D I S S E R T A T I O N Sicherheit elektronischer
Contents
1. 148 und Erstellung eines IT Sicherheitskonzeptes bzw einer IT Sicherheitsleitlinie Risiko analysen und Assessment bereits in der Planungsphase durchf hren Ergebnisse in den Softwareentwicklungsprozess einflie en lassen Nr Kernbereich Anforderungen OK Anm 7 A 3 Einsatz asymmetrischer Schl ssel Chipkarten f r Identifikation Authentisierung und Autorisierung e Wahlberechtigungspr fung Identit tspr fung Abgleich und Kennzeichnung in der W hlerevidenz e Stimmzettel Authentizit t Nur auf signierten Stimmzetteln darf abgestimmt werden Blinde digitale Signatur zur Zertifizierung der Authentizit t nach Stimmauswahl noch vor Stimmabgabe vgl Verfahren nach Fujioka et al e Stimmzettel Verschl sselung Verschl sselung des Stimmzettels mit symmetrischem Blindingfaktor zur Wahrung der Anonymit t 7 B 1 Einsatz von starken aktuellen Algorithmen Etwa AES statt DES SHA1 Hashes statt CRC nicht verschl sselt 7 B 2 Key Management Sichere Speicherung Aktivierung und bertragung der Schl ssel 7 B 3 Methoden um Kopien und Manipulationen der Speichereinheiten und Smartcards zu erkennen Betrifft die Smartcards der W hler und der Administration Checks der Seri ennummern und Signaturen Verschl sselung des Inhalts 7 C 1 Verschl sselung von Konfigurationsfiles der Festplatten der Ger te der Daten auf den Speicherkarten und der Date2. Lapr92 J Laprie ed Dependability basic concepts and terminology in English French German Italian and Japanese Springer 1992 LeBo04 B Lee C Boyd E Dawson K Kim J Yang S Yoo Providing Receipt freeness in Mixnet based Voting Protocols In Information Security and Cryptology ICISC 2003 Lecture Notes in Computer Science Vol 2971 Springer 2004 S 245 258 LeHa83 N Leveson S Harvey Analyzing Software Safety In Software Engineering IEEE Transac tions on Volume SE 9 Issue 5 1983 S 569 579 LeKi0O B Lee K Kim Receipt free Electronic Voting through Collaboration of Voter and Honest Ve rifier In Proceeding of JW ISC2000 2000 S 101 108 LeKi03 B Lee K Kim Receipt Free Electronic Voting Scheme with a Tamper Resistant Randomi zer In Information Security and Cryptology ICISC 2002 Lecture Notes in Computer Science Vol 2587 Springer 2003 S 389 406 Leve86 N Leveson Software safety why what and how In ACM Computing Surveys CSUR Vo lume 18 Issue 2 1986 S 125 163 Leve95 N Leveson Safeware System Safety and Computers Reading Addison Wesley 1995 Lope05 J Penha Lopes Why use an Open Source e voting system In Annual Joint Conference In tegrating Technology into Computer Science Education Proceedings of the 10th annual SIG CSE conference on Innovation and technology in
3. Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Durch die Definition dieser Stufen k nnen Optimierungsm glichkeiten vorgeschlagen werden Er reicht ein Kernbereich eine gewisse Stufe so ist eine Verbesserung der Sicherheit in diesem Be reich durch die Erlangung einer h heren Stufe des Kernbereichs m glich Zur Evaluierung eines E Voting Systems nach der EVSSO Methode wird die ausf hrliche Check liste siehe Anhang Appendix A verwendet die alle Kriterien und Voraussetzungen f r die Erf llung einer Stufe eines Kernbereiches detailliert beschreibt Jeder Punkt der Anforderungen wird ber pr ft und im Feld OK markiert Wird ein Kriterium nicht erf llt bietet die Spalte Anmerkungen Anm die M glichkeit eine Beschreibung f r die Nichterf llung einzutragen So ist die Bewer tung sp ter auch f r andere klar nachvollziehbar Die Checkliste wird als Basis f r das Bestimmen der aktuell erreichten Stufen der Kernbereiche und f r das Ausf llen der EVSSO Matrix verwendet 7 4 Die EVSSO Matrix Nachdem f r jeden Kernbereich die Stufe determiniert wurde werden die Abh ngigkeiten und Prio rit ten der Stufen betrachtet Nicht alle Stufen der Kernbereiche werden als gleich wichtig betrach tet So ist zum Beispiel die Einhaltung der Wahlgrunds tze Stufe A der Kernbereiche 1 5 und 11 wichtiger als Stufe A des Kernbereichs 15
4. Die strikte Haltung des Verfassungsgerichtshofes wurde in der Zwischenzeit durch die Einf h rung der Auslands Wahlkarten und in weiterer Folge durch die Einf hrung der Briefwahl 2007 aufgegeben allerdings ist die Stimmabgabe mittels dieser Methode an zus tzliche Bedingungen ge bunden Die Identit t des Stimmberechtigten wird beim Abholen der Wahlkarte etwa durch ber pr fung eines amtlichen Lichtbildausweises verifiziert Die Identifizierung des W hlers kann je nach Gemeinde unterschiedlich sein Zus tzlich muss auf dem Umschlag mit dem die Wahlkarte an die Wahlbeh rde zur ckgesendet wird eine eidesstattliche Erkl rung unterschrieben werden dass man den Stimmzettel pers nlich unbeobachtet und unbeeinflusst ausgef llt BGBIO7 hat Die Wahlkarte besteht aus zwei Teilen einem Stimmzettel mit Umschlag und einem A4 Kuvert siehe Abbildung 2 Die R ckseite des Kuverts ist mit den Daten des W hlers und die Vorderseite mit der Adresse der jeweils zust ndigen Wahlbeh rde beschriftet A Fu Sennen zu Due Apdmame um SE Em LT I ii i D fin Geier sch 8 Band Wahlkarte Materassi POX Sg GE Te ahlbdeh rde XXXXX AUSTRIA a Na meiner Urnerscheitt ering ih eidesetartich dams ET des aibepondon amttcten Lamm entel pers Gerber unbe Met ured enden ibunnt weht Nabe WAHLKARTE Abbildung 2 Beispiel einer Wahlkarte von hinten und vorne Quelle BGBIO7
5. Allgemeines Wahlrecht Aufkl rung und Einschulung der W hler in das E Voting System Wahlmaschinen 12 Human Factors Si cherheitsmanagement Einschulung des Personals und Erstellung von Sicher heitsplanen SicherheitsmaBnahme duale Kontrolle Protokollierung der Handhabung von Software Hardware und Stimmspeichermedien zur l ckenlos nachvollziehba ren Kontrolle aller Prozesse Hintergrund berpr fungen der Mitarbeiter Security Awareness Trainings aller externen Mitarbeiter 13 Human Factors Be nutzerinterface Darstellung des Stimmzettels auf einer Bildschirmseite ohne Scrollen Anordnung der Parteien muss dem Papierstimmzettel entsprechen Ad quate Darstellung des Ablaufes der Stimmabgabe Keine Wahlbeeinflussung Korrekte Darstellung des Stimmzettels Feedback w hrend und nach Beendigung der Stimmab gabe Online Hilfe Seiten bei jedem Schritt verf gbar Akzeptable Antwortzeiten der Applikation Mehrsprachigkeit Vergr Berungen f r Sehbehinderte Lupe Funktion Audio Unterst tzung f r Blinde taktile Unterst tzung Usabilitypr fung mit repr sentativer Testgruppe 14 Human Factors Trans Bereitstellung von Informationen rund um die Wahl Auditphase nach der Wahl mit Les Ein ffentlich diskutierbares Wahl 133 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung
6. Attacken Mit einer bestimmten Eingabekombination Tastenkombination oder Eingabe ber bestimmte Be reiche am Touchscreen in einer bestimmten Reihenfolge wird ein bestimmter versteckter b sartiger Befehle ausge f hrt 64 Time Trigger Zu einem bestimmten Zeitpunkt werden b sartige Prozesse ausgef hrt 65 Umschwingen bedeutet die Wahl f r einen anderen Kandidaten als Sieger ausgehen zu lassen 92 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen 5 4 3 8 Wahlkreismanipulation Der gezielte Einsatz von unterschiedlichen Wahlsystemen kann zur Manipulation des Wahlkreises f hren So hat eine Studie gezeigt dass Lochkartenmaschinen die generell eine h here Wahr scheinlichkeit haben ung ltige Stimmen zu produzieren siehe Kapitel 5 4 1 1 in Regionen der USA eingesetzt wurden in denen ein hoher Anteil an farbigen B rger lebte Brad04 S 27 So wurden diese Bev lkerungsschichten benachteiligt die tendenziell eher Demokratisch w hlen Over 06 S 69 Durch speziell gew hlte ffnungszeiten der Wahllokale und Wahlkreise kann der W hlerkreis ebenfalls manipuliert werden So k nnen W hler aus der Arbeiterschicht an ihrer Teilnahme behin dert werden indem etwa die ffnungszeiten mit den Arbeitszeiten bereinstimmen Im Bundesver fassungsgesetz sterreichs wird explizit die Wahl z B Nationalratswahl an einem Sonntag oder ei nem anderen Ruhetag vorgeschrieben BGBI30 Art 26
7. ber die Kammern der gewerblichen Wirtschaft Wirtschaftskammergesetz 1998 WKG BGBl Nr 103 1998 i d F BGBI Nr 78 2006 Woeh04 J Woehr A Conversation with Avi Rubin DDJ contributing editor Jack Woehr talks to Avi Rubin the world s leading authority on electronic voting and software engineering Reprin ted with permission from IEEE Symposium on Security and Privacy 2004 2004 IEEE Dr Dobb s Journal Nov 01 2004 WOWTO4 WOWT Countinghouse Blues Too many votes NBC WOWT T V Channel 6 Omaha No vember 2004 XeMa04 A Xenakis A Macintosh Levels of Difficulty in Introducing E Voting In Proceedings of Third International Conference in E Government EGOV 2004 30 August bis 3 September 2004 Zaragoza 2004 S 2 XeMaO4a A Xenakis A Macintosh Trust in Public Administration e Transactions E Voting in the UK In Proceedings of TrustBus 2004 DEXA 2004 Zaragoza Spain 30th August to 3rd September 2004 S 1ff XeMa04b A Xenakis A Macintosh Procedural Security in Electronic Voting In System Sciences 2004 Proceedings of the 37th Annual Hawaii International Conference on 5 8 Jan IEEE 2004 S 8ff XeMa04c A Xenakis A Macintosh Procedural security analysis of electronic voting In Rauterberg M ed ICEC 2004 Lecture Notes in Computer Science Vol 3166 Springer 2004 S 541 546 XeMa05 A Xenakis A Macintosh E el
8. berpr fung der Benutzereingaben auf b sartig fehlerhafte Eingabewerte Nur vali dierter Input darf weiterverarbeitet werden 9 A 5 Interoperabilitat mit bestehenden Systemen z B Schnittstellen zu bestehenden Syste men wie etwa das Zentralmelderegister nutzen und nicht neue Systeme als Ersatz f r Bestehende entwickeln 9 B 1 Qualit tsmanagement Automatische Testbarkeit Unittests bereits w hrend der Ent wicklung manuelle Tests Pen Tests manuelle Inspektion nach Abschluss eines Ent wicklungszyklus bzw Iteration durchf hren 9 B 2 Allgemeine Implementierungsrichtlinien sind einzuhalten e Fehlertransparenz Exception Handling e Schutz der administrativen Funktionen vor den W hlern Login der Benutzer ein Ac count darf nicht gleichzeitig von mehreren verwendet werden und Verwendung von Benutzerrechten oder rollen Access Control Lists Fehlerhafte Logins werden ge loggt Default Passwort muss ge ndert werden und wird verschl sselt gespeichert e Sicherheitsprotokollierung von Fehlern Abst rzen und Sicherheitsbr chen e Kommentare im Code Code m glichst knapp halten auf hilfreiche Kommentare im Code achten z B keine FIXME s e Spezifikation und Dokumentation der Entwicklung e Versionskontrolle CVS oder SVN verwenden 9 B 3 Security Tests und Auditing nach Implementierung Durchf hrung von Black Box Tests mit Fuzzing 9 0 1 Teamaufteilung duales Entwickeln 9 0 2 Security Tests und A
9. cherheit die Reihenfolge der Kandidaten permutiert und die Stimme am Urnenserver entschl s selt wird FiZu05 4 4 3 Verdeckte Auswertung Bei E Voting Systemen mit verdeckter Auswertung wird die Stimme mit Zuordnung zum Wahler ver schl sselt an den Urnenserver geschickt der mit einem speziellen mathematischen Verfahren eine verschl sselte Summe der Stimmen bildet Alle Stimmen bilden zusammen ein einziges gro es Endergebnis das nach Sammlung der Stimmen entschl sselt wird Die geheime Wahl wird trotz Zu ordnung zu einer Person sichergestellt da die Auswertung der Stimmen verdeckt erfolgt Dieser Ablauf wird in der Praxis durch zwei verschiedene Verfahren realisiert Hardware Security Modules HSM oder homomorphe Kryptografie 43 One Time Pad werden symmetrische Einmalschl sselverfahren genannt bei denen ein zuf llig erzeugter Schl ssel ver wendet wird der so lang ist wie die Nachricht selbst 63 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme 4 4 3 1 Hardware Security Modules Ein Hardware Security Module ist ein externes Ger t das an eine Wahlmaschine angeschlossen wird Das Modul generiert oder speichert Daten sicher HSM werden zur Wahrung der Anonymit t in der Weise eingesetzt dass die verschl sselten Stimmen im HSM decodiert und ausgez hlt werden aber nicht einzeln sondern nur in ihrer Summe ausgelesen werden k nnen VoKr06 S 106 Ein HSM System wurde bei Loka
10. e Die berpr fung der Software bei Inbetriebnahme war mangelhaft etwa wurde nur darauf ge achtet ob das Display der Maschinen eine bestimmte Zahl anzeigt Angriffspunkte f r Innent ter e Die Vorbereitung und Konfiguration wurde in einem nicht ffentlich zug nglichen Wahlb ro ge t tigt Die Wahlvorst nde hatten keine M glichkeit zu berpr fen ob die Software der vorge schriebenen Version entspricht oder ob sie manipuliert worden ist e Experten der Physikalisch Technischen Bundesanstalt berpr ften die Software allerdings sind deren Methoden nicht ffentlich zug nglich e Der Schutz der beiden Schl ssel die zur Freischaltung der Wahlcomputer verwendet wurden war mangelhaft Im Mai 2007 haben Mitglieder derselben Organisation wiederum ein Gutachten zu den Nedap Wahlmaschinen erstellt wobei sie bei der Analyse der Ger te auf erhebliche Sicherheitsm ngel ge sto en sind So wurde gezeigt dass die Software in einfacher Weise manipulier und angreifbar ist die Zulassungs und Pr fverfahren des deutschen Bundesinnenministeriums und der Physikalisch Technischen Bundesanstalt ungeeignet sind Manipulationen aufzudecken und die Annahmen des deutschen BMI und der PTB ber m gliche Wahlf lscher unrealistisch sind siehe auch Kapitel 6 9 1 KuRi07 5 4 2 4 Schwache Algorithmen Ein Verfahren zur nachtr glichen Ver nderung der Reihenfolge der abgegebenen Stimmen wurde beim System von Diebold angewendet allerdi
11. sterreich Bundesgesetz ber die Wahl des Nationalra tes Nationalrats Wahlordnung 1992 NRWO BGBI Nr 471 1992 BGBI96 Bundesgesetzblatt f r die Republik sterreich Europawahlordnung BGBI Nr 117 1996 BGBI99 Verordnung ber den Einsatz von Wahlger ten bei Wahlen zum Deutschen Bundestag und der Abgeordneten des Europ ischen Parlaments aus der Bundesrepublik Deutschland Bundes wahlger teverordnung vom 3 September 1975 BGBl S 2459 zuletzt ge ndert durch Ar tikel 1 der Verordnung vom 20 April 1999 BGBl I S 749 BGBI99a Bundesgesetzblatt f r die Republik sterreich Bundesgesetz ber elektronische Signaturen Signaturgesetz SigG NR GP XX RV 1999 AB 2065 S 180 BR AB 6065 S 657 StF BGBI Nr 190 1999 BishO5 M Bishop Computer security art and science 7 print Addison Wesley 2005 BiWa07 M Bishop D Wagner Risks of e voting In Communications of the ACM Volume 50 Is sue 11 COLUMN Inside risks ACM 2007 S 120 BKAO7 Bundeskanzleramt Regierungsprogramm 2007 2010 Regierungsprogramm f r die XXIII Gesetzgebungsperiode 2007 BMIO4A Bundesministerium f r Inneres Arbeitsgruppe E Voting Abschlussbericht zur Vorlage an Dr Ernst Strasser Bundesminister f r Inneres Wien 15 November 2004 Boeh91 B Boehm Software risk management principles and practices In Software IEEE Volu me 8 Issue 1 1991 S 32 41 Boer04 J B rcs k Elek
12. 2 Wahlrecht Diese Grunds tze gelten in den meisten westlichen Demokratien etwa ist das deutsche Wahl recht in Artikel 38 des Grundgesetzes verankert und dem sterreichischen sehr hnlich Ausnah men bilden z B die Pr sidentschaftswahlen in den USA bei denen kein unmittelbares Wahlrecht sondern W hlen durch Wahlm nner zur Anwendung kommt Diese Grunds tze werden in verschie denen Staaten allerdings oft unterschiedlich ausgelegt und h ngen vom jeweiligen Kontext ab So gibt es in Deutschland neben dem Listenwahlrecht die M glichkeit den Mandatar direkt ohne Zu ordnung zu einer Partei zu w hlen Pers nlichkeitswahlrecht In den USA gilt das Mehrheitswahl recht F r die Einhaltung des Wahlrechts und die Durchf hrung einer Wahl sind die Wahlbeh rden zu st ndig Die oberste Wahlbeh rde die Bundeswahlbeh rde wird anl sslich jeder Nationalratswahl neu gebildet Wahlbeh rden insgesamt mehr als 15 000 sorgen f r die Durchf hrung etwa der Na tionalratswahl gibt es neben der Bundesebene auch noch auf Landes Bezirks Gemeindeebene und auf der Ebene der Wahlsprengel 2 2 Urnenwahl Die derzeitige Wahl mit Papierstimmzettel auch Urnenwahl genannt vgl Distanzwahl Kapitel 1 4 wird durch folgende bestimmte Aktionen nach deutschem Recht durchgef hrt UIKo0O1 Voraussetzung Das W hlerverzeichnis sei ordnungsgem gef hrt und abgeschlossen Die Wahlbenachrichtigung wird dem W hler offen per Post b
13. 2005 167 K rzel Quelle FECO1 FEC Federal Election Commission Voting Systems Standards Agenda Document Number 01 62 on the agenda for consideration at the December 13 2001 meeting of the Federal Election Commission 2001 FECO2 FEC Federal Election Commission Voting Systems Standards April 2002 FeHa06 A Feldman J Halderman E Felten Security Analysis of the Diebold AccuVote TS Voting Machine Princeton University 13 09 2006 FiCa06 K Fisher R Carback A Sherman Punchscan Introduction and System Definition of a High Integrity Election System In Preproceedings of the IAVoSS Workshop On Trustworthy Electi ons WOTE 06 2006 S 19 29 Fire03 D Firesmith Common Concepts Underlying Safety Security and Survivability Engineering CMU SEI 2003 TN 033 Software Engineering Institute 2003 S 14 FiZu05 G Fischer W Zuser The Vote Scrambling Algorithm In Effizienz von e L sungen in Staat und Gesellschaft Aktuelle Fragen der Rechtsinformatik Boorberg Verlag 2005 FoBeOO D Fowler S Bennett IEC 61508 A Suitable Basis for the Certification of Safety Critical Transport Infrastructure Systems In Computer Safety Reliability and Security Procee dings of the 19th International Conference SAFECOMP 2000 Rotterdam The Netherlands October 2000 Lecture Notes in Computer Science Vol 1943 Springer 2000 S 250 263
14. Ben Cohen initiierte die The Computer Ate My Vote Kampagne die mit einer Unterschriftenliste auf der mehrere hunderttausende US B rger unterschrieben haben die Einstellung von Wahlen mit DRE Maschinen und den Einsatz von Audit Verfahren mit Papierbelegen fordert Die U S Organisa tion MoveOn setzt sich mit ihrer Petition Ban Paperless Voting wie auch Sheila Parks mit ihrer Forderung Hand Counted Paper Ballots Now ebenfalls gegen E Voting Systeme ein Das Open Vo ting Consortium setzt sich f r mehr Offenheit und die Verwendung von Papierstimmzettel ein Der Verein Common Cause ist 1970 zur Verteidigung der Demokratie gegr ndet worden und unter st tzt B rger in politischen Fragen E Voting ist eines der Themen mit dem sich diese beiden Ver einigungen auseinander setzen Die US amerikanische Electronic Frontier Foundation wurde 1990 gegr ndet und bildet eine Gruppe von Rechtsanw lten Technikern und Freiwilligen die sich f r den Schutz der B rgerrechte im Computerzeitalter und f r faire und transparente Wahlen einsetzen David Dill gr ndete die US Amerikanische Organisation Verified Voting die sich f r vertrauensw rdige zuverl ssige und f fentlich verifizierbare Wahlen ohne Einsatz von DRE Wahlger ten einsetzt VoteTrustUSA ist ein Projekt der Verified Voting Foundation Mit der Organisation Where s the Paper k mpft IT Beraterin Teresa Hommel gegen die An schaffung der holl ndischen Nedap
15. Democratic Democratic Al Gore amp Joe Liberman John McGuire Sherree Lowe BE David McReynolds amp Mary Cal Hollis You may vote the offices in any order To vote a candidate for an office enter the corresponding four digit vote code shown on your ballot press submit or the Return key and then verify that the resulting sure code Harry Browne amp Art Oliver displayed matches that printed Libertarian Howard cor amp J Curtis Frazier Ralph Nader amp Winona LaDuke Green Monica Morehead amp Gloria La Riva Workers James Harris amp Margret Trowe Socialist Workers John Hagelin amp Nat Goldhaber Natural Law i amp Abbildung 23 Beispiel eines Stimmzettels beim SureVote Verfahren einer Testwahl auf www surevote com Das Verfahren CodeVoting JoRi08 wie auch das W Voting Wahlverfahren der Wroclaw Univer sity of Technology KIKuO5 ist eine Weiterentwicklung des auch Visual Voting genannten Verfah rens von David Chaum 7 http e voting im pwr wroc pl 107 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen 6 7 2 2 Das ThreeBallot System Ronald Rivest stellte 2006 das Audit Verfahren ThreeBallot RiveO6 vor bei dem der Stimmzettel bei einem Mehrheitswahlsystem verdreifacht wird Auf zwei Stimmzetteln wird f r den Wunsch kandidaten gestimmt und auf genau einem der drei gegen den Kandidaten siehe Abbildung 24 Der W hler kann nun eine Kopi
16. Die meisten Argumente der Bef rworter werden von Gegnern ziemlich leicht entkr ftet siehe auch Kapitel 1 3 1 Die gr ten Probleme von E Voting sind das Vertrauen und die Akzeptanz die fehlende Transpa renz des Vorganges was macht die Maschine der Computer wirklich Wurde meine Stimme wirk lich so wie ich sie abgegeben habe aufgenommen keine oder unzul ngliche Papierbackups f r erneute Ausz hlungen fehlende Nachweisbarkeit ber die Manipulationsfreiheit des Systems schlechte Usability fehlende Kontrolle f r die Wahlkommission vom Sourcecode bis zum Transfer der Stimme das blinde Vertrauen in die Soft und Hardware und nicht zuletzt die Sicherheit des gesamten Systems Ein unbestechbarer Vorteil der herk mmlichen Wahlen ist die Einfachheit des Ablaufes Die Stimmabgabe mit Papierstimmzettel Wahlkabine und Urne ist derart simpel gestaltet dass sie 2 Artikel in Der Standard vom 04 Juni 2007 7 Der erfahrene Computer Spezialist kennt die Regel never change a running system Kenneth J Arrow beschrieb das Arrow Theorem auch Arrow Paradox oder Allgemeines Unm glichkeitstheorem genannt erstmals 1951 in dem Buch Social Choice and Individual Values und bekam f r dieses Theorem 1972 den Nobelpreis f r Wirtschaftswissenschaften 143 Dissertation Sicherheit von E Voting Systemen 8 Conclusio und weitere Anmerkungen auch ein Volkssch ler verstehen kann Bei E Voting Systemen
17. Ein weiterer entscheidender Punkt ist der Einfluss jedes Individuums in jeder Phase der Her und Bereitstellung der E Voting Maschinen der Entwicklung der Soft und Hardware bis hin zum Ver senden des Wahlergebnisses jedes Sprengels an eine zentrale Stelle James Reason unterscheidet zwei Fehlervarianten im menschlichen Verhalten aktive Fehler und latente Fehler Aktive Fehler von Menschen als Bediener eines Systems wirken sich hierbei unmit telbar auf das System aus Latente Fehler werden von Menschen die am Entwurf Design oder an Entscheidungen der Leitung beteiligt sind oder durch mangelhafte Ausstattung berarbeitetes Per sonal zeitlichen Druck oder Kommunikationsfehler erzeugt So k nnen diese lange Zeit ruhen bis sie zusammen mit anderen Faktoren die Systemabwehr durchdringen Latente Fehler stellen f r die Sicherheit eines komplexen Systems die gr ere Bedrohung dar Reas94 S 216 Aktive menschliche Fehler bei E Voting Systemen k nnen zum Beispiel eine fehlerhafte Aufstel lung der Wahlmaschinen oder die falsche Eingabe von Daten bedeuten Latente Fehler k nnen sich von einem schlechten Entwurf bis hin zu Programmierfehlern erstrecken Da auch hier latente Feh ler eine gr ere Gefahr darstellen ist es hier besonders wichtig das Augenmerk auf die Vermeidung dieser zu richten Dies kann durch stetige Qualit tskontrollen Reviews und Usability Studien er reicht werden Bereits beim Softwareentwicklungsprozess sind viele
18. Elektronisches W hlen w hrend man an ein Live System angeschlossen ist Das inkludiert REV wie auch Kiosk Wahlen falls bei Letzterem eine st ndige Verbindung zu ei ner zentralen Sammelstelle Server gehalten wird e Internetwahlen Internet Voting oder I Voting Ein Spezialfall von REV bei dem etwa von zu Hause oder von der Arbeit aus ber das Internet wie etwa ber eine Website oder ein Applet oder hnliches gew hlt wird e Mobile Wahlen oder M Voting Ebenfalls ein Spezialfall von REV wobei hier die Stimme auf ei nem Mobiltelefon oder PDA Personal Digital Assistant OnGrO5 abgegeben wird In anderen Quellen z B XeMa04 werden etwas andere Unterscheidungen angegeben die al lerdings weitreichend mit vorheriger bereinstimmen Der Begriff E Voting umfasst somit Wahl maschinen gleicherma en wie auch Internetwahlen Eine n here Betrachtung dieser beiden sehr unterschiedlichen Verfahren wird in Kapitel 1 4 fortgef hrt Der Begriff Wahlcomputer ist umstritten wird von Verfechtern von E Voting Systemen vermieden und gerne durch Wahlmaschinen im Sinne von Dedicated Special Purpose Machine ersetzt siehe Kapitel 5 4 2 5 17 Dissertation Sicherheit von E Voting Systemen 1 Einleitung 1 3 1 Vorteile und Nachteile von E Voting Die Einf hrung von E Voting statt oder erg nzend zu Urnenwahlen siehe auch Kapitel 2 2 ist ein kontroverses Thema Eine Liste der E Voting Initiativen wird im
19. FrLu04 K Fr hauf J Ludewig H Sandmayr Software Pr fung Eine Anleitung zum Test und zur Inspektion 5 Aufl Vdf Lehrbuch 2004 FuOk93 A Fujioka T Okamoto K Ohta A practical secret voting scheme for large scale elections In Proceedings of the Workshop on the Theory and Application of Cryptographic Techniques Advances in Cryptology AUSCRYPT 92 Lecture Notes in Computer Science Vol 718 Springer 1993 S 244 251 GaRo05 C Garcia Zamora F Rodriguez Henriquez D Ortiz Arroyo SELES An e Voting System for Medium Scale Online Elections In Proceedings of the Sixth Mexican International Confe rence on Computer Science 2005 S 50 57 GIO7 GI Gesellschaft f r Informatik Mitteilungen der Gesellschaft f r Informatik 185 Folge In Informatik Spektrum Volume 30 Number 3 Juni 2007 Springer 2007 S 126 Gilm98 J Gilmore ed Cracking DES Secrets of Encryption Research Wiretap Politics amp Chip De sign O Reilly July 1998 Goeth17 Johann Wolfgang von Goethe Die guten Weiber A 9 428 1817 GoHe06 R Gonggrijp W Hengeveld A Bogk D Engling H Mehnert F Rieger S Scheffers B Wels Nedap Groenendaal ES3B voting computer a security analysis The We do not trust voting computers foundation 6 10 2006 GoKIO6 M Gogolewski M Klonowski S Kubiak M Kutytowski A Lauks F Zag rski Kleptogra phic Attacks on E Voting Schemes In ETRICS 2006 Lecture Note
20. Gondree Fixing Federal E Voting Standards In Communications of the ACM Volume 50 Issue 3 March 2007 Emergency response information systems emer ging trends and technologies Column Viewpoint 2007 S 19 24 BaDu08 M Backes M D rmuth D Unruh Compromising Reflections or How to Read LCD Monitors Around the Corner In IEEE Symposium on Security and Privacy Proceedings of SSP 08 161 K rzel Quelle July 2008 BaFa04 F Baiardi A Falleni R Granchi F Martinelli M Petrocchi A Vaccarelli SEAS A Secure E Voting Applet System In Software Security Theories and Systems Lecture Notes in Computer Science Vol 3233 Springer 2004 S 318 329 BaFoO1 O Baudron S Fouque D Pointcheval G Poupard J Stern Practical Multi Candidate Election System In Proceedings of the 20th ACM Symposium on Principles of Distributed Computing PODC 01 N Shavit Ed ACM Press 2001 S 274 283 BaPi94 A Baraani Dastjerdi J Pieprzyk R Safavi Naini A Practical Electronic Voting Protocol Using Threshold Schemes Center for Computer Security Research Department of Computer Science University of Wollongong Australia 1994 BaPr04 J Bannet D Price A Rudys J Singer D Wallach Hack a vote Security issues with elec tronic voting systems In Security amp Privacy Magazine IEEE Volume 2 Issue 1 Jan Feb 2004 S 32 37 Barb87 D Barba
21. Guidelines for the management of IT Security ISO 13491 Secure Cryptographic devices ISO IEC 13888 Information technology Security techniques Non repudiation ISO IEC 14443 Identification cards Contactless integrated circuit s cards Proximitycards ISO IEC 14516 Information technology Security techniques Guidelines on the use and management of Trusted Third Party services ISO IEC 14888 Information technology Security techniques Digital signatures with appendix ISO IEC 15292 Information technology Security techniques Protection Profile registration procedures ISO IEC 15408 Information technology Security techniques Evaluation criteria for IT security ISO IEC TR 15443 Information technology Security techniques A framework for IT security assurance 77 Internationale Organisation f r Normung 78 International Electrotechnical Commission 113 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen K rzel Beschreibung ISO IEC 15446 Information technology Security techniques Guide on the production of Protection Profiles and Security Targets ISO IEC 15693 Identification cards Contactless integrated circuit s cards Vicinity Integrated Circuit s Card ISO IEC 15816 Information technology Security techniques Security Information Objects ISO IEC 15945 Information technology Security techniques Specification of TTP services to support the application
22. MoGIO1 J Mohen J Glidden The case for Internet Voting In Communications of the ACM Janua ry 2001 Vol 44 No 1 ACM 2001 S 72 85 move05 move moderne verwaltung T Systems Elektronische Betriebsratswahl 26 10 2005 MuVa98 Y Mu V Varadharajan Anonymous secure e voting over a network In Computer Security Applications Conference 1998 Proceedings 14th Annual S 293 299 Nagy05 T Nagy Sichere IT in der Wirtschaft In A Zechner Hrsg E Austria Guide E Govern ment E Learning E Health E Business Linde 2005 S 186f Neff04 C Neff Practical High Certainty Intent Verification for Encrypted Votes DRAFT October 14 2004 NeMe00 P Neumann R Mercuri L Weinstein Internet and Electronic Voting In The Risks Digest 174 K rzel Quelle Forum on Risks to the Public in Computers and Related Systems ACM Committee on Compu ters and Public Policy Volume 21 Issue 14 Tuesday 12 December 2000 OASIO7 OASIS Organization for the Advancement of Structured Information Standards Report on the Election Markup Language EML Interoperability Demonstration held 29 30 October 2007 in Ditton Manor UK 2007 OECDO2 OECD Organisation For Economic Co Operation And Development Guidelines for the Securi ty of Information Systems and Networks Towards A Culture Of Security 2002 OgKu97 W Ogata K Kurosawa K Sako K Takatani Fault Tole
23. N http www electioncenter org 13 w http votingintegrity org 134 Interview mit Paul Festa E voting Nightmare or nirvana f r CNET News com 30 Juni 2004 159 Texas inspiziert und zertifiziert hat gilt ebenfalls als Verfechter von DRE Maschinen und ist der berzeugung dass der Einsatz zus tzlicher Papierbelege E Voting Systemen nicht mehr Sicherheit bringen kann Sham04 160 Appendix C Bibliographie K rzel Quelle Abe99 M Abe Mix networks on permutation networks In Advances in Cryptology ASIACRYPT 99 Lecture Notes in Computer Science Vol 1716 Springer 1999 S 258 273 ACMO4 ACM Association for Computing Machinery ACM Policy Recommendations on Electronic Vo ting Systems September 2004 Acqu04 A Acquisti Receipt Free Homomorphic Elections and Write in Ballots Technical Report International Association for Cryptologic Research 2004 105 AdDa00 J Adler W Dai R Green C Neff Computational Details of the VoteHere Homomorphic Election System Whitepaper ASIACRYPT December 2000 AdRi06 B Adida R Rivest Scratch amp vote self contained paper based cryptographic voting In Workshop On Privacy In The Electronic Society Proceedings of the 5th ACM workshop on Pri vacy in electronic society SESSION Private information management 2006 S 29 40 AiSc99 G Aichhorn R Schmutzer E Government Elektronische Infor
24. Nach dem Erkenntnis des Verfassungsgerichtshofes VfGH89 wird Auslands sterreichern ein fiktiver Wohnsitz zuge ordnet damit sie dort w hlen k nnen 23 Dissertation Sicherheit von E Voting Systemen 2 Wahlrecht Freies Wahlrecht Art 8 StV v Wien Art 3 1 ZProtMRK Dem W hler wird die Entscheidungs freiheit gesichert Weder in die Aufstellung der Wahlvorschl ge noch in die Wahlwerbung oder in die Aus bung des aktiven oder passiven Wahlrechts darf von dritter Seite eingegriffen wer den Es muss die M glichkeit geben frei aus mehreren Kandidaten oder Parteien auszuw h len auch die Kandidatenaufstellung muss frei sein Gleiches Wahlrecht Art 26 Abs 1 B VG Art 8 StV v Wien Jeder W hler verf gt ber die glei che Zahl von Stimmen und jede Stimme z hlt gleich Unmittelbares Wahlrecht Art 26 Abs 1 B VG W hler k nnen die Abgeordneten ohne eine Zwischenstufe also ohne Wahlm nner vgl USA oder andere mittelbare Instanzen w hlen Geheimes Wahlrecht Art 26 Abs 1 B VG Art 8 StV v Wien Der W hler trifft seine Wahlent scheidung in einer f r die ffentlichkeit und die Wahlbeh rde nicht erkennbaren Weise Geeig nete Einrichtungen z B Wahlzellen Wahlkuvert Wahlurne etc m ssen zur Verf gung ge stellt werden Somit wird auch die Nachweisbarkeit der Stimme f r andere Stimmenkauf ver hindert und das Wahlgeheimnis gesichert Pers nliches Wahlrecht Art 26 Abs 1 B VG Der Wahlberechtigte bt seine Stimm
25. Salt88 IT professional agree that collecting and counting votes in public elections is a highly critical computer application Very high standards must be applied Electronic voting must be transpa rent and trustworthy The more reliable and less polemic systems already implemented throug hout the world are open Lope05 Transparenz betrifft folgende Punkte bei E Voting Systemen Informationen rund um die Wahl die den W hler bei der Informationsbeschaffung Meinungsbil dung und Entscheidungsfindung unterst tzen sollen sollen ffentlich uneingeschr nkt verf g bar sein e Informationen zu Eckdaten Ort und ffnungszeiten der Wahllokale welche Kandidaten oder Parteien werden aufgestellt etc e Einsicht ins W hlerverzeichnis W hlerevidenz und Zuordnung des W hlers zu Wahlspren geln Zugang zur Hard und Software der Wahlmaschinen Zertifizierungen der Ger te mit Einsicht in das Testprotokoll Peer Reviews des Sourcecodes etc und zugeh riger Dokumentation Freiga be der Testberichte f r die ffentlichkeit Ein ffentlich diskutierbares Wahlprotokoll berpr fbarkeit der kryptografischen Unterst tzung 70 71 Im Bericht des Software bzw System Design versteht man unter Transparenz das Verstecken der Architektur vor dem Benutzer Tane95 p 22ff wie zum Beispiel dass Fehler abgefangen werden bevor sie einem Benutzer angezeigt werden Unter Transparenz im Zusammenhang mit Sicherheit von E Voti
26. So gibt es etwa ausf hrliche Hintergrund berpr fungen der Mitarbeiter in Kasinos die das administrative Personal von E Voting Systemen nicht absolvieren muss Test von Slot Machines einarmige Bandi ten werden in der realen Einsatzumgebung durchgef hrt bei E Voting Maschinen ist das meist nicht m glich Eine staatliche Kontrolle wie bei Kasinos etwa der Nevada Spielkommission oder wie auch bei der Einf hrung von Medikamenten fehlt bei E Voting Systemen da die Standards der Federal Election Commission nicht staatlich etwa durch Gesetze zwangsverpflichtend eingef hrt werden siehe auch Kapitel 6 9 2 Oft werden Argumente f r mangelnde Sicherheit so begr ndet dass kein Grund oder keine M g lichkeit gesehen wird angegriffen zu werden Allerdings ist der finanzielle Anreiz f r Angriffe hoch E Voting Systeme m ssen entworfen werden um niveauvollen und raffinierten Attacken entgeg nen zu k nnen einschlie lich solchen mit massiven finanziellen Ressourcen es gibt eine hohe poli tische und finanzielle Motivation eine Wahl auf eine andere Mehrheit umschwingen zu lassen berpr fungen der Maschinen und Wahlbeobachter bei der Wahl helfen gegen einige dieser Angrif fe aber nicht gegen alle The threats are real making openness and verifiability critical to election security KoScO4 S 104 62 Bei probabilistischen Attacken werden verschiedene Angriffsarten mit einer Wahrscheinlichkeit bewertet 6 Knock
27. Volu me 43 Issue 12 December 2000 2000 S 168 Schn04 B Schneier Secrets amp lies IT Sicherheit in einer vernetzten Welt dpunkt Verl 2004 Schn96 B Schneier Applied cryptography protocols algorithms and source code in C 2 ed 1996 Schn99 B Schneier Attack Trees Modeling security threats In Dr Dobb s Journal of Software Tools 24 12 1999 S 21 9 Scho99 B Schoenmakers A Simple Publicly Verifiable Secret Sharing Scheme and its Application to Electronic Voting In Proceedings of the 19th Annual International Cryptology Conference on Advances in Cryptology Lecture Notes in Computer Science Vol 1666 Springer 1999 S 148 164 Schu03 M Schumacher Introduction In Security Engineering with Patterns Origins Theoretical Models and New Applications Lecture Notes in Computer Science Vol 2754 Springer 2003 S 1 9 Schu03a M Schumacher The Human Factor In Security Engineering with Patterns Origins Theo retical Models and New Applications Lecture Notes in Computer Science Vol 2754 Sprin ger 2003 S 45 55 SchwO4 J Schwartz Glitch Found in Ohio Counting New York Times 6 November 2004 ShamO4 M Shamos Paper v Electronic Voting Records An Assessment In Proceedings of the 178 K rzel Quelle 14th ACM Conference on Computers Freedom and Privacy 2004 Sham79 A S
28. berpr fung Zertifizierung oder Test durch unabh ngige Pr f Anstalten Independent Testing Authority ITA auf Korrektheit und Sicherheit Offenlegung des Pr fberichts 154 Appendix B E Voting Initiativen Es gibt eine Reihe von Parteien die sich f r oder gegen E Voting aussprechen Hier wird ein Uber blick ber sterreichische und internationale Initiativen Vereine Organisationen Aktivisten und Ex perten gegeben sterreichische Initiativen In sterreich gibt es eine Reihe von Initiativen die sich mit IT Sicherheit besch ftigen Der Verein sterreichische Computer Gesellschaft OCG hat einen Arbeitskreis AK IT Sicher hei gegr ndet der sich mit den zentralen Aspekten der Sicherheit in der IT mit Schwerpunkt auf Safety von Systemen besch ftigt Der Verein Initiative Informationssicherheit Austria IISA hat eine Bewusstseinsbildung in Bezug auf Informationssicherheit in Unternehmen zum Ziel Die Initia tive Saferinternet at bietet Informationen zum Thema Sicherheit im Internet und ist die sterreichi sche Informations und Koordinierungsstelle im Safer Internet Netzwerk der EU Zum Thema E Voting gibt es in sterreich ebenfalls Seitens der OCG einen Arbeitskreis eDemo kratie eVoting der 2002 gegr ndet wurde und unter der Leitung von Alexander Prosser der WU Wien steht Der Arbeitskreis ist vor allem mit Publikationen und Veranstaltungen im Bereich E De mocracy t tig Alexander Prosser wi
29. betreffend den Aus tausch von Software auf den Ger ten Der Einspruch wurde mit folgender Begr ndung zur ckge wiesen Die Wahlger te seien insbesondere hinreichend manipulationssicher und auch ein Papierproto koll erh he die Manipulationssicherheit nicht Auch eine Verletzung des ffentlichkeitsgrund satzes habe nicht vorgelegen BundO5 Abs 35 Dieser Beschluss des Bundestages basiert auf dem bestehenden Recht in Deutschland das noch an moderne elektronische Wahlen angepasst werden muss Die Bundeswahlger teverordnung BWahlGV aus dem Jahre 1975 mit der letzten nderung 1999 sieht Manipulations Sicherheit generell nicht vor und widmet sich ausschlie lich Sicherheit im Sinne von Reliability 6 9 2 FEC Standards Die Federal Election Commission FEC der USA verfasste die Voting System Standards FECO1 die von rund 80 der Staaten der USA auf deren E Voting Maschinen angewendet werden Die Standards wurden bereits berarbeitet und tragen daher den Titel revised Revised Performance Features funktionelle und technische F higkeiten 82 WStatG Wahlstatistikgesetz Gesetz ber die allgemeine und die repr sentative Wahlstatistik bei der Wahl zum Deut schen Bundestag und bei der Wahl der Abgeordneten des Europ ischen Parlaments aus der Bundesrepublik Deutsch land 83 EPROM Electrically Erasable Programmable Read Only Memory 117 Dissertation Sicherheit von E Voting Systemen 6 MaBnah
30. e Jeder der physikalischen Zugriff zu den Wahlmaschinen oder auch nur zu den Speicherkarten hat kann b sartige Software installieren Wahl Mitarbeiter und auch Dritte haben oft nicht berwachten Zugriff auf die Maschinen e Wahlmaschinen sind anf llig f r Wahlmaschinen Viren die sich etwa ber Speicherkarten auto matisch und unsichtbar von Maschine zu Maschine ortpflanzen k nnen w hrend der Aktivit ten vor oder nach der Wahl e Viele der Fehler betreffen die Software oder die Hardware Die Wahlprotokolle m ssten auch an gepasst werden um die Sicherheit zu gew hrleisten siehe auch Kapitel 4 4 6 Im Auftrag der kalifornischen Secretary of State und obersten Wahlleiterin Debra Bowen wurden mehrere Gutachten zu drei E Voting Systemen die bei den Primary Wahlen im Fr hling 2008 ein gesetzt werden sollen im Rahmen einer grundlegenden Sicherheits berpr fung Top to Bottom Re view der Wahlmaschinen erstellt Das Ziel der Untersuchung war die Sicherheitsbedenken der W hler zu zerstreuen und das Vertrauen in elektronische Wahlsysteme in Kalifornien f r die kom menden Vorwahlen zu steigern Bowen hatte Matthew Bishop von der University of California Davis und David Wagner von der UC Berkeley beauftragt E Voting Systeme der Hersteller Diebold Hart Intercivic ES amp S und Sequo ia zu untersuchen Zu Hilfe kamen mehrere Sicherheitsexperten wie Ed Felten und der finnische IT 77 Dissertation Sicherheit von E Voting Syst
31. hlerevidenz e Validieren der W hler Identifizierung Authentifizierung Autorisierung Darstellung des Stimmzettels und Abgabe der Stimme e Sammlung der Stimmzettel e Auswertung der Stimmzettel und Darstellung eines Wahlergebnisses Anschlie end ist eine Auditing Phase nach der Wahl sinnvoll MeNeO3a In dieser Phase wird etwa berpr ft ob nur berechtigte W hler gew hlt haben nur Stimmen Berechtigter im Gesamter gebnis enthalten sind oder die Stimmen die abgegeben wurden auch tats chlich so im Wahlergeb nis enthalten sind wie sie vom W hler bestimmt wurden siehe auch Kapitel 6 7 2 4 3 1 Auspr gungen von E Voting Unter dem Begriff E Voting basierend auf der Definition in Kapitel 1 3 vereinen sich eine Reihe von Systemen in verschiedenen Auspr gungen E Voting L sungen sind etwa Software Gesamtl sun gen E Voting Systeme gem Definition in Kapitel 4 1 bei denen von der Registrierung bis zur Stimmenauswertung alle Schritte elektronisch abgebildet werden z B Direct Recording Electronic DRE Maschinen ein Beispiel f r eine solche Maschine wird in Abbildung 6 gegeben oder Inter net Wahlsysteme 47 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Abbildung 6 Touchscreen E Voting Computer vom Hersteller Diebold Quelle Wikipedia org http en wikipedia org wiki Voting_machine Weiters wird auch der Einsatz von Hilfsmitteln bei denen die Stimmen der Wahler auf elektroni s
32. llt werden allerdings wird eine derartige Manipulation durch eine berpr fung der bereinstimmung der Anzahl der Stimmzettel 4 Beisitzer sind entweder Mitglieder der Sprengelwahlbeh rde bestehend aus einem Vorsitzenden und drei Beisitzern BGBI92 9 oder Mitglieder der Gemeindewahlbeh rde bestehend aus einem Vorsitzenden und neun Beisitzern BGBI92 8 71 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen mit der der W hler die gew hlt haben verhindert Ein Austausch einer gesamten Urne auf dem Weg vom Wahllokal zum Hinterzimmer in dem ausgez hlt wird ist durch die Anwesenheit der Bei sitzer schwierig Der bertragungskanal f r das Endergebnis per Telefon Telefax Bote oder Internet ist anf llig f r Man In The Middle Attacken allerdings gibt es in sterreich ein duales System Eine f r Atta cken anf llige Sofortmeldung eines Zwischenergebnisses geht ber ein Zwischenmedium zun chst an die Bundeswahlbeh rde Nach etwa 3 Wochen kommt es aber zu einer Niederschrift im Wahlakt der schwerer gef lscht werden kann 7 Eine Bestechung der zentralen Wahlkommissionen ist problematisch da diese stark in der f fentlichkeit stehen und zudem aus vielen Mitgliedern zehn bis 18 bestehen daher kann dieser Punkt vernachl ssigt werden Letzten Endes h ngt eine Urnenwahl stark von der Integrit t der beteiligten Personen ab und da mit auch vom Vertrauen in das System
33. r Eich und Vermessungswesen BEV in sterreich die somit mit der Pr fung von Wahlmaschinen beauftragt werden w rde DI BWahlGV Bundeswahlger teverordnung Verordnung ber den Einsatz von Wahlger ten bei Wahlen zum Deutschen Bundestag und der Abgeordneten des Europ ischen Parlaments aus der Bundesrepublik Deutschland 116 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen Weiters zu beachten ist dass nur ein einziges Baumuster berpr ft und dass nur das Ger t und nicht der Wahlvorgang abseits der Wahlmaschine begutachtet worden ist So wird etwa auch nicht auf Sicherheitsvorkehrungen im Umgang mit den Speichermodulen EEPROMs nach dem Wahl vorgang eingegangen In den Pr fungsanforderungen des Berichts steht zwar dass die Pr fung alle Sicherheitsaspekte umfassen solle die an Wahlen gestellt werden allerdings wurde bei den gew hlten Pr fverfahren lediglich Ausfall Sicherheit im Sinne von Reliability gepr ft So sind neben Security Problemen Schutz vor Angriffen etc etwa auch viele menschlichen Facetten Risiko von Insidern Art der Si cherung der Ger te zwischen den Wahlen etc und Sicherheitsaspekte im Sinne von Safety au er acht gelassen worden Auf Basis der Pr fung des PTB hat der Deutsche Bundestag mit dem Beschluss zum Wahlein spruch 2006 BundO5 folgende Stellungnahme gegeben Die Manipulierbarkeit von Wahlcompu tern ist zwar theoretisch gegeben praktisch aber extrem unwahrscheinlich
34. 3 Risikoklassifizeriung nach IEC 61508 Boer04 S 22 Die vier verschiedenen Klassen werden mit r mischen Ziffern nummeriert wobei Klasse die mit dem h chsten und Klasse IV die mit dem niedrigsten Risiko darstellt siehe auch Tabelle 4 Durch die Einf hrung von Risikoklassen k nnen Bedrohungen in einige wenige Gruppen einge teilt werden f r die jeweils eigene Techniken f r risikomindernde Ma nahmen angegeben werden Somit ist es nicht mehr notwendig f r jede Kombination von H ufigkeit und Schwere der Gefahr eine spezielle Sicherheitsfunktion zu entwerfen Jedes identifizierte Risiko kann somit einer Klasse zugeordnet werden Die Art und Weise wie die Bewertung der Risiken erfolgen soll l sst der Stan dard offen Risikoklasse Definition Inakzeptables Risiko II Unerw nscht und nur bei nicht reduzierbarem Risiko oder unverh ltnism ig stark zuneh menden Kosten akzeptabel II Tolerierbares Risiko wenn die Kosten der Risikoreduzierung berschritten werden IV Unbedeutendes Risiko Tabelle 4 Definition der Risikoklassen nach IEC 61508 Boer04 S 22 Das Prinzip das mit der Risikoklassifikation verfolgt wird ist Folgendes Ein Risiko soll so klein wie m glich gemacht werden w rtlich as low as reasonably practicable Daraus ergibt sich das ALARP Prinzip Das Risiko soll somit so weit reduziert werden dass die Minimierung noch preis g nstig ist Die Matrix aus Tabelle 3
