit
Internetwahlen im politischen Umfeld kurz-und mittelfristig nicht empfehlenswertRechtslage: Fernwahlen als AusnahmeHöherer Wirkungsgrad einer Manipulation als bei PapierwahlenWahlen als „Single Point of Failure“ einer DemokratieHauptprobleme: Verfügbarkeitsangriffe, Transparenz / Komplexität, ClientsicherheitDemokratischer Akt wird entwertet