Internetwahl – Welche Risiken gibt es?

Cybersicherheitsexperten sind für ihre hartnäckigen und unterschiedlichen Meinungen bekannt: ganz getreu dem Motto „sechs verschiedene Experten – zehn verschiedene Meinungen“. Während der Wahlkampf 2016 in den USA in die heiße Phase geht, steht das Thema „Internetwahl“ wieder einmal zur Debatte – diesmal im Bundesstaat Utah, wo die Republikanische Partei die Vorwahl online abgehalten hat. Wohl bei keinem anderen Thema – außer vielleicht bei der Forderung des FBI nach Zugriff auf iPhones – gibt es einen so breiten Konsens unter Sicherheitsexperten, nämlich dass Wahlen per Internet (ebenso wie elektronische Wählgeräte) absolut nicht zu empfehlen sind.

Warum nicht? Beleuchten wir einmal die Situation. Anwender registrieren sich vorab (Wer sind diese Anwender? Wie wird ihre Identität überprüft?) auf einer Vielzahl nicht gemanagter Geräte (Malware, Keylogger), erhalten eine PIN für die Anmeldung beim Wählen (Identitätsdiebstahl) und überprüfen dann, ob alles korrekt abgelaufen ist, indem sie nach dem Wählen einen per E-Mail erhaltenen Code mit einer Liste auf einem Onlineaushang abgleichen. Ganz einfach, oder? Vielleicht, aber definitiv nicht sicher.

Ein Merkmal des aktuellen papierbasierten Wahlsystems in den USA ist, dass der Wahlvorgang einen analogen Papierpfad hinterlässt. Nach der Auszählung der Wählerstimmen werden die Stimmzettel und Wahlscheine in Archiven vor Ort in den Countys über einen bestimmten Zeitraum aufbewahrt. Dieser Papierpfad kann später von allen Interessengruppen überprüft werden. Bei der umstrittenen US-Wahl 2000 konnten beispielsweise der Miami Herald und andere Nachrichtenquellen im Rahmen ihrer Recherchen zahlreiche Archive mit Stimmzetteln untersuchen (wenn auch ohne eindeutige Ergebnisse). Dennoch dürfte es schwierig sein, Tausende Stimmzettel auf Papier sowie die zugehörigen Wahlscheine aus verschiedenen Wahlbezirken zu fälschen. Lägen diese Unterlagen dagegen nur elektronisch vor, wäre der Raum für Manipulationen so breit wie das Internet.

Als vorbeugende Maßnahme muss die Sicherheitscommunity auf diesem Gebiet aufschließen, bevor Bundesstaaten flächendeckend elektronische Wahlsysteme einführen. Glücklicherweise gibt es keine Anzeichen dafür, dass die Internetwahl 2016 in großem Maßstab eingesetzt wird. Viele Sicherheitskomponenten müssen berücksichtigt werden, aber meiner Meinung nach wäre die Identitätsabsicherung am wichtigsten. Mit Identitätsabsicherung ist gemeint, dass mit großer Sicherheit gewährleistet sein muss, dass es sich bei einer Person nicht um Schadsoftware, einen Man-in-the-Middle oder einen anderweitig Unbefugten, sondern um den rechtmäßigen Wähler handelt. Dazu müssten zahlreiche kontextabhängige, risikobasierte Faktoren über den Anwender bekannt sein, darunter ein bekanntes Gerät, der Standort des Wählers, möglicherweise einige Verhaltensmerkmale und eine schrittweise Authentifizierung. Keine Zwei-Faktor-Authentifizierung, sondern ausreichend Faktoren müssen eingesetzt werden, damit der Anforderer (die Wahlbehörde) sicherstellen kann, dass der Wähler derjenige ist, der er zu sein vorgibt. Eine einfache PIN ist dazu nicht geeignet.

Wird sich die Internetwahl oder ein elektronisches Wahlsystem also in Zukunft im großen Stil durchsetzen können? Für die Antwort genügt ein Blick auf das fliegende Auto oder die Pizzalieferung per Drohne: Wenn Technologie und Benutzerakzeptanz vorhanden sind und die nominelle Sicherheit gegeben ist, wird es sich durchsetzen. Niemand möchte ein Technologiemuffel sein. Die Frage lautet: Können wir die richtigen Sicherheitsvorkehrungen mit einem überprüfbaren analogen Überwachungspfad umsetzen? Dabei steht nicht weniger als unsere Demokratie auf dem Spiel. Cybersicherheitsexperten, an die Arbeit!

No Comments