35. 6 9 1 Physikalisch Technische Bundesanstalt In Deutschland wurde die Physikalisch Technische Bundesanstalt PTB mit der Pr fung von Wahlmaschinen beauftragt Es wurde gepr ft ob das Wahlger t ESD1 nach den Bestimmungen der Bundeswahlger teverordnung BWahlGV BGBI99 und des Wahlstatistikgesetzes WStatG BGBIO2 der Bundesrepublik geeignet ist bei Bundestags und Europawahlen zum Einsatz zu ge langen In dem Bericht der Pr fung eines Baumusters des Wahlger t ESD1 des Herstellers Nedap wurde nach folgenden Kriterien gepr ft Pr fung der Bauarteigenschaften diese Pr fung basiert auf dem BWahIGV das die einzelnen Punkte f r eine Pr fung vorgibt 1 Identifizierung 2 Technischer Aufbau 2 1 Konstruktion 2 2 Belastbarkeit 2 3 Haltbarkeit Funktionssicherheit 2 4 R ckwirkungsfreiheit 2 5 Energieversorgung 2 6 Transport und Aufbewahrung 3 Funktionsweise 3 1 Funktionsprinzip Verwendungsart 3 2 Funktionskontrolle und Fehleranzeige 3 3 Darstellung der Wahlvorschl ge Bedienungsvorrichtungen 3 4 Stimmenspeicherung Z hlung und Anzeige am ausf hrlichsten 3 5 Sperrung und Sicherung 3 6 Abgabe von Stimmen 3 7 Ergonomie Bedienbarkeit 4 Bedienungsanleitung en Il Pr fung der Eigenschaften f r eine repr sentative Wahlstatistik diese Pr fung basiert auf dem WStatG das die n tigen Eigenschaften vorgibt 80 Die Physikalisch Technische Bundesanstalt in Deutschland entspricht in ihrer T tigkeit dem Bundesamt f
36. Adressen nicht gew hrleistet werden da eine Zuordnung von Stimmen zu W hlern m glich w re 8 Verteilte Angriffe auf ein System bei dem der Zugriff auf jenes verhindert wird indem das System mit Anfragen berh uft wird 20 Dissertation Sicherheit von E Voting Systemen 1 Einleitung Abbildung 1 Distanzwahlverfahren End to end Lifecycle einer elektronischen Wahl mit Datenfl ssen zwischen Prozessen und Datenbanken Quelle OASIO7 S 4 Zum anderen werden bei Distanzwahlen Methoden der unzul ssigen W hlerbeeinflussung er leichtert wie Erpressung etwa Anordnungen im Familienkreis auch Family Voting genannt oder durch andere und Stimmenkauf da W hler beeinflusst werden k nnen auch ohne dass die Angrei fer die W hler jemals gesehen haben Zudem befinden sind die M glichkeiten der Verbrechensver folgung von T tern ber das Internet zu deren Gunsten in einem rechtlichen Graubereich So sind etwa Angriffe ber ausl ndische Server aus strafrechtlichen Gr nden nicht nach sterreichi schem Recht verfolgbar Auch stellen Internetwahlen die Gleichberechtigung der B rger Bevorzu gung von Personen ohne Internet Technologieverst ndnis lterer Mitb rger eventuelle Kosten zu s tzlicher Ger te wie etwa Chipkartenleseger ten etc vor ein Problem 21 Dissertation Sicherheit von E Voting Systemen 1 Einleitung Wahlen ber das Internet bieten zudem keine M glichkeit f r aussagekr ftige A
37. Assessment eines E Voting Sys EE 137 13 14 Dissertation Sicherheit von E Voting Systemen 1 Einleitung 1 Einleitung E Voting zu Deutsch elektronische Wahlen bei dem ein Teil des Wahlvorgangs elektronisch ab gebildet wird ist eine der vielen Anwendungsm glichkeiten von E Government Grundlegend f r po litische Wahlen ist das Wahlrecht siehe Kapitel 2 das ebenfalls bei derartigen Wahlverfahren zur Anwendung kommt und dort gleicherma en eingehalten werden muss E Voting Systeme siehe Ka pitel 4 sind Computersysteme deren Zuverl ssigkeit und somit auch das Vertrauen der W hler in diese stark von der Sicherheit siehe Kapitel 3 abh ngig ist Elektronische Wahlen sind ein umstrittenes Thema da bereits eine Reihe von teilweise gravie renden Sicherheitsm ngeln beim Einsatz dieser in der Vergangenheit aufgetreten sind siehe Kapi tel 5 Gegenma nahmen zu vielen dieser Risiken siehe Kapitel 6 wurden bereits von Experten vorgeschlagen ein neuer Ansatz wird in Kapitel 7 vorgestellt In diesem Kapitel wird eine kurze Skizze der These dieser Arbeit eine allgemeine Einf hrung in E Government ein berblick ber E Voting dessen unterschiedliche Auspr gungen sowie Vor und Nachteile verschiedener Arten von Wahlen gegeben 1 1 These Sicherheit von E Voting Systemen betrifft nicht nur wie meist angenommen Grit03 SaPo06 das verwendete Wahlprotokoll oder die eingesetzte Software sondern das gesamt
38. Besselaar Security as belief User s perceptions on the security of electro nic voting systems In Proceedings of the 1st International Workshop on Electronic Voting Electronic Voting in Europe Technology Law Politics and Society Gl 2004 S 73 82 ORGO7 ORG Open Rights Group May 2007 Election Report Findings of the Open Rights Group Election Observation Mission in Scotland and England 20 Juni 2007 OSCEO7 OSCE Office for Democratic Institutions and Human Rights Belgium Federal Elections 10 June 2007 OSCE ODIHR Needs Assessment Mission Report Warsaw 19 October 2007 Over06 S Overton Stealing Democracy The New Politics of Voter Suppression W W Norton 2006 Pail99 P Paillier Public Key Cryptosystems Based on Composite Degree Residuosity Classes In Advances in Cryptology EUROCRYPT 99 Lecture Notes in Computer Science Vol 1592 Springer 1999 S 223 238 175 K rzel Quelle Palt93 C Park K Itoh K Kurosawa Efficient anonymous channel and all nothing election scheme In Advances in Cryptology EUROCRYPT 93 Lecture Notes in Computer Science Vol 765 Springer 1993 S 248 259 Parh94 B Parhami Voting Algorithms In IEEE Transactions on Reliability Vol 43 NO 4 1994 December IEEE 1994 S 617 629 PaSh06 H Park D Shin Intelligent Anonymous Secure E Voting
39. Boarde 105 6 7 2 1 Das SureVote Gvstem 106 6 7 2 2 Das ThreeBallot Systems nennen 108 6 7 2 3 Die P nchscan Melhodeze zen hes Nee Ser 109 6 7 2 4 Probleme von End to End Gvstemen nennen 111 6 8 Richtlinien und Normen Reken 111 6 8 1 OECD Richtlinien f r die Sicherheit von Informationssystemen und netzen 111 6 8 2 sterreichisches TT Sicherbeitshandbuch 112 E DEE EE 113 6 8 4 Empfehlung des Europarates 114 6 0 0 BES RRE E El EE EE 115 6 9 Pr fverfahren und Zertifizierungen 115 6 9 1 Physikalisch Technische Bundesanstaht 116 8 92 E Ee a a a a a 117 6 9 3 Common Criteria gerei en a eE eE oE rede 120 e Ee Ee 122 6 10 Alternativen zu E Vottmg eee eee cece ee eee ee eee ee eee ee cease eee eee eaeseeeeaeseneaeeeneaes 122 6 10 1 Ballot Marking Machine 122 6 10 2 Digitales Wabletft System 123 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen 125 7 1 hnliche Arbeitens esse 125 7 2 Kernbereiche der EVSSO Melhoder au ar ea En 126 7 2 1 Einhaltung der Wablerunde ize 128 7 3 Stufen D EE 128 TA DIE EE E 155 7 5 Bewertung eines E Voting Systems mit der EVSGO Methode 136 7 6 Analyse der EVSSO Meth den ae sn 138 7 8 1 Grenzen der Merh de nisse estate 138 7 6 2 Dimensionen der Sicherheit u aur seem 139 8 Conclusio und weitere Anmerkungen 142 Appendix A Die EVGGO Checkltsie ccc ee cece eee e cence eee e ee een eed EGE EEG EEE EAE nennen SAGE EEE nas
40. Doug Jones JoneO3 und Avi Rubin Rubi06 und weitere offizielle Untersuchungen der Maschinen dieses Herstellers z B 76 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen SAICO3 und RABAO4 bestatigten im Wesentlichen die gefundenen Sicherheitsprobleme des vorangegangenen Berichts Unter anderem wurden in diesem Report gro e Sicherheitsl cken gefunden die teilweise erst nach der Ver ffentlichung des Berichts vom Hersteller ausgebessert wurden Einige der verhee rendsten Sicherheitsl cken die aufgedeckt wurden W hler konnten ohne R ckverfolgbarkeit meh rere Stimmen abgeben und normale W hler konnten administrative Funktionen aufrufen Insider wie Wahl Helfer Softwareentwickler und Portiers hatten noch gr ere M glichkeiten als gew hnliche W hler das System zu manipulieren Weiters existierte keine angemessene Verschl sselung zwi schen dem zentralen Server und den Terminals was Man In The Middle Attacken m glich gemacht hat Der Report gezeigte unter anderem auch dass geschlossener Code viele Risiken birgt und Reviews Design Fehler fr hzeitig erkennbar machen siehe auch Kapitel 5 4 2 1 Eine weitere Studie FeHa06 ber die Wahlmaschinen AccuVote TS der Firma Diebold zeigte ebenfalls gro e Sicherheitsl cken Die Hauptkritikpunkte waren e B sartige Software k nnte unauffindbar integriert werden und k nnte etwa Stimmen einer Partei stehlen oder l schen
41. E Voting Systemen 1 Einleitung Nach einem Abw gen der Argumente f r und wider elektronische Wahlen kann eine Entschei dung ber den Einsatz von E Voting Systemen getroffen werden Die Regierung sollte aus dem Grundsatz der ffentlichkeit siehe auch Kapitel 6 5 dabei auch B rger an der Entscheidungsfin dung teilhaben lassen 1 4 Distanz und Pr senzwahlen Im Allgemeinen wird bei E Voting zwischen Distanz und Pr senzwahlen unterschieden Als Unter scheidungskriterium wird hierbei zum einen der Ort der Stimmabgabe und zum anderen die Anwe senheit einer Wahlkommission zum Zeitpunkt der Stimmabgabe herangezogen BranO5 S 714f KrVo05 Pr senzwahlverfahren Jeder Stimmberechtigte kann und soll seine Stimme pers nlich unter Aufsicht einer Wahlkommission in einem Wahllokal abgeben Ein Beispiel f r Pr senzwahlen sind g ngige Urnenwahlen siehe auch Kapitel 2 2 oder elektronisch gest tzt eine Stimmab gabe mit Wahlmaschinen e Distanzwahlverfahren Hier entzieht sich der Stimmberechtigte der Aufsicht einer Wahlkom mission in dem er seine Stimme von einem anderen Ort aus abgibt wie etwa bei Briefwahlen siehe auch Kapitel 2 3 oder Internetwahlen Abbildung 1 zeigt die m glichen Datenfl sse ei ner elektronischen Distanzwahl Generell kann gesagt werden dass die Sicherheit bei Pr senzwahlen leichter zu gew hrleisten ist als bei Distanzwahlen da die Wahlbeh rde bei Distanzwahlen im privaten Umfeld die Kontrol
42. EEG EAE ES aee A EGA r E e Oa EERE 44 4l Definition von Systemen isses ange e en EE Ei EEE E EEE Ei ege hehe 44 4 2 Teile eines E Votimng Gvstems ese eee esses eee eeeeeeeeeeeeseeeeeseeeeaeseeeeeeanees 44 4 3 berblick ber E Voting Systeme u 2a 47 4 3 1 Auspr gungen von E Votmg nennen nnnnne nenn 47 2 3 2 B VOLUME e EE EE 49 4 3 3 Internet Wahlovsteme cece eee eee eee ee sees cesses ees eee eens asset ease eta eG EASE GEESE EEE EEE 56 4 4 Wablorotokolle 58 AA Blinde Sign turen aun un aaa uch Ee enee Zen 58 4 4 1 1 Verfahren nach Fujioka et a 59 4 4 1 2 Andere Verfahren basierend auf Blinden Gienaturen 61 4 4 2 Permutierte Kandidatenlisten esse a Re 62 4 4 3 Verdeckte Alswertung 22 22 Reh RE ara 63 4 4 3 1 Hardware Security Modules 64 4 4 3 2 Homomorphe eet ET 64 4 4 4 Mehrstufige Verfahren 65 4 4 5 Wahlprotokolle basierend auf Mimx Nets sees ee eeeeeeeeeaeeeeseeeeeeeaes 65 4 4 6 Andere Wahlprotokolle und Probleme 66 2 5 E TE EE 66 45 We EE 67 2 0 2 FIDE SEPUP DEN un ee ea 68 4 5 3 Zukunft des E Votings in ODeterreich 68 5 Sicherheitsrisiken von E Motting Gwvsiemen eee ees eee eee eee ees eee eee eeaseseeaseeeeaeeeeeeeaes 70 5 1 Physikalische syntaktische und semantische Attacken 70 9 2 Retail Fraud und Wholesale Fraudeicns asia le 70 ORISIKEN Del Urnenwahlense nciht 71 5 4 Risiken von E Voting Systemen nach System bkomponenten 72 5 4 E EE 72 5 4 1 1 Mechanische Eelere 73 PA TI72Gpeichermedi
43. Ereignisse von links nach rechts fortsetzt Der jeweils n chste Status wird durch den Erfolg oder Misserfolg eines Ereig nisses determiniert 37 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Open Safe Install PER Cut Se Sake Improperly Find Written Get Combo Combo From Target P J P Possible and l Impossible Listen to Get Target to Conversation State Combo P Abbildung 5 Beispiel f r einen Attack Tree Quelle Schn99 Der Nachteil von Baumanalyseverfahren ist dass sie nur bestimmte Angriffe abdecken und vor aussetzen dass Angreifer ihre Attacken planen und rational absch tzen ob sich ein Angriff lohnt oder nicht Mit Attack Trees werden eine Reihe von Attacken abgedeckt aber die vollst ndige Abde ckung eines komplexen Systems kann auch wegen der Annahme dass Angreifer vern nftig sind nicht erreicht werden vgl Movie Plot Security Kapitel 5 4 3 6 Eine weitere Schwierigkeit beim Einsatz von Baumanalyseverfahren ist den Wurzelknoten korrekt zu identifizieren um eine vollst n dige Analyse durchf hren zu k nnen 3 3 3 Risikobewertung Die Auswirkungen von Risiken lassen sich oft nur schwer quantifizieren Das betrifft zum einen die Bewertung der Auswirkungen bei Eintreten einer Gef hrdung und zum anderen die H ufigkeiten von Fehlern oder Sicherheitsbr chen Daher bedienen sich verschiedene Organisationen die Luftfahrt beh rden oder das Milit r bestimmter generischer Tabelle
44. Erkl rung eines Butterfly Ballot Quelle Sun Sentinel Ein historisches Beispiel f r ein manipu Zeit der NS Diktatur bei Reichstagswahlen die zweite Reichstagswahl 1933 und die Reichstags wahlen 1936 und 1938 eingesetzt wurden So gab es auf dem Stimmzettel nur einen Kreis f r die NSDAP f r eine Gegenstimme musste man explizit Nein auf den Stimmzettel schreiben Ein wei teres Beispiel aus dieser Zeit sind Stimmzettel mit verschieden gro en Kreisen ein Gro er f r Ja ein Kleiner f r Nein bei der Volksabst 1938 latives Stimmzettel Design sind die Stimmzettel die zur immung ber den Anschluss sterreichs am 13 M rz 88 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Abbildung 19 Stimmzettel aus Chicago County vor oben und nach dem Redesign unten Quelle LausO7 S 16ff Ein weiteres Problem bei schlechter Usability einer Wahlmaschine ist dass das Wahlgeheimnis gef hrdet werden kann wenn ein W hler Hilfe von Mitgliedern der Wahlkommission anfordern muss So k nnte eine dritte Person die Stimme des W hlers einsehen ohne dass das gewollt ist Durch den Einsatz von Wahlmaschinen sollte es nicht zu Verz gerungen im Ablauf kommen Bei den Wahlen zu den Pr sidentschaftswahlen in Frankreich 2007 kam es unter anderem wegen schlechter Usability dazu dass es wegen der schlechten Aufstellung zu Wartezeiten von bis zu zwei Stunden kam Sail07 in
45. Geringf gig Einzelne schwere Verletzungen oder Krankheiten der Bewohner und oder mehrere ge ringf gige Verletzungen oder geringf gige Krankheiten der Bewohner Unwesentlich Einzelne geringf gige Verletzungen oder geringf gige Krankheiten von Menschen Tabelle 1 Kategorien zur Einteilung der Unfallschwere f r milit rische Systeme Boer04 S 16 der Norm IEC 61508 F r die H ufigkeit der Unf lle werden nach dem IEC Standard sechs Kategorien verwendet sie he Tabelle 2 Kategorie Definition H ufig Wiederholtes Vorkommen Wahrscheinlich H ufiges Vorkommen Gelegentlich K nnte irgendwann passieren Zuk nftig K nnte eines Tages passieren Unwahrscheinlich Unwahrscheinlich doch mit Ausnahmen m glich Unglaublich Extrem unm glich Tabelle 2 Kategorien zur Einteilung der Unfallwahrscheinlichen f r milit rische Systeme Boer04 S 20 der Norm IEC 61508 39 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Eine Klassifizierung des Risikos entsteht durch die Kombination der Werte f r Schwere und H u figkeit der Gefahr Die Risikoklassifizierung nach IEC 61508 wird in Tabelle 3 mit der Risk Class Matrix gezeigt Bedeutung H ufigkeit Katastrophal Kritisch Geringf gig Unbedeutend Haufig II Wahrscheinlich II II Gelegentlich II III III Zuk nftig II III III IV Unwahrscheinlich II II IV IV Unglaublich IV IV IV IV Tabelle
46. Probleme mit den Druckern SongO6 Die selbe Studie zeigte auch dass 90 der Wahler das neue System mochten allerdings 10 der W hler mit den Maschinen ebenfalls Probleme hatten Die grafische Benutzerschnittstelle birgt ebenfalls ein hohes Sicherheitsrisiko da die Gestaltung des Stimmzettels Platzierung von wichtigen Abstimmungen im oberen Bereich der Anzeige un 86 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen wichtige weiter unten oder umgekehrt eine Blattern Funktion etc die Wahlentscheidung beein flussen Die Skalierung eines Touchscreen Monitors ist ebenfalls ein Angriffsziel denn wenn Skalie rung und Kalibrierung mit dem angezeigten Stimmzettel nicht korrelieren kann es zu falschen Er gebnissen kommen SaKo06 Bei der Konstruktion der Ger te wie auch bei der grafischen Gestaltung muss auf eine allgemei ne Verst ndlichkeit besonders f r Technik unbewanderte oder ltere Menschen Wert gelegt werden Versuche an der Paul Verlaine Universit t in Metz Frankreich zeigten in diesem Bereich starke Pro bleme Bei Untersuchungen mit einigen der Maschinen die f r die Pr sidentschaftswahl in Frank reich eingesetzt wurden konnten vier von sieben Personen die lter 65 Jahre waren ihre Stimme nicht abgeben Das elektronische Vorfallsmelde System EIRS Election Incident Reporting System das seit 2004 in den USA eingesetzt wird um Irregularit ten vor w
47. Projekts Vote Electronique in den Kantonen Genf Neuenburg und Zurich mit verschiedenen E Voting Verfahren auch W hlen ber Internet oder per SMS f r Wahlen und Abstimmungen durchgef hrt BrBrO6 Das Projekt gewann den Public Service Award 2007 der Vereinten Nationen Durch die H ufigkeit der Wahlen in h ufigem Abstand stehen regionale Entscheidungen mehrmals pro Jahr zur Wahl sank die Wahlbeteiligung in den letzten Jahren Mit Einsatz der neuen elektronischen Systeme soll die Wahlbeteiligung wieder gehoben werden In Z rich sind derzeit rechtsg ltige Wahlen per Inter net m glich Australien verwendet ein Open Source E Voting System basierend auf Linux das erstmals 2001 bei den Australian Capital Territory Wahlen seinen Testlauf hatte Das System Fl ectronic Voting and Counting System kurz eVACS genannt wurde von einer privaten Firma nach staatlichen Richtlini en entwickelt Der Sourcecode dieses Systems wurde der ffentlichkeit im Internet unter der GPL verf gbar gemacht Obwohl bei diesem System keine Papierbelege verwendet werden gab es eine Reihe positiver Reaktionen auf die offene Entwicklung und die Bewertung durch unabh ngige Par teien die zur Zerstreuung der Kritik an diesem System beitrugen In Frankreich wurden in der ersten Runde der Pr sidentschaftswahlen 2007 in einigen St dten als Pilotversuch DRE Maschinen ohne Papierbelege eingesetzt Es kam zu Zwischenf llen die eini ge politische Parteien als Katastro
48. Rodr06 J Filho E Voting in Brazil The Risks to Democracy In Proceedings of the 2nd Internatio nal Workshop Co organized by Council of Europe ESF TED IFIP WG 8 6 and E Voting CC Electronic Voting 2006 GI 2006 S 85 94 Rose00 S Rosenberger Wahlen und Parteien Medienpaket Politische Bildung Wien AWS Manz Kapitel 4 2000 RosI04 G Rgsland Remote Electronic Voting 20 05 2004 Report Universitat Bergen RoWe89 A Ro nagel S Wedde V Hammer U Pordesch Die Verletzlichkeit der Informationsgesell schaft VS Verlag f r Sozialwissenschaften 1989 Hub A Rubin Security considerations for remote electronic voting Communications of the ACM Volume 45 Issue 12 ACM 2002 S 39 44 Rubi06 A Rubin Brave new ballot the battle of safeguard democracy in the age of electronic vo ting Morgan Road Books 2006 RySc06 P Ryan S Schneider Pr amp t a Voter with Re encryption Mixes In Computer Security ESO RICS Lecture Notes in Computer Science Vol 4189 Springer 2006 S 313 326 SAICO3 SAIC Science Applications International Corporation Risk Assessment Report Diebold Ac 177 K rzel Quelle cuVote TS Voting System and Processes State of Maryland September 2 2003 Sail07 M Sailhan Voting machines a catastrophe French parties Inquirer net 23 04 2007 SaKi94 K Sako J Kilian Secure Vot
49. Scheme In Knowledge Based In telligent Information and Engineering Systems Lecture Notes in Computer Science Vol 4252 Springer 2006 S 726 736 PeAd04 K Peng R Aditya C Boyd E Dawson B Lee Multiplicative Homomorphic E Voting In Proceedings of INDOCRYPT 2004 Lecture Notes in Computer Science Vol 3348 Springer 2004 S 61 72 PfPfO3 C Pfleeger S Pfleeger Security in computing 3 ed Prentice Hall PTR 2003 Phil0O2 M Philippsen Internetwahlen Demokratische Wahlen ber das Internet In Informatik Spektrum Vol 25 Issue 2 2002 S 138 150 Pipe97 F Piper Encryption In Proceedings of the European Conference on Security and Detecti on Conference Publication No 437 IEEE 1997 S 61 5 PoKo02 M Pol T Koomen A Spillner Management und Optimierung des Testprozesses ein prakti scher Leitfaden f r erfolgreiches Testen von Software mit TPI und Tmap 2 aktualisierte Auflage dpunkt 2002 Poor99 R Poore Generally Accepted System Security Principles Release for Public Comment In Information systems security Vol 8 N 3 Auerbach 1996 S 27 77 PrKo02 A Prosser R Kofler R Krimmer Deploying Electronic Democracy for Public Corporations In Traunm ller R ed Electronic Government Lecture Notes in Computer Science 2739 Springer 2003 S 234 239 PrKo04 A Prosser R Kofler R Krimmer M Unger e Voting Wahltest zur Bundespr sidentschafts wah
50. Sicherheitsrisiken denkbar Der Program mierer kann falls es keine oder unzureichende Code Reviews geben sollte b sartigen Code wie z B Hintert ren absichtlich oder unabsichtlich einbauen die unbemerkt bleiben k nnen Beim Versenden der Teilergebnisse aus den Wahlsprengeln ist denkbar etwa auf eine Man In The Middle Attacke zu sto en 84 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Durch paarweises alternierendes Entwickeln der Software wird der Einfluss eines b sartigen Mitarbeiters beschr nkt Zus tzliche externe oder interne Reviews Tests und Zertifizierungen schit zen den gesamten Softwareentwicklungsprozess vor gekauften Besch ftigten Allerdings m ssen diese Fehler nicht unbedingt absichtlich geschehen denn es ist menschlich Fehler zu machen L humans will inevitably make errors when they build something new Schu03a Sicherheit wird immer von Menschen in Systemen implementiert die von Menschen entworfen wurden Somit wird die IT Sicherheit signifikant durch den menschlichen Faktor beeinflusst 5 4 3 3 Lagerung der Maschinen Kurz vor der Aufstellung von Wahlmaschinen werden oft die Sicherheitsma nahmen versch rft aber in den Jahren zwischen den Wahlen sinkt die Sicherung der Ger te bei der Lagerung erheblich und die Maschinen stehen fast offen und bereit zur Manipulation Ed Felten Professor an der Universit t Princeton schrieb in sei
51. Vertrauensw rdigkeit Das Sicherheits niveau EAL 4 gilt als Ziel der Zertifizierungen f r kommerzielle Produkte EAL 5 wird selten er reicht da bereits formale Entwuftsmethoden und berpr fungen vorausgesetzt werden Funktionalit tsklassen Im Gegensatz zu anderen Zertifizierungen wie etwa dem ITSEC sind die Funktionalit tsklassen nicht hierarchisch gegliedert FAU Security Audit Sicherheitsprotokollierung FCO Communikation Kommunikation FCS Cryptographic Support Kryptografische Unterst tzung FDP User Data Protection Schutz der Benutzerdaten FIA Identification And Authentication Identifikation und Authentisierung FMT Security Management Sicherheitsmanagement FPR Privacy Privatsph re Di Beschrieben wird Version 3 1 2006 85 Information Technology Security Evaluation Criteria 1991 8 Trusted Computer System Evaluation Criteria DoD Standard 5200 28 STD December 1985 120 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen e FPT Protection Of The Target Of Evaluation Security Functionality Schutz der Sicherheitsfunk tionen e FRU Resource Utilisation Betriebsmittelnutzung e FTA Target Of Evaluation Access Schnittstellen FTP Trusted Path Channels vertrauensw rdiger Pfad Kanal Funktionalit tsanforderungen untergliedern sich in Klassen und diese wiederum in Familien Eine Klasse ist eine Gruppe von Familien die eine gemeinsame Zielsetzung verfolgen Eine Fa milie ist wiederum e
52. WU Wien vor allem durch Alexander Pros ser ebenfalls eine elektronische Testwahl via Internet f r 300 Auslands sterreicher mit breiter Zu stimmung durchgef hrt Die Teilnehmer wurden befragt welche Neuerungen bei Wahlen sie sich w nschten und 79 7 der Befragten gaben eine eine Wahlm glichkeit ber das Internet zus tzlich Die B rgerkarte leidet an mangelnder Verbreitung Das scheint am hohen Zusatzaufwand zu liegen denn neben der Chipkarte selbst ist eine spezielle Software und ein Kartenleseger t notwendig um sich dieser Technologie zu bedie nen Der damit verbundene finanzielle Aufwand bel uft sich auf einmalig ca 70 Registrierungs und Kartengeb hr und Kartenleseger t und j hrlich ca 20 Reis05 Durch die k nftige Einbindung der B rgerkartenfunktionalit t in die e Card sollen diese Kosten allerdings reduziert werden 67 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme zu herk mmlichen Verfahren an Der Prototyp wurde zudem durch den Sicherheitsexperten Herbert Leitold A SIT untersucht der einige Sicherheitsl cken fand PrStO6 Das Wirtschaftskammergesetz WKG98 74 Abs 2 4 erlaubt wie das Hochsch lerinnen und Hochsch lerschaftsgesetz HSG98 34 Abs 4 7 bereits seit 2001 elektronische Wahlen unter Verwendung elektronischer Signaturkarten Bei den Wirtschaftskammerwahlen 2000 wurden die 64 Wahllokale in Wien miteinander vernetzt und an eine zentrale W hlerevid
53. Wahlmaschinen in New York an Sie schrieb zudem das Inter 107 http www wijvertrouwenstemcomputersniet n 108 http www poureva be http pol moveon org paperlessvoting 10 http www openvotingconsortium org 11 http www commoncause org 12 http www eff org 113 http verifiedvoting org 114 http votetrustusa org 115 http wheresthepaper org 157 116 net Applet The Fraudulent Voting Machine mit dem gezeigt werden kann wie einfach die Soft ware manipuliert werden kann David Jefferson von der Cambridge Universitat setzt sich wie auch Aviel Rubin von der Johns Hopkins Universitat Doug Jones von der Universitat Illinois und Sicherheitsexperte Bruce Schneier gegen DRE Systeme ein Ed Felten und Alex Halderman von der Universitat Princeton schreiben zu sammen mit Dan Wallach von der Rice Universitat das kritische Weblog Freedom to Tinker ber E Voting Technologie John Schwartz von der NY Times Kim Zetter vom Wired Magazine wie auch Aktivist und Blogger Brad Friedman und Aviel Rubin schreiben regelm ig ber Missstan de bei E Voting Systemen in den USA Bev Harris die Aktivistin die den Diebold Sourcecode im In ternet auf einer neuseel ndischen Seite entdeckte gestaltet die Webseite Black Box Voting die kritische Informationen zu politischen Prozessen rund um E Voting enth lt Die Vereinigung A Center for Correct Usable Reliable Auditable and Transparent E
54. da Mitglieder verschiedener Parteien in der Wahlkommis sion vertreten sein m ssen siehe auch Kapitel 2 2 Bei elektronischen Wahlen muss darauf geach tet werden dass dieser Grundsatz nicht verloren geht 5 4 3 6 Movie Plot Security Ein weiterer menschlicher Aspekt ist die Einf hrung von Schutzma nahmen vor Angriffen nachdem diese aufgetreten sind Diese Eigenschaft wird im Security Fachjargon Movie Plot Security gepr gt vom Sicherheitsexperten Bruce Schneier genannt Gemeint ist dass Sicherheitsexperten Schutz vor spezifischen Risiken erst implementieren nachdem diese bereits von anderen ausgenutzt wur den Neue Schutzma nahmen treten in erst Kraft nachdem das Szenario der Film gesehen wur de anstatt einen breiten vorbeugenden Schutz vor Angriffen mit generischen Konzepten zu entwi ckeln Somit ist die wahrgenommene gef hlte Sicherheit die durch spezifische Sicherheitsrisiken ent steht wie etwa Kontrolle von Schuhen vor dem Abflug am Flughafen nicht mit der tats chlichen Sicherheit vergleichbar Die von der Politik vorgegebenen Richtlinien decken nur einen Teil der Si cherheitsrisiken der Movie Plot Threads ab Doch meist sind die Bedrohungen gegen die Ma nahmen entwickelt wurden Sonderf lle nicht besonders realistisch oder wahrscheinlich Meist stel len diese Sicherheitsma nahmen blo eine Beschneidung der pers nlichen Freiheit Stichwort Da tenschutz und gl serner Mensch dar Einen hnl
55. den USA sogar bis zu vier Stunden Over06 S 43 Um Verz gerungen zu verhindern sind verst ndliche Anleitungen zur Benutzung der Wahlma schinen und zum Ausf llen des Stimmzettels notwendig Die beiden Beschreibungen des Ablaufes einer Stimmabgabe siehe Abbildung 20 haben die gleiche Aussage aber durch das Redesign der alten Anleitung links ergab sich eine viel klarere Vorgehensweise rechts 89 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Voti Instructi SE voting instructions AFTER VOTING CHECK YOUR BALLOT CARD TO BF St VOTING SELECTIONS ARE Ri MINC CLEARLY AND CLEANLY PUNCHED AND THERE ARE NO CHIPS LEFT HANGING ON THE BACK OF THE CARD Abbildung 20 Uberarbeitung einer Anleitung zur Stimmabgabe Quelle Ques04 So wurden die Texte gek rzt und in eine weitere Sprache bersetzt sowie die Schritte klarer auf gegliedert 5 4 3 5 Administration Das administrative Personal bei Wahlen gewinnt mit der Einf hrung elektronischer Wahlen immer mehr an Bedeutung Zus tzliche Schulungen und Anreize wie etwa ein h heres Gehalt werden not wendig Die Anforderungen an Wahlhelfer steigen mit der Komplexit t der Wahl Technologie da die m glichen Fehlerf lle immer vielf ltiger werden CaBoO5 Die Mitarbeiter der Wahlkommission m ssen ebenfalls ber solides technisches Grundwissen verf gen um mit Wahl Computern umgehen die Maschinen vor w hrend und nach dem Ein
56. ffentlich verf gbar gemacht wird Fehler k nnen auch von Dritten gefunden und korrigiert werden Sicherheitsl cken werden durch berpr fung von Dritten aufgedeckt Zum einen arbeitet ein Entwickler anders etwa aufmerksamer und besser dokumentiert wenn er davon ausgehen muss dass seine Arbeit nochmals berpr ft werden wird Zum anderen werden die Konzepte und Prozeduren ein weiteres Mal extern berpr ft Diese Ma nahme ist auch beim Ent wurf und der Realisierung der Hardware von E Voting Systemen sinnvoll KitcO4 Offenheit in der Softwareentwicklung Open Source ist ein Prinzip das in vielen Software Pro jekten angewendet wird Hersteller von Wahlmaschinen Software beharren aber meist auf propriet rer Software die nicht offengelegt wird da gef rchtet wird dass Sicherheitsl cken oder Betriebsge heimnisse ausspioniert werden k nnten Die berzeugung dass die Geheimhaltung des Quellcodes eines Systems zu mehr Sicherheit f hrt ist als Security by Obscurity bekannt siehe auch Kapitel 5 4 2 1 Diese Ansicht bietet allerdings eine Reihe zus tzlicher Angriffspunkte wie etwa die feh lende berpr fung durch unabh ngige Dritte oder dass die Quellcodequalit t leidet MeNeO3 Zu dem lassen sich Angreifer selten durch geschlossenen Quellcode hindern da durch Reverse Engi 97 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen neering die Funktionsweise und der innere Aufbau eines Systems auch ohne exakte Ke
57. haben Sicherheitsl cken und andere Vulnerabilit ten in den untersuchten Systemen zu finden So wurden etwa Diebold Maschinen durch ein Red Team untersucht RABAO4 das die gefundenen Sicher heitsl cken des Rubin Reports KoStO4 best tigte und weitere fand 6 3 Studien und Analysen Neben den in Kapitel 5 4 2 3 erw hnten Analysen von Aviel Rubin und Dan Wallach KoSt04 Ed ward Felten und Alex Halderman FeHa06 der von Debra Bowen angeordneten Untersuchung Bo we07 BoweO7a BoweO7b und den Analysen des Chaos Computer Club CCCO6 KuRiO7 wurden zahlreiche weitere Studien von E Voting Systemen durchgef hrt Dan Wallach Professor an der texanischen Rice Universitat hat im Rahmen seines Hack a vote Projekts ein zu Testzwecken selbst geschaffenes E Voting System ein vereinfachtes DRE Wahlsys tem von mehreren Teams von Studenten analysieren lassen In der ersten Phase sollten die Stu 68 Auguste Kerckhoffs formulierte bereits 1883 folgendes Prinzip Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abh ngen Die Sicherheit gr ndet sich nur auf die Geheimhaltung des Schl ssels Kerc83 98 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen denten ein Trojanisches Pferd in das E Voting System einschleusen in der zweiten Phase modifi zierten die Studenten die Software und die Anderung sollte von Mitgliedern anderer Teams gefun den werden und in der dritten Phase sol
58. ist die Kenntnis des genauen Ablau fes nur wenigen Experten vorbehalten in technischen Details kann sich allerdings auch der beste Programmierer verstricken zumal Fehler nicht hundertprozentig ausgeschlossen werden k nnen vgl 7 6 1 Grenzen der Methode Somit bleibt die Frage ob das bestehende funktionierende Wahlverfahren berhaupt ersetzt wer den soll noch offen Andere Beispiele wie die Einf hrung des Elektronischen Akts ELAK im Bund zeigen dass die Umstellung vom blichen System auf ein elektronisches weit mehr Fallstricke bein halten kann als urspr nglich angenommen Die Einf hrung von E Voting in sterreich ist nach mehreren Pilotversuchen und ministeriellen Arbeitsgruppen und der nderung des Wahlrechts hin zur Briefwahl wenn es nach bestimmten Entscheidungstr gern gehen soll nur noch eine Frage der Zeit Nach einer OGM Umfrage zum Thema E Voting sprachen sich allerdings die absolute Mehrheit der befragten sterreicher 58 gegen elektronische Stimmabgaben bei Wahlen aus nur 35 bef rworteten E Voting Der ehemali ge VfGH Pr sident Korinek hat sich ebenfalls dezidiert gegen E Voting ausgesprochen Offen bleibt noch wann der Gesetzgeber die endg ltige nderung und Adaption des Wahlrechts beschlie t sodass der Empfehlung des Europarats f r E Voting unterst tzte Wahlen CoEO4 nach gekommen werden kann siehe auch Kapitel 6 8 4 Somit betrifft die Frage der Sicherheit elektro nisch gest tzter Systeme u
59. ngender Begriffe wie Systemstabilitat Vertraulich keit Integrit t Verf gbarkeit Zuverl ssigkeit Safety und Wartbarkeit verwendet Siehe auch Kapitel 3 1 1 88 Venn Diagramme werden auch Mengendiagramm genannt 125 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen teilt Verdeckte Wahler verdeckte Stimmen und verdeckte Wahler mit verdeckten Stimmen Diese Arbeit bezieht sich auf theoretische Modelle und dient zum Vergleich dieser Schemata in Bezug auf deren Sicherheitseigenschaften In einer anderen Arbeit Grit03 wurden ebenfalls E Voting Schemata nach verschiedenen Aspek ten der Sicherheit Accuracy Inalterability Completeness Soundness Democracy Eligibility Un reusability Privacy Robustness Verifiability Uncoercibility Fairness Verifiable participation mit einander verglichen Beide Arbeiten befassen sich mit den theoretischen Grundlagen von Wahlen setzten sich aber nicht mit der praktischen Anwendung oder komplexen E Voting Systemen oder auch nur Teilen dessen Software Hardware oder Human Factors auseinander Einige Standards f r die Konstruktion und Zertifizierung von E Voting Systemen wurden entwi ckelt wie die FEC Standards oder das Common Criteria siehe Kapitel 6 9 allerdings sind diese Standards nicht verpflichtend oder noch nicht ausgereift Weitere Bewertungsmodelle zur Analyse von Abl ufen sind TPI und CMM die i
60. of digital signatures ISO IEC 18014 Information technology Security techniques Time stamping services ISO IEC 18033 Information technology Security techniques Encryption algorithms BSI 7799 Part 1 Information technology Code of practice for information security ISO 17799 management BSI 7799 Part 2 Information Security Management Systems Tabelle 6 Normen f r die Sicherheit von E Voting Systemen StabO2 Teil 2 Anhang A S 241ff Einige dieser Normen betreffen organisatorische Aspekte wie etwa die Norm BSI 7799 Informa tion Security Management die hnlich zum C SSP Common Body of Knowledge MeHa07 den Aufbau eines IT Sicherheitsmanagements und seiner Verankerung in der Organisation beschreibt Andere Normen gehen sehr auf technische Details ein wie die Beschreibung der Hash Funktionen in Norm ISO IEC 10118 Die NORMEN befassen sich im Wesentlichen mit Bedrohungs Sicherheit im Sinne von Se curity vernetzter Systeme aber nicht mit Safety oder Reliability Au erdem umfassen die Normen kaum Sicherungsma nahmen f r Hardware noch menschliche Sicherheitsrisiken Parallel zu den ONORMEN gibt es noch die OVE Bestimmungen und Normen die in Kooperati on des Verbands mit dem sterreichischen Normungsinstitut entstanden sind und die VE NOR MEN die Ger tesicherheit und schutz umfassen 6 8 4 Empfehlung des Europarates Die Empfehlungen bzw Standards des Europarates CoEO4 bestimmen die
61. pent ep the Democrats are S on the on the ball nd in the colum re third hole REPUBLICAN GEORGE W BUSH rz DICK CHENEY nes mar DEMOCRATICH AL GORE roosen JOE LIEBERMAN opt reeset LIBERTARIAN HARRY BROWNE rer ART OLIVIER vortuemt GREEN RALPH NADER enner WINONA LaDUKE vict remort SOCIALIST WORKERS JAMES HANNIS rauer MARGARET TROWE wer rarz cent INATURAL LAW JOHN HAGELIN rn NAT GOLDMABER nce maison are tm L OPNO SAILGT EU rat ELECTION Tun PIAC TY eras t 2m CRONE W EUSI jor K CHENEY ven DEMOCRATIC AL GORE priser Am LIEBERMAN v w c ens foe reis HARRY BROWNIE vo ant OLHA Aan WEL rasiert ent RALPH NABEN vue wen it ker tome testers WINDA La DUKE wer ree GOUCALIST JAMES HARES ruro Punching the second hole asts a vote for the Reform Party REFORM PAT BUCHANAN reruneet EZOLA FOSTER ncr rotert SOCIALIST DAVID MeREYNDLOS rarer MARY CAL HOLLIS ere CONSTITUTION HOWARD PHILLIPS maar J CURTIS FRAZIER wort WORKERS WORLD MONICA MODREHEAD sem GLORIA La RIVA ncr rermocer WHITEAN CANDIDATE Te vuta for a write In candidate loligo the Girectiena on tha Jong stud af eer ballet card Sun Sentinel graphic Daniel Niblock sisi einer Siaran Lee enen Wd SE anf IS ur erte FIAMI vn IR reng E As MARGARET THBWE an NATURAL ive JHN HEGELIN m MAT OLAI rex run Abbildung 18
62. selbst und danach Stichwort Nachverfolgbarkeit RobeO5 6 7 Audit Verfahren Audit Verfahren bei Wahlen also berpr fungsm glichkeiten durch W hler Wahlbeobachter und Wahlbeobachterinnen oder Mitarbeiter und Mitarbeiterinnen einer Wahlkommission sind ein not wendiges Mittel um die Korrektheit und Manipulationsfreiheit einer Wahl zu gew hrleisten Zus tzliche technische Mittel wie der Einsatz von End to End Systemen siehe Kapitel 6 7 2 oder zus tzlichen Papierbelegen siehe Kapitel 6 7 1 k nnen dabei die Transparenz einer Wahl deutlich erh hen 6 7 1 Voter Verified Paper Trail Eine von vielen Seiten Dill05 FeHa06 GrovO4 JoneO3 JoneO5 KoSt04 MercO2 OoBeO4 Ston03 geforderte Ma nahme ist der Einsatz von Kontrollbelegen die von W hlern berpr fbar sind Voter Verified Paper Trail VVPT oder auch Voter Verified Paper Audit Trail V VPAT oder Con temporaneous Paper Replica CPR genannt David Dill startete zu diesem Thema eine Petition 72 http www verifiedvoting org 103 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen Die Forderung verlangt zus tzlich zur elektronischen Speicherung der Stimme einen Papierbeleg mit dem gezeigt wird dass die Stimme die abgegeben wurde auch tats chlich der entspricht die man abgeben wollte und mit dem berpr fbar ist ob die Stimme auch im Ergebnis enthalten ist Dieser Kontrollbeleg kann f r sp tere ger teunabh ngige Nachz hlungen verwendet
63. von der kalifornischen Stanford Uni versit t und Dan Wallach von der Rice Universit t in Texas Die Kritiker beanstandeten dass die Aufkl rung nur halbherzig durchgef hrt und der Ursache nicht auf den Grund gegangen wurde Es wurden nur zehn Ger te f r eine Testwahl berpr ft und der Sourcecode wurde von Wissenschaft lern des Security and Assurance in Information Technology SAIT Lab von der Florida State Univer sit t inspiziert Allerdings wurde die Testwahl nicht unter realistischen Bedingungen durchgef hrt m gliche Touchscreen Kalibrierungsprobleme wie auch unregelm ige Antwortzeiten wurden au er acht gelassen und der Quellcode nur oberfl chlich berpr ft F r eine eingehende Analyse h tten das Bug Tracking System und die interne Dokumentation des Herstellers herangezogen werden 5 Eine Liste der Referenzen auf Filme ist im Anhang Appendix D zu finden 82 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen m ssen DiWa07 Obwohl die Ursache f r die hohe Anzahl an Undervotes nicht endg ltig gekl rt wurde veranlasste der neue Gouverneur Floridas Charles Christ die Abschaffung von DRE Wahlma schinen und die Wiedereinf hrung von Papierstimmzettel mit optischen Scannern 5 4 3 Human Factors Das Gebiet der Human Factors also der menschlichen Aspekte und Faktoren der Sicherheitsrisiken ist ein sehr weit reichendes und geht von der Akzeptanz des Systems ber Benu
64. werden Bei einem Versuch einer niederl ndischen Aktivistengruppe wurde ein Tempest Hack auf Nedap Maschinen erfolgreich durchgef hrt Dabei konnte festgestellt werden welche Tasten bei den Ger ten gedr ckt oder welche Partei auf dem Display dargestellt wurden wurden eine Partei mit Umlau ten im Parteinamen dargestellt nderte sich die Refresh Frequenz des Displays selbst von au er halb des Geb udes GoHe06 Ein hnlicher Versuch den Bildschirminhalt auszulesen wurde durch eine Gruppe von Informati kern der deutschen Uni Saarland versucht wobei das dargestellte Bild auf dem Monitor durch Re flexionen auf Gegenst nden mit gekr mmten Oberfl chen wie Teekannen Tassen oder selbst Augen abgelesen werden konnte BaDu08 5 4 1 6 Bit Flipping Ein flipping Bit ist ein nicht vorhersagbarer sehr seltener spontaner Speicherfehler bei dem sich ein einziges gespeichertes Bit ver ndert von O auf 1 oder umgekehrt In Belgien kam es im Mai 2003 durch ein geflipptes Bit zu einem Fehler von 4096 Stimmen im Gesamtergebnis die einem Kandidaten zus tzlich hinzugef gt wurden DePr07 Der Fehler wurde entdeckt da die Anzahl der dieser Kandidatin zugeordneten Stimmen das m gliche Maximum berschritt 5 4 2 Software Sicherheitsrisiken im Bereich Software betreffen das verwendete BIOS Boot Loader Betriebssys tem Treiber Compiler Programme Datenbanken im Programm verwendete Regeln Prozeduren Abl ufe und bis hin zur Im
65. zwischen physikalischen Attacken syntaktischen Attacken und semantischen Attacken un terschieden werden vgl physische Sicherheit technische Sicherheit und organisatorische Sicher heit in Kapitel 3 5 SchnOO Physikalische Attacken richten sich gegen die benutzte Hardware und die Netzverbindung zwi schen den einzelnen Einheiten siehe Kapitel 5 4 1 Syntaktische Attacken hingegen gef hrden die eingesetzte Software die verwendeten Algorithmen Regeln Prozeduren und Abl ufe siehe Kapitel 5 4 2 Weiters gef hrden semantische Attacken die Zuweisung einer bestimmten Bedeutung zu einem Inhalt wobei damit gemeint ist dass Fakten oft als das genommen werden als was sie dargestellt werden und selten hinterfragt werden Bei semantischen Attacken wird elektronische Information so manipuliert dass das Resultat korrekt aussieht obwohl es falsch ist Semantic attacks directly target the human computer interface the most insecure interface on the Internet Amateurs tend to attack machines whereas professionals target people Any soluti ons will have to target the people problem not the math problem SchnOO S 168 Im Bezug auf elektronische Wahlen k nnte das bedeuten dass der W hler manipuliert wird und denkt er stimmt f r Kandidat A in Wirklichkeit seine Stimme aber f r Kandidat B abgibt Ein Bei spiel hierf r ist die Kalibrierung von Touchscreen Monitoren siehe auch Kapitel 5 4 3 5 2 Retail Fraud und Wholesale Fr
66. 01 Reas94 J Reason Menschliches Versagen Spektrum Akademischer Verlag 1994 Rech99 E Rechtin Systems Architecting of Organizations Why Eagles can t Swim In CRC Press Inc 1999 Redm98 F Redmill IEC 61508 principles and use in the management of safety In Computing amp Control Engineering Journal Volume 9 Issue 5 Oct 1998 S 205 213 Reis05 C Reissner Elektronische Signatur und Bankkarte In A Zechner Hrsg E Austria Guide E Government E Learning E Health E Business Linde 2005 S 186f Reze04 P Rezende Electronic Voting Systems Is Brazil ahead of its time In Cryptobytes Vol 7 N 2 RSA Security Laboritories USA 2004 RiSc0O8 F Ricca A Scozzari B Simeone Weighted Voronoi Region Algorithms For Political Distric ting In Dagstuhl Seminar Proceedings Frontiers of Electronic Voting Vol 07311 IBFI 2008 RiSh78 R Rivest A Shamir L Adleman A Method for Obtaining Digital Signatures and Public Key Cryptosystems In Communications of the ACM Vol 21 2 1978 S 120 126 Rive06 R Rivest The ThreeBallot Voting System Unpublished draft Oct 2006 RiWa06 R Rivest J Wack On the notion of software independence in voting systems DRAFT Version 28 7 2006 Robe05 S Robertson Voter centered design Toward a voter decision support system In ACM Tran sactions on Computer Human Interaction TOCHI Volume 12 Issue 2 2005 S 263 292
67. 04 Quellen Election Data Services Inc survey as of May 4 2004 und http americanhistory si edu vote 0ccceeceeeeeeees 52 Abbildung 10 Diebold Wahlmaschinen AccuVote TS und AccuVote TSX Quelle www premierelecti ee RE 52 Abbildung 11 Maschine die bei den Landtagswahlen im Saarland 2004 eingesetzt wurde Quelle HELD derStandard at see ee ee Dee seen ee 53 Abbildung 12 Test Maschine in Italien Quelle http derStandard at z422044044 rennen 53 Abbildung 13 Indische Wahlmaschine Quelle http derStandard at cccceecseeeeeeeeeeeeeeeeeees 54 Abbildung 14 Schritte des Wahlverfahrens nach Fujioka et al IFu ko l een 60 Abbildung 15 Verifikation der Scratch amp Vote Methode Quelle Adel 63 Abbildung 16 Umfunktionierte Nedap Wahlmaschine mit Schachprogramm Quelle GoHe06 S TO ae Eed 80 Abbildung 17 Ed Felten bei ungesicherten Wahlmaschinen Quelle http www freedom to tinker Eege geegent eg ebe Seege geg Ee eege bigger e 86 Abbildung 18 Erkl rung eines Butterfly Ballot Quelle Sun Sentinel eee eeaee 88 Abbildung 19 Stimmzettel aus Chicago County vor oben und nach dem Redesign unten Quel le LAUSO74 8 UG EE 89 Abbildung 20 berarbeitung einer Anleitung zur Stimmabgabe Quelle QuesO4 90 Abbildung 21 Beispiel f r Gerrymandering Quelle Wikipedia http de wikipedia org wiki Gerryman S E EE Eege eg ege E dene eege E age 93 Abbildung 22 Grundprinzip von E
68. 19 Statutarst dte Stadt mit eigenem Statut d h eine Stadt die im Gegensatz zu brigen St dten ein eigenes Stadt recht Stadtstatut hat 20 Im englischen Sprachraum Absentee Ballot genannt 27 Dissertation Sicherheit von E Voting Systemen 2 Wahlrecht Vor der Wahlrechts nderung durfte die Wahlkarte nur im Ausland abgegeben werden und musste vonseiten einer sterreichischen Vertretungsbeh rde eines Notars oder einer hnlichen Einrichtung des Einheitskommandanten oder von einem Zeugen mit sterreichischer Staatsb rgerschaft auf dem Umschlag gegengezeichnet werden Mit dem Wahlrechts nderungsgesetz 2007 das am 1 Juli 2007 in Kraft getreten ist kann die Wahlkarte in sterreich auch per Post im Inland abgeschickt werden Weiters kann man mit einer Wahlkarte auch den Wahlsprengel wechseln und kann so zum Beispiel beim Urlaub im dortigen Wahllokal w hlen Der in der Wahlkarte enthaltene Umschlag wird vor der Stimmabgabe im Wahllokal durch einen Umschlag mit der Bezeichnung des Heimatwahl kreises ersetzt Der Stimmzettel bleibt gleich und wird wie blich pers nlich ausgef llt und im Umschlag in die Urne geworfen wird Der Staat kann hier die geforderten Vorkehrungen zur Durch f hrung einer geheimen Wahl garantieren Die Wahlkarten werden nach Wahlschluss nicht im Wahl sprengel gez hlt wo sie abgegeben wurden sondern gesammelt und an die jeweils zust ndige Wahlbeh rde geschickt um die Stimmen korrekt zuzuor
69. 2005 Salz burg sterreich Boorberg Verlag 2005 S 256 262 KuHo04 W Ku C Ho An e Voting Scheme against Bribe and Coercion In Proceedings of the 2004 IEEE International Conference on e Technology e Commerce and e Service EEE 04 2004 S 113 116 KuRiO7 C Kurz F Rieger R Gonggrijp Beschreibung und Auswertung der Untersuchungen an NE DAP Wahlcomputern Berlin 30 Mai 2007 172 K rzel Quelle LaGrO2 C Lambrinoudakis D Gritzalis S Katsikas Building a reliable e voting system functional requirements and legal constraints In Proceedings 13th International Workshop on Databa se and Expert Systems Applications 2002 S 435 447 LaMo04 P La Monica The trouble with e voting Political concerns have held back shares of Die bold which makes touch screen voting machines CNN Money com 30 08 2004 LandO7 L Landes The Landes Report To Congress The Landes Report Open Vote Project 15 1 2007 Lann04 C Lanner Verfassungsrecht mit der Wahlrechtsnovelle 2003 Herabsetzung des Wahlal ters und dem Kundmachungsreformgesetz 2004 mit dem Bundesgesetzblattgesetz 2004 Kundmachung des Bundesgesetzblattes im Internet sowie dem Pressef rderungsgesetz 2004 nderungen insbesondere zu folgenden Rechtsvorschriften Bundes Verfassungsgesetz Rundfunkgeb hrengesetz 20 Aufl Stand 1 2 2004 Wien LexisNexis Verl ARD Orac 2004
70. 3 05 Telekom Austria AG Software und Webentwicklung 183
71. 7 R Cramer R Gennaro B Schoenmakers A secure and Optimally Efficient Multi Authority Election Scheme In Advances in Cryptology EUROCRYPT 97 Lecture Notes in Computer Science Vol 1233 Springer 1997 S 103 118 DaGrO3 Damg rd J Groth G Salomonsen The Theory and Implementation of an Electronic Vo ting System In Secure Electronic Voting Kluwer Academic Publ 2003 S 77 99 DaHu92 W Daenzer F Huber Hrsg Systems engineering Methodik und Praxis 7 Aufl Indus trielle Organisation 1992 DaJu01 Damg rd M Jurik A generalisation a simplification and some applications of paillier s probabilistic public key system In Public Key Cryptography PKC 01 2001 S 119 136 DaJu03 Damg rd M Jurik J Nielsen A Generalization of Paillier s Public Key System with Appli cations to Electronic Voting Report of the Aarhus University Dept of Computer Science BRICS 2003 DBtg02 DBtg Deutscher Bundestag Geschichte des Wahlrechts Der Kampf um gleiche Wahlen in Deutschland In Blickpunkt 06 2002 Deutscher Bundestag 2002 DePe08 O de Marnee O Pereira J Quisquater Simulation based analysis of E2E voting systems 166 K rzel Quelle In Dagstuhl Seminar Proceedings Frontiers of Electronic Voting Vol 07311 IBFI 2008 DePrO7 D De Cock B Preneel Electronic Voting in Belgium P
72. 94 Okam96 Eines der bekanntesten Protokolle das homomorphe Kryptografie verwendet wurde von Schoenmakers in seinem Publicly Verifiable Secret Sharing PVSS Scheme Scho99 vorgestellt Dieses basiert auf einem fr heren Protokoll von Schoenma kers CrGe97 und setzt neben homomorpher Kryptografie auch auf Secret Sharing Sham79 zu 64 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Deutsch geheimes Ver Teilen sensibler Daten und war Grundlage des EU Projekts CyberVote siehe auch Kapitel 4 3 3 Weiters verwendet das kommerzielle DRE System VoteHere AdDa00 ebenfalls homomorphe Verschl sselung neben weiteren Verfahren wie dem von Hirt HiSa00 Damg rd DaJuO1 oder Baudron BaFo01 4 4 4 Mehrstufige Verfahren Mehrstufige Verfahren trennen den Prozess der Identifikation und Ausgabe der Stimmzettel von der Abgabe dieser Die anonymen leeren Stimmzettel werden dabei meist auf einem Tragermedium wie einer Smartcard gespeichert Das Verfahren von Bruck et al BrJeO1 unterteilt das Wahlprotokoll in folgende Schritte wobei eine Metapher f r den Stimmzettel der Frosch The Frog der sich auf einem Speichermodul be findet verwendet wird e Initialisierung Signing in e Treffen einer Wahl Vote generation e Stimmabgabe Vote casting Mit dieser modularen Wahl Architektur wird die Stimmgenerierung von der Stimmabgabe ge trennt Das Wahlverfahren nach Prosser M ller ist ebenfa
73. Anhang gegeben siehe Appendix B Vorteile die von Bef rwortern von E Voting genannt werden sind schnellere Ausz hlungen Mo dernisierung und Zukunftsorientierung das Verhindern unabsichtlich ung ltiger Stimmen beson ders beim Panaschieren und Kumulieren und Vorteile f r k rperlich beeintr chtigte Personen bar rierefreies W hlen Weiters werden finanzielle Ersparnisse Steigerung der Wahlbeteiligung leichte re Einbindung von W hlern aus dem Ausland ein schnelleres Ergebnis wie auch Anwendung der di rekten Demokratie genannt MaPo04 Der Einsatz elektronischer Wahlen hat Kritikern zufolge aber nicht nur Vorteile BiWa07 Nach teile sind die mangelhafte Transparenz der Stimmabgabe siehe auch Kapitel 6 5 fehlende Papier backups f r erneute aussagekr ftige Ausz hlungen DiScO3 siehe auch Kapitel 6 7 1 das f r den B rger oder f r die Mitglieder der Wahlkommission nicht verst ndliche oder nachvollziehbare transparente System ORGO7 unaufdeckbare Manipulationsm glichkeiten des Ergebnisses schlechte Sicherung der Ger te CCCO6 fehlende Kontrolle f r die Wahlkommission vom Source code bis zum Transfer der Stimme das blinde Vertrauen in die Soft und Hardware und nicht zu letzt die Sicherheit des gesamten Systems Das Argument der Kosteneinsparung durch den Einsatz von E Voting konnte durch konkrete Zah len aus Belgien parlamentarische Anfragen belegen dass sich die Kosten pro W hlerstimmer ver dreif
74. BGBI55 geheimes und allg Wahlrecht und Artikel 3 des ersten Zusatzprotokolls zur Konvention der Menschenrechte und Grundfreiheiten freies Wahlrecht DujmOO LannO4 Zusammenfassend l sst sich sagen dass in sterreich aufgrund des allgemeinen freien glei chen unmittelbaren geheimen und pers nlichen Wahlrechts die M glichkeit besteht an der Wahl zum Landtag zum Nationalrat zum Gemeinderat zum Europaparlament und des Bundespr siden ten teilzunehmen wobei sich die Wahlrechte untereinander im Mindestalter der Wahlberechtigten unterscheiden Die Wahlgrunds tze im Einzelnen WaMa00 RoseO0 Allgemeines Wahlrecht Art 26 Abs 1 und 4 B VG Art 8 StV v Wien Es steht grunds tzlich allen Staatsb rgern ab einem bestimmten Mindestalter abh ngig vom ordentlichen Wohn sitz ohne Unterschied von Rasse Geschlecht Sprache Religion oder politischer Meinung zu zu w hlen Nicht sterreichische EU B rger d rfen an Gemeinderatswahlen bzw in Wien an Bezirksvertretungswahlen sowie an Europawahlen teilnehmen Ausnahmen bestehen etwa bei Personen mit gerichtliche Verurteilungen 11 Das aktive Wahlrecht bei dem W hler ihre Stimme abgeben steht im Gegensatz zum passiven Wahlrecht wo ein Kan didat von W hlern gew hlt werden kann bereilungsschutz bedeutet dass man den ausgef llten Stimmzettel vor der Stimmabgabe nochmals sehen und so seine Stimme berpr fen kann bevor man den Stimmzettel endg ltig abgibt
75. Bei Urnenwahlen ist die Transparenz des Ablaufes gegeben und durch Wahlbeobachter und Beisitzer verschiedener Parteien gesichert Diese Transparenz so mit auch das Vertrauen in den gesamten Prozess ist bei elektronischen Wahlen schwer zu gew hr leisten siehe auch Kapitel 6 5 5 4 Risiken von E Voting Systemen nach System Komponenten Im Folgenden wird eine kurze bersicht ber m gliche und beispielhafte Sicherheitsrisiken von E Voting Systemen gegeben Geordnet werden die Risiken je nach System Komponente siehe Kapitel 4 2 Hardware Software und Human Factors 5 4 1 Hardware Hardware Sicherheitsrisiken betreffen mechanische wie auch elektronische Komponenten Beispie le f r Sicherheitsrisiken die die eingesetzten Computer Speichermedien und Peripherieger te be treffen werden folgend angef hrt II Auch Janusangriff genannt Der Angreifer f ngt die Kommunikation zwischen zwei Teilnehmern ab und ver ndert die se Quelle Telefonat mit Mag Robert Stein Bundesministerium f r Inneres Sektion III Recht Abt 111 6 Wahlangele genheiten vom 17 4 2008 4 Zentrale Wahlbeh rden sind die Bezirkswahlbeh rden BGBI92 10 und die Landeswahlbeh rden BGBI92 11 die jeweils aus 10 Mitgliedern bestehen neben der Bundeswahlbeh rde BGBI92 12 die aus 18 Personen gebildet wird darunter zwei Richter 72 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systeme
76. Diese Priorit ten k nnen durch die EVSSO Matrix abge bildet siehe Tabelle 8 werden indem die wichtigeren Stufen der Kernbereiche weiter rechts ste hen als die weniger hoch priorisierten Neben den jeweiligen Priorit ten gibt es ebenfalls Abh ngigkeiten zwischen den einzelnen Kern bereichen So machen etwa regelm ige Integrit tspr fungen der Software Stufe B von Kernbe reich 10 erst nach einer generellen Qualit tssicherung Stufe A von Kernbereich 9 Sinn Die Ab h ngigkeiten werden in der EVSSO Matrix verdeutlicht indem die Erreichung einer Stufe f r einen Kernbereich weiter rechts steht als die Stufe des Kernbereichs der davon abh ngig ist Diese Priorit ten und Abh ngigkeiten werden durch die EVSSO Matrix abgebildet Die vertikale Achse listet die Kernbereiche auf die Horizontale dient der Zuordnung der Stufen der jeweiligen Kernbereiche zu einer Entwicklungsebene Die leeren Felder deuten auf den Abstand zwischen den Stufen hin der berwunden werden muss um eine Sicherheitsqualit t eine Stufe h her zu erlan gen Eine Stufe zwischen den Feldern kann nicht erreicht werden Erf llt ein Kernbereich alle Krite rien der Stufe A und nur einige der Stufe B wird er auf Stufe A eingestuft bis er alle Kriterien f r B oder C erf llt So bleibt ein Kernbereich solange mit Stufe A bewertet bis er vollst ndig alle Kri terien der Stufe B erf llt 135 Dissertation Sicher
77. E Votings in sterreich Bei der EU Wahl 2009 und bei den H Wahlen 2009 siehe auch Kapitel 4 5 1 sollen bereits rechtsg ltige Internetwahlen in sterreich eingef hrt werden so das politische Ziel der Parteien Eine Bestrebung Wahlmaschinen in naher Zukunft einzusetzen gibt es derzeit nicht Der Fokus liegt vorrangig auf Internetwahlsystemen um Auslands sterreichern eine alternative Form der Stimmab gabe zu erm glichen bzw Voting f r Vereinswahlen einzusetzen Eine Liste der sterreichischen E Voting Initiativen wird im Anhang gegeben siehe Appendix B 45 A SIT Zentrum f r sichere Informationstechnologie Austria 68 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Wissenschaftsminister Johannes Hahn fordert ebenfalls E Voting f r die H Wahl 2009 zuzulas sen allerdings meldet die sterreichische Hochsch lerschaft H Bedenken an als E Voting Ver suchskaninchen siehe Kapitel 4 5 1 bereit zu stehen Der Verfassungsrechtler Heinz Mayer be zweifelt die Verfassungskonformit t der elektronischen Stimmabgabe und zweifelt an E Voting wie auch der Pr sident des Verfassungsgerichtshofes VfGH Karl Korinek Das Hochsch lerinnen und Hochsch lerschaftsgesetzes erm glicht bereits seit 2001 die elek tronische Stimmabgabe HSG98 34 Abs 4 7 mit digitalen Signaturkarten Hahn besteht auf den Einsatz von E Voting bei den kommenden H Wahlen notfalls auch gegen den Willen der H Di
78. EEE 2005 S 721 726 Vol 1 CastO7 D Castro Stop the Presses How Paper Trails Fail to Secure e Voting Report The Informa tion Technology amp Innovation Foundation 18 9 2007 CCCO6 CCC Chaos Computer Club Bericht der CCC Wahlbeobachtergruppe von der Oberb rgermeis terwahl in Cottbus 24 10 2006 CESGO2 CESG Communications Electronics Security Group E Voting Security Study X 8833 4600 6 21 Copyright The Crown Issue 1 2 31 United Kingdom 2002 Chau04 D Chaum Secret Ballot Receipts True Voter Verifiable Elections In Security amp Privacy Magazine IEEE Volume 2 Issue 1 2004 S 38 47 Chau81 D Chaum Untraceable electronic mail return addresses and digital pseudonyms In Com munications of the ACM Volume 24 Issue 2 1981 S 84 90 Chau82 D Chaum Blind Signatures for Untraceable Payments In Advances in Cryptology Procee dings of Crypto 1982 Plenum Springer 1982 S 199 203 Chau88 D Chaum Elections with Unconditionally Secret Ballots and Disruption Equivalent to Brea 165 K rzel Quelle king RSA In Advances in Cryptology EUROCRYPT 88 Lecture Notes in Computer Science Vol 330 Springer 1988 S 177 182 ChGo95 B Chor O Goldreich E Kushilevitz M Sudan Private Information Retrieval In Procee dings of the 36th IEEE Symposium on Foun
79. Es ergaben sich eine Reihe von Problemen durch den Einsatz dezentra lisierter heterogener Systeme Abbildung 9 zeigt die damals erwartete Aufteilung der eingesetzten verschiedenen Wahlsysteme in den USA 2004 E Voting Systeme inklusive optischer Scanner wur den zu knapp zwei Drittel eingesetzt Papierstimmzettel zu unter einem Prozent 50 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme 51 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Expected Voting Equipment Usage in 2004 Belge E OR EE ym Or AA Punch Includes Datavote Card 13 75 Lever 13 91 m Paper Ballot Optical 33 729 Scan keen Electronic 30 7596 Mixed 7 22 Abbildung 9 Aufteilung der verschiedenen Wahlsysteme in den USA 2004 Quellen Election Data Services Inc survey 565 as of May 4 2004 und http americanhistory si edu vote Neben den kommerziellen DRE Touchscreen E Voting Systemen von Diebold AccuVote TS und Ac cuVote TSX siehe auch Abbildung 10 wurden auch die DRE Systeme von Sequoia wie WinEDS oder AVC Edge WinVote von Advanced Voting Solutions Inc Votronic von Election Systems A Software ES amp S eS ate von Hart Intercivic Ger te von MicroVote und anderen Herstellern in den USA eingesetzt Neben DRE Systemen wurde bisher noch das optische Scan Wahlsystem nkaVote Plus von ES amp S verwendet Abbildung 10 Diebold Wahlmaschinen AccuVote TS und AccuVot
80. Fehlerhafte organisatorische Strukturen e Oberfl chliche oder ineffektive technische T tigkeiten Diese Bedrohungstypen hneln im Wesentlichen denen des STRIDE Modells SwSnO4 S 27 siehe auch Kapitel 3 3 1 1 das folgende Techniken als Gegenma nahmen vorschl gt HoLeO2 S 83ff Authentifizierung Authentication Autorisierung Authorization e Sichere Technologien Tamper resistant and privacy enhanced technologies e Schutz von Geheimnissen Protect secrets or better yet don t store secrets e Verschl sselung Encryption hashes MACs and digital signatures message authentication codes e berpr fungen Auditing e berpr fung von Daten Filtering throttling and quality of service Niedrigste Rechte Least privilege Die verschiedenen Gefahren und Bedrohungen k nnen nach diesen Einteilungen unterschieden m gliche Ursachen identifiziert und Gegenma nahmen vorgeschlagen werden Diese Kategorisie rung hilft Gefahren und Bedrohungen einzustufen und so auch besser absch tzen zu k nnen Der weitere Umgang mit Risiken erfolgt durch das Risikomanagement 3 3 Risikomanagement Risikomanagement im Englischen Risk Management bedeutet Erkennen und Begutachten von Risiken und das Entwickeln einer Strategie um mit diesen Risiken umzugehen Mit Risiko ist hier bei die Wahrscheinlichkeit der Realisierung einer Bedrohung durch Ausnutzung einer Schwachstelle gemeint PfPfO3 S 22 lan Sommerville
81. Moral Die Beteiligten sollten die legitimen Interessen anderer respektieren e Demokratie Die Sicherheit von Informationssystemen und netzen sollte mit den wesentli chen Werten einer demokratischen Gesellschaft vereinbar sein e Risikoeinsch tzung Die Beteiligten sollten Risikoeinsch tzungen durchf hren e Sicherheitsgestaltung und umsetzung Die Beteiligten sollten Sicherheit als wesentlichen Bestandteil von Informationssystemen und netzen aufnehmen e Sicherheitsmanagement Die Beteiligten sollten ein umfassendes Sicherheitsmanagement Konzept entwickeln e Neufestlegung Die Beteiligten sollten die Sicherheit von Informationssystemen und netzen berpr fen und neu festlegen und Sicherheitsstrategien praktiken maBnahmen und me thoden entsprechend ndern Diese Richtlinien richten sich an alle Beteiligten an Regierungen die Wirtschaft und Private und bieten einen generellen Ansatz zum Schutz vor Angriffen durch ein geschaffenes Sicherheitsbe wusstsein Auf technische Details wird nicht eingegangen 6 8 2 sterreichisches IT Sicherheitshandbuch Das sterreichische IT Sicherheitshandbuch StabO2 besteht aus zwei Teilen Zum einen beinhal tet es wie die OECD Leitlinien Grundlagen eines IT Sicherheitsmanagement und weitere organisa torische Sicherheitsvorkehrungen zum anderen werden technische IT Sicherheitsma nahmen be schrieben Die Sicherheitsrichtlinien betreffen allerdings nur Ausfall Sicherheit und Schu
82. P die generelle Richtlinien f r die Einhal tung der Sicherheit bei Informationssystemen enthalten Poor99 Die GASSP betrifft wie auch Common Criteria siehe Kapitel 6 9 3 den gesamten Prozess der Entwicklung eines Systems 6 10 Alternativen zu E Voting Es wurde eine Reihe von Alternativen zu gew hnlichen E Voting Systemen wie DRE Wahlsystemen entwickelt In diesem Kapitel wird eine bersicht ber andere M glichkeiten der elektronischen Un terst tzung bei Wahlen gegeben 6 10 1 Ballot Marking Machine Die Ballot Marking Machine wurde von einigen Wissenschaftlern vorgeschlagen und ist eine Alterna tive zu DRE Wahlsystemen Dieser Typ von Wahlger ten dient lediglich einer elektronischen Regis trierung der Stimme und gibt Papierbelege aus Aviel Rubin schl gt ein Touchscreen Ger t vor das ein standardisiertes Layout und standardisierte Typografie hat mit dem der Stimmzettel elektro nisch dargestellt und die Stimme auf dem Ger t abgegeben wird Under und Overvotes werden durch die Abgabe der Stimme ber das Touchscreen Ger t verhindert ung ltig W hlen ist weiterhin m glich Das Ger t druckt Papierstimmzettel aus die dann auch in eine Urne geworfen werden Die Z hlung ist somit unabh ngig von dem Wahlsystem da die Stimmzettel sp ter per Hand oder mit optischen Scannern ausgez hlt werden k nnen Aussagekr ftige manuelle Neuz hlungen sind durch die Papierbelege m glich Zus tzlich sind optische Scanner mit Audio A
83. S 448 461 JeRu04 D Jefferson A Rubin B Simons D Wagner A Security Analysis of the Secure Electronic Registration and Voting Experiment SERVE 2004 170 K rzel Quelle JeRu04a D Jefferson A Rubin B Simons D Wagner Analyzing internet voting security An extensi ve assessment of a proposed internet based voting system In Communications of the ACM Volume 47 Issue 10 October 2004 S 59 64 Jone0Ol D Jones Problems with Voting Systems and the Applicable Standards Testimony before the House Science Committee May 22 2001 Jone03 D Jones The Case of the Diebold FTP Site Part of the Voting and Elections web pages by The University Of lowa Department of Computer Science 2003 Jone03 D Jones The evaluation of voting technology In Secure Electronic Voting Kluwer Acade mic Publ 2003 S 3 16 Jone05 M Jones The Pedagogic Opportunities of Touch Screen Voting In ACM SIGCSE Bulletin Volume 37 Issue 3 SESSION E voting ethics and infrastructure for computing education ACM 2005 S 223 226 JoRi08 R Joaquim C Ribeiro CodeVoting protecting against malicious vote manipulation at the voter s PC In Dagstuhl Seminar Proceedings Frontiers of Electronic Voting Vol 07311 IBFI 2008 JoZu03 R Joaquim A Z uquet S Ferreira Revs a robust electronic voting system In IADIS In ternational Journal
84. Sicherheitsprobleme der Wahlma schinen und fand mehr als 120 Risiken Nach 18 Monaten Analyse wurde ein Bericht BrenO4 ver ffentlicht der Empfehlungen f r die Steigerung der Zuverl ssigkeit durch Entwicklungsma st be und Begutachtungen von E Voting Systemen umfasst Over06 S 188ff 6 4 Kryptografie Ein Mittel um die Ver nderung des Sourcecodes zu verhindern ist auch hier der Einsatz digitaler Signaturen So wird gew hrleistet dass der zum Einsatz kommende Sourcecode nicht ver ndert wurde Hash Pr fsummenverfahren gen gen hierbei nicht allein da es auf unterschiedlichen Be triebssystemen zu verschiedenen Hash Werten kommen kann Generell ist der Einsatz von blinden digitalen Signaturen siehe Kapitel 4 4 1 Zertifizierungen zur Authentifizierung Autorisierung Signatur und anderen kryptografischen Mitteln derzeit der ak tuelle Stand der Technik und gilt als hinreichend sicher da fast nicht brechbar und sollte auch Anwendung finden Allerdings ist die Sicherheit etwa verschl sselter Dokumente f r die Zukunft un sicher da unklar ist ob die heute g ngigen Verschl sselungsverfahren in einigen Jahren durch un 6 Ein Trojanisches Pferd ist eine Hintert re in einem Software System 99 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen vorhersehbare wie auch durch vorhersehbare Faktoren wie die steigende Rechenkapazitat der Com puter nicht gebrochen werden k nnte Weiters sollten die e
85. TECHNISCHE UNIVERSITAT WIEN VIENNA UNIVERSITY OF TECHNOLOGY DISSERTATION Sicherheit elektronischer Wahlen Eine Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen ausgef hrt zum Zwecke der Erlangung des akademischen Grades eines Doktors der technischen Wissenschaften unter Leitung von Ao Univ Prof Dipl Ing Dr techn Peter Purgathofer Institut fur Gestaltungs und Wirkungsforschung eingereicht an der Technischen Universitat Wien Fakult t f r Informatik von Mag rer soc oec Dipl Ing Barbara Ondrisek Matr Nr 9825622 Mariahilfer Str 45 64B 1060 Wien Wien Mai 2008 Vorwort E Voting ist ein spannendes und politisch brisantes Thema auch in Osterreich weshalb E Voting als Thema schnell feststand Der schwierigere Teil war es einen wissenschaftlichen technischen Ansatz zu finden der auch meine pers nliche kritische Meinung zu elektronischen Wahlen wider spiegelt Nach langwieriger Recherche und einigen wieder fallen gelassenen Ans tzen entwickelte sich eine solide qualitative Bewertungsmethode f r E Voting Systeme siehe Kapitel 7 Meinen Dank f r Unterst tzung bei der Erstellung dieser Arbeit m chte ich an folgende Personen richten Peter Purgathofer f r seinen Enthusiasmus Gerald Futschek f r sein Feedback Hermann Kaindl f r den richtigen Ansto Edgar Weippl f r den Austausch von Ideen meinen Lektoren f r das geduldige Korrekturlesen und allen Freunden und Bek
86. Unstimmigkeiten waren auf menschliches Versagen zur ckzuf hren da der Fehler eines Technikers dazu f hrte dass Wahlkar ten von W hlern aus anderen Wahlkreisen Absentee Ballots doppelt gez hlt wurden Ein weiterer derartiger Vorfall ereignete sich im selben Jahr im Bezirk Columbus in Ohio USA bei dem 3 893 zus tzliche Stimmen dem Kandidaten Bush zugeordnet wurden obwohl nur 800 W hler registriert waren Der Mangel entstand beim fehlerhaften Auslesen der Endergebnisse SchwO4 Unstimmigkeiten bei der Anzahl der Stimmen gab es ebenfalls 2004 in Franklin County Ohio wo 4 258 Stimmen f r den Kandidaten Bush im Vergleich zu 260 Stimmen f r den Kandida 81 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen ten Kerry gez hlt wurden obwohl nur insgesamt 638 W hler ihre Stimme abgegeben hatten Zet t04 Umgekehrte Vorkommnisse bei dem Stimmen verloren wurden traten zum Beispiel 2004 in Carteret County North Carolina USA auf Mehr als 4 500 12 000 Stimmen die Zahl unterschied sich je nach Quelle in der Presse gingen aufgrund einer Fehlfunktion der Wahlmaschine verloren Die Maschine war f r die Speicherung einer geringeren Anzahl an angegebenen Stimmen ausgelegt und als die Speicherkapazit t berschritten wurde hatten neu gespeicherte Stimmzettel die beste henden berschrieben Das System konnte pro Tag maximal 3 005 Stimmen speichern obwohl es laut Herstellerangaben 10 500 sein sol
87. WWW Internet vol 1 no 2 2003 S 47 63 JuCa02 A Juels D Catalano M Jakobsson Coercion resistant electronic elections In Proceedings of the 2005 ACM workshop on Privacy in the electronic society WPES Ob ACM 2005 S 61 70 JuLeO2 W Juang C Lei H Liaw A verifiable multi authority secret election allowing abstention from voting In The Computer Journal Vol 45 No 6 2002 S 672 682 JuLe97 W Juang C Lei A Secure and Practical Electronic Voting Scheme for Real World Environ ments In IEICE TRANSACTIONS on Fundamentals of Electronics Communications and Computer Sciences Vol E80 A No 1 1997 S 64 71 KaKa05 H Kaminski L Kari M Perry Who counts your votes In Proceedings of the 2005 IEEE International Conference on e Technology e Commerce and e Service 2005 EEE 05 IEEE 2005 S 598 603 KaRu03 P Karger O RUB Sicherheit ist conditio sine qua non In Institut f r Informationsverar beitung und Informationswissenschaft Wirtschaftsuniversit t Wien Hrsg e Voting in der Schweiz Deutschland und sterreich Ein berblick Nr 02 2003 Wien 2003 S 17 21 KaWa99 J Karro J Wang Towards a practical secure and very large scale online election In Pro ceedings of the 15th Annual Computer Security Applications Conference ACSAC 99 IEEE Computer Society Press 1999 S 161 169 Keat04 D Keating Pentagon s Online Votin
88. a um eine solche Manipulation zu verhin dern Nicht nur durch ffnungszeiten sondern auch durch schlechte Usability k nnen bestimmte Per sonengruppen ltere Menschen Sehbehinderte etc gezielt ausgeschlossen werden siehe auch Kapitel 5 4 3 4 Gerrymandering ist die absichtliche Verschiebung von Wahlkreisgrenzen in einem Mehrheits wahlssystem um mehr Stimmen zu gewinnen So kann durch gezielte Bestimmung der Grenzen ein Vorsprung f r eine Partei erzielt werden obwohl sie nach der Anzahl der Stimmen nicht gewinnen w rde In dem Beispiel in Abbildung 21 sieht man dass obwohl Blau in der berzahl w re Rot durch die Aufteilung eine Mehrheit in zwei Bereichen hat und somit gewinnen w rde Abbildung 21 Beispiel f r Gerry mandering Quelle Wikipedia http de wikipedia org wiki Gerry mandering 6 Obwohl Gerrymandering nicht unmittelbar mit E Voting in Zusammenhang steht wird diese Form der Wahlkreismani pulation der Vollst ndigkeit halber erw hnt 93 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Als Beispiel fiir erfolgreiches Gerrymandering kann der US Bundesstaat Texas herangezogen wer den Bei der Wahl 2002 wurden etwa 53 der Stimmen f r republikanische Kongresskandidaten abgegeben aber nur 47 der Sitze im Kongress wurden von Republikanern besetzt Mit einem er neuten Ziehen der Grenzen f r die Wahl 2004 erlangten die Republikaner einen Vorsprung vo
89. abgabe selbst und nicht durch einen Stellvertreter aus Ausgenommen sind sinnes oder k rperbehin derte B rger die das Ausf llen des Stimmzettels ohne fremde Hilfe nicht vornehmen k nnen Verh ltniswahlrecht Art 26 Abs 1 B VG Im Gegensatz zum Mehrheitswahlrecht wird allen politischen Kr ften von zahlenm ig erheblicher Bedeutung eine Vertretung im Parlament nach Ma gabe ihrer Stimmenst rke gesichert au er bei der Direktwahl des Bundespr siden ten Ein weiterer Grundsatz geh rt zwar nicht unmittelbar zu den klassischen Wahlrechtsgrunds t zen vervollst ndigt diese aber ffentlicher und transparenter Wahlvorgang Art 1 49 EuWO 61 Nationalrats Wahlord nung 1992 Mitglieder einer Wahlkommission Wahlzeugen BGBI96 Art 1 49 BGBI92 61 und externe internationale Wahlbeobachter haben die M glichkeit den Wahlvorgang zu verfolgen ein weiterer Einfluss auf den Gang der Wahlhandlung steht ihnen nicht zu BGBI96 Art 1 47 Die Ausz hlung der Stimmen darf in sterreich von Wahlbeobachtern der OECD oder von Wahlzeugen beobachtet werden 14 Das Mehrheitswahlrecht wird auch in sterreich angewendet allerdings nur f r die Direktwahl der B rgermeister und des Bundespr sidenten 15 Quelle Telefonat mit Mag Robert Stein Bundesministerium f r Inneres Sektion III Recht Abt 111 6 Wahlangele genheiten vom 17 4 2008 24 Dissertation Sicherheit von E Voting Systemen
90. ability Verantwortlichkeit Ac countability Barrierefreiheit Accessibility Genauigkeit Accuracy Ungezwungenheit Non coer cibility Zertifizierbarkeit Certifiability Effizienz Efficiency Flexibilit t Flexibility Verbraucher freundlichkeit Convenience Robustheit Robustness Bedienbarkeit Usability und Vollst ndig keit Completeness 31 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit All diese genannten Facetten der Sicherheit von Computer Systemen m ssen ber cksichtigt wer den um die Sicherheit des Gesamtsystems gew hrleisten zu k nnen Werden verschiedene Facet ten von Sicherheit ber cksichtigt wird das Vertrauen in das System gest rkt HoLa06 3 2 Gefahr und Bedrohungstypen Die Risiken und Gefahren von E Voting Systemen sind sehr vielf ltig siehe auch Kapitel 5 4 Es werden generell vier Typen von Gefahren in IT Systemen unterschieden PfPfO3 S 7f Abfangen nterception Z B ein Unbefugter bekommt Zutritt zum System und kann Nach richten abh ren Sensible Daten k nnen unerlaubt oder ungewollt kopiert werden e Unterbrechung nterruption Z B Daten werden zerst rt gel scht oder gehen verloren Eine Einheit des Systems wird unbrauchbar gemacht oder zerst rt z B Denial of Service Attacke e Abwandlung Modification Z B Ab nderung von Daten oder nderung einer Schnittstelle so dass diese nicht mehr gem ihrer Spezifikation funktioniert e Her
91. ach oben entwi ckelt desto schwieriger wird es Analog kann man die Entwicklung der Stufen der Komplexitat von der kleinen Basis der mathe matischen Problematik ber die Hardware Software die Human Factors bis hin zum komplexen Gesamtsystem betrachten Die Grundlagen eines elektronischen Wahlsystems die Kryptografie wie auch das verwendete Wahlprotokoll also die mathematischen Grundladen sind noch relativ leicht in Bezug auf deren Si cherheit abzuschatzen und sind sogar noch formal beweisbar Geht man nun eine Dimension weiter eine Komplexit tsstufe h her im hier vorgestellten Schalenmodell siehe Abbildung 28 und nimmt die Software zu der Mathematik dazu ist die Absch tzung der Sicherheit nicht mehr trivial da die Implementierung der mathematischen Regeln und Abl ufe in einem komplexen Konstrukt fehlerbe haftet ist vgl Rice Theorem in Kapitel 7 6 1 Will man die Sicherheit zuz glich der Hardware be trachten nimmt die Komplexit t des abzusch tzenden Teils wieder enorm zu da nicht nur die Hardware f r sich allein betrachtet werden muss sondern auch die die Schnittstellen zwischen Hardware und Software also Treiber Firmware Compiler Betriebssystem COTS Produkte etc Gesamtsystem Hardware is x E a E D x ke D D o S lt Mathematik Abbildung 28 Schalenmodell analog zur EVSSO Methode Nimmt man nun auch noch die Human Factors in den Beobachtungsraum hinein sind nicht nur die Schnittste
92. acht haben aus England die Einf hrung f hrte zu erheblich h heren Kosten und durch Stu dien in Quebec Steigerung der Kosten um 25 Gyul06 widerlegt werden Aus Schweden Groe02 wie auch aus England sind auch Entkr ftungen des Arguments f r die Steigerung der Wahlbeteiligung bei Multi Channel Voting bekannt da sich die von der Regierung erwartete h here W hlerbeteiligung bei den Pilotversuchen nicht eingestellt hatte ORGO7 Eine Steigerung des politischen Interesses scheint somit nicht durch alternative M glichkeiten der Stimmabgabe sondern nur durch eine nderung der demokratischen Kultur m glich zu sein H Beim Kumulieren auch H ufeln genannt k nnen mehrere Stimmen auf Kandidaten einer Partei abgegeben werden beim Panaschieren k nnen mehrere verf gbare Stimmen auf Kandidaten unterschiedlicher Listen verteilt werden lan Brown vom Oxford Internet Institut und Mitglied der britische Open Source Rights Group zeigte dass das Argu ment der Kosteneinsparungen in England nicht belegt werden konnte da bei f nf Pilotversuchen bei den Kommunal wahlen Anfang Mai 2007 die Kosten pro W hlerstimme nach offiziellen Angaben umgerechnet zwischen 150 und 900 Euro gelegen haben Siet07 Eine Papierstimme kostet im Vergleich dazu etwa 1 5 Euro Bei Multi Channel Voting ist die Stimmabgabe via Wahlmaschinen in Wahllokalen ber das Internet oder ber Mobil telefone m glich 18 Dissertation Sicherheit von
93. agement bezeichnet HassO1 S 4 Folgende Schritte sind die Basis des Risikomanagements EkDa95 1 dentify the assets Identifikation der Verm genswerte Determine the vulnerabilities Bestimmen der Verwundbarkeiten Estimate the likelihood of exploitation Bestimmung der Wahrscheinlichkeit einer Ausnutzung der Sicherheitsl cken 4 Compute the annualized loss expectancy or alternatively the expected cost of a particular in cident Ausrechnen der j hrlichen Verlusterwartung oder Kosten eines einzelnen Vorfalles 5 Survey current and possible safeguards Betrachtung gegenw rtiger und m glicher Schutz ma nahmen 6 Determine the savings according to the safeguards Bestimmung der j hrlichen Ersparnisse durch die Schutzma nahmen 34 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Die Assets k nnen in sechs verschiedene Kategorien unterteilt werden PfPf03 S 509 Hard ware Software Daten Menschen Dokumentation Betriebsmittel vgl Kapitel 4 2 Mit Kosten oder Verlusten sind generelle Kosten nicht nur monet re Verluste gemeint wie etwa die Folgen eines Ausfalls bis hin zu menschlichen Sch den Das Problem bei Kosten und Wahrscheinlichkeitssch tzungen ist dass man es oft nicht mit ex akten Daten numerisch unpr zisen Wahrscheinlichkeiten und vagen Kosten zu tun hat Ekenberg und Danielson stellen ein generelles Konzept zum Umgang mit abstrakten Kosten vor EkDa95 mit dem die Wahrscheinlich
94. an len ver ffentlichen Weiters kann Transparenz auch durch andere Verfahren wie duales Aufzeichnen Speichern der Stimme auf mehren unterschiedlichen Tr germedien oder sogenannte Witness Systeme erreicht werden Die Witness Systeme zeichnen das Eingabeger t wie etwa eine Tastatur und den Bild schirm auf und dienen so als Nachweis dass die Stimme auch so wie sie eingegeben wurde aufge zeichnet und gespeichert wurde Ein Risiko dieser Methode besteht darin das geheime Wahlrecht zu verletzen da durch Aufzeichnungen eventuell ein R ckschluss auf den W hler m glich sein kann Das Wahlgeheimnis k nnte auch durch andere Hinweise auf den W hler gef hrdet werden etwa durch fortlaufende Seriennummern auf den Stimmzetteln Es w re durch Notieren des Erscheinens der W hler eine chronologische Abfolge nachvollziehbar wobei so die Stimme zur Person zugeord net werden k nnte Mit den vorgestellten Punkten kann zus tzliche Transparenz so das Vertrauen in den gesamten elektronischen Wahlvorgang steigern Dieser Ansatz zeigt eine konstruktive Art elektronische Mittel einzusetzen um den Wahlvorgang statt propriet r oder obskur offener zu gestalten Man gewinnt immer wenn man erf hrt was andere von uns denken Johann Wolfgang von Goethe Goet17 Lynn Landes geht in ihrem The Landes Report To Congress Land07 sogar noch einen Schritt weiter und zeigt auf dass viele Probleme durch das Wahlgeheimnis entstehen Demokratie bes
95. anche erst in 20 Jahren ein bis die Unf lle so gravierend geworden sind dass man die Sicherheitsdefizite nicht mehr akzeptiert Die Computertechnik durchl uft die gleichen Zyklen wie jede andere technologische Ver nderung Zuerst gibt es Hoffnung dass die neue Technologie Pro bleme l sen wird dann Verzweiflung weil die Technologie die hohen Erwartungen nicht erf llt und letztendlich greift ein regulatorisches Element etwa staatliche Beh rden ein um die neue Techno logie in die Gesellschaft zu integrieren SparO1 Viele Sicherheitsexperten darunter Aviel Rubin schlagen als Alternative zu DRE Wahlsystemen den g ngigen Wahlvorgang mit Papierstimmzettel mit minimalem Einsatz von Technologie vor etwa Ballot Marking Machines siehe Kapitel 6 10 1 Papierstimmzettel egal ob die Stimmen elektro nisch mechanisch oder manuell erfasst zus tzlich elektronisch gez hlt gescannt oder anders ver arbeitet werden bieten nicht nur den W hlern die M glichkeit zu berpr fen ob ihre Wahlentschei dungen auf ad quate Weise erfasst wurden sondern k nnen auch in einem ffentlich verf gbaren Interview von Kurt Sagatz gef hrt mit Kurt Brunnstein in Der Tagespiegel Printausgabe vom 12 5 04 142 Dissertation Sicherheit von E Voting Systemen 8 Conclusio und weitere Anmerkungen transparenten Verfahren erneut ausgez hlt werden solange die Papierstimme als der Ausdruck des W hlerwillens gilt und nicht das el
96. andidatenliste Start und Stopp einer Test Wahl berpr fung eines W hlers in der W hlerevidenz Anzeige von Fehlern Entschl sselung der Stimmzettel nur nach Beendigung der Wahl und Start der wiederholten Ausz hlung Nur w hrend einer laufenden Wahl ist eine Stimmabgabe m glich Abfrage von inoffi ziellen Zwischenergebnissen ist w hrend der Wahl nicht m glich bei Testwahlen schon 6 B 1 Schutz der Daten und Ausfallsicherheit Verhindern eines Datenverlustes nach Absturz einer Maschine Redundante Systeme Cluster und Backups Datenbanken Zwischen speicherung des Stimmzettels Fehlen Besch digung des Sourcecodes des Maschi nencodes oder der Konfigurationsdateien mit gleich hohen Standards wie die der origi nalen Systeme Verwendung von Systemen z B Record Management Systeme RMS zur persistenten Speicherung tempor rer Daten Ausfall einer Maschine Absturz hat keinen Einfluss auf das Gesamtergebnis 6 B 2 Verwendung synchronisierter interner Uhren der Maschinen zum Abgleich der W hlere videnz Start und Ende der Wahl Kryptografie 7 A 1 Vertrauensw rdiger Pfad Kanal Verschl sselung der Kommunikation durch Verwendung blinder digitaler Signaturen 7 A 2 Schutz der Benutzerdaten und des Stimmzettels Es darf nicht von au en ersichtlich sein welcher W hler bereits gew hlt hat Signierung der ausgegebenen Stimmzettel Verschl sselung vor Abgabe des Stimmzettels
97. annten f r zahlreiche Diskussionen und Anregungen Vor allem aber m chte ich Mica f r ihre immerwahrende und aufopfernde Unterst t zung danken Anmerkungen zum Format der Arbeit Anmerkung zur Sprachwahl Obwohl mehr als die H lfte aller Personen weltweit weiblich sind wird f r eine leichtere Lesbarkeit auf das Binnen l z B W hlerIn und die doppelte Schreib weise z B W hler und W hlerin verzichtet und immer die m nnliche Form verwendet was nicht diskriminierend gemeint ist Von Wortkonstrukten wie z B Kandidierendenliste oder frau statt man wird ebenfalls abgesehen und nur die m nnliche Stammform der W rter gebraucht Anmerkung zur Verwendung von Internetreferenzen URL Alle Webseiten wurden unmittelbar vor der Ver ffentlichung dieses Werks auf G ltigkeit berpr ft 1 51 58 der sterreicher sind weiblich Quelle Statistik Austria Bev lkerung nach Alter und Geschlecht seit 1869 sterreich f r das Jahr 2001 Zusammenfassung Sicherheit von E Voting Systemen betrifft nicht nur das verwendete Wahlprotokoll oder die einge setzte Software sondern das gesamte System inklusive aller Komponenten Um Sicherheit bei elek tronisch gest tzten Wahlen zu gew hrleisten muss ein ganzheitlicher Ansatz gew hlt werden der alle Teile dieses komplexen Systems ber cksichtigt Wird nicht jedes Element des Systems auf des sen spezifische Sicherheitsmerkmale auf Sicherheitsm
98. asis eines elektronischen Wahlverfah rens sprich das Wahlprotokoll selbst oft fehleranf llig sein kann Vergleichende Arbeiten Sa PoO6 Grit03 ber die Sicherheit elektronischer Wahlverfahren haben auch gezeigt dass man bei der Auswahl eines E Voting Protokolls Kompromisse eingehen muss da nicht alle Facetten von Si cherheit durch ein Protokoll abgedeckt werden Weiters sind durch die Komplexit t der Protokolle Implementierungsfehler nicht auszuschlie en Oft muss auch zwischen Sicherheit und Usability bei der Implementierung abgewogen werden DaGr03 4 5 E Voting in Osterreich Bei der Einf hrung von E Voting in sterreich m ssen die Richtlinien und Verordnungen des Wahl rechts siehe Kapitel 2 des E Government Gesetzes BGBIO4 und des Signaturgesetzes 66 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme BGBI99a eingehalten werden Im E Government Gesetz wird das Konzept B rgerkarte vorge stellt das Personenanbindung elektronische Signaturen und Zertifikate inkludiert HolzO5 Weiters gibt es eine Empfehlung des Europarats f r E Voting unterst tzte Wahlen CoEO4 siehe auch Kapitel 6 8 4 womit die E Voting Initiative in sterreich best rkt wird Eine Empfehlung des Europarates sieht allerdings vor elektronische Wahlen parallel zum konventionellen Stimmabgabe verfahren zu betreiben Hier muss auf das Risiko von Mehrfachabstimmungen geachtet werden da die W hlerevidenzen synchron geha
99. ast and Future In A Alkassar and M Volkamer Eds VOTE ID 2007 LNCS 4896 Springer Verlag 2007 S 76 87 DiHe76 W Diffie M Hellman New directions in cryptography In IEEE Transactions on Informati on Theory Volume 22 Issue 6 IEEE 1976 S 644 654 DilIO5 D Dill Electronic voting An overview of the problem Talk presented to the Carter Baker Commission on Federal Election Reform Washington D C Apr 18 2005 DiniO2 G Dini A secure and available electronic voting service for a large scale distributed system In Future Generation Computer Systems Volume 19 2003 S 69 85 DiniO2a G Dini Increasing Security and Availability of an Internet Voting System In Proceedings of the Seventh International Symposium on Computers and Communications ISCC O2 2002 S 347 DiPeO4 A Di Franco A Petro E Shear V Vladimirov Small vote manipulations can swing electi ons In Communications of the ACM Volume 47 Issue 10 Voting systems SPECIAL IS SUE The problems and potentials of voting systems 2004 S 43 45 DiRu04 D Dill A Rubin E Voting Security In IEEE Security amp Privacy Magazine Volume 2 Issue 1 1540 7993 IEEE Computer Society 2004 S 22 DiSc03 D Dill B Schneier B Simons Voting and Technology Who Gets to Count Your Vote In Communications of the ACM August 2003 Vol 46 No 8 ACM 2003 S 29 31 DiSi08 D Dill B Simons The Democratic Party s Da
100. aud Weiters gibt es eine Unterscheidung zwischen Retail Fraud und Wholesale Fraud Rubi06 S 37 Bei einem Retail Fraud m sste ein Angreifer jede Maschine einzeln angreifen Das ist bei eher tra ditionelleren E Voting Verfahren wie Hebelmaschinen Lever Voting Machines oder optischen Scan nern Optical Mark Sense Wahlsysteme der Fall Der Angreifer br uchte physischen Zugriff auf die 70 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen einzelnen Maschinen und hatte groBen Aufwand alle Maschinen zu manipulieren ohne entdeckt zu werden Im Gegensatz dazu k nnte bei einem Wholesale Fraud das gesamte System mit vielen Maschinen an verschiedenen Orten von einem einzelnen Punkt aus angegriffen werden Auf diese Art kann mit kleinem Aufwand bzw mit trivial kleinem Aufwand DiPeO4 gro er Schaden entstehen Das ist bei Wahlmaschinen ohne Papierstimmzettel der Fall 5 3 Risiken bei Urnenwahlen Wenn man Sicherheitsrisiken elektronischer Wahlen betrachtet d rfen die Risiken herk mmlicher Wahlen mit Urnen siehe auch Kapitel 2 2 nicht au er acht gelassen werden Die Bedrohungen die bei g ngigen Wahlen herrschen gelten auch bei E Voting Systemen Ein wichtiges Entschei dungskriterium f r den Einsatz elektronischer Wahlen ist daher dass sie mindestens so sicher sein m ssen wie die bisher eingesetzten Wahlformen Potenzielle Angriffsziele sind die W hler die Beisitzer der rtlich
101. auks F Zag rski A Practical Voting Scheme with Re ceipts In Lecture Notes in Computer Science Vol 3650 Springer 2005 S 490 497 Kneu06 R Kneuper CMMI Verbesserung von Softwareprozessen mit Capability Maturity Model In tegration 2 berarb und erw Aufl dpunkt 2006 KoSc04 P Kocher B Schneier Insider risks in elections In Communications of the ACM Volume 47 Issue 7 Column Inside risks S 104 KoSt04 T Kohno A Stubblefield A Rubin Analysis of an Electronic Voting System In Security and Privacy 2004 Proceedings 2004 IEEE Symposium on 9 12 May 2004 2004 S 27 40 KrimO2 R Krimmer e Voting at Elektronische Demokratie am Beispiel der sterreichischen Hoch sch lerschaftswahlen Working Papers on Information Processing and Information Manage ment Nr 05 2002 KrimO3 R Krimmer e Voting in sterreich In e Voting in der Schweiz Deutschland und ster reich Ein berblick Working Papers on Information Processing and Information Manage ment Nr 02 2003 Februar 2003 Internationales Rechtsinformatik Symposium Session e Democracy e Voting 2003 S 29 33 KrVo05 R Krimmer M Volkamer W hlen auf Distanz Ein Vergleich zwischen elektronischen und nicht elektronischen Verfahren In E Schweighofer S Augeneder D Liebwald T Menzel Hrsg Effizienz von e L sungen in Staat und Gesellschaft Tagungsband IRIS
102. azue Sako der Firma NEC entwickelte das I Voting System Secure Voting in Symposiums SIVS mit dem bei Konferenzen ber die besten eingereichten Arbeiten ab gestimmt werden kann Adder ist ein freies und offenes Internetwahlsystem das von Mitarbeitern der University of Connecticut unter der Leitung von Aggelos Kiayias f r die Linux Distribution Ubuntu entwickelt wur de KiKoO6 Der Sourcecode ist auf der Projekthomepage zum Download frei verf gbar 35 http www i vote de 36 http www eucybervote org 37 http www micromata de produkte polyas jsp 38 http cryptodrm engr uconn edu adder 57 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Das Condorcet Internet Voting Service CIVS ist ein Wahlsystem f r viele Formen von Abstim mungen wie zum Beispiel von Buchclub Auswahlen das mehr in Richtung Reihen von Praferenzen geht Das Voting System ist unter der Leitung von Andrew Myers an der Cornell Universitat ent standen Die Europ ische Kommission startete im Rahmen des IST Information Society Technology Pro grammes das Projekt e VOTE ein Forschungs und Endwicklungsprojekt das 2001 begonnen wur de und 2 5 Jahre andauerte Das Resultat waren einige Publikationen z B MiGrO2 LaGrO2 wie auch ein Prototyp f r Internetwahlen 4 4 Wahlprotokolle Es gibt eine Reihe unterschiedlicher Wahlprotokolle auch Wahlschema oder algorithmus genannt die die Basis von E Voting Systemen
103. cation Decisions Issued August 3 2007 by Secretary of State Debra Bowen 2007 Boyd90 Boyd C A new multiple key cipher and an improved voting scheme In Advances in crypto logy EUROCRYPT 89 Springer 1990 S 617 25 Brad04 H Brady Postponing the California Recall To Protect Voting Rights In PS Political Science amp Politics Vol XXXVII No 1 January The American Political Science Association 2004 S 27 31 Bran05 G Brands IT Sicherheitsmanagement Protokolle Netzwerksicherheit Prozessorganisation Springer 2005 BrauO03 N Braun E Voting in der Schweiz In e Voting in der Schweiz Deutschland und ster reich Ein berblick Working Papers on Information Processing and Information Manage ment Nr 02 2003 Februar 2003 Internationales Rechtsinformatik Symposium Session e Democracy e Voting 2003 S 11 16 BrBrO6 N Braun D Br ndli Swiss E Voting Pilot Projects Evaluation Situation Analysis and How to Proceed In Proceedings of the 2nd International Workshop Co organized by Council of Europe ESF TED IFIP WG 8 6 and E Voting CC Electronic Voting 2006 GI 2006 S 27 36 BrBu0l H Brady J Buchler M Jarvis J McNulty Counting All The Votes The Performance of Vo ting Technology in the United States Report Department of Political Science Survey Rese arch Center and Institute of Governmental Studies University o
104. chei nen etwa Werte f r eine akzeptable Fehlerrate wie zuf llig gew hlt oder es werden etwa keine expli ziten Attacken genannt denen das getestete E Voting System standhalten soll BaBi07 Die Richtlinien von 2001 FECO1 wurden 2002 berarbeitet FECO2 und 2005 durch die Vo luntary Voting System Guidelines VVSG EACO5 der U S Election Assistance Commission EAC erweitert 119 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen 6 9 3 Common Criteria Common Criteria zu Deutsch w rtlich Gemeinsame Kriterien kurz CC ist ein internationaler Standard f r die Bewertung und Zertifizierung der Sicherheit von Computersystemen Dieser Stan dard soll andere Zertifizierungen wie den europ ischen ITSEC und den amerikanischen TCSEC Standard auch bekannt als das Orange Book abl sen CC ist in die Bewertung der Vertrauensw rdigkeit Qualit t der Methoden und Richtigkeit der Im plementierung und in die Bewertung der Funktionalit t Unterteilung in Funktionsklassen geglie dert Es gibt sieben Evaluierungsstufen der Vertrauensw rdigkeit EAL 1 funktionell getestet EAL 2 strukturell getestet EAL 3 methodisch getestet und berpr ft EAL 4 methodisch entworfen getestet und nachgepr ft EAL 5 semiformal entworfen und getestet EAL 6 semiformal verifizierter Entwurf und getestet EAL 7 formal verifizierter Entwurf und getestet EAL 1 ist die niedrigste und EAL 7 die h chste Stufe der
105. chem Weg repr sentiert oder gesammelt werden zum Bereich E Voting gez hlt Beispiele sind op tische Scanner mit denen Papierstimmzettel nach der Stimmabgabe eingelesen und digital weiter verarbeitet werden Counting Lochkartensysteme Punch Card Systems oder auch Prescored Punch Cards PPC genannt bei denen die gestanzten Karten ebenfalls elektronisch optisch gescannt werden auch Optical Mark Sense Voting Systems genannt siehe Abbildung 7 oder He belmaschinen Lever Voting Machines bei denen die Stimmen ber mechanisch elektronischen Weg abgegeben und elektronisch gez hlt werden 48 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Abbildung 7 Optischer Scanner ftir Lochkarten Quelle http americanhistory si edu vote Es gibt eine Reihe von Herstellern die verschiedenste E Voting Systeme unterschiedlichster Aus pr gungen und auf Basis unterschiedlichster Technologien und Ans tze herstellen Derzeit gibt es weder in den USA noch in Europa einheitliche Standards die verpflichtende Richtlinien f r die Entwicklung elektronischer Wahlsysteme bereitstellen siehe auch Kapitel 6 8 4 3 2 E Voting im Einsatz E Voting im Wahllokal ist in einigen L ndern z B Belgien Holland USA Russland Brasilien be reits bliche Praxis in Einzel bzw Testf llen z B auch in Deutschland Kanada Portugal D ne mark und Australien In anderen L ndern wird E Voting evaluiert z B Portugal Fi
106. chniques for building secure applications in a networked world Microsoft Press 2002 HoltO7 R Holt H R 811 Voter Confidence and Increased Accessibility Act of 2007 2007 2008 169 K rzel Quelle 110th Congress Introduced 5 2 2007 HoIz05 M Holzbach Sichere IT in der Verwaltung In A Zechner Hrsg E Austria Guide E Go vernment E Learning E Health E Business Linde 2005 S 186f HoMi95 P Horster M Michels H Petersen Blind multisignature schemes and their relevance for electronic voting In Proceedings of COMPSAC 95 1995 S 149 155 HoSt06 Hogganvik K St len A Graphical Approach to Risk Identification Motivated by Empirical Investigations In O Nierstrasz et al Eds MoDELS 2006 Lecture Notes in Computer Science Vol 4199 Springer 2006 S 574 588 HSG98 Hochsch lerinnen und Hochsch lerschaftsgesetz HSG 1998 Bundesgesetz Uber die Ver tretung der Studierenden BGBI Nr 22 1999 idF BGBI Nr 95 1999 1 18 2001 1 1 2005 1 19 2005 DFB I 160 2006 KM 1 12 2007 1 47 2007 Hump89 W Humphrey Managing the Software Process Addison Wesley 1989 Hurs06 H Hursti Diebold TSx Evaluation SECURITY ALERT May 11 2006 Critical Security Is sues with Diebold Tsx Unredacted Released July 2 2006 by Black Box Voting A Black Box Voting Project 2006 IbKa03 S Ibrahim M Kamat M Sall
107. chung k nnen somit beg nstigt werden Eine staatli che Zertifizierungsbeh rde die eine bestimmte Zertifizierung vergibt w rde eine vertrauensw rdi gere Vergabe der Zertifikate gew hrleisten AndeO1 Zudem gibt es kein weltweites CC Profil f r E Voting Es besteht zwar bereits ein Schutzprofil f r den Wahlstift BSIO7 siehe auch Kapitel 6 10 2 an einem Schutzprofil f r Internetwahlen wird derzeit bei der Gesellschaft f r Informatik Gl gearbeitet ohne vollst ndige Ergebnisse Basis f r ein derartiges Schutzprofil ist der ISO Standard ISO IEC15408 f r Information Technology Securi ty Evaluation allerdings ist die Anforderungen an das erarbeitete Profil dass es Sicherheitsanforde rungen von Vereinswahlen abdecken soll GIO7 121 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen 6 9 4 Andere Standards Das nstitute of Electrical and Electronics Engineers EEE arbeitet seit 2001 an den Voting Equip ment Standards im Rahmen des Projekts 1583 Der Standard soll elektronische mechanische und menschliche Aspekte ber cksichtigen und folgende Merkmale eines E Voting Systems sicherstellen Barrierefreiheit Accessibility Genauigkeit Accuracy Vertraulichkeit Confidentiality Zuverl ssig keit Reliability Schutz Security Bedienbarkeit Usability IEEEO1 Die Information Systems Security Association ISSA ver ffentlichte in den 1990er Jahren die Generally Accepted System Security Principles GASS
108. computer science education 2005 S 412 Lund08 D Lundin Component Based Electronic Voting Systems In Dagstuhl Seminar Procee dings Frontiers of Electronic Voting Vol 07311 IBFI 2008 MaMa06 U Madise T Martens E voting in Estonia 2005 The first practice of country wide binding Internet voting in the world In Proceedings of the 2nd International Workshop Co organized by Council of Europe ESF TED IFIP WG 8 6 and E Voting CC Electronic Voting 2006 Gl 2006 S 15 26 MaMa07 D Malkhi O Margo E Pavlov E voting without Cryptography In Financial Cryptography K rzel Quelle Lecture Notes in Computer Science Vol 2357 Springer 2007 S 1 15 MaPo04 A Maidou H Polatoglou E Voting and the architecture of virtual space In Proceedings of the 1st International Workshop on Electronic Voting Electronic Voting in Europe Technolo gy Law Politics and Society Gl 2004 S 133 142 MarsOO W Marschitz Die Zukunft des W hlens Internet voting In sterreichische Monatshefte Hg OVP Ausgabe 6 2000 S 32ff MaStO5 C Mano A Streigel Introducing Security Analysis in Computer Security Courses Through an Electronic Voting Project In Frontiers in Education 2005 FIE 05 Proceedings 35th Annu al Conference 19 22 Oct 2005 S T2E 12 16 McGr06 G McGraw Software Security Buildin
109. d Stufe A nicht erf llt hat dieser Kernbereich eine nicht definierte Stufe und wird auf Entwicklungsebene O eingeordnet 129 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Unterhalb siehe Tabelle 7 werden die Anforderungen in Stichworten f r die Stufen der Kernbereiche gegeben eine ausf hrliche Liste ist im An hang Appendix A angef hrt Stufe Kernbereiche B 1 Hardware Einhaltung der Wahlgrunds tze Geheimes Wahlrecht keine lineare zeitliche R ckver folgbarkeit zum W hler Geheimes Wahlrecht Verwendung von Wahlkabinen ffentlichkeit und Transparenz Zu griff auf Ger te Speichermedien und deren Dokumentation Zugriff auf Ger te und Speicherme dien beim Aufbau und beim Einsatz limitieren Lagerung Sperrung und Versiege lung der Ger te und der Speicherme dien regelm ige berpr fung und Dokumentation der Sicherheitsvorkeh rungen Geheimes Wahlrecht TEMPEST Attacken und Minimierung des Ger uschpegels Schutz vor 2 Hardware Safety Korrektheit der Konstruktion Homogene Architektur Sicherheit der Konstruktion und Installation Belastbarkeit Haltbarkeit Funktionssicherheit Schutz bei Transport und Aufbe wahrung Energieversorgung Notfallplan R ckwirkungsfreiheit 3 Hardware Security Schutz vor physikalischen Attacken Keine Internetve
110. dahin papierbasierten Auslandswahlkarten Absentee Ballots f r Amerikaner au erhalb der Heimat vor allem Soldaten durch ein I Voting System ersetzen Bei der Untersu chung des Wahlsystems durch einige anerkannte Sicherheitsexperten wurden allerdings grobe Si cherheitsm ngel aufgezeigt sodass es nie zu einem Einsatz des Systems kam JeRu04 Eines der Res mees der Analyse stammt von Prof Aviel Rubin It s not possible to create a secure voting system with off the shelf PCs using Microsoft Win dows and the current Internet Keat04 Ein anderer Kommentar zur Entscheidung des U S Milit rs das Wahlsystem doch nicht einzuset zen kam von Andrew W Appel von der Princeton Universit t As an expert in computer security and in voting technology believe that this was a wise decisi on AppeO6a 56 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme T Systems entwickelte das Internetwahlsystem 7 Vote das 2002 TSysO08 2005 und 2006 moveO5 bei internen Betriebsratswahlen der T Systems Deutschland eingesetzt und bei der Wahl zum Oberb rgermeister in Trier am 24 September 2006 in einem Wahlbezirk parallel zur Urnen wahl getestet wurde i vote ist ein Internetwahlsystem der Stiftung Internetwahlen von der deutschen Universitat Os nabr ck Es basiert auf digitalen Signaturen siehe auch Kapitel 4 4 1 und kann auf CD mit dem i voteX Live Betriebssystem ausgeliefert werden Im Rahmen des d
111. dations of Computer Science FOCS 1995 S 41 50 ChHo05 C Chen C Lan G Horng A Practical Voting System for Small scale Election In Informa tion Technology Research and Education 2005 ITRE 2005 3rd International Conference on 2005 S 322 326 ChRy05 D Chaum S Ryan S Schneider A practical voter verifiable election scheme In ESO RICS Lecture Notes in Computer Science Vol 3679 Springer 2005 S 118 139 CICh08 M Clarkson S Chong A Myers Civitas A Secure Remote Voting System In Dagstuhl Se minar Proceedings Frontiers of Electronic Voting Vol 07311 IBFl 2008 CoEO4 CoE Counil of Europe Europarat Legal Operational And Technical Standards For E voting Die Empfehlung des Europarates zu E Voting Recommendation Rec 2004 11 vom 30 Sep tember 2004 Council of Europe Publishing 2004 CoFi85 J Cohen M Fischer A Robust and Verifiable Cryptographically Secure Election Scheme In Proceedings of the 26th IEEE Symposium on the Foundations of Computer Science 1985 S 372 382 CrCy97 L Cranor R Cytron Sensus A security conscious electronic polling system for the internet In Proceedings of the Hawaii International Conference on System Sciences Wai lea Hawaii IEEE Computer Society Press 1997 S 561 570 vol 3 CrFr95 R Cramer M Franklin B Schoenmakers M Yung Multi Authority Secret Ballot Elections with Linear Work Technical Report CS R9571 CWI 1995 CrGe9
112. definiert Risikomanagement folgenderma en 33 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Risk management is concerned with assessing the possible losses that might ensue from at tacks on assets in the system and balancing these losses against the costs of security procedures that may reduce these losses Somm06 S 722 Generell gibt es drei Strategien um Risiken zu vermeiden PfPf03 S 506 e Vermeidung des Risikos indem die Anforderungen an das System ge ndert werden e Transfer des Risikos zu anderen Systemen Personen oder Organisationen wie z B Durch Ab schluss einer Versicherung e Akzeptanz des Risikos indem es ber bestimmte Ressourcen kontrollierbar gemacht und der Schaden akzeptiert wird wenn ein Fehler auftritt 3 3 1 Risikoanalyse Die Risikoanalyse im englischen Threat Modeling bietet ein methodisches Vorgehen zur Analyse der Sicherheit eines Computersystems Mit dieser Methode k nnen St rken und Schw chen eines Systems aufgezeigt und Schwachstellen gefunden werden SwSnO4 S 37 Man beurteilt die Beziehung zwischen der Ernsthaftigkeit der Bedrohung der Auftrittsh ufigkeit Wahrscheinlichkeit und den Kosten um einen passenden Schutzmechanismus einzusetzen Die Ernsthaftigkeit kann als der Wert gemessen werden der notwendig ist um den Schaden einer er folgreichen Attacke zu reparieren und wird auch h ufig als Risikoleve bezeichnet Der gesamte Prozess wird als Risikoman
113. der Sicherheit von E Voting Systemen Stufe Kernbereiche A B C parenz ffentliche Bekanntgabe der Bezirksergebnisse M glichkeit der Wahlbeobachtung vor w hrend und nach der Wahl berpr fung ob die Anzahl der abgegebenen Stimmen mit der Anzahl der W hler bereinstimmt die einen Stimmzettel angefordert haben Anonyme Papierbelege Voter Verified Paper Trail sons Learned f r kommende Wahlen Vergleich der Wahltagsbefragungen vom aktuellen und der vorangegan genen Jahre Bestimmung der Grenzwerte f r manuelle Nachz hlungen protokoll und ffentlich verf gbare Starke kryptografische Algorithmen 15 Human Factors Ge staltung der Wahl Die Registrierung zur elektronischen Wahl soll kein Hin dernis darstellen Parallelbetrieb alternatives W hlen mit Papierstimmzet tel m glich Zeitgleicher Beginn und Ende der elektronischen Stimm abgabe mit den konventionellen Wahlen Verz gerungen des Ablaufes der Stimmabgabe verhindern M glichkeit einer Teststimmabgabe Akzeptanz und Verbreitung Kos tenfaktor Kostentragungspflicht f r die Ger te bei ffentlichen Stellen 16 Human Factors Inde pendent Testing Authority Validierung berpr fung Zertifizierung oder Test durch unabh ngige Pr f Anstalten Independent Testing Authority ITA auf Korrektheit und Sicherheit Tabelle 7 Beschreibung der Stufen der Kernbereiche 134
114. der deaktiviert wer den konnten Da keine kryptografischen Signaturen oder andere Sicherheitsma nahmen verwendet 50 Der Count Every Vote Act of 2005 wurde am 17 02 2005 von der Republikanerin Stephanie Tubbs Jones einge bracht 5 Harri Hursti hat zusammen mit Bev Harris und anderen Sicherheitsexperten in der Dokumentation Hacking Democra cy 2006 mitgewirkt Film1 52 Ein Boot Loader ist spezielle Software die durch das BIOS eines Rechners von einem bootf higen Medium geladen anschlie end ausgef hrt wird und dann weitere Teile des Betriebssystems l dt D PCMCIA Personal Computer Memory Card International Association ist ein Standard der eine Schnittstelle f r PC Karten darstellt 4 MMC MultiMediaCard und SD Secure Digital Karten sind austauschbare Flash Speicherkarten 74 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen wurden h tten die Maschinen und die Software mit diesen M glichkeiten bereits lange vor den Wahlen ver ndert werden k nnen ohne dass eine Spur der Ver nderung erkennbar gewesen w re 5 4 1 5 Bildschirm Abstrahlungen Ein weiteres Sicherheitsproblem das sich nur schwer verhindern l sst ist das Abstrahlen der Bild schirmr hren oder LCD Monitore das mittels Van Eck Phreaking bzw TEMPEST Analyse abgefan gen werden kann um Benutzereingaben auszuspionieren Mit diesen technischen Methoden kann das Wahlgeheimnis unterminiert
115. derte W hler ffentlichkeit und Transparenz Wird nur einer dieser Wahlgrunds tze nicht eingehalten ist das gesamte E Voting System als un brauchbar einzustufen das wird in der EVSSO Matrix abgebildet indem die Einhaltung der Wahl grunds tze h chste Priorit t hat siehe Kapitel 7 4 Die EVSSO Methode basiert auf den rechtlichen Grundlagen von Wahlen in sterreich l sst sich allerdings auf E Voting Systeme der meisten demokratischen Republiken anwenden da im Wesent lichen die gleichen Wahlgrunds tze gelten 7 3 Stufen der EVSSO Methode Jeder der 16 Kernbereiche wird je nach Erf llung der Kriterien auf einer bestimmten Stufe nach der Bestimmung des Reifegrades der Sicherheit eingeordnet Die Stufen sind dabei so definiert dass 128 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Verbesserungen von einer niedrigeren auf eine h here Stufe einen deutlichen Einfluss auf die Quali t t der Sicherheit haben Die Kriterien f r die Erreichung einer bestimmten Stufe pro Kernbereich werden weiter unten siehe Tabelle 7 genauer definiert Es gibt jeweils drei Stufen A B und C die pro Bereich genau definiert werden Manche dieser Kriterien der Stufen sind sehr ausf hrlich und enthalten viele Punkte die erf llt werden m ssen um diese Stufe zu erreichen manche Kriterien enthalten nur einige wichtige Punkte Bei manchen Kernbereichen werde
116. dnen Die Wahlkarten Regelung ist allerdings umstritten Letzten Endes wird hier dem allgemeinen Wahlrecht gegen ber dem pers nlichen und dem geheimen Wahlrecht der Vorzug gegeben Elektro nische Wahlen insbesondere Wahlen ber das Internet gleichen in vielerlei Hinsicht der Briefwahl da der W hler auch nicht pers nlich in der Wahlzelle seinen Stimmzettel ausf llt Nach der nde rung des Wahlrechts hin zur Briefwahl bleibt nun offen ob es ebenfalls zu einer nderung in Rich tung E Voting kommen wird da elektronische Wahlen derzeit nicht zul ssig sind und nur durch einen Beschluss des Verfassungsgesetzgebers erm glicht werden k nnten siehe auch Kapitel 4 5 3 2 4 Interpretation des Rechts im Bezug auf E Voting Die Entscheidung ob die elektronische Wahl zul ssig ist oder nicht f llt also in den rechtspoliti schen Handlungsspielraum des Verfassungsgesetzgebers wobei auf die technischen Richtlinien und Sicherheitsanforderungen besonderer Wert gelegt werden muss Eine Reihe von Arbeiten Hein03 KrimO2 MenzO2 behandeln die Interpretation des Rechts im Hinblick auf E Voting Zusammenfas send kann gesagt werden dass elektronische Wahlen ber das Internet oder mit mobilen Ger ten der Briefwahl bzw der Wahl mit Wahlkarten hneln wobei es hier zu einem Abw gen zwischen dem allgemeinen Wahlrecht auf der einen Seite und dem pers nlichen und geheimen Wahlrecht auf der anderen Seite kommt siehe Kapitel 1 4 Im Fall der Wahlkar
117. e Einf hrung von E Voting in sterreich ist mit dem Beschluss des Regierungsprogramms f r die XXIII Gesetzgebungsperiode BKAO7 S 28 und dem Wahlrechtsreformpaket des Ministerrates wenn es nach bestimmten Politikern gehen soll nur noch eine Frage der Zeit da erstens die Stimmabgabe im Inland mittels Briefwahl mit Wahlkarten bisher nur aus dem Ausland m glich vorgesehen ist und somit das Briefwahlrecht als Grundlage f r E Voting gelockert wird vgl Kapitel 2 3 und zweitens bereits eine weitere Pr fung dieses Mal durch Vizekanzler Molterer der elektro nischen Stimmabgabe geplant ist F r eine Einf hrung der Wahlen auf nationaler Ebene ist allerdings eine nderung des Bundes Verfassungsgesetzes notwendig da das derzeitige Recht eine pers nliche Stimmabgabe im Wahllo kal in der Wahlzelle mittels eines amtlichen Papier Stimmzettels vorsieht BGBI92 57 Eine Verfassungs nderung kann aber nur relativ schwer veranlasst werden da daf r eine 2 3 Mehrheit im Parlament notwendig ist 69 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Die Sicherheitsrisiken elektronischer Wahlsysteme sind vielf ltig In diesem Kapitel wird ein ber blick ber m gliche Attacken Risiken und Betrugsarten sowie zahlreiche Beispiele zu Fehlern Schwachstellen und Pannen gegeben 5 1 Physikalische syntaktische und semantische Attacken Es kann
118. e System inklusive aller Komponenten Um Sicherheit bei elektronisch gest tzten Wahlen zu gew hrleisten muss man einen ganzheitlichen Ansatz w hlen der alle Teile dieses komplexen Systems ber cksichtigt Wird nicht jedes Element des Systems auf dessen spezifische Sicherheitsmerkmale auf Sicherheitsmerk male der Schnittstellen zu anderen Komponenten und auf dessen Einfluss auf das gesamte System hin berpr ft kann die Sicherheit des gesamten Systems nicht gew hrleistet werden Um diese These zu berpr fen wird eine Methode siehe Kapitel 7 entwickelt die zur Bewer tung und Optimierung der Sicherheit von E Voting Systemen dient Mit dieser Methode k nnen ver schiedene E Voting Systeme bewertet und miteinander vergleichen werden Verbesserungspotenzia le der Sicherheit eines E Voting Systems werden aufgezeigt Die Definition des Wahlprotokolls auch Wahlschema oder algorithmus genannt betrifft zum einen die generelle Ar chitektur z B Trennung von Wahl und Urnenserver zum anderen die Schritte des Ablaufs der Stimmabgabe z B erster Schritt Authentifizierung 15 Dissertation Sicherheit von E Voting Systemen 1 Einleitung 1 2 Definition E Government Elektronische Interaktionen mit staatlichen Institutionen und Instanzen erg nzen die blichen Ak tionen und Transaktionen der Staatsb rger zunehmend Es gibt eine Reihe von Definitionen des Be griffs Electronic Government oder E Government Folgende zwei Def
119. e TSX Quelle ww w premierelections com In Deutschland stimmten bei der Bundestagswahl 2005 etwa 2 5 Millionen W hler in 2 100 von insgesamt 80 000 Wahllokalen elektronisch ab SietO5 Ein eher lteres Modell wurde bei den Landtagswahlen im Saarland Deutschland 2004 eingesetzt siehe Abbildung 11 52 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Abbildung 11 Maschine die bei den Landtagswahlen im Saarland 2004 eingesetzt wurde Quelle http derStandard at Bei der Wahl im Mai 2006 in Italien wurden in den Regionen Liguria Lazio Sardinien und Pug lia parallel zum traditionellen Verfahren Wahlmaschinen siehe Abbildung 12 zu Testzwecken ein gesetzt em ag Me Abbildung 12 Test Maschine in Italien Quelle http derStandard at Nachdem es bei den italienischen Parlamentswahlen im April 2006 zu einem Verschwinden von rund 700 000 nicht ausgef llten Stimmzetteln kam und der Verdacht auf eine fehlerhafte Erfas 53 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme sung bei der manuellen bertragung auf Z hl PCs fiel stellte Innenminister Giuliano Amato weitere E Voting Versuche in Italien ein In Indien gab es bereits im Jahr 1999 Tests mit E Voting Systemen Beno04 Erstmals kamen elektronische Wahlmaschinen zu landesweite Wahlen 2004 siehe Abbildung 13 zum Einsatz Ka Ka05 Da etwa ein Drittel der Indischen Bev lkerung Analphabeten sind wurden neben der
120. e erreichten Stufen werden in der EVSSO Matrix gr n die nicht erreichten Stufen werden rot markiert und die Boxen zwischen den Stufen werden ebenfalls gef rbt Wird bei einem Kernbereich Ebene A nicht erreicht wird f r diesen Kernbereich die Entwicklungsebene O gr n gef rbt Die Boxen zwischen ei ner erreichten Stufe und der darauf folgenden Stufe werden wei gelassen um den Abstand zwi schen den Stufen visuell herauszuheben Zus tzlich wird zu jedem Kernbereich eine kurze Begr ndung angegeben wieso eine gewisse Stufe erreicht wurde So ist die Bewertung klar nachvollziehbar auch f r andere 136 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Ein fiktives Beispiel f r eine f r ein spezielles E Voting System ausgef llte EVSSO Matrix wird in Tabelle 9 gezeigt In diesem Beispiel befindet sich etwa der Kernbereich 3 auf Stufe A auch wenn m glicherweise bereits einzelne Punkte von Stufe C erf llt sind 3 0 Entwicklungsebene 12 4 5 6 7 8 9 10 Begr ndung Kernbereich 1 Hardware Einhaltung der Wahlgrunds tze 2 Hardware Safety 3 Hardware Security 4 Hardware Kryptografie 5 Software Einhaltung der Wahlgrunds tze Tabelle 9 Beispiel einer ausgef llten EVSSO Matrix nach einem Assessment eines E Voting Systems Die F rbung der Matrix gibt ein deutliches Bild der Siche
121. e jedes beliebigen der drei Stimmzettel machen bevor alle drei Stimmzettel in die Wahlurne eingeworfen werden BALLOT BALLOT BALLOT President President President Alex Jones O Alex Jones O Alex Jones Bob Smith gt Bob Smith O Bob Smith Carol Wu Carol Wu O Carol Wu Senator Senator Senator Dave Yip Dave Yip O Dave Yip Ed Zinn Ed Zinn O Ed Zinn 3147524 7523416 5530219 Abbildung 24 ThreeBallot Stimmzettel mit Seriennummern Quelle Wikipedia http en wikipedia org wiki ThreeBallot Am Ende der Wahl werden die Stimmen auf einem anonymen Bulletin Board ver ffentlicht wo bei der W hler mit der Seriennummer auf dem kopierten Stimmzettel nachsehen kann ob dieser im Gesamtergebnis enthalten ist Die M glichkeit f r Stimmenkauf ist nicht gegeben da der W hler einen beliebigen der drei Stimmzettel kopieren kann Wurde ein Abschnitt gef lscht wird dieser Schwindel mit einer hohen Wahrscheinlichkeit von einem Drittel durch den W hler entdeckt Dieses End to End Audit Verfahren kann auch nur auf Papier und ohne Computerunterst tzung angewendet werden und zeigt eine m gliche Verschl sselung der Stimme ohne Kryptografie aller dings stellt dieses Verfahren eher eine akademische bung dar da seine Angriffspunkte weit kriti siert wurden und sich das System nach einem Pilotversuch mit Studenten am MIT als zu verwirrend herausstellte 108 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen Einige kritisc
122. e nenn 145 Appendix B E Motng Jnttiativen seen eens 155 Dsterreichische TEE ee Eech 155 Internationale Iniativense esses a aaa iger 156 EUROPA HS a ee nee ae nen Eeer ege EE eege 156 M ee ee ees 157 Appendix C Bibliographie 161 Appendix D Flmempieblungen cece eases ee eeee ee eeee ee eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeg ees 182 Appendix Bs kebenslaufar ut rer etch dei Ee Naas 183 10 Abbildungsverzeichnis Abbildung 1 Distanzwahlverfahren End to end Lifecycle einer elektronischen Wahl mit Datenfl s sen zwischen Prozessen und Datenbanken Quelle OASIO7 S Al 21 Abbildung 2 Beispiel einer Wahlkarte von hinten und vorne Quelle BGBIO7 27 Abbildung 3 Tree Problem An extended consequence analysis Quelle EkDa95 S 10 35 Abbildung 4 Beispiel f r einen Fault Tree Quelle LeHa83 S Bit 37 Abbildung 5 Beispiel f r einen Attack Tree Quelle SCHN99 0 cccecceceeeeeeeeeeeeeeeeeeeeeeeeeeeeaees 38 Abbildung 6 Touchscreen E Voting Computer vom Hersteller Diebold Quelle Wikipedia org http en wikipedia org wiki Voting_machine ccccecceeeeeeeceeeeeeeeeeeeeeeeeeeeseeeeeeseeeeeeeeeeeeeeeres 48 Abbildung 7 Optischer Scanner f r Lochkarten Quelle http americanhistory si edu vote 49 Abbildung 8 Brasilianische Wahlmaschine Quelle http derStandard at cccceceeeeeeeeeeeeees 50 Abbildung 9 Aufteilung der verschiedenen Wahlsysteme in den USA 20
123. ectoral Administration Organizational Lessons Learned from the Deployment of E voting in the UK In Vol 89 Proceedings of the 2005 national confe rence on Digital government research Atlanta Georgia SESSION E voting 2005 S 191 197 XeMaO5a A Xenakis A Macintosh Procedural Security and Social Acceptance in E voting In Pro ceedings of the Proceedings of the 38th Annual Hawaii International Conference on System Sciences HICSS 05 Track 5 Volume 05 2005 S 118 1 YuLeO3 S Yun S Lee An Electronic Voting Scheme based on Undeniable Blind Signature Scheme In Proceedings of the IEEE 37th Annual 2003 International Carnahan Conference on Security Technology 2003 S 163 167 YuLe04 S Yun S Lee The network based electronic voting scheme suitable for large scale election In Proceedings of the 6th International Conference on Advanced Communication Technology 2004 S 218 222 Zett04 K Zetter E Vote Glitch Inflates Bush Total Wired Magazine Politics Security 11 05 04 Zett04a K Zetter E Vote Snafu in California County Wired Magazine Politics Security 03 19 04 181 Appendix D Filmempfehlungen Film Hacking Democracy 2006 Regie Simon Ardizzone Russell Michaels Genre Dokumentarfilm Working Title Votergate HBO DOCUMENTARY FILMS Film2 Invisible Ballots 2004 Regie William Gazecki Genre Dokumentarfilm Film3 Uncoun
124. egebene Urne 14 Der Wahlvorstand markiert den identifizierten W hler als hat schon gew hlt 15 Der Wahlvorstand sperrt die Urne 16 Der Wahlvorstand sperrt die Urne endg ltig und gibt sie zur Ausz hlung frei Die Stimmzettel werden in sterreich so lange aufbewahrt bis die Wahl unanfechtbar feststeht Dabei gilt eine Frist von vier bis sechs Wochen Danach werden die Stimmzettel vernichtet In Deutschland werden die Stimmzettel nach der Ausz hlung in versiegelten Paketen gesichert bis maximal 60 Tage vor der n chsten Wahl bei der Gemeindebeh rde aufbewahrt Aus den Bestimmungen der Stimmabgabe bei der herk mmlichen Wahl lassen sich Sicherheits anforderungen und Security Policies ableiten die auch bei elektronischen Wahlen einzuhalten sind etwa Identifikation Authentisierung Anonymit t etc Ein E Voting System hat somit auch die An forderung mindestens so sicher zu sein und ordnungsgem abzulaufen wie das konventionelle Wahlverfahren mit Papierstimmzettel 2 3 Briefwahl Die Briefwahl bezeichnet die M glichkeit seine Stimme au erhalb des Wahllokals per Post aufzu geben und bildet somit die klassische Art der Distanzwahl Probleme bei Briefwahlen betreffen vor allem die M glichkeit der unzul ssigen W hlerbeeinflussung wie Stimmenkauf oder Erpressung und die Einhaltung des geheimen und pers nlichen Wahlrechts da die Beh rden die Aufsicht ber die Stimmabgabe verlieren vgl Kapitel 1 4 Briefwahlen werd
125. eh S Aziz Secure E voting with blind signature In Tele communication Technology 2003 NCTT 2003 Proceedings 4th National Conference on on Telecommunication Technology 14 15 10 2003 S 193 7 IEEEO1 IEEE Institute of Electrical and Electronics Engineers IEEE Voting Equipment Standard Project Presentation 2001 IEEE9O IEEE Institute of Electrical and Electronics Engineers IEEE Computer Dictionary Compila tion of IEEE Standard Computer Glossaries 610 1990 1990 IEEE98 IEEE Institute of Electrical and Electronics Engineers IEEE Guide for Information Technolo gy System Definition Concept of Operations ConOps Document IEEE Std 1362 1998 1998 INCOOO INCOSE International Council on Systems Engineering Systems Engineering Handbook Version 2 0 2000 IPIOl Internet Policy Institute Report of the National Workshop on Internet Voting Issues and Re search Agenda March 2001 Iver92 K Iversen A Cryptographic Scheme for Computerized General Elections In Science Ad vances in Cryptology CRYPTO 91 Lecture Notes in Computer Vol 576 Springer 1992 S 405 419 JaChOl J Jan Y Chen Y Lin The Design of Protocol for e Voting on the Internet In Security Technology 2001 IEEE 35th International Carnahan Conference on S 180 189 Jako98 M Jakobsson A Practical Mix In Advances in Cryptology EUROCRYPT 98 Lecture No tes in Computer Science Vol 1403 Springer 1998
126. eidungsfreiheit e Unmittelbarkeit Beeinflussung der Stimme 96 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen e Einhaltung der Systemanforderungen e Menschliche Aspekte e Organisatorische Anforderungen e Bereitstellung zus tzlicher Mittel Diese Liste ist ein guter Ansatz allerdings ist sie nicht ganz vollst ndig da sie sich nur auf die Hardware und Software konzentriert Menschliche Facetten wie z B Insider Attacken werden nicht ber cksichtigt siehe dazu mehr in Kapitel 7 6 2 Open Source Peer Reviews Ein in der Softwareentwicklung und in der Wissenschaft g ngiges Mittel zur Qualit tssicherung sind Peer Reviews neben Inspektionen Walkthroughs statistischen Analysen Programmkorrektsheitsbe weisen und Tests Boer04 S 76ff Dabei werden die einzelnen Bestandteile des Software Projekts Konstruktionsunterlagen Spezifikation Sourcecode Dokumentation etc durch Experten etwa Kryptografen und Sicherheitsexperten eines anderen Unternehmens des gleichen Fachbereichs berpr ft Es gibt mehrere positive Auswirkungen von Peer Reviews auf den Software Herstellungs prozess Aus Transparenz entwickelt sich automatisch Sicherheit da das Programm von Anfang an sicherer entwickelt wird z B werden daher eher asymmetrische Verschl sselungen verwendet als statische Passwort berpr fungen Der Code wird von Beginn an klarer und besser kommentiert ge schrieben wenn die Programmierer wissen dass der Code
127. eihe von Richtlinien f r die Sicherheit von IT Systemen wurden im Laufe der Zeit herausge geben Hier folgt ein kurzer Auszug aus sterreich relevanten Schriften wie den OECD Richtlinien siehe Kapitel 6 8 1 dem sterreichischen IT Sicherheitshandbuch siehe Kapitel 6 8 2 den Normen siehe Kapitel 6 8 3 den Empfehlungen des Europarates siehe Kapitel 6 8 4 und dem IT Grundschutz des Bundesamt f r Sicherheit in der Informationstechnik Kapitel 6 8 5 6 8 1 OECD Richtlinien f r die Sicherheit von Informationssystemen und netzen Die OECD Richtlinien bzw auch Leitlinien genannt schlagen einen generellen Ansatz vor bei dem bei allen Beteiligten etwa den Mitarbeitern eines Unternehmens ein Sicherheitsbewusstsein ge schaffen werden soll Diese Richtlinien sollen die Entwicklung einer Sicherheitskultur f rdern Folgende neuen Grunds tze werden vorgeschlagen OECDO2 111 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen e Bewusstsein Die Beteiligten sollten sich der Notwendigkeit der Sicherheit von Informations systemen und netzen und ihres Beitrages zur Erh hung der Sicherheit bewusst sein e Verantwortung Alle Beteiligten sind f r die Sicherheit von Informationssystemen und netzen verantwortlich e Reaktion Die Beteiligten sollten rechtzeitig und in einer kooperativen Art und Weise handeln um Zwischenf lle die die Sicherheit gef hrden zu verhindern aufzudecken und darauf zu reagieren e
128. einer kaum sichtbaren Rasterung auf dem Stimmzettel die Kreuze mit der Mine erkennt und speichert Abbildung 27 Digitaler Wahlstift Quelle http dotVote de Das Ger t wird bevor es an den W hler ausgegeben wird initialisiert Die Stimme wird beim An kreuzen des Papierstimmzettels zus tzlich auf dem Stift elektronisch gespeichert Nach dem Ab stimmen wird der Papierstimmzettel wie gewohnt in eine Urne geworfen und das Ger t wieder an die Wahlkommission zur ckgegeben die die Stimme von dem Stift mittels USB ausliest Dieser Vorgang hat den Vorteil relativ schnell ein Wahlergebnis pr sentieren zu k nnen ohne auf die be w hrten Stimmzettel verzichten zu m ssen Ein Kritikpunkt ist allerdings dass nach den Anforde rungen des Systems die digitale Stimme der Stimme auf dem Papierbeleg vorzuziehen ist 123 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen Die Sicherheitsanforderungen des CC Schutzprofils BSIO7 wurden vom deutschen Bundesamt f r Sicherheit in der Informationstechnik BSI zertifiziert BSIO7a siehe auch Kapitel 6 9 3 F r Oktober 2007 ist ein Einsatz des digitalen Stiftes in zehn Schnupperwahllokalen z B in Ein kaufszentren geplant Der Chaos Computer Club zeigte kurz nach Vorstellung des Wahlstiftes m gliche Attacken auf So k nne etwa mit einem trojanischen Stift der genauso aussieht wie der Wahlstift selbst beim Anschlie en an die Auslesestation fremde b sartige So
129. ektronische Abbild Ein weiterer Aspekt bei elektronischen Wahlen ist ein Widerspruch der in E Voting steckt denn die Stimmabgabe soll geheim bleiben aber andererseits soll sie auch kontrollierbar bleiben um Manipulationen auszuschlie en Datenschutz Experte Hans Zeger meinte dazu Es gibt kein System es ist auch vom Grundsatz denkunm glich dass beiden Anforderungen n mlich Geheimhaltung und gleichzeitig auch Kontrolle wer gew hlt hat entsprochen wird Eine wichtige berlegung ist aus welchem Grund E Voting die g ngigen Papierstimmzettel erset zen sollte Ein Argument der Vertreter von E Voting ist dass traditionelle Wahlverfahren ebenfalls Sicherheitsl cken enthalten etwa Stimmenkauf mit Briefwahl Kameras in Wahlzellen die teilwei se mit elektronischen Verfahren gesichert werden k nnten Oft wird das Arrow Theorem als Argument pro E Voting oder als Hinweis erw hnt dass bei Wahlen niemals alle Wahlgrunds tze zu 100 eingehalten werden k nnten allerdings wird das Theorem oft falsch zitiert Das Theorem besagt dass es kein Wahlverfahren gibt das einige grundle gende Bedingungen Bedingung des unbeschr nkten Bereichs das schwache Pareto Prinzip Bedin gung der Unabh ngigkeit von irrelevanten Alternativen und der Nicht Diktatur erf llt allerdings be zieht es sich weder auf Sicherheit noch auf Transparenz oder andere Aspekte die beim Vergleich von herk mmlichen Wahlen und E Voting umstritten sind
130. ektronischem Weg ausgedr ckt oder ge z hlt vgl Kapitel 1 3 4 2 Teile eines E Voting Systems Die Definition von allgemeinen Systemen nach Eberhardt Rechtin besagt A system is a construct or collection of different elements that together produce results not ob tainable by the elements alone The elements or parts can include people hardware software facilities policies and documents that is all things required to produce systems level results The results include system level qualities properties characteristics functions behavior and performance The value added by the system as a whole beyond that contributed independently by the parts is primarily created by the relationship among the parts that is how they are inter connected Rech99 S 4 44 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Eine weitere Definition vom nternational Council on Systems Engineering beschreibt ein Sys tem folgendermaBen A system can be broadly defined as an integrated set of elements that accomplish a defined ob jective INCOOO Ein System dient somit der Erf llung einer bestimmten Aufgabe und besteht aus Elementen Teilen Komponenten wobei damit in einem sehr allgemeinen Sinne die Bausteine des Systems gemeint sind Elemente k nnen wiederum als Systeme betrachtet werden DaHu92 S 5 Ein sicherheitsbezogenes System wird von der nternational Eletrotechnical Commission EC fo
131. em entwickelt wurde Firmware inklusive der Version Instal lationszeitpunkt und eine kurze Beschreibung 5 C 1 ffentlichkeit und Transparenz Sourcecode der Firmware der Ger te Treiber und der eingesetzten COTS Produkte offenlegen 9 Onion Routing GoRe99 basiert auf David Chaum s Mix Networks Chau81 wobei Daten ber st ndig wechselnde Routen ber mehrere Nodes geschickt werden 147 Nr Kernbereich Anforderungen OK Anm Datenintegritat 6 A 1 Korrektheit der Implementierung von Stimmenspeicherung Zahlung und Anzeige Ab nahmetest nach Fertigstellung mit Abnahmeprotokoll Reihenfolge der angezeigten Lis te der Kandidaten muss mit der die dem Birger angezeigt wird und der die gespei chert wird bereinstimmen Anzahl der gez hlten Stimmen pro Wahlgang muss mit der Anzahl der abgegebenen Stimmen bereinstimmen Die abgegebene Stimme darf nicht kopiert ver ndert oder fehlgeleitet werden und muss im Gesamtergebnis enthalten sein 6 A 2 Managementfunktionen und Audit Funktionen der Wahlsoftware e Zugriffskontrolle durch Authentifizierung mit starken Passw rtern Chipkarten oder biometrische Daten Allgemeine administrative Aufgaben Verwaltung der Daten der Wahlkommissionsmit glieder Importieren von Wahlgrunddaten etwa im XML Format Bearbeiten von Wahlen nur vor einer Wahl m glich wie ndern der Reihenfolge oder Wortlaut der Eintr ge der K
132. emen 5 Sicherheitsrisiken von E Voting Systemen Spezialist Harri Hursti Bishop leitete zudem ein Red Team f r eine Penetration Study das die Aufgabe hatte gezielt Sicherheitsl cken in den Systemen zu finden Das Gutachten zum E Voting Touchscreen System AccuVote TSX von Diebold Bowe07 ergab dass selbst ein Einzelt ter M glichkeiten hat die Maschinen etwa mit einem Virus zu manipulieren Ein Virus k nnte sich von einer Wahlmaschine oder Speicherkarte ber das verwendete Wahlmana gement System GEMS ausbreiten und viele weitere Maschinen kompromittieren Der Wahlablauf k nne durch gezielt herbeigef hrte Maschinenabst rze sabotiert werden und trotz Papier Backups k nne der Ausgang knapper Wahlen beeinflusst werden Das E Voting System habe grundlegende Entwurfsfehler und richte sich nicht nach dem etablierten Stand der IT Sicherheitstechnik warnten die Experten im Gutachten Das zweite Gutachten zu Hart ntercivic BoweO7al zeigte hnliche Gefahren auf Es gibt Sicher heitsl cken ber die der Sourcecode ver ndert werden k nne und die f r einen eingeschleusten Virus M glichkeiten bieten sich zu verbreiten Das dritte Gutachten zum E Voting System von Se quola BoweO 7b fand gravierende Architektur Logik und Programmierfehler in der Software und Sicherheitsl cken durch die Stimmen manipuliert werden k nnten Die Wahlmaschinen von Electi on Systems amp Software ES amp S h tten bei der Untersuchung ebenfalls einb
133. en 3 Sicherheit ten wird der Fehler Top Event beschrieben seine Bl tter beschreiben Einzelfehler die diesen Feh ler ausl sen k nnen Die Einzelfehler sind wiederum mit Boolscher Logik Operatoren AND OR NOT verkn pft siehe Abbildung 4 Jede Ebene des Baumes listet Ereignisse auf die notwendig sind um das Ereignis eine Ebene dar ber auszul sen Leve95 S 317 Attack Trees wurden von Bruce Schneier Schn99 SchnO4 S 309ff basierend auf Arbeiten zu Fault Trees von Nancy Leveson LeHa83 Leve95 S 317ff entwickelt Attack Trees siehe Abbil dung 5 bieten eine formale Methode basierend auf unterschiedlichen Attacken Sicherheit von Systemen zu beschreiben Ein Attack Tree repr sentiert einen Angriff auf ein System dargestellt in einer Baumstruktur Das Ziel der Attacke ist der Wurzel Knoten des Baumes die verschiedenen Ar ten dieses Ziel zu erreichen werden als Bl tter Knoten dargestellt Je weiter der Knoten sich von der Wurzel entfernt desto spezifischer wird die Attacke Schn99 FIREWHEEL spins too fast booms deploy 4 full length motor failure gas on and at maximum rate software com mands motors software com mands valve open Abbildung 4 Beispiel f r einen Fault Tree Quelle LeHa83 S 571 Die Event Tree Analyse Leve95 S 327f ist ein Entscheidungsbaumverfahren das sich von ei nem Startereignis zu verschiedenen Folge Status ber eine Reihe m glicher
134. en 73 5 421 3 P pierr llen t ccccescousesed oti ag 8 elle dl Hirn 74 9 4 1 4 Bo01 Lader u ae nee 74 5 4 1 5 Bldschm Abetrablungen nennen nennen nenn 75 5 A136 Bit FlipPingia u sr ae Ruhr In al drin 75 EE 75 E reelle El 76 5 4 2 2 Mangelhafte Zertiizierungen asien 76 5 4 2 3 Sicherheitsl cken in bestehenden E Voting Gvstemen nen 76 5 4 2 4 Schwache Aleoritbmen eee eee ee eee eee eee eee eee eee eeeeeeeeeeeseeneeseegeanegs 79 5 4 2 5 Dedicated Special Purpose Machine 80 5 4 2 6 Authentizit t des SQureec des aueh een 8l E EUR EE 81 543 Human EE 83 5 4 3 1 Akzeptanz und Vertrauen 83 5 4 3 2 Fehler von Individuen 84 5 4 3 3 Lagerung der Maschinen 85 9 4 334 U SaDIl year wesent drehen riesige teens 86 EE EEN eebe eg Eege Dee 90 5 4 3 6 Movie Plot Secure 91 5 4 3 7 Mangelnde Gicherbheitavorschrtften cesses eeeeeeeeeeeeeeeeeneaeaeees 92 5 4 3 8 Wablkreismantpulatton eee eee eee eee cesses eee eeeeeeeeaeeeeeneeneeaeeeaeegs 93 5 473 9 Wa hlbetr gre as nr ana rd iam Oh 94 5 4 3 10 Beeinflussung der Hersteller eee eee cesses eeeeeseeeeeseeeeeseeeeeeeaeesaneas 94 6 Ma nahmen se emailen 96 6 1 Allgemeine Gicherbhetsantorderungen nen 96 6 2 Open Source Peer Reviews 97 6 3 st dien Und Analysen Ha AER ee kenne 98 G2 A EI UE EE 99 6 5 Security through Transparency 100 6 6 W hler zentrierter Dees 103 6 7 Audit V rfahre E 103 6 7 1 Voter Verified Paper Trail 103 6 7 2 End to End Systeme und Bulletin
135. en E Voting Schemas wieder neu aufgefasst und weiterentwickelt Acqu04 AdRi06 ArF0o08 BaFoO1 BoGoO2 CaGrO5 ChHo05 CICh08 DePe08 JuCa02 Ki Ko06 LeBoO4 Neff04 StDu05 WaLeO4 WaLeO5 6 7 2 1 Das SureVote System David Chaum entwickelte hierzu ein Verschl sselungsverfahren f r Papierbelege die nicht nur je den W hler berpr fen l sst ob seine Stimme akkurat gesendet wurde sondern auch dass diese richtig ins Wahlergebnis aufgenommen wurde Chau04 Bei dem daraus entstandenen kommerziellen Wahlverfahren SureVote wird die Stimme bereits vom Benutzer verschl sselt an das Internetwahlsystem bergeben F r jeden W hler wird jede M g lichkeit der Stimmabgabe etwa die m glichen w hlbaren Parteien auf einem anonymen mit einer 106 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen Seriennummer versehenen Papierzettel kodiert bergeben Die Stimme wird somit mit einem Code an ein E Voting System beliebigen Typs bergeben siehe Abbildung 23 und mit einem Best ti gungscode der mit dem auf dem Papierzettel bereinstimmen muss best tigt So wird eine Art si cherer Kanal erreicht Ballot 78694 Vote Code 8991 Vote Code 4197 Eee Sure Code 8753 Sure Code 9779 President and Vice President United States Representative State Senate District 35 of the United States Congress District 16 George W Bush amp Dick Cheney Mark Foley David Vaughan Republican Republican Republican Reform
136. en Wahlbeh rde die Urne der bertragungskanal f r das Endergebnis oder die zentrale Wahlkommission SchnO4 S 280ff Bestechungen von W hlern sind ein traditionelles aber immer noch aktuelles Problem Erst 1996 wurden 21 Personen in Dodge County Georgia USA wegen ungesetzlicher Wahlpraktiken verurteilt Wahlkabinen k nnen Stimmenkauf zwar einschr nken jedoch wird diese Form der Wahl manipulation mit neuen Technologien wie etwa mit Handykameras mit Foto Funktion wieder zu ei nem Thema Distanzwahlen wie die Briefwahl oder Internetwahlen sind in diesem Bereich beson ders problematisch siehe auch Kapitel 1 4 Die Anonymit t der W hler ist ebenfalls gef hrdet wenn man Papierstimmzettel auf Spuren des W hlers etwa DNS oder Fingerabdr cke untersuchen w rde Selbes gilt f r versteckte Kameras in Wahlkabinen Korruption der Beisitzer die f r Identit tspr fungen Autorisierungen und Z hlungen zust ndig sind kann derart genutzt werden dass manche Personen mehrfach w hlen k nnen oder W hler in die W hlerevidenz gesetzt werden die nicht wahlberechtigt sind zu junge verstorbene oder erfun dene Personen Bei der Ausz hlung der Stimmen kommt es oft zu Unstimmigkeiten der Ergebnis se nicht zuletzt durch den Interpretationsspielraum der Personen die die Stimmen auswerten Er neute Ausz hlungen der Papierstimmzettel schw chen dieses Problem allerdings ab Wahlurnen k nnten mit bereits ausgef llten Stimmzetteln gef
137. en fiir Aktenvernichtung da die Felder fiir Stimmen direkt bereinander stehen und somit ein Streifen eine Reihe von Stimmen enth lt Eine Kombination aus Punchscan und Pr t a Voter siehe Kapitel 4 4 2 und 6 6 2 wurde eben falls vorgeschlagen Lund08 6 7 2 4 Probleme von End to End Systemen Generell werden End to End Systeme h ufig kritisiert da vorgeworfen wird dass dem bestehenden nicht transparenten und daher nicht vertrauensw rdigen Prozess ein zus tzliches meist noch kom plexeres Verfahren hinzugef gt wird durch das der Prozess der Stimmabgabe transparenter ge macht werden soll Dies scheint aber der falsche Ansatz zu sein da durch diese zus tzlichen Me thoden der Kernprozess nicht verbessert werden k nne Fraglich bleibt somit ob End to End Syste me das Vertrauen in E Voting Systeme tats chlich steigern k nnen zudem diese Verfahren eben falls zus tzliche Manipulationsm glichkeiten bieten ist die Stimme die auf dem Bulletin Board ge zeigt wird auch die die im Gesamtergebnis gespeichert wurde und den inh rent undurchsichti gen Prozess nicht verbessern k nnen Bulletin Boards erm glichen zudem einen nachtr glichen Beweis der abgegebenen Stimme und er ffnen somit die M glichkeit f r Stimmenk ufe Im konventionellen Wahlverfahren siehe auch Kapitel 2 2 ist ein derartiges nachtr gliches Audit Verfahren nicht notwendig da das Vertrauen in den Prozess gegeben ist 6 8 Richtlinien und Normen Eine R
138. en zwar in vielen L ndern wie z B den Vereinigten Staaten und Deutschland praktiziert in sterreich wie auch z B in Israel und Brasilien waren sie aber bis vor kurzem bei Wahlen zu Gebietsk rperschaften verboten In der Schweiz werden Briefwahlen seit 1994 praktiziert und von Seiten der Bev lkerung sehr gut aufgenommen wobei ber 90 aller W hler in Basel Stadt und Genf ihre Stimmen brieflich abgeben Brau03 In Deutschland werden Briefwahlen bereits seit 1956 ohne weit reichende Be denken wie in sterreich eingesetzt DBtg02 In seinem Erkenntnis VfGH85 dem sogenannten Briefwahlerkenntnis hat der Verfassungsge richtshof 1985 die Briefwahl anl sslich der Pr fung der nieder sterreichischen Wahlordnung f r 18 Quelle Telefonat mit Mag Robert Stein Bundesministerium f r Inneres Sektion III Recht Abt 111 6 Wahlangele genheiten vom 17 4 2008 26 Dissertation Sicherheit von E Voting Systemen 2 Wahlrecht Statutarst dte f r verfassungswidrig erkl rt Der Erkenntnis beinhaltet dass die Briefwahl sowohl gegen den Grundsatz der geheimen Wahl als auch gegen den der pers nlichen Wahl versto e Der Staat trage nichts zur Sicherung der geheimen Wahl bei und der W hler bleibe zur Sicherung des geheimen Wahlrechtes vollkommen auf sich selbst gestellt Weiters handle es sich bei der Briefwahl nicht um eine pers nliche Stimmabgabe im Sinn des Wortlauts zum Zeitpunkt der Entstehung der Verfassung MarsOO
139. enz angebunden KrimO3 4 5 2 Arbeitsgruppen Im Fr hjahr 2004 wurde vom Bundesministerium f r Inneres eine Arbeitsgruppe gebildet die sich mit der Sichtung von E Voting Projekten im In und Ausland der Pr fung der Umsetzbarkeit der Empfehlung des Ministerkomitees des Europarates zu E Voting und mit rechtlichen technischen und konomischen Erfordernissen im Falle der Umsetzung eines E Voting Konzepts in sterreich auseinandergesetzt BMIO4 hat Der Abschlussbericht der Arbeitsgruppe und ihrer Untergruppen BMIO4 zeigte auf dass eine nderung des Wahlrechts vorgenommen werden m sste zusammen mit einer erneuten Definition des geheimen und pers nlichen Wahlrechts um E Voting in sterreich einf hren zu k nnen Die Wahlgrunds tze siehe auch Kapitel 2 1 m ssen ebenfalls auf technischer Ebene sichergestellt werden hohe Technik Qualit ts und Sicherheitsstandards m ssen eingehalten werden etc Der Bericht sieht aus finanziellen und logistischen Gr nden E Voting Maschinen in Wahllokalen nicht in Betracht sondern schl gt Internetwahlen vor Allerdings sprach sich der Abschlussbericht f r E Voting nur als Alternative zu traditionellen Wahlen aus die herk mmlichen Wahlen k nnten durch eine E Voting Variante erg nzt aber nicht ersetzt werden Von einem derartigen Vorhaben Papierstimmzettel und elektronische Stimmzettel parallel als Wahlmedium anzubieten wird jedoch weitgehend abgeraten XeMa04 4 5 3 Zukunft des
140. er elektronische Wahlen und auf notwendige Transparenz von E Voting Verfahren hingewiesen wird Diese Leitlinien sind eher knapp gehalten u erst vage und dienen mehr der bersicht 6 8 5 BSI IT Grundschutz Die BSI Standards f r IT Sicherheitsmanagement 100 1 BSI05 f r IT Grundschutz Vorgehens weise 100 2 BSIO5b f r Risikoanalyse auf der Basis von IT Grundschutz 100 3 BSIO5c und f r Notfall Management 100 4 BSI08 bilden die vier Teile des IT Grundschutzes nach dem deutschen Bundesamt f r Sicherheit in der Informationstechnik Beim IT Grundschutz wird ein recht weiter Ansatz gew hlt Hier wird versucht m glichst viele Bereiche abzudecken wobei nicht zu sehr in die Tiefe gegangen wird Im Wesentlichen wird auf an deren Standards wie ISO Standard 2700 ISO 13335 und ISO 17799 aufgebaut 6 9 Pr fverfahren und Zertifizierungen Es gibt eine Reihe technischer Zertifizierungs oder Pr fverfahren die zur berpr fung von sicher heitskritischen Systemen dient Die Zertifizierung durch allgemein anerkannte Ma st be bietet die M glichkeit zur berpr fung wie die getesteten Sicherheitssysteme tats chlich funktionieren Da durch wird eine gewisse Transparenz erzeugt die in weiterer Folge auch das Vertrauen und die Ver l sslichkeit in neueste Technologien steigert Einige dieser Zertifizierungen und Pr fverfahren wer den hier vorgestellt 115 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen
141. eramt 2002 StDu05 T Storer I Duncan Two Variations to the mCESG Pollsterless e Voting Scheme In Pro ceedings of the 29th Annual International Computer Software and Applications Conference COMPSAC 05 IEEE 2005 S 425 430 Vol 2 StDu98 V Stavridou B Dutertre From security to safety and back In Proceedings of Computer Security Dependability and Assurance From Needs to Solutions IEEE 1998 S 182 195 Ston03 A Stone E Voting Should We Pull the Lever In Software IEEE Nov Dec 2003 Volu me 20 Issue 6 2003 S 12 14 StWe05 R Stein G Wenda E Voting in sterreich Status Quo und Ausblick Ausgabe 3 2005 des SIAK Journals der wissenschaftlichen Zeitschrift des BM I 2005 SwSn04 F Swiderski W Snyder Threat Modeling Microsoft Press Reihe Microsoft Professional silberne Reihe 1 Auflage 2004 Tane95 A Tanenbaum Distributed Operating Systems Prentice Hall 1995 TaSt02 A Tanenbaum M van Steen Distributed systems principles and paradigms Prentice Hall 2002 TjPe07 T Tj stheim T Peacock S Ryan A Case Study in System Based Analysis The ThreeBallot Voting System and Pr t a Voter In Proceedings of VoComp 2007 TSys08 T Systems Media Relations Online Wahlen Das Internet als Wahllokal Presseaussendung 179 K rzel Quelle Bonn 20 Letzter Stand 25 Januar 2008 UIKoO1 M Ullmann F Koob F Schulz On
142. erkmale der Schnittstellen zu anderen Kom ponenten und auf dessen Einfluss auf das gesamte System hin berpr ft kann die Sicherheit des gesamten Systems nicht gew hrleistet werden Um diese These zu untermauern wurde die Z Voting System Security Optimization Methode EVSSO Methode entwickelt die zur Bewertung und Optimierung der Sicherheit von E Voting Sys temen dient Mit dieser Methode k nnen verschiedene E Voting Verfahren bewertet und miteinander vergleichen werden Die Methode unterscheidet sich von anderen Ans tzen indem ein ganzheitli cher Ansatz gew hlt wird und die gegenseitigen Abh ngigkeiten der verschiedenen Teile eines E Voting Systems ber cksichtigt werden Die Sicherheitssituation eines E Voting Systems wird zudem anschaulich visualisiert und dessen Verbesserungspotenzial wird aufgezeigt Abstract Security of e voting systems does not only concern the voting protocol or the software used it con cerns the whole system including all components To guarantee security in electronically supported elections a holistic approach which considers all parts of such complex systems has to be chosen The security of the election system cannot be ensured unless every single element and its security related characteristics the interfaces to other elements and their impacts on the whole system are examined The Z Voting System Security Optimization method EVSSO method is based on this approach and was developed to evaluate and
143. ermittelt Der Wahlvorstand initialisiert die Urne Der W hler zeigt dem Wahlvorstand seine Wahlberechtigung optional Der W hler erh lt vom Wahlvorstand einen Wahlumschlag und einen leeren Stimmzettel Der W hler f llt den Stimmzettel aus Der W hler legt den ausgef llten Stimmzettel in den Wahlumschlag Der W hler gibt die Wahlbenachrichtigung an den Wahlvorstand Der W hler zeigt das das Authentisierungsmerkmal des W hlers dem Wahlvorstand Oo ON OT FB W DY ra Der Wahlvorstand vergleicht das Authentisierungsmerkmal des W hlers mit dem Identit ts merkmal des W hlers 1 Bei dem Listenwahlrecht bzw Parteienwahlrecht nach dem D Hondt Verfahren oder auch Jefferson oder Hagen bach Bischoff Verfahren genannt werden die Stimmen proportional auf die Sitze verteilt N Die Schritte der Stimmabgabe sind nach Deutschem Recht beschrieben jene f r eine Stimmabgabe nach sterreichi schem Recht werden die Schritte 7 10 vor Schritt 4 ausgef hrt 29 Dissertation Sicherheit von E Voting Systemen 2 Wahlrecht 10 Der Wahlvorstand berpr ft ob der identifizierte W hler im W hlerverzeichnis als W hler ein getragen und ob er noch nicht als hat schon gew hlt markiert ist 11 Der Wahlvorstand berpr ft den Wahlumschlag auf Richtigkeit und Verschlossenheit 12 Der Wahlvorstand gibt die Urne f r den identifizierten W hler frei 13 Der W hler wirft seinen Umschlag in die freig
144. ern sich auf die Visualisierung des Sicherheitsreifegrades st tzt Weiters lassen sich mit diesem Verfahren konkrete Schritte f r die Erh hung der Sicherheit bestimmen und unterschiedliche E Voting Systeme miteinander vergleichen Die Methode unterscheidet sich von anderen indem sie auf ganzheitlicher Sicherheit basiert wobei die Hauptbereiche Hardware Soft ware und Human Factors eines E Voting Systems ber cksichtigt werden und eine visuelle Bewer tung der Situation der Sicherheitsqualit t erm glicht ohne konkrete Kategorisierungen zu verwen den Das Verfahren ist als Ansatz f r staatliche Zertifizierungen oder f r die Verbesserung des Ent wicklungsprozesses beim Hersteller gedacht Gleichzeitig zeigt die Methode aber auch die Grenzen der Sicherheitsbewertung komplexer Syste me auf Neben den er rterten Sicherheitsproblemen siehe Kapitel 5 und deren m glichen Gegen ma nahmen siehe Kapitel 6 ergibt sich auch die Frage ob die derzeit verf gbare Soft und Hard ware berhaupt schon sicher genug ist um f r ein derartig kritisches Szenario wie elektronische Wahlen eingesetzt zu werden Einige Kritiker behaupten dass ausreichende Sicherheitskonzepte und Sicherheitsmechanismen mit dem heutigen Stand der Technik berhaupt nicht m glich seien und dass heutige elektronische Systeme inh rent fehlerhaft seien Ston03 EvPa04 So sch tzt auch Sicherheitsexperte Klaus Brunnstein eine merkbare Steigerung der Sicherheit in der IT Br
145. erschl sselung der Reihenfolge decodiert werden und die Stimme den Kandida ten zugeordnet werden siehe Abbildung 15 41 Smartcards sind Plastikkarten mit einem eingebetteten Mikroprozessor und Speicher HassO1 S 75 42 Eine Permutation ist eine Ver nderung der Reihenfolge einer Menge durch Vertauschen ihrer Elemente 62 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Bulletin Board Bridget Carol Abbildung 15 Verifikation der Scratch amp Vote Methode Quelle AdRi06 Weiters kann der W hler seine abgegebene Stimme mit dem Beleg ber ein Interface im Internet auf einem Bulletin Board siehe Kapitel 6 7 2 berpr fen ob der Barcode zur gespeicherten Stim me auch mit dem Barcode auf dem Beleg bereinstimmt und wird somit Teil eines Audit Prozesses AdRi06 Dieser Ansatz ist eine Variante des Pr t Voter Schemas ChRyO5 von Peter Ryan von der Uni versit t of Newcastle das urspr nglich ohne Papierstimmzettel entwickelt wurde aber sp ter um on demand Stimmzettelausdrucke und erneute Verschl sselungsmischungen erweitert wurde RyScO6 Diese beiden Systeme werden auch End to End Systeme genannt da sie die Verifizierung der abgegebenen Stimme durch den W hler erm glichen siehe Kapitel 6 7 2 In einem theoretischen Ansatz namens Vote Scrambling Algorithmus wurde eine hnliche Metho de zur Permutierung der Kandidatenlisten vorgestellt bei der eine Zufallszahl One Time Pad Si
146. ersit t Berkeley und Ronald Rivest vom MIT siehe auch Kapitel 6 7 2 2 die sich f r sichere und vertrauensw rdige E Voting Systeme einsetzen Electionline ist ein parteiloser Verein der auf seiner Website aktuelle Informationen zu E Vo ting bereitstellt Die Organisation The Election Center veranstaltet Konferenzen f r Mitarbeiter von Wahlbeh rden und Verk ufern von E Voting Systemen Das Komitee The National Committee for Voting Integrity vereint Experten aus verschiedenen Disziplinen um transparente sichere E Voting Systeme zu gestalten Daniel Tokaji Assistenzprofessor am Ohio State Universit t s Moritz College of Law tritt eben falls f r E Voting Systeme ein From a voting rights perspective electronic voting is better than the available alternatives Brit Williams Professor an der Kennesaw State Universit t war als Berater bei der Entwicklung der FEC Standards siehe Kapitel 6 9 2 t tig und gilt wie auch Wahlkommissar Connie Schmidt von Johnson County Kansas USA als Verfechter von DRE Wahlmaschinen Michael Shamos ein Informatikprofessor an der Carnegie Mellon Universit t der E Voting Systeme aus Pennsylvania und 12 a http www votersunite org 12 a http www voteraction org 12 NI http www electionfraudnews com 128 http voteprotect org 12 http www fec gov hava hava htm 13 bei http www eac gov 13 ba http electionline org 13
147. ert Verf gbarkeit und Zuverl ssigkeit folgenderma en Unter der Verf gbarkeit eines Systems versteht man die Wahrscheinlichkeit dass das System in der Lage ist Dienste an seine Benutzer zu liefern wenn sie gebraucht werden Unter der Zuver l ssigkeit versteht man die Wahrscheinlichkeit dass die Systemdienste gem ihrer Spezifikati on ausgef hrt werden SommOl S 369 Weiters wird zwischen Systemsicherheit und Betriebssicherheit unterscheiden Die Systemsicherheit eines Systems bewertet das Ausma zu dem sich das System selbst ge gen externe Angriffe sch tzt die auf Zufall oder Absicht zur ckzuf hren sind Die Betriebssi cherheit eines Systems ist ein Systemmerkmal das die F higkeit des Systems widerspiegelt un ter normalen wie nicht normalen Umst nden zu funktionieren ohne Menschen oder die Umge bung zu gef hrden SommOl S 369 Weitere Attribute der Sicherheit die im Zusammenhang mit Sicherheit von E Voting Systemen stehen sind neben Verf gbarkeit Availability Zuverl ssigkeit Reliability Systemstabilitat Depen dability Vertraulichkeit Confidentiality Integrit t ntegrity Wartbarkeit Maintainability auch Geheimhaltung Secrecy Datenschutz Privacy Transparenz Transparency Glaubw rdigkeit Au thenticity Fairness Fairness Eignung Eligibility Regelbarkeit Controllability Interoperabilit t nteroperability Pr fbarkeit Verifiability Nachweisbarkeit Audit
148. es Merkmal der Bestimmung des Grades der Sicherheit eines Systems wie das ei nes E Voting Systems sind die verschiedenen Dimensionen in der die Sicherheit betrachtet werden kann Als Basis f r die Bewertung der Sicherheit eines elektronischen Wahlsystems wurden die drei Hauptbereiche Hardware Software und die Human Factors herangezogen Nun erweist sich das Be stimmen des Sicherheitslevels einer der 16 beschriebenen Komponenten durch den checklistenarti gen Aufbau recht einfach Man betrachtet jeden Kernbereich und evaluiert die Sicherheitsstufe um den Kernbereich einzusch tzen Geht man nun einen Schritt weiter und versucht nun auch die Sicherheit der Schnittstellen zwi schen den Hauptbereichen zu evaluieren wird das betrachtete System weit komplexer und es erge ben sich rein mathematisch 16 ber 2 also 120 Kombinationsm glichkeiten zwischen den ein zelnen Kernbereichen So w chst die Komplexit t des betrachteten Systems enorm an Versucht 139 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen man nun den Einfluss jeder Komponente auf das System und die Gesamtsicherheit zu bewerten scheitert man letztendlich an der Vielschichtigkeit des Systems siehe oben Kapitel 7 6 1 Es l sst sich somit sagen je weiter unten im Sinne von Komplexit t man ansetzt desto einfa cher ist es den Sicherheitsreifegrad zu bestimmen Je komplexer sich das System n
149. ety concepts htm 45 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Hardware Mensch und Software Mensch und den Teilen der Komponenten untereinander Schnittstellen Hardware Hardware Software Software und Mensch Mensch Beispiele f r Schnittstellen sind das Internet Hardware Hardware oder die grafische Benutzerschnittstelle Software Mensch Jeder Teil eines Systems solle als gleich bedeutend in Hinblick auf Sicherheitsrisiken betrachtet werden wobei die Schnittstellen den drei Hauptelementen Hardware Software und Human Fac tors zugeordnet werden siehe auch Kapitel 5 4 Grundlegend f r E Voting Systeme ist die Einhaltung der Wahlgrunds tze siehe Kapitel 2 Allgemeines Wahlrecht Jeder darf w hlen e Freies Wahlrecht Entscheidungsfreiheit e Gleichheit ein Stimmzettel pro Wahler e Unmittelbares Wahlrecht Ohne Wahlm nner in einer Runde w hlen e Geheimes Wahlrecht Anonymit t e Pers nliches Wahlrecht Ohne Stellvertreter pers nlich w hlen e Verh ltniswahlrecht Auszahlungsart e ffentlichkeit und Transparenz Die Einhaltung des freien geheimen und pers nlichen Wahlrechts und der Transparenz ist in Be zug auf E Voting besonders umstritten Die Umsetzung des unmittelbaren Wahlrechts und des Ver h ltniswahlrechts obliegt nicht direkt dem elektronischen System sondern der Wahlorganisation Werden die Wahlgrunds tze nicht eingehalten ist die Integrit t des Demokratieproze
150. ezogen werden sollen da aber die angeforderten Testger te nicht rechtzeitig zur Verf gung standen konnten diese Wahlma schinen nicht berpr ft werden Die Konsequenz war die Entziehung der Zulassung der Ger te f r den Staat Kalifornien ohne erneute Auflagen f r die darauf folgenden Wahlen 2008 Als Folge der Gutachten ber die Systeme von Diebold Hart Intercivic und Sequoia wurden die geltenden Zulassungen im Staat f r alle Systeme entzogen Die Hersteller mussten ihre Wahlsyste me grundlegend berarbeiten die dann nur unter strengen Auflagen bei den Wahlen 2008 einge setzt werden durften Wahlbeobachtungen des Chaos Computer Club in Deutschland bei der Einf hrung von Nedap Wahlcomputern f r die Oberb rgermeisterwahl in Cottbus CCCO6 zeigten zahlreiche Angriffspunk te Angriffspunkte f r Au ent ter sind e Die Sicherung der Wahlmaschinen nach der Lieferung war mangelhaft da es keine oder nur unzul ngliche Beaufsichtigung gab e Die auf dem Geh use angebrachten Siegel und Schl sser h tten leicht manipuliert werden k nnen 5 Der Begriff Red Team stammt aus dem milit rischen Bereich und bedeutet im Allgemeinen dass eine Gruppe von Experten ein unabh ngiges Review durchf hrt HI Bei einer Penetration Study wird auf mehreren Wegen versucht in ein System einzudringen bzw ein System abst rzen zu lassen 78 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen
151. f Selbst wenn mit dieser Methode ein guter Wert gesch tzt werden konnte ein E Voting System wurde auf einer voll st ndig gr nen EVSSO Matrix eingestuft so kann trotz dieser guten Bewertung eine Sicherheits 138 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen l cke nie ausgeschlossen werden Grund daf r ist zum einen die inh rent unsichere zeitgen ssische Technik und auf der anderen Seite der menschliche Faktor der von Natur aus nur schwer berechen bar ist Das Ziel auf das bei der Systementwicklung hingearbeitet wird und auf das mit dieser Methode verwiesen wird ist ein Computersystem so gut und so sicher wie nur m glich zu gestalten aller dings ist Sicherheit selten vollst ndig zu erreichen zudem bei komplexen Systemen unm glich for mal zu beweisen So k nnen Design Fehler unentdeckt bleiben oder Software Bugs schleichen sich ungewollt ein David Dill bemerkte zu diesem Thema einmal L finding cleverly hidden malicious code is much harder than finding a needle in a haystack Dill05 Mat Bishop sagte ebenfalls one can never verify that a system has no flaws even if all source code is available Ba BiO7 S 21 Durch einen checklisten artigen Aufbau erh ht man allerdings die Wahrscheinlichkeit dass Sys teme eine bestimmte Eigenschaft erf llen 7 6 2 Dimensionen der Sicherheit Ein entscheidend
152. f California Berkeley Sep tember 2001 Bren04 Brennan Center for Justice Recommendations of the Brennan Center for Justice and the Leadership Conference on Civil Rights for Improving Reliability of Direct Recording Electronic Voting Systems 28 06 04 BrJeOl S Bruck D Jefferson R Rivest A Modular Voting Architecture Frogs Workshop on Trustworthy Elections WOTE 01 August 26 29 2001 Marconi Conference Center 2001 BrLi06 J Bryans B Littlewood S Ryan L Strigini E voting Dependability Requirements and De sign for Dependability In Proceedings of the First International Conference on Availability Reliability and Security ARES 06 IEEE 2006 S 988 995 BSIO5 BSI Bundesamt f r Sicherheit in der Informationstechnik BSI Standard 100 1 Manage mentsysteme f r Informationssicherheit ISMS Version 1 0 2005 164 K rzel Quelle BSI05a BSI Bundesamt f r Sicherheit in der Informationstechnik BSI Standard 100 2 IT Grund schutz Vorgehensweise Version 1 0 2005 BSIO5b BSI Bundesamt f r Sicherheit in der Informationstechnik BSI Standard 100 3 Risikoanaly se auf der Basis von IT Grundschutz Version 2 0 2005 BSIO7 BSI Bundesamt f r Sicherheit in der Informationstechnik Common Criteria Schutzprofil Schutzprofil Digitales Wahlstift System V 1 0 1 BSI PP 0031 BSIO7a BSI Bundesamt f r Sicher
153. formen Wahlschemata bilden die mathematische Grundlage elektronischer Wahlen wie etwa die Kryptografie bei sicherer bertragung Diese Protokolle bilden den Wahlvorgang also den Weg von der Registrierung ber die Stimmabgabe bis hin zur Ausz h lung und Bekanntgabe des Endergebnisses ab In diesem Kapitel wird ein berblick ber die Entwicklung der verschiedenen Wahlschemata ge geben 4 4 1 Blinde Signaturen Ein Problem bei der Verwendung digitaler bertragung ist dass mit g ngigen Methoden nachvollzo gen werden kann wer welche Stimme abgegeben hat Das von David Chaum 1982 entwickelte und vorgestellte Verfahren der blinden Signaturen Chau82 behebt dieses Problem indem es authenti fizierte Stimmen zul sst ohne den Sender zu enth llen Das mathematische Verfahren basierend auf digitalen Signaturen nach dem Public Key Encryp tion Verfahren DiHe76 das zugleich Authentizit t und Anonymit t sichert wird anhand einer von Chaum verwendeten Analogie mit einem Blaupause Briefkuvert erkl rt Das zu signierende Doku ment wird in ein Blaupause Briefkuvert gesteckt und der Absender unterschreibt auf dem Kuvert ohne dessen Inhalt zu kennen Die Signatur dr ckt sich auf den Dokumentinhalt durch und dieser wird somit signiert ohne dass der Unterschreiber diesen je gesehen hat Nach der blinden Signatur kann ohne dass der Unterschreiber den Inhalt des Kuverts entziffern konnte die G ltigkeit der digitalen Unterschrift durch de
154. ftware auf das System bertragen werden Zudem kam es zu einem demonstrativen Manipulationsversuch wo die Schraffur auf dem Stimm zettel das der Stift ausliest manipuliert wurde Mit diesem Hack wurde gezeigt dass die Stimmen manipuliert werden k nnen da der W hler so sein Kreuz bei einer Partei macht aber die digitale Stimme zu einer anderen Partei gespeichert wird 124 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Die hier vorgestellte E Voting System Security Optimization Methode kurz EVSSO Methode zur Be wertung der Sicherheit von E Voting Systemen ist durch die Analyse zahlreicher E Voting Systeme und deren Problemen und Sicherheitsm ngel entstanden siehe auch Kapitel 5 und Kapitel 6 Die Methode ist ein Hilfsmittel zur Optimierung der Sicherheit im Sinne von Safety und Securi ty siehe Kapitel 3 1 von E Voting Systemen im Speziellen von DRE Wahlsystemen mit dem der Reifegrad der Sicherheit von E Voting Systemen objektiv und detailliert bestimmt werden kann Durch den checklisten artigen Aufbau der Richtlinien erm glicht dieses Modell die Formulierung konkreter in die Praxis umsetzbarer Vorschl ge zur Optimierung der Safeguards des getesteten E Voting Systems Mit dieser Methode k nnen verschiedene E Voting Systeme bewertet und dann miteinander ver
155. g auf die sich die Menschen verlassen Im Vertrauen auf die Technik erh hen sie deren Leistungsf higkeit und damit zugleich das Schadenspotenzial RoWe89 S 7 Dritte haben so die M glichkeit in diese vom Menschen entkoppelten Prozesse einzugreifen und diese leichtfertig und missbr uchlich zu gef hrden 6 ber weitere Missst nde und Irregularit ten wird in der Dokumentation Uncounted The New Math of American Elections von Earnhardt Film3 berichtet 83 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Notwendig sind breite ffentliche Diskussionen die verhindern dass ein unreflektierter Techni koptimismus vollendete Tatsachen schafft die spater zu bedauern waren Alternative Entwicklungs m glichkeiten sollten bedacht und eingesetzte Systeme m glichst ber lange Zeit getestet werden Politische Rahmenbedingungen wie gesetzliche Vorgaben technische Normung und Zulassungsver fahren sind notwendig um die Verletzlichkeit der Informationsgesellschaft zu reduzieren Ro We89 S 247 Bei einer Einf hrung von E Voting sollte der bestehende Grad des Vertrauens in das gegenw rtige Wahlverfahren beibehalten werden Davon betroffen ist E Government im Allgemeinen wie auch der E Voting Prozess Das Vertrauen der B rger kann durch Einf hrung expliziter verst ndlicher Sicher heitsma nahmen unterst tzt werden XeMaO4al 5 4 3 2 Fehler von Individuen
156. g Program Deemed Too Risky Washington Post 22 1 2004 S AO1 Keig04 D Keiger E lective Alarm In Johns Hopkins Magazine February 2004 S 50 56 Kerc83 A Kerckhoffs La cryptographie militaire In Journal des sciences militaires vol IX S K rzel Quelle 5 38 Jan 1883 S 161 191 Feb 1883 KiK006 A Kiayias M Korman D Walluck An Internet Voting System Supporting User Privacy In Proceedings of the 22nd Annual Computer Security Applications Conference ACSAC 06 IEEE Computer Society 2006 S 165 174 KiSa03 N Gong A Samsudin Incoercible Secure Electronic Voting Scheme Based on Chaffing and Winnowing In Conference on Communications 2003 APCC 2003 The 9th Asia Pacific Vol 2 2003 S 838 843 Kitc04 J Kitcat Source availability and e voting an advocate recants In Communications of the ACM Volume 47 Issue 10 October 2004 Voting systems SPECIAL ISSUE The problems and potentials of voting systems 2004 S 65 67 KiYu02 A Kiayias M Yung Self tallying Elections and Perfect Ballot Secrecy In Public Key Cryp tography Lecture Notes in Computer Science Vol 2274 Springer 2002 S 141 158 KiYu04 A Kiayias M Yung The Vector Ballot e Voting Approach In Financial Cryptography Lec ture Notes in Computer Science Vol 3110 Springer 2004 S 72 89 KIKu05 M Klonowski M Kutytowski A L
157. g Security in Addison Wesley Professional 2006 McLa05 L McLaughlin Interview Holistic Security In Security amp Privacy Magazine IEEE Volume 3 Issue 3 2005 S 6 8 MeHa07 M Meyers S Harris CISSP certified information systems security professional das Zerti fikat f r IT Sicherheit die optimale Pr fungsvorbereitung Mitp 2 Aufl 2007 MeNe03 R Mercuri S Neumann Security by obscurity In Communications of the ACM Volume 46 Issue 11 November 2003 Blueprint for the future of high performance networking Co lumn Inside risks 2003 S 160 MeNe03a R Mercuri S Neumann Verification for electronic balloting systems In Secure Electronic Voting Kluwer Academic Publ 2003 S 31 42 Menz02 T Menzel Rechtsgrundlage zur elektronischen Wahl In Schweighofer E Menzel T Kreuzbauer G Hrsg IT in Recht und Staat Verlag sterreich 2002 S 123 133 Merc02 R Mercuri A better ballot box In Spectrum IEEE Volume 39 Issue 10 2002 S 46 50 Merc05 R Mercuri Trusting in transparency In Communications of the ACM Volume 48 Issue 5 2005 S 15 19 MiGrO2 L Mitrou D Gritzalis S Katsikas Revisiting legal and regulatory requirements for secure e voting In IFIP Conference Proceedings Vol 214 Proceedings of the IFIP TC11 17th Inter national Conference on Information Security Visions and Perspectives Kluwer Academics Pu blishers 2002 S 469 480
158. g http www edemocracy forum com http allaboutvoting com http punchscan org blog 11 D http www wired com 11 o http www bradblog com 12 http avi rubin blogspot com 12 Vi http blackboxvoting org 12 N http accurate voting org 12 w http www vote caltech edu 12 gt http www calvoter org 158 ses einsetzt und sich kritisch gegen ber E Voting u ert Voters Unite wie auch Voter Action sind parteilose non profit U S Organisationen die sich f r faire und akkurate Wahlen einsetzen Election Fraud News ist eine Organisation die aus mehreren Wahlbetrugs Experten und Wahl rechtsaktivisten besteht die sich ebenfalls fiir freie und faire Wahlen in den USA einsetzt Auf der Webseite des Election Incident Reporting Systems k nnen U S B rger Vorf lle Pro bleme Irregularit ten etc melden Bisher wurden mehr als 30 000 Incidents gemeldet Der Help America Vote Act HAVA stellt einen Meilenstein in der rechtlichen Entwicklung f r den Einsatz von E Voting dar 2002 wurden durch HAVA 4 Millionen US Dollar in die Aufr stung auf E Voting Maschinen in den Vereinigten Staaten investiert Die U S Gesetzgebung f hrte da durch zu einem Einsatz von E Voting bevor die Technologie ausgereift war Die US Election Assi stance Commission wurde durch HAVA als Verrechnungs und Informationsstelle eingesetzt Konstruktivere Ans tze kommen von David Wagner der Univ
159. gen oder Risiken und dem Schutz vor oder dem Umgang mit dem Auftreten von Fehlern die die Verletzung eines Wertes wie Gef hrdung von Menschenleben oder intellektuellem Eigentum bedeuten In der Fachliteratur gibt es eine Vielzahl von Interpretationen der Unterscheidung dieser beiden Aspekte von Sicherheit Das heute meist verbreitete Verst ndnis von Safety und Security in Zusam menhang mit Softwaresystemen wird von Andrew S Tanenbaum beschrieben Safety refers to the situation that when a system temporarily fails to operate correctly nothing catastrophic happens TaStO2 S 363 Safety betrifft somit Schutz vor unachtsamen oder versehentlichen Fehlern und Unf llen Das Versagen von Safety f hrt zu Verlusten Katastrophen oder anderen schwer wiegenden Folgen La pr92 S 4 Leve83 security is a condition of safety from threads and any threatening event can lead to worry Security is achieved by a set of safeguards and countermeasures applied to maintain the conditi on of being safe from threads Schu03 29 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Security im Gegensatz zu Safety gilt als der Schutz vor absichtlichen b sartigen Angriffen und unautorisierten Zugriffen Lapr92 S 4 Leve86 S 137 Leve95 S 183 Weitere Interpretationen der Begriffe Safety und Security sind die Folgenden Ein System das als safe bezeichnet wird bietet Schutz vor Fehlern vertrauensw rdiger Ben
160. gibt auch eine bersicht wie Risiken minimiert werden k n nen So kann ein Risiko der Klasse in der Kritisch Wahrscheinlich Zelle auf Klasse II reduziert werden wenn seine Wahrscheinlich auf Zuk nftig oder seine Konsequenzen auf Unbedeutend 40 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit oder seine Wahrscheinlich auf Gelegentlich und seine Konsequenzen auf Geringf gig ge ndert werden Somit k nnen Sicherheitsanforderungen erstellt werden die besagen welche Risiken mini miert werden sollen Redm98 Die Grenzen solcher generischer Methoden bestehen darin dass angenommen wird dass alle Teile eines meist sehr komplexen Systems erkannt und in der Methode erfasst werden k nnen Fo BeOO 3 4 Technische und prozedurale Sicherheit Weiters kann zwischen zwei Aspekten der Sicherheit im Sinne von Security bei elektronischen Wahlen unterscheiden werden technische und prozedurale Sicherheit XeMaO4b XeMaO5al Bei der technischen Sicherheit wird das Hauptaugenmerk vor allem auf die technische Umsetzung der Gew hrleistung vollst ndiger und sicherer Benutzer Authentifizierung und Wahl Sicherheit gelegt Prozedurale Sicherheit auf der anderen Seite behandelt neben technischen Aspekten auch die jenigen die etwa die Verwaltung und Leitung elektronischer Wahlen betreffen Hier ist auch der Neuentwurf des Wahlverfahrens oder die Einf hrung zus tzlicher Aktivit ten oder Mechanismen ge
161. glichen werden Dieser Ansatz bietet ein generisches Bewertungsschema und ist daher auf eine Rei he von E Voting Systemen vor allem DRE Wahlcomputer anwendbar Internetwahlverfahren werden durch diese Methode allerdings nicht abgedeckt da I Voting Systeme als inh rent unsicher gelten kein geheimes oder freies Wahlrecht W hlerbeeinflussung Stimmenkauf Denial of Service Atta cken keine M glichkeit eines authentischen Audit Verfahrens etc siehe auch Kapitel 1 4 Br JeO1 DiSi08 IPIO1 JeRuO4a MuVa98 MercO2 NeMeO0 PhilO2 Rubi02 WeinOO Sicherheit zu bewerten ist generell ein schwieriges Unterfangen da sich Sicherheit oft nur schwer quantifizieren l sst vgl Risikobewertung Kapitel 3 3 3 Es stellt sich oft als diffizil heraus konkrete Verbesserungsvorschl ge und Schritte f r die Erh hung der Sicherheit von E Voting Syste men zu bestimmen 7 1 hnliche Arbeiten Wissenschaftler der Universit t Washington stellten ein Framework SaPoO6 vor mit dem theoreti sche E Voting Schemata miteinander verglichen werden Dabei werden mehrere Aspekte der Si cherheit Eligibility Privacy Verifiable Dispute free Accuracy Fair Robust Receipt free Inco ercible Scalable Practical einer Reihe von E Voting Protokollen mit Hilfe von Venn Diagrammen miteinander verglichen Eine Auswahl von E Voting Protokollen wird in drei groBe Kategorien einge 87 Sicherheit wird im Sinne von Security inklusive aller zusammenh
162. gramm in West Palm Beach f r die Republikaner eingesetzt werden sollte worauf er sich an die CIA das FBI und andere Beh rden wandte Da die Beh rden eher hinhaltend ermittelten wandte sich Curtis 2004 an die ffentlichkeit wobei der vermeintliche Auftraggeber alles bestritt Film3 5 4 3 10 Beeinflussung der Hersteller Dem Hersteller Diebold wird ein nahes Verh ltnis zur republikanischen Partei nachgesagt Die Do kumentation Film Hacking Democracy Film1 setzt sich ebenfalls mit diesem Thema auseinan der Diebolds CEO Walden O Dell schrieb w hrend er sich f r die Wiederwahl Kampagne f r George W Bush einsetzte einen Brief an potentielle Spender 6 Quelle Telefonat mit Mag Robert Stein Bundesministerium f r Inneres Sektion III Recht Abt 111 6 Wahlangele genheiten vom 17 4 2008 94 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen committed to helping Ohio deliver its electoral votes to the president LaMo04 Die Firma Diebold hat ihren Sitz in North Canton Ohio Derartige Aussagen lassen Zweifel an der politischen Unabh ngigkeit der Wahlmaschinen Hersteller offen 95 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen 6 MaBnahmen In diesem Kapitel werden verschiedene Ma nahmen zur Gew hrleistung der Sicherheit von E Vo ting Systemen vorgestellt Diese reichen von allgemeiner Qualit tssicherung ber Normen und Zer t
163. haft Der aktuelle Gouver neur von Florida Charlie Crist setzte im Fr hjahr 2007 die Verwendung g ngiger Papier Stimmzettel mit optischen Scannern f r die Wahlen 2008 durch um im Zweifelsfall eine manuelle Nachz hlung zu vereinfachen und die Wahl transparenter zu gestalten 5 4 1 2 Speichermedien Eine Studie des Election Science Institute ESI in San Francisco ber eine Stichprobe von 467 von insgesamt 5407 in Ohio eingesetzten Diebold Wahlmaschinen stellte fest dass 24 St ck der einge setzten Speichermedien keine Daten der Wahl enthielten Weiters zeigten 72 der Wahllokale eine Diskrepanz zwischen der elektronischen Aufzeichnung der Stimmen auf den Speicherkarten der Ma schinen und den Papierbelegen Auf 42 dieser Wahlmaschinen auf denen unterschiedliche Stimmen gefunden wurden betrafen diese Diskrepanzen mindestens 25 Stimmen ESIO6 73 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen 5 4 1 3 Papierrollen Das Gesetz des Staates Ohio wie auch das des Staates New York legt seit 2005 fest dass jede Wahlmaschine einen Papierbeleg enthalten muss auf dem jede abgegebene Stimme festgehalten wird Die Studie zeigte allerdings dass W hlerstimmen selbst dann falsch aufgezeichnet werden k nnen wenn die Wahlmaschinen mit Papier Sicherungen arbeiten Die Papierbelege wurden mit gew hnlichen Druckern auf Papierrollen gedruckt was profunde Risiken wie Papierstaus leere Tin ten
164. hamir How to share a secret In Communications of the ACM Volume 22 Issue 11 ACM 1979 S 612 613 Sham93 M Shamos Electronic Voting Evaluating the Threat In Proceedings of the 3rd ACM Con ference on Computers Freedom and Privacy ACM 1993 SietO5 R Sietmann Dreimal dr cken fertig E Voting Gro einsatz bei der Bundestagswahl c t 19 2005 S 54 Siet06 R Sietmann Schach dem E Voting Hackerteam demonstriert die Manipulierbarkeit von Wahlcomputern c t 22 2006 S 52 SietO7 R Sietmann W hler Selbstkontrolle Experten ringen um Vertrauen in elektronische Wahl maschinen c t 19 2007 S 84 Simo04 B Simons Electronic voting systems the good the bad and the stupid In Queue Volume 2 Issue 7 October 2004 RFID threat or promise Department Opinion 2004 S 20 26 Somm01 Sommerville Software Engineering 6 Auflage Pearson Studium 2001 Somm06 l Sommerville Software Engineering Engl 8 Auflage Pearson Studium 2006 Somm07 Il Sommerville Software Engineering Deutsche 8 Auflage Pearson Studium 2007 Song06 M Songini Paper Trail Flawed in Ohio Election Study Finds Computerworld August 21 2006 SparOl D Spar Ruling the Waves Cycles of Discovery Chaos and Wealth from the Compass to the Internet Harcourt 2001 StabO2 Stabsstelle IKT Strategie des Bundes Das sterreichische IT Sicherheitshandbuch Version 2 2 Bundeskanzl
165. he Arbeiten zum ThreeBallot Wahlverfahrens AppeO6 TjPeO7 wurden wie auch ei nige Abwandlungen des Verfahrens DePeO8 nach der Entwicklung dieses End to End Systems ver ffentlicht Bei Ronald L Rivests Scratch amp Vote AdRi06 und Peter Ryans Pr t a Voter Schema BrLi06 ChRyO5 wird die gesamte Liste der Kandidaten bzw Parteien in einer zuf lligen Reihenfolge darge stellt siehe auch Kapitel 4 4 2 Mit dem Abschnitt kann der W hler ebenfalls die abgegebene Stimme auf einem Web Bulletin Board berpr fen David Chaums Scantegrity verwendet ein hnliches Verfahren bei dem jeder Stimmzettel mit einer eindeutigen Nummer und jedes K stchen f r eine Partei mit einem zuf lligen Buchstaben ver sehen wird Diese Kombination wird in einer separaten Datenbank ohne Hinweis zum W hler ge speichert Die abgegebene Stimme mit der individuell zugeordneten Buchstabenkombination zur Parteien liste ist mit der Seriennummer auf einem ffentlichen Bulletin Board anonym vom W hler nach der Entschl sselung berpr fbar Der Nachteil dieses Verfahrens sind fortlaufende Seriennummern die durch ein Beobachten der Ankunft der W hler im Wahllokal eine Zuordnung zwischen W hler und Stimmzettel m glich ma chen und somit das geheime Wahlrecht kompromittieren 6 7 2 3 Die Punchscan Methode Eine weitere Alternative ist die von David Chaum vorgestellte Punchscan Methode die ein Hybrid von Papier und elektronischem Verfahren is
166. heidungsunterst tzung im ffentlichen Sektor Decision Support in E Government TU Wien 2007 16 Dissertation Sicherheit von E Voting Systemen 1 Einleitung E Voting ist ein entscheidender Teil von E Government und dient zur demokratischen Entschei dungsfindung 1 3 Definition E Voting E Voting ist ein eher fuzzy also ein unscharfer Begriff der oft mit anderen verwandten Begriffen wie Internetwahlen oder Online Wahlen vermischt wird Diese kurze bersicht definiert den Begriff E Voting und grenzt ihn von hnlichen Begriffen ab CESGO2 S 6f e Elektronische Wahlen Electronic Voting oder E Voting Damit ist jene Wahlmethode gemeint bei der die Stimmen der W hler auf elektronischem Weg repr sentiert oder gesammelt werden e Kiosk Wahlen Die Verwendung bestimmter Wahlmaschinen in Wahllokalen oder anderen kon trollierten Orten Die Stimmen werden auf individuellen Maschinen bekannt als Direct Recor ding Electronic DRE Wahlmaschinen bzw Wahlcomputer abgegeben und gesammelt Nach Beendigung des Wahlvorganges werden die abgegebenen Stimmen an eine zentrale Z hlstelle elektronische Urne weitergeleitet e Remote Electronic Voting REV elektronische Fernwahlen Dieser Ausdruck wird f r das Wah len ber elektronische Mittel von einem entfernten Ort aus verwendet Das inkludiert das W h len ber das Internet ber Textnachrichten SMS interaktives digitales TV oder das Tonwahl Telefon e Online Wahlen
167. heit in der Informationstechnik Zertifizierungsreport BSI PP 0031 2007 zu Schutzprofil Digitales Wahlstift System Version 1 0 1 entwickelt im Auf trag der Freien und Hansestadt Hamburg Zertifizierungsreport V1 0 ZS 01 01 F 301 V2 02 Vertrauensw rdigkeitspaket EAL 3 mit Zusatz von ADV_SPM 1 und AVA_MSU 3 g l tig bis 30 06 2008 BSI 2007 BSI08 BSI Bundesamt f r Sicherheit in der Informationstechnik BSI Standard 100 4 Notfallma nagement Entwurf Version 0 7 2008 Buch04 T Buchsbaum Abschlussbericht der Unterarbeitsgruppe 3 E Voting im internationalen Ver gleich Arbeitsgruppe E Voting im BMI Unterarbeitsgruppe Internationales 2004 Bund05 16 Deutscher Bundestag Beschluss des 16 Deutschen Bundestags vom 14 Dezember 2006 WP 145 05 BT Drs 16 3600 7 Anlage 1 Wahlcomputer Einspruch betreffend der G ltigkeit der Wahl zum 16 Deutschen Bundestag am 18 September 2005 CaBo05 L Camp W Bowman A Friedman Voting Vote Capture amp Vote Counting Symposium In ACM International Conference Proceeding Series Vol 89 Proceedings of the 2005 national conference on Digital government research Atlanta Georgia SESSION E voting 2005 S 198 199 CaGr05 T Carroll D Grosu A Secure and Efficient Voter Controlled Anonymous Election Scheme In Proceedings of the International Conference on Information Technology Coding and Com puting ITCC 05 I
168. heit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Entwicklungsebene O 1 2 3 4 5 6 7 8 9 10 Kernbereich 1 Hardware Einhaltung der Wahlgrundsatze A B C 2 Hardware Safety A B C 3 Hardware Security A B C 4 Hardware Kryptografie A B C 5 Software Einhaltung der Wahlgrunds tze A B C 6 Software Datenintegrit t A 7 Software Kryptografie A B C 8 Software Transparenz A B 9 Software Softwareentwicklung A B 10 Software Schutz der Software A B 11 Human Factors Einhaltung der Wahlgrunds tze A B 12 Human Factors Sicherheitsmanagement A B 13 Human Factors Benutzerinterface A B C 14 Human Factors Transparenz A B C 15 Human Factors Gestaltung der Wahl A B 16 Human Factors ITA Validierung A Tabelle 8 Die EVSSO Matrix Aus der EVSSO Matrix l sst sich erkennen dass etwa die Einhaltung der Wahlgrunds tze bei al len Hauptbereichen Kernbereiche 1 5 und 11 die h chste Priorit t bei der Bewertung der Sicher heit eines E Voting Systems hat da die Stufen A am weitesten links stehen Das entspricht der Ein haltung der rechtlichen Grundlagen siehe auch Kapitel 7 2 1 7 5 Bewertung eines E Voting Systems mit der EVSSO Methode Die EVSSO Matrix wird individuell f r jedes E Voting System ausgef llt indem dieses in einem As sessment kritisch analysiert und f r jeden Kernbereich der Status determiniert wird Di
169. hen oder wirken Nr Kernbereich Anforderungen OK Anm 12 A 1 Einschulung des Personals und Erstellung von Sicherheitspl nen Einschulung auf Si cherheitsmerkmale der Ger te und auf die Durchf hrung der regelm igen dokumen tierten Tests die vor w hrend und nach der Wahl an dem E Voting System durchge f hrt werden St rkung des Sicherheitsbewu tseins etwa von Social Engineering Pig backing und Insider Attacken Definition von Rollen Sicherheitsbeauftragter und Si cherheitsmanagement Team und eines Sicherheits und Notfallplans was soll im Fal le eines Ausfalles passieren welche Rollen tragen die einzelnen Mitarbeiter Notfall strategien definieren etc 12 A 2 Sicherheitsma nahme duale Kontrolle Bei kritischen Ma nahmen ist die Autorisie rung von zwei Mitarbeitern der Wahlkommission notwendig z B Stornieren einer Stim me 12 A 3 Protokollierung der Handhabung von Software Hardware und Stimmspeichermedien zur l ckenlos nachvollziehbaren Kontrolle aller Prozesse 12 B 1 Hintergrund berpr fungen aller Mitarbeiter die an der Entwicklung an der Organisa tion und Administration beteiligt sind vom Hersteller bis zur Wahlkommission und Wahlbeobachtern 12 B 2 Security Awareness Trainings aller externen Mitarbeiter auch der Softwareentwickler noch vor der Implementierung zur Risikovermeidung 13 Benutzerinterface 13 A 1 Darstellung des Stimmzettels auf e
170. hrend oder nach der Wahl festzuhalten enth lt zum derzeitigen Zeitpunkt ber 42 000 gemeldete Ereignisse LopeO5 In diesem System werden organisatorische M ngel festgehalten wie auch Probleme beim Umgang mit den Wahlma schinen Usability oder Fehler bei der Stimmabgabe Ein weiteres Problem sind die sogenannten Butterfly Ballots zu Deutsch w rtlich Schmetter lings Stimmzettel wie sie in Palm Beach Florida bei den Wahlen im Jahr 2000 eingesetzt wur den siehe Abbildung 18 Das Lochkartensystem sah vor dass das Loch neben der gew hlten Par tei ausgestanzt werden solle allerdings kam es durch die versetzte Auflistung der Parteien und Dar stellung der Stellen an denen gestanzt werden sollte dazu dass einige W hler die f r die Demo kraten stimmen wollten die Reform Partei gew hlt haben OverO6 S 54fl hnliche Probleme gab es im Jahr 2000 in Chicago Cook County wo ein hnlich missverst nd licher Stimmzettel verwendet wurde siehe Abbildung 19 oben Eine Usability Studie durchge f hrt von Marcia Lausen ergab dass die Namen der Kandidaten schwer zu lesen waren die Felder f r das Abstimmen zu nahe zusammen standen und die Aufteilung der Kandidaten im Layout un zureichend war LausO7 S 17f Der untere Teil der Abbildung 19 zeigt den Stimmzettel nach dem Redesign 87 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Confusion over Palm Beach County ballot
171. ht auf bereits zugelassene Ger te Der Voter Verified Paper Trail wird oft mit dem Voter Verified Paper Ballot VVPB verwechselt Beim Voter Verified Paper Ballot dient der Papierstimmzettel als amtlicher Nachweis der Stimme elektronische Ger te etwa Scanner werden lediglich eingesetzt um schneller zu einem Ergebnis zu gelangen Das Ergebnis der manuellen Ausz hlung gilt als rechtlich g ltig Beim Voter Verified Paper Trail dienen die Papierbelege eher als Backup Mechanismus f r nachtr gliche erneute Aus z hlungen das amtliche Ergebnis geht aber aus der elektronischen Z hlung hervor Voter Verified Paper Trail Verfahren werden oft kritisiert da sie versuchen Transparenz in einen von Natur aus nicht transparenten Prozess zu bringen Daher ist der Einsatz von VVPT besonders bei nachtr glicher Installation in einem bereits eingesetzten E Voting System umstritten Zudem kann der VVPT das geheime Wahlrecht untergraben Weitere Kritikpunkte sind dass durch den Ein satz von VVPT nur zu h herer Komplexit t und zu zus tzlichen Kosten kommen w rde Cast07 Sarah Everett schrieb ihre Dissertation EverO7 ber eine Usability Studie bei der sie in ein selbst gebautes E Voting System beabsichtigte Fehler in den Best tigungs Screen vor dem endg lti gen Abschicken einbaute um zu sehen wie die Benutzer des Systems darauf reagieren Etwa zwei Drittel der Testpersonen bemerkten die Fehler nicht und schickten ihre Stimme so ab Somit wurde geze
172. ht diese wurde ebenfalls abgewiesen Die franz sische Organisation Ordinateurs De Vote des Informatikers Pierre Muller startete ge gen den Einsatz von E Voting Systemen bei der Pr sidentschaftswahl 2007 ebenfalls eine Unter schriftenliste die knapp hunderttausend franz sische B rger unterzeichnet haben mit der zus tzli che Papierbelege Audit Verfahren und in letzter Folge den Verzicht auf Wahlmaschinen und die Beibehaltung von Papierstimmzetteln gefordert wird Zus tzlich wurde bem ngelt dass bei den technischen Zulassungsbedingungen in Frankreich keine Quellcode Inspektion der eingesetzten 104 http www openrightsgroup org 105 http www evoting cs may ie 106 http ordinateurs de vote org 156 Software und keine Pr fmechanismen zur Verifikation der Integrit t der E Voting Systeme verlangt werden Der holl ndische Aktivist Rop Gonggrijp gr ndete 2006 die Organisation Wij vertrouwen stem computers niet Wir vertrauen Wahlmaschinen nicht die Kampagnen gegen Wahlsysteme ohne Voter Verified Paper Audit Trail startet Gonggrijp f hrte im Oktober 2006 im Holl ndischen Fernse hen einen Hack auf eine E Voting Maschine des Herstellers Nedap vor und verfasste zudem eine Si cherheitsanalyse zu den Maschinen GoHeO6 Die belgische Initiative Pour une Ethique du Vote Automatise setzt sich ebenfalls gegen den Einsatz von Wahlcomputern ein Wahlcomputer werden in Belgien bereits seit 1994 verwendet USA
173. htlinien und Standards der Federal Election Commission FEC FECO1 ge testet und zertifiziert siehe auch Kapitel 6 9 2 allerdings ohne staatliche Aufsicht oder Beteili gung Der Zertifizierungstestprozess der propriet ren Software ist geheim und meist unvollst ndig auch die Ergebnisse der Tests sind geheim Die in Wahlsystemen eingesetzte kommerzielle Stan dard Software Commercial Off the Shelf COTS Produkte z B Microsoft Access wird in keinem der Tests berpr ft da dies die Richtlinien der Wahlkommission der Vereinigten Staaten nicht for dern Die Aussagekraft der Zertifizierung ist zudem fraglich da die Zertifizierung der Hersteller der Maschinen selbst beauftragt wird siehe auch Kapitel 6 9 Simo04 5 4 2 3 Sicherheitsl cken in bestehenden E Voting Systemen In einer Reihe von bereits eingesetzten E Voting Systemen wurden Fehler durch Analysen oder Stu dien gefunden siehe auch Kapitel 6 3 Im Fall von Diebold dem bekanntesten Hersteller von Wahlmaschinen kam es durch einen un gesicherten FTP Server dazu dass der eigentlich geheim gehaltene Sourcecode der DRE Wahlma schinen unbeabsichtigt herausgegeben wurde Dieser Sourcecode wurde 2003 von einigen Sicher heitsexperten genauer analysiert die Ergebnisse wurden im Rubin Report bzw auch Hopkins Re port oder Hopkins Rice Report genannt ver ffentlicht KoStO4 Weitere Berichte in anderen Arti keln oder B chern etwa Keig04 von Bev Harris Harr04 S 138ff
174. ichen Fall stellt das Parallel Testing dar Bei dieser Art des Testens von DRE Wahlma schinen wird am Wahltag neben den tats chlich eingesetzten Wahlmaschinen eine Reihe von Ma schinen zu Testzwecken aufgestellt die einen Phantom Wahlbezirk darstellen Ziel ist es durch eine Testaufstellung welche m glichst einer normalen Aufstellung entspricht Fehler zu entdecken die bei den normalen Wahlbezirken auftreten k nnen Dabei werden laufend Testwahlen durch Test personen durchgef hrt die alle m glichen Aktionen gew hnlicher W hlern mimen sollen ShamO4 91 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Nachteil des Parallel Testings ist dass mit diesem Verfahren probabilistische Attacken knock Attacken und Time Trigger nicht entdeckt werden Manipulationen die erst nach dem Ziehen der Stichprobe von Wahlger ten wirksam werden lassen sich mit Parallel Testing ebenfalls nicht aufdecken Weiters ist zu entscheiden welche Konsequenzen eine aufgedeckte Irregularit t wie etwa eine Diskrepanz bei den Testmaschinen nach sich ziehen w rde GoHe06 S 11 5 4 3 7 Mangelnde Sicherheitsvorschriften Die Sicherheitsvorschriften beim Einsatz von E Voting Maschinen in den USA sind weniger streng und sorgf ltig als bei Gl cksspielmaschinen Besonders Insider Attacken sind ein gro es Problem das von amerikanischen Herstellern von Wahlmaschinen au er acht gelassen wird DiRu04
175. ierung Blackbox Tests Teamaufteilung duales Entwickeln Security Tests und Auditing nach Implementierung Review der Applika tion auf Sicherheitsmerkmale White Box Tests Penetration Tests Code Analysen Metriken Interoperabilit t f r die Zukunft ga rantieren mit Verwendung offener nicht propriet rer Standards 10 Software Schutz der Software Homogene Betriebssysteme mit aktuellen Sicherheits Updates Keine Default Passw rter oder PINs starke Passw rter berpr fung der Version und der Integrit t des Sourcecodes der ver Standard Bi bliotheken und der Konfigurations wendeten externen dateien Sicherheit des Update Mechanis mus Nicht ben tigte vorinstallierte Software deinstallieren Skalierbarkeit berpr fung der Authentizit t des Compilers Schutz gegen diverse Software Si cherheitsrisiken wie Buffer Overflows Viren W rmern Trojanern Rootkits etc Schutz vor Man In The Middle Atta cken 11 Human Factors Ein haltung der Wahlgrunds t ze Freies Wahlrecht parteilose und neutrale Gestaltung des Stimmzettels und der Wahlmaschine Es muss m glich sein ung ltig zu w hlen ffentlichkeit und Transparenz Einsichtnahme einer Wahlkommissi on in Sourcecode und Zugang zu 132 Barbara Ondrisek Kernbereiche Stufe B Pers nliches Wahlrecht Ohne Stellvertreter pers nlich W hlen
176. iff f r psychische ko gnitive und soziale Einflussfaktoren verwendet 43 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme 4 E Voting Systeme In diesem Kapitel wird ein allgemeiner Uberblick tiber elektronische Wahlsysteme deren Teile und Arten gegeben Es folgt eine Beschreibung der Grundlagen von E Voting Systemen Wahlprotokolle und ein berblick ber sterreichische Entwicklungen und internationale E Voting Systeme 4 1 Definition von Systemen Folgende Definitionen vom nstitute of Electrical and Electronics Engineers gelten als Abgrenzung zu anderen Bezeichnungen Ein System wird als Sammlung von Komponenten definiert die derart angeordnet sind um spe zielle Funktionen oder eine Menge an Funktionen zu vollbringen IEEE90 Ein Softwaresystem ist ein System f r das Software die einzige entwickelte oder nderbare Komponente ist IEEE98 Ein Informationssystem ist ein Mechanismus der Informationen handhabt Erfassung Ablage Speiche rung Wiedergewinnen IEEE9O Ein E Voting System ist ein System das aus mechanischen elektromagnetischen oder elektroni schen Teilen besteht Es beinhaltet Software zur Steuerung der Ger te zur Definition der Stimmzet tel zum Abgeben und Z hlen der Stimmen und zur Erstellung und Darstellung der Ergebnisse FECO1 Volume I Section 1 1 4 Mit einem E Voting System wird ein Teil des Wahlvorgangs elek tronisch abgebildet So werden etwa die Stimmzettel auf el
177. ifizierungen bis hin zu Pr fverfahren 6 1 Allgemeine Sicherheitsanforderungen Folgende Kriterien f r essenzielle Anforderungen an elektronische Wahlsysteme diese werden auch als die 6 Gebote bezeichnet werden hier Sham93 als Regeln gegeben Jede Stimme bleibt ein unantastbares Geheimnis Il Jeder W hler darf nur einmal abstimmen und nur f r jene Parteien f r die der W hler autori siert ist Ill Das System darf nicht manipulierbar sein IV Die Stimmen m ssen genau gez hlt werden V Das System muss w hrend der gesamten Wahl verf gbar sein VI Ein Audit Trail soll verf gbar sein um Verst e gegen die Regeln II IV zu erkennen er darf aber nicht Regel verletzen Diese allgemeinen Grunds tze gelten f r Urnenwahlen wie auch f r E Voting Systeme und stim men mit den rechtlichen Bestimmungen berein siehe auch Kapitel 2 1 Eine weitere Liste der allgemeinen Sicherheitsanforderungen an E Voting Systeme wird hier ge geben Auszug SchlOO S 18ff e Authentifikation des W hlers e Autorisierung Zugriffskontrolle e Integrit t der bertragung gesch tzte Kommunikationsinfrastruktur mit Kryptografie e Korrektheit der Ausz hlung des Resultates e Verifizierbarkeit Pr fung durch unabh ngige Dritte oder die ffentlichkeit e Vertraulichkeit e Nichtvermehrbarkeit keine Wahlscheinvermehrung e Nichtbeeinflussbarkeit Zwischenresultate sollen nicht f lschbar sein e Wahlgeheimnis Entsch
178. ige j ngere E Voting Verfahren wie von Chaum Chau04 Rivest Rive06 oder Ryan ChRyO5 erweitern herk mmliche Verfahren um Bulletin Boards mit deren Hilfe eine Stimme nach der Stimmabgabe anonym berpr ft werden kann siehe Kapitel 6 7 2 In dem Wahlschema von Kiayias und Yung wird eine Kombination aus Mix Nets siehe Kapitel 4 4 5 und homomorpher Kryptografie siehe Kapitel 4 4 3 2 vorgestellt KiYu04 Das Internet Wahlverfahren von Karro und Wang verwendet weder Blinde Signaturen noch an onyme Kan le sondern basiert auf Trusted Authorities und l uft in vier Phasen ber verschiedene getrennte Server ab KaWa99 Ein anderes E Voting Protokoll verwendet keine Kryptografie son dern schwache Signaturen und Vektoren um Sicherheit zu gew hrleisten MaMa07 Das Verfahren nach Chen und Horng ist f r kleinere Online Wahlen gedacht und basiert auf Pri vate Infomation Retrieval ChGo95 mit nur einem Server mit einem Secure Coprocessor ChHo05 Auf einer ganz anderen Technologie setzen Park und Shin auf die einen nte ligent Magic Sti cker verwenden Dieser ist ein holografischer Aufkleber der je nachdem aus welchem Winkel man ihn betrachtet verschiedene Informationen erkennen l sst Diese Informationen werden zum Anony misieren der Stimme des W hlers verwendet PaSh06 Die theoretischen Ans tze zu Wahlverfahren sind sehr fundiert Analysen von E Voting Schemata GoKIO6 haben aber erwiesen dass auch die theoretische B
179. igt dass Review Screens am Ende der Stimmabgabe nicht effektiv genug sind zudem noch ein kleiner Prozentsatz der Testpersonen 6 die Stimmabgabe als abgeschlossen betrachteten und das Ger t verlie en ohne die Stimme endg ltig abzuschicken Die Folgerung ist dass selbst Pa pierausdrucke der Stimmen die durch das E Voting System ausgegeben werden von W hlern nicht nochmals berpr ft werden w rden Das Gegenteil zu VVPT und VVPB hei t Hand Counted Paper Ballot HCPB der der g ngigen Stimmabgabe mit Papierstimmzettel und Urne gleich kommt und bei dem keine elektronischen Ver fahren verwendet werden Hier sei das Transparenzgebot wie auch das ffentlichkeitsprinzip ge w hrleistet 6 7 2 End to End Systeme und Bulletin Boards End to End Systeme sind zus tzliche Hilfsmittel einer Wahl bei denen W hler die korrekte Spei cherung ihrer Stimme berpr fen k nnen ohne das Wahlgeheimnis anderer W hler zu verletzen Die berpr fung der eigenen Stimme wird so zu einem Teil eines Audit Verfahrens zu dem auch eine wiederholbare erneute Ausz hlung der Stimmen oder berpr fbarkeit der Stimmabgabe geh ren 105 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen End to End Systeme Beispiel eines Systems siehe Abbildung 22 bieten eine M glichkeit die durch die Einf hrung elektronischer Wahlverfahren verloren gegangene Transparenz dadurch zu ver bessern dass jeder W hler die M glichkeit hat sich von der ko
180. inbezogen werden die die Maschinen unabh ngig inspizieren da sonst weder Korrektheit noch Manipulationssicherheit gew hrleistet werden kann siehe auch Kapi tel 6 2 Die M glichkeit zur berpr fung der G ltigkeit des Wahlergebnisses anderer Wahlgrunds tze und der Manipulationssicherheit ist bei einer Wahl mit Stimmzetteln und Urnen weit einfacher als bei einer Wahl mit E Voting Systemen Elektronische Wahlsysteme gleichen einer Blackbox in der etwas nicht Nachvollziehbares passiert Das Speichern und das Berechnen der Wahlergebnisse sind vor dem W hler versteckt ORGO7 100 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen ffenheit und Transparenz bei der Stimmabgabe ist in einem demokratischen System not wendig um das Vertrauen in die Wahl und die Einhaltung der Wahlgrunds tze siehe auch Kapitel 2 1 gew hrleisten zu k nnen So wird durch mehr Klarheit und Einbindung der W hler mehr Si cherheit in einem gr eren Kontext gew hrleistet Durch mehr ffentlichkeit im Wahlprozess wird die Einflussnahme durch Innen und Au ent ter minimiert eine demokratische Teilnahme am Ver lauf gew hrleistet und das Vertrauen in den Entscheidungsfindungsprozess gehoben Bereits 1988 wurden Audit Trails die die Wahl berpr fen und dokumentieren vorgeschlagen um die Akzeptanz zu steigern und vor verstecktem b sartigem Code in propriet rer Software ge warnt der u erst schwer zu finden ist
181. ine Gruppe von Komponenten die Sicherheitsziele teilen sich aber in Schwer punkt oder Sch rfe unterscheiden k nnen In einer Familie wird mindestens eine Komponente be schrieben die Sicherheitsanforderungen an die konkrete Funktionalit t charakterisiert Die Bewer tung der einzelnen Komponenten f hrt zu einer Einordnung in eine bestimmte Evaluierungsstufe f r die Vertrauensw rdigkeit Protection Profiles Schutzprofile bestimmen den Schutzbedarf und die Sicherheitsziele f r Pro duktklassen Sie stellen die Bedrohungen den Anforderungen gegen ber und bieten anerkannte L sungen auf angemessen abstrakter Ebene f r Sicherheitsprobleme einer Produktgruppe Produkte werden in Produktgruppen eingeteilt wobei ein Produkt als ein Paket aus IT Software Firmware und oder Hardware darstellt das die Funktionalit t f r den Gebrauch oder die Einbindung in einer Vielzahl von Systemen bereitstellt CC betrifft den gesamten Entwicklungsprozess eines Computerprogrammes Es dient als Leitfa den f r die Entwicklung sicherheitskritischer Systeme deren Bewertung und zur Auswahl von IT Si cherheitsprodukten Ein Nachteil der Common Criteria Zertifizierung ist dass der Hersteller das betroffene Produkt bei einer beliebigen Stelle zertifizieren lassen kann die er selber w hl vgl T V Zertifizierungen Dadurch kann eventuell eine Zertifizierungsstelle gew hlt werden die weniger streng pr ft als ande re Stellen Auch Einflussnahmen durch Beste
182. iner Bildschirmseite ohne Scrollen 13 A 2 Anordnung der Parteien muss dem Papierstimmzettel entsprechen wie etwa Reihenfol ge Schriftgr e Platzierung etc 13 A 3 Ad quate Darstellung des Ablaufes der Stimmabgabe Weiter Zur ck und Abbre chen Buttons etc vor der endg ltigen Abgabe kann der Stimmzettel nochmals kon trolliert und ge ndert werden bereilungsschutz muss gew hrleistet werden Klare Na vigation 13 A 4 Keine Wahlbeeinflussung durch Werbung in Wahlkabinen oder am Display 13 A 5 Korrekte Darstellung des Stimmzettels Kalibrierung bei Touchscreen Ger ten mit ber pr fungsm glichkeiten Reihenfolge der Kandidatenliste gew hlte Kandidaten stim men mit den abgegebenen berein 13 A 6 Feedback f r Benutzer w hrend und nach Beendigung der Stimmabgabe 13 A 7 Online Hilfe Seiten bei jedem Schritt verf gbar Benutzerhandbuch oder Anleitung in ausgedruckter Form Kontextsensitive Online Hilfe 13 A 8 Akzeptable Antwortzeiten der Applikation Maximal 5 sec pro Schritt 13 B 1 Mehrsprachigkeit der Applikation der Dokumentation f r den W hler und der Hilfe 13 B 2 Vergr erungen des Bildschirms Lupe Funktion f r Sehbehinderte 100 Beim Piggybacking schleicht sich ein Angreifer mit einer autorisierten Person bei einem kontrollierten Zugang mit hin ein 152 N
183. ing Using Partially Compatible Homomorphisms In Advances in Cryptology CRYPTO 94 Lecture Notes in Computer Science Volume 839 Springer 1994 S 411 424 SaKi95 K Sako J Kilian Receipt free mix type voting scheme A practical solution to the imple mentation of a voting booth In Advances in Cryptology EUROCRYPT 95 Lecture Notes in Computer Science Vol 921 Springer 1995 S 393 403 SaKo06 N Sastry T Kohno D Wagner Designing Voting Machines for Verification In Proceedings of the 15th USENIX Security Symposium 2006 S 321 336 Salt06 R Saltman The History and Politics of Voting Technology in quest of integrity and public confidence 1 ed Palgrave Macmillan 2006 Salt88 R Saltman Accuracy integrity and security in computerized vote tallying In Communica tions of the ACM Volume 31 Issue 10 1988 S 1184 1191 SaPo06 K Sampigethaya R Poovendran A framework and taxonomy for comparison of electronic voting schemes In Computers amp Security Vol 25 No 2 Elsevier 2006 S 137 153 ScheOl K Schedler eGovernment und neue Servicequalit t der Verwaltung In eGovernment Eine Standortbestimmung Bern 2001 S 33 51 SchlOO M Schlifni Electronic voting systems and electronic democracy participatory e politics for a new wave of democracy Dissertation TU Wien 2000 SchnOO B Schneier Inside risks semantic network attacks In Communications of the ACM
184. ingesetzten kryptografischen Algorithmen ebenfalls offen und berpr fbar sein L the implementation of the algorithm in software and or hardware must also be demonstrated to be correct through rigorous end to end provability Under the Common Criteria program satis faction of these constraints would require certification at Evaluation Assurance Level 7 which no product has yet attained MercO5 S 18 6 5 Security through Transparency Das ffentlichkeitsprinzip siehe auch Punkt ffentlicher und transparenter Wahlvorgang im Ka pitel 2 1 erm glicht Kontrolle durch den B rger Das Prinzip besagt dass allen interessierten Per sonen eine M glichkeit geben werden muss die Korrektheit und Sachm igkeit des Ablaufes und der Ausz hlung beobachten zu k nnen So kann der Verdacht einer Wahlmanipulation zerstreut wer den Der Grundsatz der Amtlichkeit des Wahlprozesses sichert Kontrolle durch ffentliche Organe wie eine Wahlkommission und Wahlbeh rde Bei E Voting Systemen sind diese Personen aber im Allge meinen mangels hinreichender technischer Kenntnisse nicht in der Lage die Software oder die Wahlcomputer zu berpr fen Da der ffentlichen Verwaltung die technische Expertise zur Beurtei lung der Risiken fehlt verl sst sie sich meist auf Herstellerangaben und nicht ffentliche Zulas sungsverfahren Bei der Auswahl von Wahlmaschinen f r die elektronische Stimmabgabe m ssen ebenso technische Experten mit e
185. initionen gelten als die meistzi tierten Definition nach Schedler Electronic Government ist eine Organisationsform des Staates welche die Interaktionen und Wechselbeziehungen zwischen dem Staat und den B rgern privaten Unternehmungen Kunden und ffentlichen Institutionen durch den Einsatz von modernen Informations und Kommunikati onstechnologien IKT integriert ScheOl S 35 Die Definition nach Aichhorn Schmutzer besagt Mit dem Begriff Electronic Government E Government wird entsprechend der gegenw rtigen internationalen Diskussion eine neue Phase des Einsatzes von Informations und Kommunikati onstechnologien im Bereich Regierung und ffentliche Verwaltung bezeichnet Ein wesentlicher Zug ist der verst rkte Einsatz elektronischer Medien im Verkehr zwischen B rgern und Einrich tungen des politischen Systems ffentliche Verwaltung Regierung Parlament etc AiSc99 S 7 Es werden eine Reihe verschiedener Gebiete bei E Government unterschieden Die gr ten Teil bereiche sind Folgende e E Decision Entscheidungsunterst tzung E Democracy und E Voting politische Partizipation E Assistance Unterst tzung im Alltag e E Administration Verwaltungsaufgaben e E Procurement und E Fulfillment Gesch ftsabwicklung e E Recht Gesetzeserzeugung und kundmachung e E Payment und E Card z B Authentifizierung Bezahlung e Weitere z B E Learning 3 Nach J Br thaler Vortrag Entsc
186. keiten innerhalb von Grenzen oder Kosten als Proportionen angegeben wer den k nnen Weiters werden Tree Problems Problemb ume vorgestellt siehe Abbildung 3 mit denen Zu sammenh nge visualisiert werden k nnen Eine Risikoanalyse wird meist mit einem Entscheidungs baum Boeh91 oder auch Attack Tree oder Fault Tree dargestellt siehe Kapitel 3 3 2 ee N Abbildung 3 Tree Problem An extended conse quence analysis Quelle EkDa95 S 10 Neben den vielen Vorteilen die die Risikoanalyse mit sich bringt wie etwa Bildung eines Sicher heitsbewusstseins oder Identifizierung der Verm genswerte und Schwachstellen weist sie auch ei nige Nachteile auf wie Unflexibilit t fehlende Genauigkeit und Richtigkeit oder hohe Kosten 3 3 1 1 Das STRIDE Modell Eine bekannte Methode f r Threat Modeling ist das STRIDE Modell SwSn04 S 27 bei dem die Bedrohungen in sechs verschiedene Kategorien eingeordnet werden e Vort uschen einer anderen Identit t Spoofing identity e ndern von Daten Tampering with data 35 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit e Nichtanerkennung Repudiation Ver ffentlichung von Informationen Information disclosure e Zugriffsverweigerung Denial of Service e Erh hung der Rechte Elevation of privilege Die Schwere der Risiken wird nach DREAD bewertet e Schadenspotential Damage Potential e Reproduzierbarkeit Reproducibility e Ausnutzbarkeit E
187. l 2004 Arbeitsbericht zum T tigkeitsfeld Wirtschaftsinformatik Informationsverarbei tung und Informationswirtschaft 01 2004 Wirtschaftsuniversit t Wien 2004 PrMu02 A Prosser R M ller T r k E Democracy Eine neue Qualit t im demokratischen Entschei dungsprozess In Wirtschaftinformatik Nr 44 2002 S 545 56 PrSt06 A Prosser R Steininger e voting2006 at An Electronic Voting Test Among Austrians Ab road Working Papers on Information Systems Information Business and Operations Nr 02 2006 PTBO4 PTB Physikalisch Technische Bundesanstalt Pr fbericht der PTB vom 12 05 2004 Bau musterpr fung eines Wahlger tes ESD1 Pr fbericht PTB 8 51 001 04 2004 Ques04 W Quesenbery Oops They Forgot the Usability Elections as a Case Study Michigan State University Conference on Usable Information Technology 2004 RABAO4 RABA Innovative Solution Cell Trusted Agent Report Diebold AccuVote TS Voting System January 20 2004 K rzel Quelle RaRaOl I Ray I Ray N Narasimhamurthi An Anonymous Electronic Voting Protocol for Voting Over The Internet In Proceedings of the 3rd International Workshop on Advanced Issues of E Commerce and Web based Information Systems WECWIS 01 2001 S 180 190 RaymOl E Raymond The Cathedral and the Bazaar Musings on Linux and Open Source by an Acci dental Revolutionary 20
188. le und somit auch die Sicherung verliert Durch die Aufsicht der Wahlbeh rde ber die Stimmabgabe kann bei Pr senzwahlen das pers nliche und geheime Wahlrecht leichter gesichert werden als bei Di stanzwahlen XeMa04 1 4 1 Internetwahlen I Voting W hlen ber das Internet als Spezialfall elektronischer Wahlen siehe Kapitel 1 3 ist ein Beispiel f r Distanzwahlen und birgt durch die Verkn pfung zum Internet weit h here Sicher heitsrisiken in sich als andere E Voting Verfahren Den Vorteilen von Internetwahlen wie W hlen im eigenen Pyjama h here Wahlbeteiligung Steigerung der Mobilit t f r W hler v a Auslands w hler Kostenersparnisse breiterer Zugang und weitere Zugriffsm glichkeiten MoGIO1 werden schwerwiegende Nachteile von Kritikern entgegengehalten 19 Dissertation Sicherheit von E Voting Systemen 1 Einleitung Zum einen sind diese zus tzlichen Sicherheitsrisiken des Votings mit den allgemeinen Sicher heitsproblemen des Internets verbunden wie der M glichkeit verschiedener Angriffe wie Hacker At tacken Phishing Viren Trojaner Lauschangriffe Malware Spyware R ckverfolgbarkeit etc vor allem aber Distributed Denial of Service Attacken gegen die es bei jetzigem Stand der Technik keinen hinreichenden Schutz gibt Das geheime Wahlrecht k nnte durch Vorratsdatenspeicherung Online Durchsuchungen etwa mittels Bundestrojaner Deep Packet Inspection oder das Ausspio nieren von IP
189. lections ACCURATE ist ein kollaboratives Projekt zwischen verschiedenen Institutionen das sich auf kri tische Untersuchungen von E Voting Systemen spezialisiert hat ACCURATE untersucht Softwarear chitekturen manipulationssichere Hardware kryptografische Protokolle und Verifikationssysteme Weiters besch ftigt sich die Organisation mit Usability und politischen Themen um E Voting siche rer zu gestalten David Wagner von der UC Berkeley ist einer der Initiatoren des Programms Das Caltech MIT Voting Technology Project wurde von den Pr sidenten der beiden Universita ten Caltech und Massachusetts Institute of Technology MIT gegr ndet um in Zukunft die Proble me die die erneute Ausz hlung bei den Pr sidentschaftswahlen in den USA im Jahr 2000 verhin dert haben zu bew ltigen Wissenschaftler wie Ted Selker haben im Rahmen des Projekts eine Rei he kritischer Berichte zum Thema E Voting ver ffentlicht Kim Alexander gr ndete 1994 die Organisation The California Voter Foundation einen unpartei ischen Verein der sich f r einen Einsatz von Technologie zur St rkung des demokratischen Prozes 11 o http www uuvv org in html 11 NS http www freedom to tinker com Weitere Weblogs die sich mit E Voting auseinander setzen sind http blog electiontechnology com http electionupdates caltech edu blog html http electionlawblog org http moritzlaw osu edu blogs tokaji http insideelections shapethefuture or
190. lgendermaBen definiert A safety related system comprises everything hardware software and human elements neces sary to carry out one or more safety functions where failure of the safety function would give rise to a significant increase in the risk to the safety of persons and or the environment S lan Sommerville unterscheidet drei Systemkomponenten kritischer Systeme in denen Ausf lle auftreten k nnen SommO7 S 73 e Systemhardware Systemsoftware e Menschliche Bediener des Systems Die identifizierten sicherheitsrelevanten Elemente eines E Voting Systems sind somit Folgende e Hardware Hier wird zwischen mechanischen und elektronischen Teilen unterschieden Software Betriebssystem Treiber Compiler Programme Datenbanken im Programm verwen dete Regeln Prozeduren und Abl ufe Verlauf der Stimmabgabe Wahlprotokoll Human Factors In diese Kategorie fallen Usability organisatorische Aspekte angewandte Richtlinien und Strategien etwa Informationsweitergabe oder Handhabung von Passw rtern Politik und andere Aspekte wie etwa Akzeptanz e Schnittstellen Weitere sicherheitsrelevante Elemente sind die Verbindungen bzw die Schnitt stellen zwischen den oben beschriebenen Komponenten Schnittstellen Hardware Software 24 Eine formale Definition eines sicherheitsbezogenen Systems ist in IEC EN 61508 Teil 4 Abschnitt 3 4 1 zu finden 25 Von der Homepage des IEC http www iec ch zone fsaf
191. line Wahlen Skizze einer Security Policy In 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungsband 7 Deutscher IT Sicherheits kongress des BSI 2001 Bundesamt f r Sicherheit in der Informationstechnik SecuMedia Verl 2001 S 181 195 USATO4 USA Today More than 4 500 North Carolina votes lost because of mistake in voting machine capacity April 2004 Vene02 Europ ische Kommission f r Demokratie durch Recht Venedig Kommission Verhaltensko dex f r Wahlen Leitlinien und Erl uternder Bericht 51 und 52 Tagung der Venedig Kom mission Bundesministerium der Justiz Mitteilung Nr 190 2002 CDL AD 2002 Stra burg den 30 Oktober 2002 VfGH85 VfGH Verfassungsgerichtshof Das Erkenntnis vom 16 03 1985 Sammlungsnummer 10412 Gesch ftszahl G18 85 Dokumentnummer JFT 10149684 85G00018 Index LO Verfassungs und Organisationsrecht 1985 VfGH89 VfGH Verfassungsgerichtshof Das Erkenntnis vom 16 03 1989 Sammlungsnummer 12023 Gesch ftszahl G218 88 Dokumentnummer JFR_10109684_88G00218_01 Index 10 Ver fassungsrecht 10 04 Wahlen 1989 VoGr06 M Volkamer R Grimm Multipe Cast in Online Voting In Proceedings of the 2nd Interna tional Workshop Co organized by Council of Europe ESF TED IFIP WG 8 6 and E Voting CC Electronic Voting 2006 Gl 2006 S 97 106 VoKr06 M Volkamer R Krimmer Die Online Wahl auf dem Weg zum Durchbruch In Informatik S
192. llen zwischen Mensch und Maschine sondern auch die Schnittstellen zwischen Mensch und Software und die Verbindungen unter den Individuen zu betrachten Die Komplexit t steigt weiter extrem an 140 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Will man nun das Gesamtsystem betrachten muss man jedes Einzelteil des Systems f r sich wie auch seinen Einfluss auf das gesamte System betrachten wobei der Aufwand f r eine vollst n dige Analyse derart exponentiell anw chst dass das Problem der Analyse der Sicherheit des Ge samtsystems nicht mehr l sbar wird Das Schalenmodell analog zur EVSSO Methode veranschaulicht somit den enormen exponentiel len Anstieg der Komplexit t bei der Analyse eines E Voting Systems in Hinblick auf dessen Sicher heit Es zeigt zudem dass je vielschichtiger ein System ist desto schwieriger bis hin zu unm g lich wird es den Reifegrad der Sicherheit dieses Systems zu bewerten 141 Dissertation Sicherheit von E Voting Systemen 8 Conclusio und weitere Anmerkungen 8 Conclusio und weitere Anmerkungen Sicherheit zu bewerten ist generell ein schwieriges Unterfangen da sich Sicherheit nur schwer quantifizieren l sst Die vorgestellte Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen siehe Kapitel 7 bietet ein qualitatives Bewertungsverfahren das nicht auf Klassi fizierungen basiert sond
193. lls ein mehrstufiges Verfahren Zur Gew hr leistung der Anonymit t wird der Wahlvorgang in zwei zeitlich getrennten Phasen abgehalten Im ersten Schritt der Registrierung werden elektronische anonyme Stimmzettel auf mobile Tr germe dien verteilt die dann in der zweiten Phase abgegeben werden k nnen PrMu02 Ein Problem bei diesem Verfahren ist die Zwischenspeicherung des Stimmzettels auf einem Da tentr ger wie einer Smartcard einer Signaturkarte oder einem anderen Medium da durch ein m g liches Auslesen und Manipulieren der Daten die Wahlrechtsgrunds tze der geheimen und gleichen Wahl gef hrdet werden k nnten 4 4 5 Wahlprotokolle basierend auf Mix Nets Diese Wahlschemata basieren auf sicheren anonymen Kan len und digitalen Pseudonymen Verfah ren mit Mix Networks wurden das erste Mal von David Chaum vorgestellt Chau81 wobei Daten ber st ndig wechselnde Routen ber mehrere Nodes geschickt werden und wurde seitdem auch weiterentwickelt und erweitert BoGoO2 Boyd90 Chau88 Jako98 JuCa02 LeBoO4 Neff04 65 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Im Allgemeinen wird zwischen Decryption Mixnets und Re Encryption Mixnets unterschieden wobei letztere Mix Networks als fehlerrobuster gelten SaPo06 Weitere E Voting Verfahren basierend auf Mix Nets sind die von Park et al Palt93 von Sako SaKi95 OgKu97 und von Masayuki Abe Abe99 4 4 6 Andere Wahlprotokolle und Probleme Ein
194. lte ein Kryptografie Sicherheitsproblem behoben werden Durch diesen Versuch wollte Wallach zeigen wie einfach es ist ein System zu manipulieren welche verschiedenen M glichkeiten Angreifer haben das zu tun welche Wege es gibt die Manipulation nicht erkennen zu lassen und wie schwer es auf der anderen Seite ist Fehler zu finden und auszu bessern BaPr04 Ein ahnliches Projekt wurde an der Johns Hopkins Universitat veranstaltet Im Rahmen einer Lehrveranstaltung wurde das Projekt Hiding and Finding Malicious Code ausgetragen bei dem Stu denten unter Leitung von Aviel Rubin b sartigen Soucecode in gutartigen schmuggeln sollten ande re Studenten sollten diesen versteckten Code dann wieder finden Das Experiment zeigte dass es viel leichter ist b sartigen Code versteckt einzuarbeiten als jenen wieder zu finden Woeh04 Das Brennan Center f hrte eine der umfassendsten Studien ber E Voting Maschinen durch die drei Ger tetypen umfasste optische Scanner und Touchsceen Wahlmaschinen mit und ohne Paper Trail Die Analyse verfolgte einen ganzheitlichen Ansatz bei dem vier Teams jeweils einen Aspekt der Ger te untersuchen sollten Das Usability das Barrierefreiheit und das Kosten Team unter suchten E Voting Systeme mit Fokus auf deren jeweiliges Spezialgebiet Weiters analysierte das Se curity Team bestehend aus Wissenschaftlern des amerikanischen National Institute of Standards and Technology David Dill Howard Schmidt und Ronald Rivest
195. lten Die Stimmen die nicht mehr gespeichert werden konn ten gingen so f r immer verloren USATO4 In Napa County California USA wurden ebenfalls 2004 6 692 Stimmen von Auslandswahlkar ten wegen eines Kalibrierungsfehlers des optischen Scanners nicht gez hlt weil dieser unterschied liche Tinten nicht erkennen konnte Da es sich aber um einen Scanner f r Papierstimmzettel han delte konnte eine erneute Z hlung gestartet werden die alle Stimmen erfasste ZettO4a 2000 sollen dem Kandidaten Al Gore in Volusia County Florida sogar 16 022 Stimmen abgezo gen worden sein Film1 Bei der Wahl 2000 in Florida wurden Lochkartensysteme und keine DRE Wahlmaschinen eingesetzt Bei der Kongresswahl im Herbst 2006 in Florida im Landkreis Sarasota bei denen der republi kanische Kandidat mit nur 369 Stimmen Vorsprung nach der Ausz hlung gewann kam es zu einem Verlust von rund 18 000 Stimmen rund 13 der W hler also jeder achten Stimme Diese Anzahl an Stimmen wurde als Undervotes also als ung ltig gewertet blicherweise kommt es in den USA zu einem Anteil von zwei bis drei Prozent an ung ltigen Stimmen Eine Pr fung der Wahlmaschinen des Herstellers ES amp S wurde angeordnet welche die Ger te testen und eventuelle Manipulationen nachweisen sollte Die Ursache f r die Abweichung sollte offiziell gekl rt werden allerdings wurde bei der Untersuchung kein Fehler gefunden Kritik an dieser Wahlmaschinenpr fung kam von David Dill
196. lten werden m ssen 4 5 1 Pilotversuche Mitarbeiter der Wirtschaftsuniversit t Wien vor allem Robert Krimmer und Alexander Prosser ha ben bereits zwei Pilotversuche zu E Voting durchgef hrt bei denen die technische Realisierbarkeit evaluiert wurde Diese Versuche wurden parallel zu den sterreichischen Hochsch lerschaftswahlen 2003 PrKo02 und zur Wahl des sterreichischen Bundespr sidenten 2004 durchgef hrt StWe05 PrKo04 Beim Pilotversuch an der Wirtschaftsuniversit t Wien parallel zu den sterreichischen Hochsch lerschaftswahlen war eine Internetwahl m glich an der rund 1 000 Studenten teilnahmen Die Stu denten mussten sich vor der Stimmabgabe registrieren und erhielten einen elektronischen Stimm zettel der auf einem Speichermedium zwischengespeichert wurde siehe auch Kapitel 4 4 4 Bei dem Wahltest parallel zu den Bundespr sidentschaftswahlen haben 1 786 von rund 20 000 WU Studenten einen elektronischen Stimmzettel beantragt 961 haben ihre Stimme tats chlich auch ber das E Voting System abgegeben Dabei wurde ein sehr hnliches Wahlergebnis Abwei chung von 0 6 zu den offiziellen Wahlresultaten der Wahl erzielt Der Ablauf war sehr hnlich zum vorangegangenen Pilotversuch Die Studenten identifizierten und registrierten sich ber das In ternet vor der Wahl die Stimmabgabe mit einem anonymen elektronischen Stimmzettel erfolgte ebenfalls ber das Internet Die Wiener Zeitung hat 2006 mit Unterst tzung der
197. ltung der Wahlgrunds tze 5 A 1 Allgemeines Wahlrecht korrekte Erfassung der B rger in der W hlerevidenz Nach An meldung zur digitalen Wahl wird der W hler in die W hlerevidenz f r E Voting aufge nommen 5 A 2 Gleichheit ein Stimmzettel pro W hler die Stimmen z hlen gleich viel Authentifizie rung des W hlers Kennzeichnung des anonymen W hlers der einen Stimmzettel an gefordert abgegeben hat auf der Smartcard falls der Stimmzettel dort bergeben wurde und im W hlerverzeichnis Synchronisation einer lokalen Kopie der W hlerevi denz mit einer zentralen Datenbank um mehrfache Stimmabgaben zu vermeiden 5 A 3 Geheimes Wahlrecht anonyme Kan le verschl sselte Kommunikation anonyme au thentische Stimmabgabe am Urnenserver durch Verwendung blinder digitaler Signatu ren Keine lineare zeitliche R ckverfolgbarkeit keine sequenziellen Nummern son dern Randomize Funktion f r Liste der abgegebenen Stimmen 5 B 1 ffentlichkeit und Transparenz Sourcecode der Software der Wahlmaschinen und der Wahlmanagement Software durch Peer Reviews von technischen Experten analysieren lassen Nachvollziehbarkeit der Stimmabgabe f r W hler durch Offenlegung des Sour cecodes der Dokumentation und Zugang zu einem Bugtracking System Die Ergebnisse der Analysen werden ver ffentlicht 5 B 2 Eine ffentliche Liste der verwendeten Software Betriebssysteme COTS Produkte Software mit der das Syst
198. lwahlen im Herbst 2005 in Estland eingesetzt 4 4 3 2 Homomorphe Kryptografie Eine kryptografische Funktion E basierend auf ffentlichen Schl sseln gilt dann als homomorph wenn Folgendes f r einen ffentlichen Schl ssel X gilt Ex T1 T Ex T1 Ex T2 Das Funktionspaar kann jedes beliebige Paar f f2 bilden solange die Funktionen homo morphe Eigenschaften haben Rosl04 S 26 Es wird zwischen additiven etwa in Pail99 ElGa85 und multiplikativen homomorphen Krypto systemen etwa in RiSh78 PeAdO4 unterschieden Zur Wahlauswertung werden die verschl sselten Stimmen miteinander multipliziert oder addiert das Produkt oder die Summe entspricht dem verschl sselten Wahlergebnis T Th Durch diese homomorphe Eigenschaft k nnen Stimmen anonym gez hlt werden ohne eine einzelne Stimme zu entschl sseln Ein Beispiel f r ein homomorphes Kryptosystem ist der multiplikativ ho momorphe RSA Kryptografie Algorithmus RiSh78 Bei diesem Verfahren werden keine Einzelstim men gespeichert Ein Nachteil dieser Methode ist die gro e Anzahl an Rechenoperationen die diese Methode sehr langsam machen Eines der ersten Wahlprotokolle in denen homomorphe Kryptografie verwendet wurde war das von Cohen und Fischer CoFi85 Auf dem selben Ansatz basierend wurde eine Reihe weiterer Pro tokolle entwickelt Acqu04 Bena87 BeYu86 CrFr95 CrGe97 DaJu03 GoZhO2 Iver92 KiYuO2 LeBoO4 LeKi0O LeKi03 SaKi
199. m aktuellen und der vorangegangenen Jahre Definition von Toleranzwerten etwa maximal 10 Abweichung 14 B 3 Bestimmung der Grenzwerte f r manuelle Nachz hlungen Gr e der Stichprobe etwa 5 der Papierstimmzettel eines akzeptablen Toleranzwertes des Unterschiedes zum elektronischen Ergebnis bei manuellen Nachz hlungen etwa maximal 1 14 C 1 Ein ffentlich diskutierbares Wahlprotokoll und Verwendung von ffentlich verf gbare starke kryptografische Algorithmen 15 Gestaltung der Wahl 15 A 1 Die Registrierung zur elektronischen Wahl soll kein Hindernis etwa f r ltere Menschen oder Menschen ohne Internetzugang darstellen 15 A 2 Parallelbetrieb alternatives W hlen mit Papierstimmzettel m glich Mehrfachabstim mungen vermeiden indem W hlerevidenzen synchron gehalten werden 15 A 3 Zeitgleicher Beginn und Ende der elektronischen Stimmabgabe mit den konventionel len Wahlen 15 A 4 Verz gerungen des Ablaufes der Stimmabgabe verhindern rechtzeitige Lieferung und Aufbau der Ger te und Einschulung der Mitarbeiter etc 153 Nr Kernbereich Anforderungen OK Anm 15 A 5 M glichkeit einer Teststimmabgabe f r einen W hler auch mit Anleitung eines Mitar beiters der Wahlkommission 15 B 1 Akzeptanz und Verbreitung Kostenfaktor Kostentragungspflicht f r die Ger te liegt bei ffentlichen Stellen 16 Independent Testing Authority Validierung 16 A 1
200. mationsdienste auf Bundes ebene in sterreich Endbericht Studie im Auftrag des Bundeskanzleramts In Absch t zung der sterreichischen Akademie der Wissenschaften Institut f r Technikfolgen 1999 AlAr98 D Alexander W Arbaugh A Keromytis J Smith Safety and security of programmable net work infrastructures IEEE Communications Magazine Special issue on Programmable Net works 1998 AndeO1 R Anderson Why Information Security is Hard An Economic Perspective In Computer Security Applications Conference 2001 ACSAC 2001 Proceedings 17th Annual 2001 S 358 365 Appe06 A Appel How to defeat Rivest s ThreeBallot Voting System Princeton University October 5 2006 AppeO06a A Appel Ceci n est pas une urne On the Internet vote for the Assembl e des Francais de l tranger June 14 2006 Rocquencourt France ArFo08 R Araujo S Foulle J Traor A practical and secure coercion resistant scheme for remote elections Extended Abstract In Dagstuhl Seminar Proceedings Frontiers of Electronic Vo ting Vol 07311 IBFI 2008 ArMo05 C Armen R Morelli Evoting and Computer Science Teaching About the Risks of Electronic Voting Technology In Proceedings of the 10th annual SIGCSE conference on Innovation and technology in computer science education Caparica Portugal SESSION E voting ethics and infrastructure for computing education 2005 S 227 231 BaBiO7 E Barr M Bishop M
201. measure the security of e voting systems This method also points out security flaws of an examined system shows its security optimization potential and can be used to compare different electronic voting systems The methodology differs from other ap proaches insofar as it is a holistic approach and takes the interdependencies of different aspects of the voting system into account It visualizes the security situation of an e voting system in a clear way and shows its potential for improvement Inhaltsverzeichnis dr SY a eee te ee es ee Poo ee Oe ee ee ee 15 LE TES eege scheictascansicuactyiads iad ee e a e eE eE 15 1 2 Definition E Government ec ea e aE E E E i a eE VaR eee ae 16 13 Dehintron Se TEE 17 1 3 1 Vorteile und Nachteile von E Moting 18 1 4 Distanz und Prasenzwahlen EE 19 1 4 1 TEE 19 el EE 23 241 Wahlgrundsatze nel ah neben ee 23 PABO AOTAN E 25 EE 26 2 4 Interpretation des Rechts im Bezug auf E vottmg 28 SE EE 29 3 1 Unterscheidung von Security und Gate 29 3 1 1 Zusammenhang von Security und Gate 30 3 1 2 Safety und Security bei E Vottmng 30 3 1 3 Weltere Sicherheilsaspekte ws ee 31 3 2 Gefahr und Bedrohungstvpen nenn 32 3 3 Risikomanagement u br needed 33 STE EE 34 E RR El lt sist eet dase aie ae ee 35 3 3 2 Baumanalvsevertahren 36 SE een 38 3 4 Technische und prozedurale Sicherheit 41 3 9 Informationssicherheit cse wear NR E E E aeai 41 A E Voting Gvsteme T r aa ara a a r a aa r A EAG
202. meint die den Grad an Sicherheit elektronischer Wahlen erh hen Umfassende Arbeiten zum Thema prozedurale Sicherheit wurden bereits ver ffentlicht WeViO7 XeMaO04c einige zeigen Ans tze aus verschiedenen Blickwinkeln wie etwa einen geografischen Ansatz HoSt06 3 5 Informationssicherheit Informationssicherheit wird oft mit IT Sicherheit verwechselt IT Sicherheit Schutz vor Viren W r mern Hackern etc ist nur ein Gebiet der technischen Sicherheit welche wiederum mit der physi schen und organisatorischen Sicherheit einen der drei wesentlichen Bestandteile der Informations sicherheit als Basis der Sicherheit in Unternehmen bildet Nur wenn alle drei Komponenten aufeinander abgestimmt sind ist der Basisschutz f r Ihr Un ternehmen gegeben Nagy05 Im Einzelnen wird nun auf die drei Teilgebiete der Informationssicherheit eingegangen Physische Sicherheit also Sicherheit der Hardware und des Netzwerkes betrifft unter anderem folgende Punkte e Zugangssicherung zu Geb uden und R umlichkeiten 41 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Beobachtungen der Aktivitaten von auBen Physische Beeintrachtigung der Anlagen sowohl durch unbeabsichtigte z B Kabelbrand Wasserrohrbruch Sch den durch St rme wie auch beabsichtigte Sch den z B Ausl sen ei ner Sprinkleranlage Sicherung vor Einbrechern Technische Sicherheit hat folgende Teilbereiche Betriebssicherheit z B Da
203. men Election Management Functions Feedback to Voter Accessibility Audit Trails Telecommunications Broadcasting of Unofficial Results Revised Test Features Tests unabhangiger Testbeh rden Expanded Testing Standards Stages in the Test Process Distinction Between Initial Tests and Testing of Modifications to Previously Tested Systems Documentation Submitted by Vendors Revised Organizational Features Anpassung der Standards an verschiedene Benutzungsgruppen Multiple Volumes Standards Guidelines and Fundamental System Development Techniques Inclusion of Selected Test Procedure Details Issues Not Addressed by the Revised Standards folgende Punkte werden nicht von den Stan dards erfasst Administrative Functions Integration with the Voter Registration Database Commercial Off the Shelf COTS Products Internet Voting Detailed Human Interface and Usability Standards Human Error Rate vs System Error Rate Das Verfahren deckt nicht alle Punkte der Sicherheit von E Voting Verfahren ab Stichwort Hu man Factors und schlie t zudem auch spezifische Punkte explizit aus wie die berpr fung der eingesetzten kommerziellen Standard Software Commercial Off the Shelf COTS Produkte Eine staatliche Regulierung oder gesetzliche Vorschrift dass E Voting Systeme diesem Standard gen gen m ssen gibt es nicht Die berpr fung wird zudem von unabh ngigen Testbeh rden durchgef hrt die allerdings von den Hersteller
204. n 5 4 1 1 Mechanische Probleme Mechanische Probleme beim Z hlen von Lochkarten sind ein weit verbreitetes Problem Bei soge nannten Punch Card Systems Lochkartensystemen gibt es Schwierigkeiten bei der Auswertung mittels optischer Scanner Optical Mark Sense Wahlsysteme Wenn die Stimmfelder unvollst ndig ausgestanzt werden oder Stanzreste hangen bleiben Undervote sind die Wahlkarten nicht mehr korrekt lesbar Selbes gilt wenn der Wahler unabsichtlich zu viel weg gestanzt hat dann spricht man von Overvote Die nicht zu Ende gef hrte manuelle Neuausz hlung in Florida 2000 ergab eine Fehlerrate von 5 68 bei Auswertungen mittels optischer Scanner und 3 93 bei Lochkarten Ar Mo05 Tabelle 5 zeigt die durchschnittlichen Fehlerraten der Wahlsysteme in den USA Systemtyp Durchschnittliche Fehlerrate Punchcard Lochkarten Systeme 2 64 Papierstimmzettel 1 99 Lever machines Hebelmaschinen 1 72 DREs Wahlcomputer 1 68 Marksense Optische Scanner 1 37 U S Durchschnitt 1 94 Tabelle 5 Durchschnittliche Fehlerrate geordnet nach Wahlsystemen BrBuO1 S 29 Die geforderte erneute manuelle Ausz hlung der Lochkarten bei den Pr sidentschaftswahlen 2000 in Florida wurde zwar begonnen der Oberste Gerichtshof stoppte diese jedoch bevor sie kom plett durchgef hrt werden konnte und der Kandidat George W Bush gewann mit einem Vorsprung von nur 537 Stimmen die Wahl in Florida und somit auch die Pr sidentsc
205. n ffentlichen Schl ssel des Signierenden berpr ft werden Folgende Schritte werden bei diesem Verfahren angewandt 3 http www instore gr evote 58 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Die Nachricht von Absender A die blind unterschrieben werden soll wird durch m darge stellt Die ffentlichen und privaten Schl sselpaare e n und d n des Signierenden B wer den f r diesen Vorgang ben tigt A erzeugt eine beliebige Zufallszahl r den sogenannten Blindingfaktor der mit dem 6ffentli chen Schl ssel n des Empf ngers kodiert wird mod n Die Nachricht wird mit diesem Schl ssel durch Multiplikation verschl sselt und man erh lt m F mod ol Die verschl sselte von B nicht lesbare Nachricht wird nun an B geschickt der sie mit sei nem privaten Schl ssel signiert m mod n mod n und wieder zur ck an A schickt Die signierte codierte Nachricht m mod n mod n kann nun mit der Modulo Inversen des Blindingfaktors r 1 multipliziert werden und A erh lt die von B signierte Nachricht m mod n da die folgende Bedingung f r das Codieren und Decodieren gilt rz mod n mod n rF Somit kann mit diesem relativ simplen mathematischen Verfahren erreicht werden dass der Sen der A eine vom Signierenden B digital signierte Nachricht erh lt ohne dass B den Inhalt der Nach richt lesen konnte und die Nachricht somit geheim bleibt Blinde Signaturen kommen bei viele
206. n mit deren Hilfe Risiken kategorisiert werden k nnen Die zivile Luftfahrt Federal Aviation Administration der USA verwendet folgende Kategorien zur Risikoeinstufung FAAO3 e Catastrophic Fehlerursachen die mehrfache fatale Folgen f r Flugg ste die Flugbesatzung oder den Verlust des Flugzeugs mit sich ziehen 38 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit e Hazardous Severe Major Fehlerursachen die die Funktionst chtigkeit des Flugzeugs stark her absetzen und die F higkeiten der Besatzung ung nstige Bedingungen zu meistern stark be eintr chtigen e Major Fehlerursachen die die Funktionst chtigkeit des Flugzeugs herabsetzen und die F hig keiten der Besatzung ung nstige Bedingungen zu meistern beeintr chtigen Minor Geringf gige Fehlerursachen die keinen signifikanten Einfluss auf die Flugzeugsicher heit und auf die Sicherheit der Flugzeugbesatzung haben e No Effect Fehlerursachen die keinen Effekt auf die Sicherheit haben Die internationale Norm IEC 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer programmierbarer elektronischer Systeme der International Eletrotechnical Commission IEC schl gt ein 4 stufiges System zur Kategorisierung der Konsequenzen von Unf llen vor siehe Tabelle 1 Kategorie Definition Katastrophal Mehrere Tote Kritisch Einzelner Todesfall und oder mehrere schwere Verletzungen oder Krankheiten der Be wohner
207. n 66 der Sitze im Kongress wobei sich die Grenzen ber viele Meilen hinweg zogen und ein recht un f rmiges Bild ergaben OverO6 S 26ff Es gibt allerdings Algorithmen die Gerrymandering verhindern Diese Programme erm glichen eine m glichst parteilose Aufteilung der Bezirke RiScO8 5 4 3 9 Wahlbetrug In sterreich kam es noch zu keinem bundesweiten Manipulationsversuch von Wahlen Auf Gemein deebene wurde Wahlbetrug ebenfalls nicht festgestellt allerdings l sst sich ein solcher Fall schwerer feststellen siehe auch Kapitel 5 3 Die Strafen bei Wahlbetrug sind recht hoch und be finden sich im Rahmen einer Freiheitsstrafe von bis zu drei Jahren BGBI74 262 268 Dezidiert konnte Wahlbetrug mit E Voting Systemen noch nicht eindeutig nachgewiesen werden Die Motivation daf r ist allerdings gro und die Auswirkungen eines Anschlages eines Einzelt ters k nnen enorm sein siehe auch Kapitel 5 2 In einem Fall behauptet Clint Curtis im Jahr 2000 als leitender Programmierer einer Firma in Florida beauftragt worden zu sein ein Vote Stealing Programm f r DRE Wahlmaschinen zu entwi ckeln mit dem man beliebig viele Stimmen einem gew nschten Kandidaten zuordnen kann Beauf tragt wurde er von einem damaligen repr sentantischen Abgeordneten der ebenfalls nebenberuflich f r die Firma arbeitete Curtis dachte damals die Software sollte dazu dienen um auf Risiken hin zudeuten allerdings erfuhr er dann dass das Pro
208. n E Voting Verfahren zum Einsatz da sie Authentizit t und gleichzeitig Anonymit t elektronischer Stimmzettel gew hrleisten 4 4 1 1 Verfahren nach Fujioka et al Viele der g ngigen E Voting Verfahren basieren auf dem Wahlprotokoll von Fujioka et al das 1993 erstmals in FuOk93 publiziert wurde Das Protokoll arbeitet mit normalen digitalen und blinden Signaturen und verlangt wie die meisten E Voting Systeme anonyme Kan le Digitale Signaturen basieren auf asymmetrischer Verschl sselung bei der ein Schl sselpaar verwendet wird dasaus ei nem ffentlichen und einem privaten Schl ssel besteht Pipe97 siehe auch Kapitel 4 4 1 Das Wahlprotokoll hat drei verschiedene Akteure e Administrator Authentifizierungsserver Z hler Urnenserver e Wahler 40 Die Modulo Operation mod n beschreibt den Restwert einer Division durch n 59 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Die Sicherheitsannahme dieses Wahlverfahrens besteht darin dass ein System sicher ist wenn es folgende Punkte erf llt Completeness Vollst ndigkeit Alle g ltigen Stimmen werden korrekt gez hlt e Soundness Zuverl ssigkeit Ein unehrlicher W hler kann die Wahl nicht gef hrden e Privacy Privatsph re Alle Stimmen sind geheim e Unreusability keine Wiederverwendung Kein W hler kann doppelt w hlen Eligibility Eignung Keiner der nicht w hlen darf kann w hlen Fai
209. n bezahlt werden 118 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen Ein weiterer interessanter Aspekt der FEC Standards ist dass in den urspr nglichen Standards aus dem Jahre 1999 Papierbelege vorgesehen waren aber in der berarbeiteten Version von 2002 nicht mehr vorkamen Das Verschwinden der Empfehlung von Papierbelegen ist auf schlichtes Ver gessen zur ckzuf hren nicht auf Absicht siehe auch Kapitel 6 7 1 Einige der Staaten der USA haben bereits die freiwilligen Richtlinien der FEC die einen Test und Zertifizierungsprozess beinhalten in ihre staatlichen Gesetze bernommen allerdings gibt es kein nationales Gesetz das einheitliche Richtlinien vorschreibt Jedem US amerikanischen Staat wird es selbst berlassen Richtlinien und Gesetze zu verordnen JoneOl So kommt es dazu dass einige amerikanische Staaten Papierbelege verwenden andere wiederum keine vorsehen siehe Ab bildung 26 Eine Vereinheitlichung der Gesetze erweist sich allerdings als schwierig State level YYPR b Requirements VVPR Map legend Legislation Regulation Requiring Paper Ballots 30 Mixed Requirement 1 Proposed Not Yet Enacted 9 DC Not Yet Proposed 10 e d e d sd l Een Fee Abbildung 26 Verwendung von Voter Verified Paper Trail Verfahren in den USA Quelle http verifiedvoting org Die FEC Standards werden h ufig als zu wage willk rlich und zu schwach bezeichnet So s
210. n ihrer Methodik der vorgestellten Methode zur Bewertung der Sicherheit von E Voting Systemen hneln Das Test Process Improvement Modell TPI PoKo02 ist ein Modell zur Verbesserung der Qua lit t des Testprozesses im Softwareentwicklungsumfeld Mit diesem Werkzeug k nnen Verbesse rungsvorschl ge zur Optimierung des Testablaufes formuliert werden Das Capability Maturity Mo de CMM Hump89 des Software Engineering Institutes SEI dient zur Aufbesserung des ge samten Softwareprozesses von der Softwareentwicklung bis zur Konfiguration und Wartung Capabi lity Maturity Model Integration CMMI ist der Nachfolger des CMM KneuO6 Diese Modelle ahneln der Methodik der Bewertung mit der EVSSO Methode allerdings wird ein anderer Fokus namlich der Reifegrad des Softwaretest bzw Softwareentwicklungsprozesses ge w hlt 7 2 Kernbereiche der EVSSO Methode Die Methode erm glicht die Beurteilung der Sicherheit bez glich verschiedener Aspekte Durch die Bewertung dieser Aspekte werden die St rken und Schw chen von Sicherheitsma nahmen eindeu tig festgestellt Diese Aspekte werden Kernbereiche genannt Um Sicherheit bei E Voting Systemen zu gew hrleisten muss man einen ganzheitlichen Ansatz w hlen der alle Teile dieses komplexen Systems inklusive menschlicher Faktoren ber cksichtigt Wird nicht jedes Element des Systems auf dessen spezifische Sicherheitsmerkmale auf Sicher heitsmerkmale der Schnittstellen zu anderen K
211. n nur die Stufen A oder A und B definiert bei manchen werden alle drei Stu fen verwendet Alle Kernbereiche und Stufen werden miteinander in der EVSSO Matrix siehe Kapitel 7 4 in Verbindung gebracht um Priorit ten und Abh ngigkeiten zwischen den Kernbereichen und den Stu fen darzustellen In der EVSSO Matrix werden die verschiedenen Stufen der Kernbereiche jeweils einer Entwicklungsebene zugeordnet Daraus ergibt sich eine Matrix mit zehn Entwicklungsebenen des Sicherheitsreifegrades Die Einstufung der Kernbereiche ergibt die Reife bzw die Qualit t der Sicherheit des E Voting Systems Jede h here Stufe C ist h her als B B ist h her als A ist besser also sicherer als die Stufe darunter Indem Stufen verwendet werden kann die aktuelle Sicherheitssituation des E Vo ting Systems genau bewertet werden Es erm glicht zudem das Erkennen schrittweiser Verbesserun gen f r die Sicherheit des bewerteten Systems Jede Stufe wird durch bestimmte Kriterien bzw Anforderungen an den jeweiligen Kernbereich definiert Werden diese Anforderungen auch Kriterien genannt erf llt ist die jeweilige Stufe er reicht F r die Erlangung einer h heren Stufe wird die Erf llung der Anforderungen der niedrigeren Stufen vorausgesetzt So m ssen um Stufe B zu erreichen neben den Anforderungen von Stufe B auch die Anforderungen von Stufe A erf llt werden Wenn Stufe C erf llt wird jedoch nicht Stufe B so ist die Komponente in Stufe A einzuordnen Wir
212. n somit notwendig sind um die n chste Stufe zu erreichen Zudem ist auch eine Priorisierung der Optimierungsma nahmen eing ngig da die n chsth heren Stufen angestrebt werden die die Entwicklungsebene und damit die Gesamtbewertung des E Vo 137 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen ting Systems erh hen Dies kann erreicht werden indem auf die noch nicht erreichten roten Stufen die am weitesten nach links reichen hingearbeitet wird In dem oben gezeigten Beispiel ist die Stu fe A bei Kernbereich 4 zu priorisieren da sich wenn der Kernbereich Stufe A erreicht die Gesamt bewertung schlagartig erh ht und das bewertete System Entwicklungsebene 3 erreicht Ziel der Op timierungen ist Entwicklungsebene 10 zu erreichen 7 6 Analyse der EVSSO Methode Neben einer anschaulichen Visualisierung der Situation der Sicherheitsqualit t und einer deutlichen Bewertung der Entwicklungsebene eines E Voting Systems lassen sich auch m gliche schrittweise Optimierungspotenziale aus der EVSSO Matrix klar ablesen Der Hauptzweck der EVSSO Matrix ist es die St rken und Schw chen der Sicherheit des E Voting Systems aufzuzeigen und allen Beteilig ten einen klaren Blick auf den aktuellen Sicherheitsstatus des Systems und dessen Verbesserungs m glichkeiten zu geben Die Anforderungen zur Erreichung bestimmter Stufen ergeben allgemein gehaltene Verbesserung
213. nbanken 8 Transparenz 8 A 1 Sourcecode und Dokumentation der Wahlsoftware zur berpr fung durch Dritte verf g bar machen Peer Reviews durch unabh ngige Experten Ergebnisse der Reviews ver f gbar machen 8 A 2 Wiederholte Testwahlen vor der rechtskr ftigen Wahl auf einer kleinen Anzahl der Wahl ger te Stichprobe von 5 der Maschinen aber von mindestens 2 Ger ten 8 B 1 Analyse der COTS Produkte des Betriebssystems und des BIOS mittels Peer Reviews durch technische unabh ngige Experten Die Ergebnisse werden ver ffentlicht 8 B 2 Integration eines internen Fehleranalyse Systems als Teil des E Voting Systems Dieses System soll Warnungen Fehler und Angriffe mit Zeitstempel und der betroffenen Kom ponente aufzeichnen 9 Softwareentwicklung OAI Qualit tsmanagement Reviews in jeder Phase des Entwicklungsprozesses Dokumenta tion Entwicklung und Einhaltung eines Zeitplans 9 A 2 Risikomanagement in der Planungsphase Benennung eines Sicherheitsbeauftragten 149 Nr Kernbereich Anforderungen OK Anm 9 A 3 Nachvollziehbarkeit ob ein anonymer Stimmzettel abgegeben wurde durch nachtr gli che bertragung eines Dekodierschl ssels oder einer anderen eindeutigen Nummer in einem eigenen Schritt nach dem Versand des verschl sselten ausgef llten Stimmzet tels Die Stimmabgabe gilt bis zum letzten Schritt als nicht abgeschlossen und k nnte neu begonnen werden 9 A 4
214. nchronisierter inter ner Uhren der Maschinen 7 Software Kryptografie Vertrauensw rdiger Pfad Kanal Schutz der Benutzerdaten und des Stimmzettels Einsatz asymmetrischer Schl ssel Chipkarten f r Iden tifikation Authentisierung und Autorisierung Einsatz von starken aktuellen Krypto Algorithmen Key Management Methoden um Kopien und Manipu lationen der Speichermedien zu er kennen Verschl sselung von Konfigurations files und Datenbank 8 Software Transparenz Sourcecode der Wahlsoftware zur berpr fung durch Dritte verf gbar machen Peer Reviews Wiederholte Testwahlen vor der rechtskr ftigen Wahl Test der COTS Produkte des Be triebssystems und des BIOS Internes Fehleranalyse System 8 COTS Commercial Off the Shelf 131 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Stufe Kernbereiche A B C 9 Software Softwareent wicklung Qualit tsmanagement Reviews in jeder Phase des Ent wicklungsprozesses Risikomanagement in der Planungsphase Nachvollziehbarkeit ob ein anonymer Stimmzettel abge geben wurde berpr fung der Benutzereingaben Interoperabilitat mit bestehenden Systemen Qualit tsmanagement automati sche und manuelle Testbarkeit Implementierungsrichtlinien Security Tests und Auditing nach Implement
215. nd die Umsetzung von Wahlverfahren in Zukunft alle sterreichischen Staatsb rger 7 OGM Umfrage f r die Zeitschrift Profil vom 17 11 2007 Interview in der ORF Pressestunde vom 4 11 2007 144 Appendizes Appendix A Die EVSSO Checkliste Nr Kernbereich Anforderungen OK Anm Hardware 1 Einhaltung der Wahlgrunds tze 1 A 1 Geheimes Wahlrecht keine lineare zeitliche R ckverfolgbarkeit kein sequenzielles Ausdrucken der Stimmzettel etwa auf einer Endlos Papierrolle 1 A 2 Geheimes Wahlrecht Verwendung von Wahlkabinen mit Sichtschutz auch nach oben ohne Spiegel oder Kameras 1 B 1 ffentlichkeit und Transparenz Zugriff auf Ger te Speichermedien und deren Doku mentation f r Mitarbeiter oder Mitarbeiterinnen der Wahlkommission und Wahlbeob achter 1 B 2 Zugriff auf Ger te und Speichermedien beim Aufbau und beim Einsatz limitieren Aus weiskontrollen Schl sselkarten berwachungspersonal oder hnliches Wahlkommis sion hat die Aufsicht 1 0 1 Lagerung Sperrung und Versiegelung der Ger te und der Speichermedien regelm ige berpr fung und Dokumentation der Sicherheitsvorkehrungen Schl sser Alarmanla gen Bewegungsmelder berwachungspersonal Hunden etc 1 C 2 Geheimes Wahlrecht Schutz vor TEMPEST Attacken durch emmissionsabsorbierende Kabinen oder wei es Rauschen und Minimierung des Ger uschpegels durch eine ent sprechende Konstruk
216. nd to End Systemen Quelle TSier 106 Abbildung 23 Beispiel eines Stimmzettels beim SureVote Verfahren einer Testwahl auf www sure NOESEN AER 107 11 Abbildung 24 ThreeBallot Stimmzettel mit Seriennummern Quelle Wikipedia http en wikipe dia org Wiki le scannen 108 Abbildung 25 Ablauf des Punchscan Verfahrens Quelle http punchscan or8 110 Abbildung 26 Verwendung von Voter Verified Paper Trail Verfahren in den USA Quelle http veri Ee eg TEE 119 Abbildung 27 Digitaler Wahlstift Quelle bttpo dotVote de 123 Abbildung 28 Schalenmodell analog zur EVGSGO Meihode eeeeeeeeeeeneeeeeeaeeees 140 12 Tabellenverzeichnis Tabelle 1 Kategorien zur Einteilung der Unfallschwere f r milit rische Systeme Boer04 S 16 der Nori e KEE EE 39 Tabelle 2 Kategorien zur Einteilung der Unfallwahrscheinlichen f r milit rische Systeme Boer04 Sas der Norm lEG 61H08 EE 39 Tabelle 3 Risikoklassifizeriung nach IEC 61508 Boer04 S 22 cece eect eee e eee eeeeeeaes 40 Tabelle 4 Definition der Risikoklassen nach IEC 61508 BoerO4 S 221 40 Tabelle 5 Durchschnittliche Fehlerrate geordnet nach Wahlsystemen BrBuOl S 29 73 Tabelle 6 Normen f r die Sicherheit von E Voting Systemen Stab02 Teil 2 Anhang A S 241ff a ee PUR ye S 114 Tabelle 7 Beschreibung der Stufen der Kernbereiche 134 Tabelle Die EV SSO de E 136 Tabelle 9 Beispiel einer ausgef llten EVSSO Matrix nach einem
217. ne Signatur angefordert hat und ob die Signatur des W hlers stimmt berpr fung mit dem ffentlichen Schl ssel des W hlers Nach der berpr fung unterschreibt der Regis trierungsserver die f r ihn nicht zu entziffernde Nachricht mit seinem privaten Schl ssel d und schickt das Paket b m SZ d wieder zur ck zum W hler Zus tzlich wird eine Liste gef hrt wessen Stimmzettel bereits signiert wurde Schritt 3 Voting Der W hler berpr ft die Signatur des Registrierungsservers mit dessen f fentlichen Schl ssel entfernt die Verschl sselung die sogenannte Blindisierung und erh lt den verschl sselten und authentisierten da signierten Stimmzettel m SZ Id Dieser Stimm zettel wird nun an den Urnenserver geschickt Schritt 4 Collecting Wurde der verschl sselte und signierte Stimmzettel erfolgreich empfan gen wird die Signatur des Registrierungsservers mit dessen ffentlichen Schl ssel berpr ft und der Stimmzettel noch verschl sselt in einer Liste gespeichert Schritt 5 Opening Der W hler berpr ft ob sein Stimmzettel in der Liste der Stimmzettel enthalten ist und schickt den Decodierschl ssel m nachtraglich an den Urnenserver Schritt 6 Counting Mit dem Decodierschl ssel m wird der Stimmzettel m SZ in der Urne entschl sselt der Stimmzettel SZ wird berpr ft und die Stimme zu den Resultaten gespei chert Bekannte E Voting Systeme basierend auf diesem Wahlprotokoll sind z B Lorrie Cranor
218. nem Weblog ber die mangel hafte Sicherung der Wahlmaschinen an den Tagen vor den Kongresswahlen in den Vereinigten Staa ten 2006 Die Maschinen standen unbewacht ungesichert und somit offen f r Manipulationen auf dem Gang eines Wahlb ros am Wochenende vor dem Wahltag siehe Abbildung 17 51 Attp www freedom to tinker com 85 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Abbildung 17 Ed Felten bei ungesicherten Wahlmaschinen Quelle http www freedom to tinker com Jede beliebige Person die sich am Vorwahltag in den Wahlb ros aufgehalten hat h tte sich an den Maschinen zu schaffen machen k nnen 5 4 3 4 Usability Unter Usability zu Deutsch Bedienbarkeit oder Gebrauchstauglichkeit versteht man das Aus ma in dem ein Produkt von einem bestimmten Benutzer verwendet werden kann um bestimmte Ziele in einem bestimmten Nutzungskontext effektiv effizient und zufriedenstellend zu erreichen aus DIN EN ISO 9241 11 1999 Die Usability f r W hler aber auch f r Wahlhelfer ist ein entscheidender Punkt beim Einsatz von E Voting Systemen und stellt ebenfalls ein Sicherheitsrisiko dar HoBeOO Die in Kapitel 5 4 1 be reits erw hnte Studie die die Genauigkeit von Diebold Wahlmaschinen hinterfragte stellte fest dass ein Drittel der Wahlhelfer Probleme beim Aufsetzen der Wahlmaschinen hatte 45 hatten Probleme beim Abschluss der Maschinen 38 hatten
219. netwahlen in dieser Arbeit nicht behandelt und nur der Vollst n digkeit halber gestreift siehe auch Kapitel 4 3 3 Der Fokus liegt eindeutig auf Wahlmaschinen im Speziellen auf DRE Wahlcomputer im Sinne der Definition in Kapitel 1 3 Audits bezeichnen allgemeine Untersuchungsverfahren 1 Blackbox engl Schwarze Schachtel ist ein Objekt dessen innere Funktion und der Aufbau unbekannt ist Das Ge genst ck dazu ist die Whitebox 22 Dissertation Sicherheit von E Voting Systemen 2 Wahlrecht 2 Wahlrecht Das bestehende Wahlrecht einer Demokratie ist die Basis jedes E Voting Systems Im Allgemeinen gilt f r jede einzelne Wahl ein etwas anderes Recht Die aktiven Wahlen der sterreichischen Hochsch lerschaft sind etwa anders festgelegt als die Nationalratswahlen aber bei jeder Wahl wird nach hnlichen Grunds tzen gew hlt Vor dem tats chlichen Wahlvorgang muss die Identit t des Stimmberechtigten verifiziert die Unverf lschtheit des ausgef llten Stimmzettels garantiert die freien Willensentscheidung gesichert und der bereilungsschutz gew hrt werden siehe auch Ka pitel 2 2 2 1 Wahlgrunds tze Das Wahlrecht ist in folgenden in Verfassungsrang stehenden Bestimmungen verankert Bundes Verfassungsgesetz BGBI30 Artikel 23a Europ isches Parlament Artikel 26 Nationalrat Artikel 60 Bundespr sident Artikel 95 Landtag Artikel 117 Gemeinderat Artikel 8 des Staatsvertra ges von Wien
220. ng Systemen ist eine demokratische Offenheit gemeint bei der die ffentlichkeit die M glichkeit hat den Wahlvorgang mitzuverfolgen In einem totalit ren System sind die Anforderungen an ein Wahlsystem anders als in einer Demokratie 101 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen e M glichkeit der Wahlbeobachtung vor w hrend und nach der Wahl Anwesenheit bei der Aus z hlung und bei der bermittlung der Stimmen zur zentralen Wahlbeh rde sind umstritten e bereinstimmung der abgegebenen Stimmen mit der Summe der gez hlten Stimmen zus tzli che unabh ngige Z hlung der W hler die das Wahllokal betreten und verlassen e Vergleich der Wahltagsbefragungen Exit Polls vom aktuellen und der vorangegangenen Jahre e Anonyme Papierbelege zur Validierung der abgegebenen Stimme siehe Kapitel 6 7 1 und als Kopie zum manuellen Ausz hlen der Ergebnisse e Anonyme berpr fung der abgegebenen Stimme nach der Stimmabgabe bei der Ver ffentli chung der Wahlergebnisse ffentliches Bulletin Board siehe auch Kapitel 6 7 2 Mit einer zu s tzlichen Funktion k nnen die anonymen W hler dem verglichenen Ergebnis zustimmen oder es anzweifeln Je mehr W hler ihrem abgegebenen Ergebnis zustimmen desto vertrauensw rdi ger ist das Gesamtergebnis Hierzu gibt es Toleranzgrenzen die aufzeigen ob das Wahlergebnis verf lscht wurde oder ob es als rechtskr ftig von den W hler anerkannt wird e Endergebnisse auf mehreren K
221. ngerous Experiment VoteTrustUSA 2 2 2008 DiWa07 D Dill D Wallach Stones Unturned Gaps In The Investigation Of Sarasota s Disputed Con gressional Election 13 04 2007 DujmOO W Dujmovits Auslands sterreicherwahlrecht und Briefwahl Verlag sterreich 2000 EACO5 EAC Election Assistance Commission Voluntary Voting System Guidelines 2005 EkDa95 L Ekenberg M Danielson Handling Imprecise Information in Risk Management In Pro ceedings of 11th IFIP SEC Conference Chapman amp Hall 1995 S 357 368 EIGa85 T ElGamal A public key cryptosystem and a signature scheme based on discrete logarithms In Advances in Cryptology Lecture Notes in Computer Science Vol 196 Sprin ger 1985 S 10 18 Engu06 C Enguehard Note technique sur les ordinateurs de vote Technischer Report 8 12 2006 ESIO6 ESI Election Science Institute DRE Analysis for May 2006 Primary Cuyahoga County Ohio August 2006 Evert S Everett The Usability of Electronic Voting Machines and How Votes Can Be Changed Wi thout Detection PhD Theses Rice University 2007 EvPa04 D Evans N Paul Election security Perception and reality In Security amp Privacy Magazi ne IEEE Volume 2 Issue 1 2004 S 24 31 FAAO3 FAA Federal Aviation Administration Federal Register Proposed Rules Department Of Transportation Federal Aviation Administration Federal Register Vol 70 No 109 14 CFR Part 27
222. ngs wurde ein schwacher Algorithmus der Linear Congruential Generator LCG von Bruce Schneier verwendet Dieser als gilt als nicht sicher da die urspr ngliche Reihenfolge wieder hergestellt werden kann Der Autor selber sagt zu dieser Methode Unfortunately linear congruential generators cannot be used for cryptography they are predic table Schn96 S 369 Bei der Analyse des Systems von Diebold wurde ebenfalls festgestellt dass der veraltete DES Verschl sselungsalgorithmus BishO5 S 228ff verwendet wurde der durch Bruteforce Attacken innerhalb kurzer Zeit geknackt werden kann Gilm98 und nicht die verbesserten Versionen wie Tri ple DES oder AES 79 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen Verschiedene vergleichende Analysen von E Voting SaPo06 Grit03 zeigten dass auch die Grundlage von E Voting Systemen das Wahlprotokoll selbst fehlerbehaftet sein kann So wird bei der Auswahl eines Wahlprotokolls oft ein Kompromiss eingegangen da meist nicht alle Aspekte von Sicherheit ber cksichtigt werden siehe auch Kapitel 4 4 6 5 4 2 5 Dedicated Special Purpose Machine Der Hersteller der Nedap Wahlmaschinen startete einen Aufruf zum Beweis f r die Aussage dass man mit Nedap Wahlmaschinen auch Schach spielen k nne Dies sollte nicht m glich sein da Wahlmschinen sogenannte Dedicated Special Purpose Machines sind Groe06 Dem Aufruf folgte eine Gemein
223. nnland Mexiko sterreich BuchO4 Die ersten E Voting Systeme wurden in den 1960er Jahren in den USA eingesetzt Damals wur den Lochkartensysteme und Wahlcomputer in einigen Staaten verwendet Das erste Land das den Wahlprozess bei rechtsg ltigen Wahlen durch Wahlmaschinen unterst tzen lie war Brasilien Be reits 1996 liefen Tests mit einer eigens entwickelten Maschine siehe Abbildung 8 Seit 1998 be teiligt sich die Firma Diebold ebenfalls an dem brasilianischen Projekt Seit 2000 werden nur noch elektronische E Voting Systeme eingesetzt ber 40 000 Wahlkioske seit 2002 gibt es zu s tzlich Papierbelege Reze04 2 Diebold Election Systems Inc DESI eine Tochtergesellschaft von Diebold wurde in Premier Election Solutions umbenannt 49 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Abbildung 8 Brasilianische Wahlma schine Quelle http derStandard at Belgien genehmigte E Voting per Gesetz 1994 und setzte bereits 1999 und 2000 elektronische Systeme ein Rund 44 aller belgischen Wahler gaben 2000 ihre Stimme elektronisch ab Dabei wurde bei den PC basierten Systemen Digivote von Steria und Jites der Firma Stesud die Stimme auf einer Magnetstreifenkarte gespeichert OSCEO7 In den USA wurden erstmals im Jahr 1992 DRE Wahlmaschinen eingesetzt Salt06 S 164 Davor war das amerikanische Volk bereits an Lochkartensysteme und Hebelmaschinen seit 1929 Salt06 S 156 gew hnt
224. nntnis des Soucecodes herausgefunden werden kann Sicherheit die auf Geheimhaltung oder Verschleierung von Informationen beruht ist nicht aus reichend Eher sollten starke Kryptografie Algorithmen und andere Techniken verwendet werden da davon auszugehen ist dass der Feind das System kennt Shannons Maxime The enemy knows the system eine Abwandlung des Kerckhoffs Prinzip In diesem Zusammenhang wird oft Linus Law zitiert erstmals durch Eric Raymond gepr gt Given enough eyeballs all bugs are shallow RaymO1 S 8 Abgesehen von statischen Pr fungen wie Peer Reviews sind Software Tests ein elementarer Be standteil zur Qualit tssicherung in der Softwareentwicklung Diese dynamischen Pr fungen unter schieden in Blackbox Tests und Glassbox oder Whitebox Tests berpr fen oft auch automati siert den Sourcecode der Software Diese Tests sind reproduzierbar objektiv und lassen sich mehr fach nutzen Weiters wird die Zielumgebung bei diesen Tests mitgepr ft und es l sst sich so das Systemverhalten sichtbar machen FrLu04 S 22 Eine M glichkeit auch vom Hersteller nicht bedachte Sicherheitsl cken aufzudecken sind neben Peer Reviews Veranstaltungen bei denen die Maschine von verschiedenen Sicherheitsexperten auf Herz und Nieren durch verschiedene Angriffsszenarien getestet wird Solche Veranstaltungen k n nen Capture The Flag Wettbewerbe oder die Aufstellung eines Red Teams sein die zum Ziel
225. o02 4 4 2 Permutierte Kandidatenlisten Einige Weiterentwicklungen von E Voting Systemen verwenden einen Scrambling Algorithmus der eine Permutation der Reihenfolge der Kandidaten ausgibt Ein Stimmzettel wird mit einer in ihrer Reihenfolge ver nderten Kandidatenliste dargestellt und eine Stimme wird gem dieser ver nder ten Reihenfolge somit verschl sselt abgegeben Die abgegebene Stimme wird erst nach der Sammlung der Stimmzettel entschl sselt indem die Stimme entsprechend der Permutation wieder korrekt zugeordnet wird Eine Papierstimmzettel Variante eines E Voting Systems mit Scrambling Algorithmus wurde mit Scratch amp Vote von Ronald L Rivest entwickelt Die Parteien werden in jeweils unterschiedlicher Reihenfolge auf dem Stimmzettel dargestellt und die Folge der Permutation wird zu jedem Stimm zettel in einem zweidimensionalen Barcode gespeichert Der Stimmzettel besteht weiters aus zwei Teilen zum einen aus der Liste der Kandidaten und zum anderen aus der zugeh rigen Liste der Fel der f r die Markierungen Kreuze Der W hler gibt seine Stimme durch Ankreuzen der K stchen oder hnlich ab und entfernt die eine H lfte des Stimmzettels auf der die Auflistung der Kandidaten dargestellt wird Nur die zweite H lfte die nur noch die Markierungen der abgegebenen Stimmen enth lt wird somit verschl sselt da die Reihenfolge nicht erkennbar ist abgegeben Mit dem Barcode der sich auf dem Abschnitt befindet kann die V
226. omponenten und auf dessen Einfluss auf das gesam 126 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen te System hin berpr ft kann die Sicherheit des gesamten Systems nicht gew hrleistet werden Dieser Ansatz wird auch Holistic Security ganzheitliche Sicherheit genannt McLaO5 Somit m ssen alle Teile eines Systems inklusive aller Facetten von Sicherheit wie Safety und Security Systemstabilitat Vertraulichkeit Integrit t Verf gbarkeit Zuverl ssigkeit Safety und Wartbarkeit ebenfalls ber cksichtigt werden siehe auch Kapitel 3 1 3 hnlich zur Unterteilung in physische technische und organisatorische Sicherheit Nagy05 sie he auch Kapitel 3 5 und zur Unterteilung in physikalische syntaktische und semantische Attacken SchnOO siehe auch Kapitel 5 wird mit dieser Methode zwischen folgenden drei Hauptbereichen eines E Voting Systems unterschieden Hardware Software und Human Factors vgl Unterteilung von Sommerville in Systemhardware Systemsoftware und Menschlicher Bediener des Systems SommO7 S 73 siehe auch Kapitel 4 2 Jeder dieser Hauptbereiche ist in weitere Kernbereiche untergliedert Bereich Hardware Einhaltung der Wahlgrunds tze e Safety e Security e Kryptografie Bereich Software e Einhaltung der Wahlgrunds tze Datenintegritat e Kryptografie e Transparenz e Softwareentwicklung e Schutz der Softwa
227. ontrollen Schl sselkarten Video berwachung Bewegungsmelder Alarm anlage Warnzeichen Flutlichtanlage berwachungspersonal Wachhunde und hnli ches Regelm ige Wartung der Schutzeinrichtungen Anmerkung Eine detaillierte Beschreibung der Pl ne Sicherheitsplan Notfallsplan Zeitpl ne etc und Konzepte Si cherheitskonzept etc w rde den Rahmen dieser Arbeit sprengen daher werden die Pl ne hier nicht n her spezifiziert In einschl giger Sicherheitsliteratur Softwareentwicklungshandb chern wie auch etwa im IT Grundschutz Handbuch des BSI sind genaue Beschreibungen dieser Pl ne zu finden 146 Nr Kernbereich Anforderungen OK Anm 3 B 1 Schutz der Speichermedien vor physikalischen Attacken Entfernbarkeit der Module durch sichere Schl sser keine Plomben beschr nken Seriennummern um Kopien der Speichermedien Smartcards der W hler und der Administration zu erkennen 3 0 1 Schutz vor internen Denial of Service Attacken Redundante Systeme etwa RAID Festplattenverbund Datenbank Cluster Load Balancer f r die Applikation Backups 3 0 2 BIOS Passw rter setzen Booten von CD ausschlie en 4 Kryptografie 4 A 1 Verwendung sicherer anonymer Verbindungen Verwendung einer Technik zur Anonymi sierung der Datenverbindung z B Onion Routing anonymes VPN oder anonymer Proxy 4 B 1 Hardware Verschl sselung der Festplatten Software 5 Einha
228. or e commerce Artech House 2001 HeinO3 P Heindl E Voting und e Democracy aus verfassungsrechtlicher Sicht In Institut f r In formationsverarbeitung und Informationswissenschaft Wirtschaftsuniversit t Wien Hrsg e Voting in der Schweiz Deutschland und sterreich Ein berblick Nr 02 2003 Wien 2003 S 23 27 Hers97 M Herschberg Secure Electronic Voting Over the World Wide Web Master s Thesis Massa chusetts Institute of Technology June 1997 HiSa00 M Hirt K Sako Efficient Receipt Free Voting Based on Homomorphic Encryption In B Preneel Ed EUROCRYPT 2000 Lecture Notes in Computer Science Vol 1807 Springer 2000 S 539 556 HoBeOO H Hochheiser B Bederson J Johnson C Karat J Lazar The Need for Usability of Electro nic Voting Systems Questions for Voters and Policy Makers White Paper submitted to Com puter Science and Telecommunications Board US National Academy of Sciences 2004 Hoff0O L Hoffmann Internet voting will it spur or corrupt democracy In Computers Freedom and Privacy Proceedings of the tenth conference on Computers freedom and privacy chal lenging the assumptions ACM 2000 S 219 223 HoLa06 L Hoffman K Lawson Jenkins J Blum Trust Beyond Security An Expanded Trust Model In Communications of the ACM July 2006 Vol 49 No 7 ACM 2006 S 95 101 HoLe02 M Howard D LeBlanc Writing secure code practical strategies and proven te
229. oting Systemen 4 E Voting Systeme Kommission auf die extrem hohen Kosten umgerechnet 150 900 Euro pro Stimme hin was die Argumente der Bef rworter f r Kostenreduktion durch den Einsatz von E Voting entkr ftete siehe auch Kapitel 1 3 1 4 3 3 Internet Wahlsysteme Trotz des kategorischen Ausschlusses von I Voting Systemen f r nationale Wahlen da Internet Wahlverfahren als inh rent unsicher gelten siehe Kapitel 1 4 wird hier ein kurzer berblick ber akademische Projekte und kommerzielle L sungen dieser Art von Systemen gegeben Zu Internetwahlen gab es eine Reihe staatlicher wie auch privater Pilotversuche z B in Frank reich Italien D nemark Portugal Deutschland In einigen Staaten z B in England Schweiz Ja pan Holland und Spanien wurden auch Echtwahlversuche durchgef hrt BMIO4 Neben einigen Pilotversuchen in den USA Hoff00 fand die erste rechtlich bindende Wahl ber das Internet bei den Primary Pr sidentschaftswahlen in Arizona USA im M rz 2000 statt MoGIO1 Die ersten rechtsg ltigen nicht politischen Wahlen fanden im Februar 2000 bei den Wahlen des neuen Stu dentenparlaments in Osnabr ck statt KaRuO3 SERVE Secure Electronic Registration and Voting Experiment ist ein von der Firma Accenture im Rahmen eines Pentagon Programmes der USA hergestelltes Internet und PC basierendes DRE Wahlsystem das 2004 durch eine Peer Review Group vor dem Einsatz examiniert wurde Dieses System sollte die bis
230. patronen oder falsch eingelegte Rollen mit sich brachte 10 der Pr fbelege wurden entweder vernichtet fehlten waren leer unlesbar zusammengeheftet oder auf eine andere Art kompromit tiert Song06 Werden die Stimmen auf einer fortlaufenden Papierrolle gedruckt so ist das Wahlgeheimnis ge f hrdet da man ber die zeitliche Ankunft der W hler im Wahllokal und eine chronologische Liste der Stimmzettel die Stimmen bestimmten W hlern zuordnen kann 5 4 1 4 Boot Loader Der Bericht des finnischen Computer Experten Harri Hursti HursO6 zeigte nach der Untersu chung der Diebold Wahlmaschinen der Serie 75x beim sogenannten Hursti Hack mehrere gravieren de Sicherheitsm ngel auf So wurde festgestellt dass mit dem Boot Loader der Maschine das Be triebssystem wie auch der Boot Loader selbst zur ckgesetzt oder ein anderes Betriebssystem instal liert werden konnte Der Boot Loader konnte die Funktionen des danach geladenen Betriebssystems in diesem Fall Windows CE ver ndern Durch die schlechte Sicherung des Geh uses nicht versiegelte Schrauben konnten gel st wer den Plomben zur Sicherung fehlten wurde der Zugriff auf das Mainboard erleichtert So konnte ber PCMCIA S Steckpl tze oder einen versteckten MMC SD Steckplatz zus tzliche bzw b sartige Software oder zus tzliche Boot Loader Dateien eingeschleust werden Weiters wurde ein Jumper auf dem Mainboard gefunden mit dem zus tzliche Features der Software aktiviert o
231. pektrum 29 2 2006 S 98 113 WaCo02 A Watson V Cordonnier Voting in the New Millennium eVoting Holds the Promise to Ex pand Citizen Choice In Proceedings of the First International Conference on Electronic Go vernment Lecture Notes in Computer Science Vol 2456 Springer 2002 S 234 239 WaLe04 C Wang H Leung A Secure and Fully Private Borda Voting Protocol with Universal Verifia bility In Proceedings of the 28th Annual International Computer Software and Applications Conference COMPSAC O4 Volume 01 2004 S 224 229 WaLe05 C Wang H Leung A Secure Voter Resolved Approval Voting Protocol over Internet In ACM International Conference Proceeding Series Vol 113 Proceedings of the 7th internatio nal conference on Electronic commerce ACM 2005 S 646 652 WaMa00 R Walter H Mayer Grundri des sterreichischen Bundesverfassungsrechts 9 Auflage durchges und erg Aufl Manz 2000 Wein0O L Weinstein Inside risks Risks of Internet voting In Communications of the ACM Volu me 43 Issue 6 ACM 2000 S 128 WeVi07 K Weldemariam A Villafiorita A Mattioli Assessing Procedural Risks and Threats in e Vo ting Challenges and an Approach In E Voting and Identity Lecture Notes in Computer Science Vol 4896 Springer 2007 S 38 49 180 K rzel Quelle WKG98 Wirtschaftskammergesetz 1998 WKG Bundesgesetz
232. phe bezeichneten wie lange Warteschlangen Computerst run gen und Ausf lle in einigen St dten Amiens Ifs Le Perreux und St Malo worauf die politischen Akteure eine Zur ckziehung bei der zweiten Runde der Wahl forderten In Frankreich wurden die DRE Ger te Point amp Vote des spanischen Herstellers Indra und Wahlcomputer der Hersteller Nedap und ES amp S eingesetzt Engu06 In Irland wurde die landesweite Einf hrung von E Voting 2002 mit Nedap Wahlcomputern f r die Europawahlen 2004 vorbereitet doch nach B rgerprotesten und dem erfolgreichen Kampf der Irish Citizens for Trustworthy E Voting ICTE kam es nie zur tats chlichen Durchf hrung einer elek tronischen Wahl obwohl die Nedap Wahlger te bereits f r 51 Millionen Euro beschafft worden wa ren In England wurden zahlreiche Pilotversuche zu E Voting durchgef hrt allerdings sprach sich die englische E ectoral Commission die parlamentarisch eingesetzte Wahlaufsichtsbeh rde im August 2007 gegen weitere E Voting Pilotversuche mit Internet und Telefonwahlen aus Weiters wies die 31 Internetwahlen f r den Kanton Z rich https evoting zh ch 32 http www elections act gov au elections electronicvoting html 33 Die GNU General Public License GPL wurde von der Free Software Foundation mit Copyleft unbeschr nktes Veran dern oder Kopieren f r die Lizenzierung freier Software herausgegeben 21 http evoting cs may ie 55 Dissertation Sicherheit von E V
233. plementierung des Wahlprotokolles siehe auch Kapitel 4 4 Einige Beispiele die Sicherheitsrisiken im Bereich der Software betreffen werden hier gezeigt 5 Tempest Temporary Emanation and Spurious Transmission 75 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen 5 4 2 1 Propriet re Software Es gibt drei f hrende Haupthersteller von E Voting Maschinen in den USA Diebold Election Sys tems Sequoia und Election Systems amp Software ES amp S Jeder dieser Hersteller halt aus Konkur renzgr nden den eigenen Sourcecode so weit wie m glich geheim und limitiert somit den Zugriff unabh ngiger Pr fstellen auf diesen Ston03 Die eingesetzte Software f r elektronische Wahlma schinen wie z B DRE Wahlsysteme Direct Recording Electronic Systems ist somit meist proprie t r Die berzeugung dass die Geheimhaltung des Quellcodes eines Systems zu mehr Sicherheit f hrt ist weitl ufig als Security by Obscurity oder auch Security through Obscurity bekannt Eines der Hauptargumente f r Security by Obscurity ist den Angreifern keine M glichkeit zu geben Be triebsgeheimnisse und Sicherheitsl cken ausspionieren zu k nnen Das gegenteilige Konzept zu Security by Obscurity ist als Security by Transparency bekannt sie he Kapitel 6 5 5 4 2 2 Mangelhafte Zertifizierungen Wahlmaschinen werden in den USA von drei privaten unabh ngigen Unternehmen Ciber Wyle und SysTest nach den Ric
234. r Kernbereich Anforderungen OK Anm 13 B 3 Audio Unterst tzung f r Blinde Eventuell taktile Unterst tzung 13 C 1 Usabilitypr fung mit einer repr sentativen Testgruppe und Dokumentation der Ergeb nisse 14 Transparenz 14 A 1 Bereitstellung von Informationen rund um die Wahl Informationen ber Kandidaten die Funktionsweise des Wahlsystems Zuordnung der W hler zu Wahlsprengel etc 14 A 2 ffentliche Bekanntgabe der Bezirksergebnisse und Endergebnisse in Print und Web medien 14 A 3 M glichkeit der Wahlbeobachtung vor w hrend und nach der Wahl Anmerkung Bei Stimmausz hlungen in sterreich ist keine Wahlbeobachtung zum jetzigen rechtlichen Stand m glich 14 A 4 berpr fung ob die Anzahl der abgegebenen Stimmen mit der Anzahl der W hler ber einstimmt die einen Stimmzettel angefordert haben und Definieren von Toleranzwer ten etwa 0 5 Abweichung 14 A 5 Anonyme Papierbelege Voter Verified Paper Trail f r erneute Ausz hlungen bei Wahlanfechtungen und als Nachweis und zur berpr fung f r die W hler Die Papier belege k nnen nicht als Nachweis mitgenommen werden sondern kommen in eine Urne und dienen als Backup der Stimmen 14 B 1 Auditphase der Wahlkommission nach der Wahl mit Lessons Learned f r kommende Wahlen M glichkeit der Festhaltung von Fehlerberichten und Meinungen von B rgern die das System benutzt haben Auswertung der Ergebnisse 14 B 2 Vergleich der Wahltagsbefragungen Exit Polls vo
235. ra The Reliability of Voting Mechanisms In IEEE Transactions On Computers Vol C 36 No 10 October 1987 IEEE 1987 S 1197 1208 Bena87 J Benaloh Verifiable Secret Ballot Elections Yale University Department of Computer Science Technical Report number 561 1987 Beno04 K Benoit Experience of Electronic Voting Overseas In First Report of the Commission on Electronic Voting The Policy Institute Trinity College Dublin Commission on Electronic Vo ting 2004 S 311 326 BeTu94 J Benaloh D Tuinstra Receipt free secret ballot elections In Proceedings Of 26th Symp on Theory of Computing STOC 94 New York 1994 S 544 553 BeYu86 J Benaloh M Yung Distributing the power of a government to enhance the privacy of vo ters In Proceedings of the fifth annual ACM symposium on Principles of distributed compu ting 1986 S 52 62 BGBIO2 Gesetz ber die allgemeine und die repr sentative Wahlstatistik bei der Wahl zum Deutschen Bundestag und bei der Wahl der Abgeordneten des Europ ischen Parlaments aus der Bundes republik Deutschland Wahlstatistikgesetz WStatG Wahlstatistikgesetz vom 21 Mai 1999 BGBI I S 1023 ge ndert durch Artikel 1 des Gesetzes vom 17 Januar 2002 BGBl I S 412 BGBIO4 Bundesgesetzblatt f r die Republik sterreich Bundesgesetz ber Regelungen zur Erleich terung des elektronischen Verkehrs mit ffentlichen Stellen E Go
236. rant Anonymous Channel In Infor mation and Communications Security ICICS 97 Lecture Notes in Computer Science Vol 1334 Springer 1997 S 440 444 OhMi99 M Ohkubo F Miura M Abe A Fujioka T Okamoto An Improvement on a Practical Secret Voting Scheme Source In Proceedings of the 2nd International Workshop on Information Security Lecture Notes in Computer Science Vol 1729 Springer 1999 S 225 234 Okam96 T Okamoto An Electronic Voting Scheme In Proceedings of IFIP 96 Advanced IT Tools Chapman and Hall 1996 S 21 30 Okam97 T Okamoto Receipt free electronic voting schemes for large scale elections In Procee dings of Workshop on Security Protocols 97 Lecture Notes in Computer Science Vol 1361 Springer 1997 S 25 35 0IGa06 A Oliva S Garcia E Belleboni Contributions to traditional electronic voting systems in or der to reinforce citizen confidence In Proceedings of the 2nd International Workshop Co or ganized by Council of Europe ESF TED IFIP WG 8 6 and E Voting CC Electronic Voting 2006 GI 2006 S 39 49 OnGrO5 B Ondrisek T Grechenig S Leitner Eine prototypische Diskussion von M Voting am Fall beispiel der Wahl zum sterreichischen Bundespr sidenten In IRIS 2005 Effizienz von e Loesungen in Staat und Gesellschaft Aktuelle Fragen der Rechtsinformatik Richard Borberg Verlag 2005 S 290 297 OoBe04 A Oostveen S
237. rbindung sm glickeit Entfernen nicht benutzter Ger te Zutrittskontrolle zu Maschinen Schutz der Speichermedien Physi kalische Attacken Entfernbarkeit der Module Methoden um Kopien der Speichermedien zu erkennen Schutz vor internen Denial of Ser vice Attacken redundante Systeme BIOS Passw rter setzen 4 Hardware Kryptografie Verwendung sicherer anonymer Verbindungen Hardware Verschl sselung der 130 Barbara Ondrisek Kernbereiche Stufe Festplatten 5 Software Einhaltung der Wahlgrundsatze Allgemeines Wahlrecht korrekte Erfassung der Wahlere videnz Gleichheit ein Stimmzettel pro W hler die Stimmen z hlen gleich viel Geheimes Wahlrecht anonyme Kan le verschl sselte Verbindungen anonyme Stimmabgabe am Urnenserver ffentlichkeit und Transparenz Sourcecode durch Peer Reviews ana lysieren Nachvollziehbarkeit der Stimmabgabe ffentliche Liste der verwendeten zus tzlichen Software ffentlichkeit Sourcecode der Firmware der Ger te Treiber und der eingesetzten COTS und Transparenz Produkte offenlegen 6 Software Datenintegri t t Korrektheit der Implementierung von Stimmenspeiche rung Z hlung und Anzeige Managementfunktionen und Audit Funktionen der Wahl software Schutz der Daten und Ausfallsi cherheit Datenverlust nach Absturz der Maschine Backup Systeme Verwendung sy
238. rcecode der alle Reviews bersteht auf einer Maschine mit einem b sartigen Compiler compiliert wird Das Er gebnis ist ein manipuliertes Programm obwohl der Sourcecode nicht ge ndert wurde und authen tisch ist Dasselbe Problem betrifft das Betriebssystem auf dem zum einen entwickelt und zum an deren die Software eingesetzt wird Beim Kopieren und Updaten des Sourcecodes auf der Wahlmaschine muss auch dessen Authen tizit t berpr ft werden Werden etwa keine Signaturen und Pr fsummen Verfahren zur Kontrolle verwendet um zu gew hrleisten dass das bertragene Programm auch dem Erwarteten entspricht kann manipulierter Code eingeschleust werden Weitere Risiken bei E Voting Systemen entstehen durch integrierte Sicherheits berpr fungen der Hard und Software Eingebaute berpr fungen die etwa per Knopfdruck durchgef hrt werden k nnen zusammen mit der Hard oder der Software so manipuliert werden dass sie wieder ein kor rektes Ergebnis liefern Werden externe berpr fungsmechanismen verwendet sinkt das Risiko dass die berpr fung sabotiert wurde 5 4 2 7 Anzahl der Stimmen Ein wesentlicher sicherheitskritischer Punkt ist dass die Anzahl der autorisierten mit der Anzahl der abgegebenen Stimmen bereinstimmen muss In Sarpy County Nebraska in den USA kam es bei den Wahlen 2004 dazu dass 10 000 zus tzliche Stimmen gez hlt wurden obwohl weniger als 3 000 W hler in diesem Wahlkreis registriert waren WOWTO4 Diese
239. rd bereits bei der Entwicklung von Systemen man beachte zum Beispiel die Entwicklung von Betriebssystemen zu wenig auf beabsichtigte Fehler wie zum Beispiel Angriffe von Hackern ge achtet Die meisten vor allem lteren Arbeiten z B Barb87 Parh94 die sich mit Sicherheit von E Voting auseinander setzten befassen sich oft nur mit den Facetten der Safety oder Reliabili ty da sie sich meist nur mit der Vertrauensw rdigkeit des gew hlten Prozesses der Stimmabgabe Wahlprotokoll besch ftigen aber weniger mit Problemen b sartiger beabsichtigter Angriffe Beide Facetten sind f r die Sicherheit von E Voting Systemen relevant da b sartige Fehler wie auch Unf lle verheerende Folgen f r Wahlergebnisse haben k nnen 30 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit 3 1 3 Weitere Sicherheitsaspekte Zuverl ssigkeit Reliability und Safety werden in der Literatur oft gleichgesetzt vor allem im Be reich der Softwaresicherheit allerdings ist mit den Begriffen Unterschiedliches gemeint Mit Relia bility ist Ublicherweise die Wahrscheinlichkeit gemeint mit der ein System seinen Zweck unter be stimmten Umst nden ber eine bestimmte Zeitperiode hinweg erf llt Mit Safety hingegen wird in diesem Zusammenhang die Wahrscheinlichkeit bezeichnet dass Fehler die zu Unf llen f hren nicht auftreten unabh ngig davon ob die beabsichtigte Funktion erf llt wird oder nicht Leve86 S 135 lan Sommerville defini
240. rd vernichtet e Scan Check Cast Der untere Teil des Stimmzettels wird eingescannt und nach einer noch maligen berpr fung durch den W hler bermittelt e Post Election Audit ber die Seriennummer der eingescannten Stimmzettel wird der W hler und die Kandidatenliste ermittelt und die richtige Zuordnung als Stimme gespeichert e Verifying at Home Zu Hause kann der W hler mit der Seriennummer seiner Wahl Quittung berpr fen ob seine Stimme in der ffentlichen Liste der Wahlergebnisse korrekt enthalten ist Pre Election Audit Inversion fee Vote Row V Ni L Inversion S STETS Baier Row 0002 d b Fred eo lol 72 1 fo A ELEN L EA E D aes bal A tel ell CET i of Job oMark in Booth Abbildung 25 Ablauf des Punchscan Verfahrens Quelle http punchscan org Nachteile des Systems sind die Bedienbarkeit f r k rperlich Behinderte wie etwa Personen mit Sehschw chen Weiters hat dieses System dieselben Nachteile die das Lochkarten System mit sich bringt Undervote Overvote da die Stimmzettel mit optischen Scannern eingelesen und danach weiterverarbeitet werden Ein Sicherheitsrisiko besteht auch mit dem Shreddern der Stimmzettel als Methode zum Un kenntlichmachen der Stimmzettel Im Demo wird ein horizontales Shreddern gezeigt allerdings ist 110 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen ein derartiges Verfahren nicht angemess
241. re Bereich Human Factors e Einhaltung der Wahlgrunds tze e Sicherheitsmanagement e Benutzerinterface e Transparenz e Gestaltung der Wahl 127 Dissertation Sicherheit von E Voting Systemen 7 Methode zur Bewertung und Optimierung der Sicherheit von E Voting Systemen Independent Testing Authority Validierung Jeder Kernbereich umfasst eine Reihe von Kriterien die einem speziellen Sicherheitsthema zu geordnet werden Die Kriterien dieser Kernbereiche sind wiederum in Stufen eingeteilt siehe auch Kapitel 7 3 und jeder Kernbereich des E Voting Systems wird einzeln bewertet 7 2 1 Einhaltung der Wahlgrunds tze In jedem der drei Hauptbereiche Hardware Software und Human Factors gibt es jeweils einen Kernbereich Einhaltung der Wahlgrunds tze Eine Anforderung an elektronische Wahlen ist dass sie mindestens so sicher gestaltet sein m ssen wie herk mmliche Wahlen siehe auch Kapitel 2 2 Grundlegend f r E Voting Systeme ist die Einhaltung der Wahlgrunds tze JoneO3a siehe Kapitel 2 Allgemeines Wahlrecht Jeder darf w hlen e Freies Wahlrecht Entscheidungsfreiheit durch Darstellung des Stimmzettels e Gleichheit ein Stimmzettel pro Wahler e Unmittelbares Wahlrecht W hlen ohne Wahlm nner e Verh ltniswahlrecht Die Sitze werden proportional zum Ergebnis verteilt e Geheimes Wahlrecht Anonymit t Pers nliches Wahlrecht Ohne Stellvertreter pers nlich w hlen Handhabung f r seh behin
242. rechtlichen operationa len und technischen Rahmenbedingungen f r E Voting Systeme Die rechtlichen Richtlinien umfassen die Einhaltung der demokratischen Wahlrechtsgrunds tze gleiche Wahl freie Wahl etc siehe Kapitel 2 1 wie auch Transparenz Verifizierbarkeit und Ver antwortlichkeiten Die operationalen Richtlinien betreffen den Ablauf vor w hrend und nach der 7 sterreichischer Verband f r Elektrotechnik 114 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen Wahl und den Audit Mechanismus Die fechnischen Empfehlungen beinhalten Zug nglichkeit Inte roperabilit t Sicherheit und Zertifizierungen Die Empfehlungen bzw Standards des Europarates decken viele Gebiete ab beziehen Distanz wahlen neben Pr senzwahlen vgl Kapitel 1 4 ebenfalls mit ein sind allerdings recht oberfl ch lich gehen mehr in die Breite und nicht in die Tiefe Es wird oft auf Zuverl ssigkeit und Sicherheit verwiesen allerdings wird nicht auf Details einge gangen So wird etwa gefordert dass das E Voting System dem W hler einen authentischen Stimm zettel pr sentiert wie das aber genau bewerkstelligt werden soll wird nicht n her definiert Die Europ ische Kommission f r Demokratie durch Recht auch Venedig Kommission genannt ist eine Einrichtung des Europarates die ebenfalls Leitlinien f r den Verhaltenskodex bei Wahlen herausgebracht VeneO2 in denen auf die Sicherheitsrisiken durch Angriffe auf mechanische od
243. reij hrigen EU Projekts Cybervote das von 2001 bis 2004 lief wurde ein Prototyp f r Internetwahlen in Zusammenarbeit mit der Firma EADS erstellt Mit diesem Wahlsys tem konnte von jedem beliebigem Betriebssystem aus ber einen Browser oder ber ein Mobiltele fon mit einem Java Client gew hlt werden Das Internetwahlsystem sollte bei den franz sischen Pr sidentschaftswahlen 2007 eingesetzt werden allerdings wurde eine Verletzung des geheimen Wahl rechts entdeckt In jedem Land wurde eine Liste der W hler und eine Liste der abgegebenen Stim men gef hrt Da durch die Verteilung in einigen L ndern aber nur wenige Personen abstimmten h tte man die Stimme bestimmten Personen zuordnen k nnen Der Einsatz wurde abgebrochen AppeO6al Das Internetwahlsystem Polyas wurde von der Micromata GmbH entwickelt und l sst rechtsver bindliche Online Wahlen f r Vereine und Verb nde abwickeln So werden etwa die Pr sidiumswah len der Gesellschaft f r Informatik ber dieses System durchgef hrt Fr he kommerzielle Internetwahlsysteme aus den 90er Jahren sind Sensus CrCy97 von Lorrie Cranor siehe auch Kapitel 4 4 1 1 und E Vox Das E Vox Internetwahlsystem wurde am Massachu setts Institute of Technology MIT unter der Aufsicht von Ronald Rivest basierend auf der Arbeit von Mark Herschberg entwickelt Hers97 Das System wurde in Java geschrieben und bei einer Studen tenvertretungswahl am MIT 1999 verwendet Die japanische Mitarbeiterin K
244. rheitsqualit t des bewerteten E Voting Systems wider Bereiche die rot gef rbt sind zeigen das Optimierungspotenzial des E Voting Sys tems in Bezug auf dessen Sicherheit gr ne Bereiche veranschaulichen den aktuellen Reifegrad der Sicherheit des Systems Aus der Matrix kann ebenfalls abgelesen werden auf welcher Entwicklungsebene sich das Sys tem befindet indem man die erreichten Stufen betrachtet Es l sst sich erkennen dass eine Ent wicklungsebene erreicht ist wenn die Spalte dieser Ebene nur gr n oder wei gef rbte K stchen enth lt Aus der oben gezeigten Matrix eines beispielhaften E Voting Systems l sst sich erkennen dass sich dieses System auf Ebene 1 befindet Die Entwicklungsebenen dienen allerdings nur als Hilfsmittel keinesfalls als Ma f r eine Ge samtbewertung der Sicherheit eines E Voting Systems Sicherheit l sst sich schwer in Zahlen mes sen deswegen wird auf eine Endnote in Form einer Zahl verzichtet Eine klare Gesamtwertung l sst sich farblich kodiert aus der ausgef llten EVSSO Matrix nach einem Assessment eines E Voting Systems erkennen viel Rot bedeutet etwa dass es einen gro en Optimierungsbedarf gibt Ziel ist es die Matrix vollst ndig gr n zu f rben Optimierungsma nahmen lassen sich nun leicht aus der Bewertung ableiten Wird eine Stufe nicht erreicht l sst sich aus der Anforderungsliste der Stufe ersehen welche Punkte nicht erf llt werden konnten und welche Verbesserungen oder Erweiterunge
245. rkt ebenfalls neben Robert Krimmer an der E Voting Initiative e Vofing at der Wirtschaftsuniversit t Wien mit Die Initiative organisiert Pilotversuche und dient als Informati onsplattform zum Thema E Voting in sterreich Der Pilotversuch einer elektronischen Testwahl via Internet f r Auslands sterreicher wurde mit Unterst tzung vom Au enministerium Thomas Buchs baum der Initiative e Voting at und der Wirtschaftsuniversit t Wien durchgef hrt siehe Kapitel 4 5 1 Robert Krimmer wiederum gr ndete den Verein Competence Center for Electronic Voting and Participation E Voting CC der sich mit Beratung und Begleitung von E Voting Projekten und Wahl beobachtungen aber vor allem mit Organisation von E Voting Konferenzen besch ftigt Als Verfech ter von E Voting Systemen meinte er Die technischen und rechtlichen Aspekte sind gar nicht das Problem sondern die Mittelsm n ner das hei t die Politiker die f r die Regulierung zust ndig sind SietO7 101 http www ocg at ak it sicherheit index htmi 102 http www iisa at 103 http www ocg at egov edemocracy_evoting htmi 155 Internationale Initiativen Es gibt eine Reihe internationaler Initiativen f r oder gegen E Voting Es folgt ein kurzer berblick ber diese Organisationen Vereine und Aktivisten Europa In Gro britannien ist die Open Rights Group eine Organisation f r B rgerrechte im Internet kri tisch t tig Im Juni 2007 wurde ein 60 sei
246. rness Gerechtigkeit Nichts beeinflusst die Wahl Verifiability Pr fbarkeit Niemand kann das Wahlergebnis f lschen Das Protokoll sieht folgende sechs Schritte bei der Stimmabgabe vor siehe Abbildung 14 _ a 1p Offer Ss e Sch ssel W hler E ont An gt 1 e server versch sign Stek 8 Stimmzettel 13 8 Signatur u mzeite em Signatur Wahler 3a 5a Jun 4a ve berpr fen T F Decodier schl ssel Stiimmzeltel Summzetel Sommeeattal berpr fen 55h berpr fen enisch sseln und Decocher speichern schl ssel Abbildung 14 Schritte des Wahlverfahrens nach Fujioka et al FuOk93 e Schritt 1 Preparation Der W hler erh lt ber anonyme Kan le seinen digitalen Stimmzettel und trifft seine Entscheidung Der ausgef llte Stimmzettel SZ wird mit einem Schl ssel m ver 60 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme schl sselt und der W hler erh lt m SZ Dann wird der Stimmzettel auf die Blinde Signatur vorbereitet blindisiert das Ergebnis ist ein blind verschl sselter Stimmzettel b m SZ Die Nachricht wird mit dem privaten Schl ssel v des asymmetrischen Schl sselpaares bestehend aus einem ffentlichen und einem privaten Schl ssel des Benutzers signiert b m SZ Iv und an den Registrierungsserver geschickt Schritt 2 Administration Der Server berpr ft ob der W hler das Recht hat abzustimmen ob er bereits ei
247. rrekten Stimmerfassung und z h lung selbst zu berzeugen Somit wird auch das Vertrauen der W hler in die Korrektheit des Wahl prozesses gesteigert l sseltes ce e ees N Public Bulletin Board elektronisches Fun A Stimmerfassungssystem Y Auflistung Auflistung e Stimmzettel Scanner J der erie oral der entschl sselten Mis Stimmzettel S m ta ouchscreen I Voting Client y stimmzette Stimmzettel Votum Pi SS z i mit Nummer ohne Nummer SS ra Ss i p m Z hlung al Fo e mm O Pr fbeleg Pr fung HH f Mix A9 ty Va ee amp EEE EZ ry em ei Wahler Lei e gt 005 X Abbildung 22 Grundprinzip von End to End Systemen Quelle SietO7 Die Basis eines End to End Systems ist ein f r alle W hler zug ngliches Bulletin Board das zur Verifikation der eigenen Stimme dient Der W hler erh lt einen Beleg mit einer Nummer oder einer anderen Art eines eindeutigen Tokens mit der er oder sie die abgegebene Stimme ber das Bulletin Board berpr fen kann Wichtig dabei ist dass sich die Wahlentscheidung nicht mehr mit der Per son des W hlers in Verbindung bringen l sst und der Beleg auch nicht als Beweis f r Stimmenk u fer oder Erpresser gelten kann In den 1980er Jahren wurde dieses Konzept bereits von Cohen und Fischer CoFi85 und von Josh Benaloh in seiner Dissertation vorgeschlagen Bena87 sp ter wurde es erweitert BeTu94 und von einigen vor allem j nger
248. s Sen sus Protokoll CrCy97 REVS von Joaquim et al JoZu03 oder Votescript OlIGa06 wie auch eine Erweiterung des Wahlschemas der Autoren selbst OhMi99 Der Nachteil dieser Methode ist die Komplexit t die Implementierungsfehler nicht ausschlie en l sst Dieses Verfahren setzt weiters einen sicheren anonymen bertragungskanal voraus ohne ihn aber genauer zu spezifizieren 4 4 1 2 Andere Verfahren basierend auf Blinden Signaturen Weitere Verfahren die auf Blinden Signaturen basieren sind etwa das von Okamoto Okam97 ei nes von Sako Sako94 oder das von Baraani BaPi94 und andere BaFa04 DiniO2 DiniO2a Ga 61 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme Ro05 HoMi95 JaChO1 JuLeO2 JuLe97 KiSa03 Okam96 RaRaOl YuLeO3 YuLeO4 Das mo bile E Voting System oder auch M Voting System von Barbara Ondrisek OnGrO5 erweitert das Verfahren nach Fujioka et al ebenfalls Einige E Voting Systeme adaptieren das Verfahren und verwenden mehrere Server Administra tor Registrierungs Validierungs und Urnenserver zur Aufteilung der Zustandigkeiten wie das von Ibrahim et al IbKa03 oder permutierte Kandidatenlisten siehe Kapitel 4 4 2 Viele E Voting Systeme bedienen sich Smartcards zur Identifizierung und Authentifizierung der W hler und oder der Wahladministration und zur Verschl sselung der Stimmzettel Die Smartcard nimmt somit oft eine wichtige Rolle im E Voting Prozess ein WaC
249. s Systemaufbaus 10 C 1 berpr fung der Authentizit t des Compilers mit Checksummen 10 C 2 Schutz gegen diverse interne Software Sicherheitsrisiken gegen Buffer Overflows Overrun SQL Sequal Injection Compiler Optimazation Dead Store Removal Schutz vor Viren W rmern Trojanern RootKits Spyware Keylogger etc mit Virens cannern Firewalls Intrusion Prevention Systems Detection Systems Honeypots und div anderen Protectiontools 10 C 3 Schutz vor Man In The Middle Attacken durch Verschl sselung der bertragung oder Verwendung von Message Authentication Codes und verh ltnism igen Netzwerkaufbau ohne Verbindung zum Internet oder anderen Netzen Human Factors 11 Einhaltung der Wahlgrunds tze 11 A 1 Freies Wahlrecht parteilose und neutrale Gestaltung des Stimmzettels und der Wahl maschine Es muss m glich sein ung ltig zu w hlen 11 A 2 Pers nliches Wahlrecht ohne Stellvertreter pers nlich w hlen 11 A 3 Allgemeines Wahlrecht Aufkl rung und Einschulung der W hler in das E Voting Sys tem Sicherstellung dass die stimmberechtigte Person die Stimmabgabe versteht und durchf hren kann 11 B 1 ffentlichkeit und Transparenz Einsichtnahme der Wahlkommission und Wahlbeob achter in Sourcecode und Zugang zu Wahlmaschinen 12 Sicherheitsmanagement 99 151 Honeypots locken potenzielle Angreifer in Fallen die wie begehrenswerte Angriffsziele ausse
250. s in Computer Science Vol 3995 Springer 2006 S 494 508 GoRe99 D Goldschlag M Reed S Syverson Onion routing In Communications of the ACM Volu 168 K rzel Quelle me 42 Issue 2 1999 S 39 41 GoZh02 P Golle S Zhong D Boneh M Jakobsson A Juels Optimistic Mixing for Exit Polls In ASIACRYPT 2002 Lecture Notes in Computer Science Vol 2501 Springer 2002 S 451 465 Grit03 D Gritzalis Secure Electronic Voting The current landscape In Secure Electronic Vo ting Kluwer Academic Publ 2003 S 101 122 Groe A Gr nlund Private Sanctity e Practices Overriding Democratic Rigor in e Voting In R Traunm ller and K Lenk Eds EGOV 2002 Lecture Notes in Computer Science Vol 2456 Springer 2002 S 52 60 Groe06 J Groenendaal Wahlnachrichten der HSG Wahlysteme GmbH Eine neue Aktionsgruppe in den Niederlanden Statement dazu von Jan Groenendaal bersetzung aus dem Niederlandi schen August 2006 GrovO4 J Grove ACM statement on voting systems In Communications of the ACM Volume 47 Issue 10 Voting systems ACM 2004 S 69 70 Gyul06 L Gyulai Plug pulled on electronic voting High tech balloting cost 25 per cent more The Gazette 25 10 2006 Harr04 B Harris Black Box Voting Ballot Tampering in the 21st Century Talion Publishing 2004 Hassel V Hassler Security fundamentals f
251. satz berpr fen und in St rf llen akkurat reagieren zu k nnen Derzeit belaufen sich die Trainingsanfor derungen in den USA auf nur 4 Stunden QuesO4 Von der Qualit t des Trainings der Wahlhelfer h ngt auch ab wie gut diese ihre Arbeit verstehen und bei Wahlen B rgern helfen k nnen Beim Wahlverfahren m ssen administrative Aufgaben klar definiert Rollen gut aufgeteilt und Verantwortlichkeiten klar ersichtlich gemacht werden Die Abh ngigkeiten zwischen einzelnen Ab teilungen k nnen zu Verz gerungen f hren 2003 kam es zu Problemen bei einem Pilot Projekt der Second Public Authority PA2 in Gro britannien wo eine Abteilung keine Zeit hatte die Fertigstel lung der Arbeitsschritte einer anderen Abteilung zu berpr fen Um Sicherheit zu gew hrleisten wurde in einigen Wahlstationen die erforderliche Hardware erst einen Tag vor der Wahl geliefert Allerdings hatte das Personal das die gelieferte Hardware ber 90 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen nommen hatte nicht ausreichend Zeit diese nochmals sorgf ltig zu berpr fen Somit erlaubte der straff gehaltene Zeitplan keine ausreichenden Sicherheits berpr fungen XeMa05 Ein weiterer Aspekt bei der Wahladministration ist dass diejenigen die die Wahl beaufsichtigen das gr te Manipulationsinteresse haben also die Vertreter der Parteien Derzeit ist bei Urnenwah len eine Manipulation schwer realisierbar
252. schaftsaktion der holl ndischen Initiative Wij vertrouwen stemcomputers niet und des Chaos Computer Clubs Berlin CCC GoHeO06 Den Aktivisten gelang es das Schachprogramm Tom Kerrigans Simple Chess Program TSCP auf der Wahlmaschine Nedap ES3B zum Laufen zu bringen siehe Abbildung 16 Abbildung 16 Umfunktionierte Nedap Wahlmaschine mit Schachprogramm Quelle GoHeO6 S 10 Mit diesem Hack wurde bewiesen dass das Wahlergebnis auch ohne Kenntnis des Sourcecodes manipuliert werden k nnte SietO6 58 Eine Dedicated Special Purpose Machine ist eine Maschine die ausschlie lich zu einem bestimmten Zweck verwendet werden kann und die Verwendung zu einem anderen Zweck als dem dedizierten ist nicht m glich 80 Dissertation Sicherheit von E Voting Systemen 5 Sicherheitsrisiken von E Voting Systemen 5 4 2 6 Authentizitat des Sourcecodes Andere Sicherheitsaspekte betreffen den Softwareentwicklungsprozess wie auch den Update Pro zess der Software auf einer Wahlmaschine MaSt05 Der Update Prozess einer Software birgt ein hohes Sicherheitsrisiko da durch eine solche Schnittstelle im Zuge des Updates zus tzlicher Code eingebaut oder bestehender Code ver ndert werden kann Durch eine derartig offene Schnittstelle zur Software k nnen Angreifer b sartigen Code platzieren Hintert ren einbauen und auf diese Art das Wahlergebnis manipulieren Ein weiteres Problem betrifft den verwendeten Compiler So ist es m glich dass Sou
253. sses gef hrdet was einem Single Point of Failure gleich kommt Das gesamte E Voting System ist als unbrauch bar einzustufen wenn nur einer dieser Wahlgrunds tze nicht eingehalten wird Basis f r ein elektronisches Wahlsystem ist das etablierte Wahlverfahren im jeweiligen Land in dem das System eingesetzt werden soll siehe auch Kapitel 2 2 Ein E Voting System sollte an die bisherige Systematik so weit wie m glich angelehnt sein alle rechtlichen Aspekte abdecken und das System durch zus tzliche Sicherheit und Transparenz erg nzen 2 Wahlen mit Stellvertretern k nnten durch ein E Voting System gel st werden indem verschiedene Personenkreise in mehreren Phasen w hlen w rden Ein Mehrheitswahlrecht kann durch ein elektronisches System ebenfalls realisiert werden indem das Ergebnis dementsprechend interpretiert werden w rde H Der Ausfall einer einzelnen speziellen Komponente zieht den Ausfall des Gesamtsystems nach sich 46 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme 4 3 berblick ber E Voting Systeme Bei E Voting Systemen wird das Hauptaugenmerk meist auf das formale Wahlprotokoll auch Wahl algorithmus oder Wahlschema genannt siehe auch Kapitel 4 4 also die Architektur etwa eine Trennung von W hlerevidenz und Wahlurne und die Schritte des Ablaufs der Stimmabgabe gelegt Die Hauptaufgaben von E Voting Systemen sind SchlOO S 11 CrCy97 e Registrierung der Benutzer W
254. stellung Fabrication Z B Zus tzliche Daten oder Aktivit ten werden erzeugt die norma lerweise nicht bestehen w rden Diese Punkte k nnen Bedrohungen wie auch Unf lle oder Verluste betreffen und sind somit Sa fety und Security in selben Ma en zuzuordnen Leve95 S 183 Security Bedrohungstypen las sen sich zudem noch folgenderma en genauer differenzieren HassO1 S 3 Abh ren Eavesdropping Abfangen und Lesen von Nachrichten die an Andere gerichtet wa ren e Verkleiden Masquerading Verwendung der Identit t eines Anderen zum Senden Empfangen von Nachrichten e Ver nderung von Nachrichten Message Tampering Abfangen und Ver ndern von Nachrich ten die f r Andere bestimmt sind e Wiederholung Replaying Senden einer Nachricht um Privilegien eines Anderen zu erhalten e Infiltrierung Infiltration Missbrauch eines Anderen Autorit t um feindliche oder b sartige Programme laufen zu lassen Analyse des Verkehrs Traffic Analysis Observierung des Verkehrs von und zu einem Anderen e Service Ablehnung Denial of Service Zugriffsverweigerung auf Ressourcen f r Andere 32 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Die Ausl ser f r Sicherheitsl cken oder Unf lle k nnen sehr unterschiedlich sein Hauptursa chen f r Safety Unfalle lassen sich in drei Kategorien unterteilen Leve95 S 53 e M ngel in der Safety Kultur der Industrie oder einer Organisation e
255. svorschl ge aus denen sich konkrete Ma nahmen ableiten lassen Die Verwendung dieses Modells allein garantiert jedoch noch keine gew nschte Verbesserung der Sicherheitssituation eines E Voting Systems bietet aber ein Mittel um die Optimierung der notwen digen Schritte besser zu strukturieren Das Modell l sst zudem Sicherheitsl cken und Schwachstel len des Systems erkennen und bietet Vorschl ge zur Erreichung einer h heren Sicherheitsstufe 7 6 1 Grenzen der Methode Eines der Probleme die diese Methode aufgezeigt hat ist die schwere Greifbarkeit und Messbarkeit von Sicherheit Sicherheit elektronisch gest tzter Systeme kann nicht in absoluten Zahlen gemes sen werden Man kann nie sagen dass ein System hundertprozentig sicher ist genauso wenig wie man hundertprozentig sichere Systeme herstellen kann Zu viele Faktoren haben Einfluss auf die Si cherheit man bedenke nur den Softwareentwicklungsprozess bei dem nie ausgeschlossen werden kann dass die hergestellte Software noch Bugs enth lt siehe auch Kapitel 3 3 3 Das Rice Theorem besagt zudem dass es nicht m glich ist einen nicht trivialen Aspekt wie die Korrektheit der Sicherheit des funktionalen Verhaltens einer Turingmaschine oder eines Algorith mus algorithmisch zu berpr fen Somit sind Sicherheitsl cken wie auch Softwarefehler in Compu tersystemen niemals auszuschlie en McGrO6 S 108f Diese Methode zeigt somit auch die Grenzen einer Sicherheitsbewertung au
256. t FiCa06 Dieses Verfahren basiert auf der Idee eines Voter Verified Paper Trail also eines Papierbelegs f r den W hler den er mitnehmen kann und mit dem er zu Hause seine Stimme nochmals berpr fen kann siehe auch Kapitel 6 7 1 Der Papier stimmzettel besteht aus zwei Teilen Eine obere Auflage die die Kandidaten bzw Parteien be schreibt mit kleinen L chern als Stimmfeld und einen unteren Teil bei dem ein Synonym f r Kan didaten a b c etc steht Die beiden Scheine werden bereinander platziert und mit einem brei ten Filzstift wird ein Kandidat angekreuzt wobei die Stimme auf beiden Scheinen markiert wird Der untere Teil des Wahlscheins stellt eine verschl sselte Darstellung Permutation der Kandi datenliste dar da beim Ausstellen des Wahlscheins die Anordnung der Kandidaten zuf llig erzeugt wird Mit einer Seriennummer werden die Stimmzettel den W hler zugeordnet die somit unter schiedliche Anordnungen der Kandidaten auf den Wahlscheinen vorfinden Folgende Schritte umfasst das Verfahren Abbildung 25 IP http www scantegrity org Ip http punchscan org 109 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen e Pre Election Audit Die Wahlkommission erzeugt die Stimmzettel und l sst sie von den Kan didaten berpr fen e Polling Place Voting e Mark in Booth Beide Seiten des Stimmzettels werden mit einem Stift markiert e Shred Der obere Stimmzettel mit der Beschreibung der Kandidaten wi
257. t n 102 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen de nicht auf geheimen Wahlen sondern im Gegenteil auf der Offenheit von Wahlen Sie pladiert f r mehr Vertrauen in die eigene berzeugung und fordert offene Wahlen ohne Wahlgeheimnis Ihr Bericht richtet sich an den Kongress der Vereinigten Staaten wird aber im Allgemeinen eher kri tisch aufgenommen 6 6 W hler zentrierter Ansatz Ausgangspunkt f r einen w hler zentrierten Ansatz ist User Centered Design UCD das einen auf die Benutzer ausgerichteten Entwurf eines Produktes nahe legt ISO 13407 Human centred design process In einer Arbeit ber E Voting in Brasilien RodrO6 wird ein solcher Ansatz vorgestellt der offe nerer ist und den W hler mehr einbindet Eine W hler getriebene Wahlsystem Entwicklung passt sich an die W nsche und Bed rfnisse der W hler an Der ffentliche Dialog mit dem W hler ist beim Entwickeln eines E Voting Verfahrens notwendig um offene Demokratie zu gew hrleisten Der Entwurf elektronischer Wahlsysteme sollte sich nicht nur auf die Stimmabgabe und z hlung fokussieren sondern den W hler in den demokratischen Prozess einbinden somit soll ein Voter Support System geschaffen werden Bei diesem Ansatz wird das E Voting System in einem weiteren Rahmen als Informationssystem betrachtet W hler werden beim Informationsbeschaffungs Mei nungsbildungs und Entscheidungsfindungsprozess ebenso unterst tzt wie bei der Wahl
258. ted The New Math of American Electi Wie ons 2008 a E E Regie David Earnhardt d fe E G t Genre Dokumentarfilm I A AIR e lt LOST em a ALTERED 182 Mag rer soc oec Dipl Ing Barbara Ondrisek schrieb ihre Dissertation am Institut f r Gestaltungs und Wirkungsforschung Arbeitsbereich Human Computer Interaction Appendix E Lebenslauf Ausbildung Mittelschule BG G nserndorf AHS 1990 1998 Abschluss Matura mit gutem Erfolg Universit t Technische Universit t Wien Studienrichtung Informatik 1999 2004 Abschluss Dipl Ing mit der Diplomarbeit Entwurf und Realisierung eines Prototyps f r Mobile Government am Beispiel von mobilen Wahlen Technische Universit t Wien Studienrichtung Informatikmanagement 2006 2007 Abschluss Mag rer soc oec Publikationen B Ondrisek Sicherheit von E Voting Systemen Angenommen f r DACH Security 2008 Technische Universit t Berlin 24 25 Juni 2008 B Ondrisek T Grechenig S Leitner Eine prototypische Diskussion von M Voting am Fall beispiel der Wahl zum sterreichischen Bundespr sidenten In IRIS 2005 Effizienz von e Loesungen in Staat und Gesellschaft Aktuelle Fragen der Rechtsinformatik Richard Borberg Verlag 2005 S 290 297 Beruflicher Werdegang 03 07 heute Bundesministerium f r Landesverteidigung Software und Webentwicklung 04 05 09 06 Knallgrau New Media Solutions GmbH Software und Webentwicklung 04 04 0
259. ten und der Einf hrung der Briefwahl in sterreich wurde gezeigt dass dem allgemeinen Wahlrecht der Vorzug zu geben ist was somit auch zu einem Argument f r E Voting wurde Die heutige rechtliche Situation in sterreich schlie t aber elektronische Wahlen weiterhin aus siehe auch Kapitel 4 5 28 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit 3 Sicherheit Neben den rechtlichen Grundlagen ist die Sicherheit bei Wahlvorg ngen f r E Voting Systeme u Berst wichtig Es k nnen viele verschiedene Aspekte von Sicherheit unterschieden werden siehe auch Kapitel 3 1 3 jeder davon ist f r das Vertrauen in das System unerl sslich Ein g ltiges Wahlergebnis kann nur erzielt werden wenn alle Komponenten des Wahlsystems sicher entworfen entwickelt eingesetzt gewartet und regelm ig im Einsatz auf Sicherheit berpr ft werden Wird der Sicherheitsaspekt bei lediglich einer Komponente des Systems kompromittiert oder ausgelas sen so ist das System weiterhin angreifbar In diesem Kapitel wird ein berblick ber Sicherheit Risiken Einsch tzungsmethodiken und allgemeine Abwehrma nahmen gegeben die auch f r elektronische Wahlsysteme relevant sind 3 1 Unterscheidung von Security und Safety Im angels chsischen Raum gibt es eine Unterscheidung zwischen den Worten Security und Safety die im deutschsprachigen Raum beide gleich bedeutend mit dem Wort Sicherheit sind Beide Be griffe besch ftigen sich mit Bedrohun
260. tensicherung Zugangssicherheit Benutzerverwaltung Angriffsschutz z B Spionage Hacker Schadprogramme z B Viren W rmer Spam Entsorgung von Hard und Software Datentr gern Papier etc mit geeigneten Datenvernich tern z B Shreddern Outsourcing Aufgaben der organisatorischen Sicherheit sind Analyse der Gefahrenpotenziale und Gegner Unternehmens Infeld Mitarbeiter Social Engineering etc Unternehmens Umfeld Katastrophen Konkurrenz etc Risikomanagement Sicherheitsma nahmen und Sicherheitsbewusstseins Schulungen Sicherheitsklassifikationen Rechtliche Aspekte z B Gesetze Auflagen Normen etc Sicherheitsorganisation Passwortverwaltung Chipkartenverwaltung Katastrophenplanung Reaktion auf Vorf lle Krisenkommunikation 2 Pr 22 Outsourcing bedeutet das Auslagern von Teilbereichen Social Engineering Ausnutzen menschlicher Hilfsbereitschaft um Sicherheitsregeln von Unternehmen zu umgehen 42 Dissertation Sicherheit von E Voting Systemen 3 Sicherheit Diese Aufteilung in physische technische und organisatorische Sicherheit entspricht in etwa der Aufteilung in Hardware Software und menschliche Faktoren und Aspekte bzw Human Factors siehe Kapitel 4 2 23 Der Begriff Human Factors ist im angels chsischen Raum extensiver gepr gt als die deutsche Variante Humanfakto ren oder menschliche Faktoren Daher wird in weiterer Folge dieser Begriff als Sammelbegr
261. textu ellen Beschreibung der Partei auch das Symbol dieser daneben angezeigt Abbildung 13 Indische Wahlmaschine Quelle http derStandard at Bei den Parlamentswahlen in Estland im M rz 2007 war auch eine Stimmabgabe ber das Inter net von einem PC aus mit einer ID Karte und Leseger t im Voraus m glich Drei Prozent der rund 895 000 Wahlberechtigen haben ihre Stimme auf diese Weise nach dem Private Public Key Verfah ren abgegeben Um Beeinflussung zu verhindern war es m glich die elektronisch abgegebene Stimme durch den herk mmlichen Urnengang mit einem Papierstimmzettel wieder zu stornieren Die zuvor elektronisch abgegebene Stimme wurde nicht in das Wahlergebnis bernommen sondern durch die Stimme auf dem Papierstimmzettel ersetzt Weiters war es m glich die Stimme mehr mals hintereinander von verschiedenen Orten aus elektronisch abzugeben wobei nur die letzte ab gegebene Stimme gez hlt wurde Die estl ndische Regierung wollte mit multiplen Stimmenabgaben die Probleme des Stimmenkaufs und des Wahlzwanges umgehen VoGr06 Bereits 2005 war E Vo ting in Estland m glich Bei den Kommunalwahlen 2005 w hlten zwei Prozent der W hler elektro nisch MaMaO6 Quelle Bericht Elections Amato stop to electronic voting der italienischen Nachrichtenagentur AGI 54 Dissertation Sicherheit von E Voting Systemen 4 E Voting Systeme In der Schweiz wurden seit 2002 mehrere E Voting Pilotversuche im Rahmen des
262. tiger Bericht ORGO7 zu Wahlbeobachtung der Pilot Wahlversuche bei der Kommunalwahl im Mai 2007 in England und Schottland ver ffentlicht Die Organisation veranstaltete im Fr hling 2007 den ersten Zuropean Electronic Voting Activism Work shop unter der Leitung von Jason Kitcat bei dem internationale Kritiker von E Voting eingeladen wurden Die Irische rish Citizens for Trustworthy Evoting ICTE setzte sich gegen den Einsatz der Ned ap Wahlmaschinen ein bef rwortet aber generell E Voting Der Chaos Computer Club in Deutschland verh lt sich gegen ber E Voting ebenfalls kritisch und berichtete mit einer Wahlbeobachtergruppe von der Oberb rgermeisterwahl in Cottbus Chao06 Zudem wurde ein Gutachten zu Sicherheitsl cken des Hamburger Wahlstiftes erstellt siehe auch Kapitel 6 10 2 Der Berliner Mathematiker Tobias Hahn startete im Herbst 2006 die Online Bundestags Petition gegen Wahlcomputer Wahlrecht Stimmabgabe mit Wahlger ten um die Abschaffung der gesetzli chen Grundlage f r den Einsatz von Wahlcomputern Streichung des 35 im Bundeswahlgesetz zu erzielen die innerhalb sechs Wochen mehr als 45 000 B rger unterzeichnet haben Das Hauptar gument der Petition war die fehlende Transparenz von E Voting Systemen der Petition wurde aller dings nicht stattgegeben Eine Wahlpr fungsbeschwerde wurde beim Bundesverfassungsgericht vom Frankfurter Software Spezialist Ulrich Wiesner mit der gleichen Motivation ebenfalls eingereic
263. tion der Wahlkabinen 2 Safety 2 A 1 Korrektheit der Konstruktion Konstruktion nach den aktuellen Standards der Technik berpr fung durch Abnahmetests 2 A 2 Homogene Architektur Gleiche Hardware wird bei allen Ger ten verwendet 2 A 3 Sicherheit der Konstruktion und Installation Schutz vor Stromschl gen Stolpern ber Kabel scharfen Kanten und anderen Verletzungen Pr fung durch T V CE Kennzeich nung erforderlich 2 B 1 Belastbarkeit Robuste Konstruktion durch Verwendung qualitativ hochwertiger Materia lien K hlung der Komponenten Schutz vor mechanischen klimatischen und elektro magnetischen Umgebunsseinfl ssen TEMPEST Attacken basieren auf dem Abfangen und Analysieren der emittierten Strahlung der Ger te 145 Nr Kernbereich Anforderungen OK Anm 2 B 2 Haltbarkeit Funktionssicherheit Handbuch f r den ordnungsgem en Gebrauch der Ger te vom Hersteller muss vorhanden sein und Richtlinien vorsehen die eingehalten werden m ssen 2 B 3 Schutz bei Transport und Aufbewahrung Schutz vor Naturkatastrophen Sicherung der Lagerr ume des Transports und der Aufstellung beim Einsatz der Ger te vor Fluten Erdbeben St rme Feuer K lte etc durch robuste wasserfeste hitzebest ndige er sch tterungsresistente Schutzverpackungen bzw gesicherte Aufbewahrungsorte mit Feuer oder Rauchmeldern automatischen Feuerl scher Wassersensoren Klimaanla gen Video berwach
264. tronische Sicherheitssysteme Hardwarekonzepte Modelle und Berechnung H thig 2004 BoGo02 D Boneh S Golle Almost Entirely Correct Mixing With Applications to Voting In Confe rence on Computer and Communications Security Proceedings of the 9th ACM conference on Computer and communications security ACM 2002 S 68 77 Bowe07 D Bowen Withdrawal Of Approval Of Diebold Election Systems Inc GEMS 1 18 24 Accu Vote TSWAccuVote OS DRE amp Optical Scan Voting System And Conditional Re Approval Of Use Of Diebold Election Systems Inc GEMS 1 18 24 AccuVote TSWAccuVote OS DRE amp Optical Scan Voting System Decertification Recertification Decisions Issued August 3 163 K rzel Quelle 2007 by Secretary of State Debra Bowen 2007 BoweO7a D Bowen Withdrawal Of Approval Of Hart Intercivic System 6 2 1 DRE amp Optical Scan Vo ting System And Conditional Re approval Of Use Of Hart Intercivic System 6 2 1 DRE amp Opti cal Scan Voting System Decertification Recertification Decisions Issued August 3 2007 by Secretary of State Debra Bowen 2007 Bowe Zb D Bowen Withdrawal Of Approval Of Sequoia Voting Systems Inc Wineds V 3 1 012 AVC Edge Insight Optech 400 C DRE amp Optical Scan Voting System And Conditional Re approval Of Use Of Sequoia Voting Systems Inc Wineds V 3 1 012 AVC Edge Insight Optech 400 c Dre amp Optical Scan Voting System Decertification Recertifi
265. tz im Sinne von Safety und befassen sich nicht mit Angriffs Sicherung im Sinne von Security 112 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen 6 8 3 Normen In die Osterreichischen Normen ONORMEN des Osterreichisches Normungsinstituts werden teil weise Europ ische Normen EN und Internationale Normen wie ISO oder IEC aufgenommen Diese umfassen auch einen gro en Bereich der IT Sicherheit Eine Reihe von Normen betreffen auch die Sicherheit von E Voting Systemen siehe Tabelle 6 K rzel Beschreibung ISO IEC 7816 Identification cards Integrated circuit s cards with contacts ISO 8372 Information processing Modes of operation for a 64 bit block cipher algorithm ISO IEC 9796 Information technology Security techniques Digital signature scheme giving mes sage recovery ISO IEC 9797 Information technology Security techniques Message Authentication Codes MACs ISO IEC 9798 Information technology Security techniques Entity authentication ISO IEC 9979 Data cryptographic techniques Procedures for the registration of cryptographic al gorithms ISO IEC 10118 Information technology Security techniques Hash functions ISO IEC 10536 Identification cards Contactless integrated circuit s cards Closecoupled cards ISO IEC 11770 Information technology Security Techniques Key Management ISO IEC TR 13335 Information technology
266. tzerinterfaces bis hin zum Einfluss jedes einzelnen Individuums in jeder Phase der Erstellung des Einsatzes und der Wartung eines E Voting Systems 5 4 3 1 Akzeptanz und Vertrauen Ein Punkt der Human Factors betrifft generell die Akzeptanz von E Voting bei einer Einf hrung zu sammen mit dem Vertrauen der W hler in das System Bei herk mmlichen Wahlen ist f r jeden W hler auf der Basis seiner eigenen Handlungen und Beobachtungen nachvollziehbar ohne gro ar tiges technisches Verst ndnis ber den Ablauf des Wahlvorgangs aufbringen zu m ssen siehe auch Kapitel 2 2 Eine physische Repr sentation seiner Stimme existiert Die Transparenz des traditio nellen Verfahrens ist bisher unschlagbar Jeder B rger kann als Wahlbeobachter oder Beisitzer be obachten dass nur berechtigte W hler zur Stimmabgabe zugelassen werden die Wahlurne w hrend der Wahl nicht manipuliert wurde und dass die Anzahl der abgegebenen Stimmen mit den gez hl ten bereinstimmt Bei elektronischen Systemen ist es auch f r einen Experten schwierig nachzu vollziehen wohin einzelne Stimmen wandern und ob sie korrekt gez hlt werden EvPa04 Ein weiterer Aspekt ist generell das Vertrauen der Menschen in die Technik Soziale Funktionen Kommunikation Transaktionen etc werden durch technische Hilfsmittel erleichtert Somit wird auch Verantwortung abgegeben Informationsverarbeitung und Kommunikation werden dadurch vom Funktionieren einer Technik abh ngi
267. udit Verfahren wie auch von authentischen erneuten Ausz hlungen da keine Papierbelege verwendet werden k n nen siehe auch Kapitel 6 7 Die Stimmausz hlung erfolgt in einer Blackbox und entzieht sich so mit vollst ndig den Augen der Wahlkommission und Wahlbeobachtern was in Widerspruch zum f fentlichkeitsprinzip und zum Transparenzgebot steht und den Nachweis von Manipulationsfreiheit unm glich macht Damit ist es bei I Voting Verfahren u erst schwierig Transparenz und die ber pr fbarkeit der Richtigkeit des Wahlergebnisses sicherzustellen wodurch auch das Vertrauen in die se Systeme schwindet Solche Probleme haften allen Distanzwahlverfahren wie auch der Briefwahl siehe Kapitel 2 3 an Viele Wissenschaftler Techniker und Gruppierungen wie etwa Peter G Neumann NeMeOO der Chaos Computer Club in Deutschland oder Ronald L Rivest vom MIT BrJeO1 und viele andere Di SiO8 JeRu04a MuVa98 MercO2 PhilO2 Rubi02 WeinOO sprechen sich ebenfalls explizit gegen Internetwahlen aus Remote Internet voting systems pose significant risk to the integrity of the voting process and should not be fielded for use in public elections until substantial technical and social science is sues have been addressed The security risk associated with these systems are both numerous and pervasive and in many cases cannot be resolved using even today s most sophisticated technology IPIO1 S 19 Aus diesem Grund werden Inter
268. uditing nach Implementierung Review der Applikation auf Sicher heitsmerkmale White Box Tests Lasttests und Penetration Tests 9 0 3 Code Analysen mit Metriken nach Entwicklungszyklen Iterationen durchf hren zur Op timierung des SE Prozesses 9 0 4 Interoperabilit t f r die Zukunft garantieren mit Verwendung offener nicht propriet rer Standards XML Opensource etc 10 Schutz der Software 10 A 1 Homogene Betriebssysteme Alle Computer verwenden das gleiche OS jeweils mit ak tuellen Sicherheits Updates 98 Beim Fuzzing werden Zufallsdaten als Applikationsparameter bergeben 150 Nr Kernbereich Anforderungen OK Anm 10 A 2 Keine Default Passw rter oder PINs des Herstellers verwenden lange starke Pass w rter aus Buchstaben Ziffern und Sonderzeichen verwenden 10 B 1 Regelm ige berpr fungen der Version und der Integrit t des Sourcecodes der ver wendeten externen Standard Bibliotheken und der Konfigurationsdateien mit digita len Signaturen und Hash Checks vor w hrend und nach der Wahl 10 B 2 Sicherheit des Update Mechanismus Authentifizierung Einschr nkung des Zugriffs auf die Dateien und Freischaltung f r ein Update 10 B 3 Nicht ben tigte vorinstallierte Software deinstallieren z B Mediaplayer oder FTP Cli ents 10 B 4 Skalierbarkeit Durchf hrung von Lasttests mit Checks der ben tigten Ressourcen und gegebenenfalls nderung de
269. ung Bewegungsmelder und eventuell Erdbebenvorwarnsysteme Regelm ige Wartung der Schutzeinrichtungen 2 B 4 Energieversorgung Schutz bei kurzfristigem Stromausfall Spannungsspitzen oder ab f llen Notfallsysteme Generatoren Akkus Battery Backup Units etc und Stromregu latoren installieren und warten 2 C 1 Erstellung eines Notfallplans Bildung eines Teams f r die Durchf hrung eines Si cherheitsprogramms regelm iges Training des Personals f r den Notfall 2 C 2 R ckwirkungsfreiheit der Schnittstellen Keine unzul ssige Beeinflussung der Messwer te im eichpflichtigen Messger t m glich Verwendung abgeschirmter Strom und Netz werkkabel 3 Security 3 A 1 Schutz vor absichtlichen physikalischen Attacken wie Stromausfall Wassersch den Besch digung Vandalismus Diebstahl Qualit t der verwendeten Materialien und Werkstoffe bieten ausreichenden Schutz vor Attacken Verschlie bare T ren und Fenster am Aufbewahrungsort 3 A 2 Keine Internetverbindung sm glickeit Entfernung von Netzwerkkarten und Versiege lung der Maschinen Schl sser oder sichere Plomben 3 A 3 Entfernen nicht benutzter Ger te etwa DVD Laufwerke Floppy Laufwerk WLan Adap ter USB Schnittstellen etc 3 A 4 Zutrittskontrolle zu Maschinen Der Zugang zu den Verwaltungsmaschinen Applikati onsserver Datenbankserver oder hnliches muss streng limitiert und berwacht wer den Ausweisk
270. ung der Wahlgrunds tze wie dem des Wahlgeheimnisses So darf sich ein Papierbeleg nachtr glich nicht ei ner Person zuordnen lassen was etwa durch Seriennummern oder Zeitstempel auf den Belegen m glich w re VVPT k nnen durch zus tzliche Transparenz und Sicherheit somit auch das Vertrauen der B rger in das elektronische System steigern OoBe04 In dem ACM Policy Statement ACMO4 wird ebenfalls eine physikalische Kopie der Stimmabga be empfohlen die eine von den Wahlmaschinen unabh ngige berpr fung des Wahlergebnisses ge wahrleistet Ein Gesetzesentwurf der sogenannte Holt Bill Holt07 zur Verbesserung des Help America Vote Act von 2002 schl gt ebenfalls Papierbelege vor um in Zweifelsf llen eine Nachz h lung zu erm glichen Es gibt bereits einige Hersteller von E Voting Maschinen wie etwa Avante oder Populex die Pa pierbelege in ihre E Voting Systeme integriert haben Das Technical Guidelines Development Committee TGDC der U S Elections Assistance Com mission EAC hat bereits eine Resolution verabschiedet nach der keine neuen Wahlmaschinen 73 William Gazecki drehte zu diesem Thema einen Dokumentarfilm Invisible Ballots 2004 Film2 104 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen mehr zugelassen werden d rfen die keine Papierbelege verwenden und somit keine unabh ngige berpr fung erm glichen Die Resolution bezieht sich allerdings nur auf neue Zulassungen nic
271. usgabe angedacht die Blin den den Stimmzettel vorlesen k nnen damit auch beeintr chtigte Personen ihre Stimme verifi zieren k nnen Die Anforderungen an eine Ballot Marking Machine sind Folgende Rubi06 S 207 e Transparenz offener nicht propriet rer Code e Unabh ngiger Audit Wahlbeobachter VVPB 122 Dissertation Sicherheit von E Voting Systemen 6 MaBnahmen e Peer Reviews e Usability Testing Rebecca Mercuri stellt eine Abwandlung dieses Systems mit ihrer The Mercuri Method vor Ihr System hat ebenfalls ein Touchscreen zur Darstellung des Stimmzettels und zur Eingabe der Stim me mit Papierbelegen allerdings bekommt der Wahler den Papierstimmzettel nicht in die Hand sondern kann ihn hinter einer Glasscheibe nochmals berpr fen MercO2 Diese Methoden schaffen mehr Transparenz in einem elektronischen Wahlsystem allerdings sind diese Systeme mit den Nachteilen der Papierbelege behaftet siehe auch Kapitel 6 7 1 6 10 2 Digitales Wahlstift System Eine Alternative zu Lochkartensystemen und Touchscreen Automaten bietet der sogenannte Ham burger Wahlstift dotVote Der Hamburger Senat hat im Winter 2006 beschlossen dass f r die Be zirksversammlungs und B rgerschaftswahlen im Februar 2008 ein digitaler Stift eingesetzt werden solle Dieser Stift ist ein Schreibger t siehe Abbildung 27 das eine kleine Kamera hinter der Ku gelschreibermine enth lt vgl digitaler Stift des Herstellers Anoto die mit
272. utzer wie zum Beispiel Eingabefehlern Ein System das als secure bezeichnet wird kann sich gegen beabsichtigte b sarti ge Fehler bzw Fehler die von nicht vertrauensw rdigen Benutzern durchgef hrt werden sch tzen wie zum Beispiel Angriffe die zu einem Ausfall des Systems f hren AlAr98 Eine andere Definiti on unterscheidet Safety und Security als Schutz vor unbeabsichtigtem im Gegensatz zu absichtlich verursachtem b sartigem Schaden Fire03 3 1 1 Zusammenhang von Security und Safety Weitere Begriffe die in Zusammenhang mit Sicherheit im Sinne von Security stehen sind unter an derem siehe auch Kapitel 3 1 3 Systemstabilit t Vertraulichkeit und Integrit t Systemstabilit t beinhaltet wiederum Verf gbarkeit Zuverl ssigkeit Safety und Wartbarkeit TaStO2 S 362 S 414 Somit wird Safety wieder zu einem Unterpunkt von Security Verf gbarkeit Funktionsf higkeit Sicherheit im Sinne von Safety und Schutz im Sinne von Security k nnen wiederum als Auspr gungen oder Eigenschaften der Zuverl ssigkeit gesehen wer den Lapr92 bzw k nnen Safety und Security als zwei Aspekte der Zuverl ssigkeit Verf gbarkeit und Systemstabilit t betrachtet werden StDu98 Trotz der Unterscheidung von Security und Safety sind beide Eigenschaften untrennbar mitein ander verbunden und beide m ssen betrachtet werden wenn die Sicherheit eines Systems bewer tet werden soll 3 1 2 Safety und Security bei E Voting Oft wi
273. vernment Gesetz E GovG Bundesgesetz mit dem ein E Government Gesetz erlassen wird sowie das Allgemeine Verwal tungsverfahrensgesetz 1991 das Zustellgesetz das Geb hrengesetz 1957 das Meldegesetz 1991 und das Vereinsgesetz 2002 ge ndert werden NR GP XXII RV 252 AB 382 S 46 BR 6959 AB 6961 S 705 StF BGBI Nr 10 2004 BGBIO7 Bundesgesetzblatt f r die Republik sterreich 28 Bundesgesetz Wahlrechts nderungsge setz 2007 NR GP XXIII RV 88 AB 130 S 24 BR 7686 AB 7697 S 746 28 Bundesge 162 K rzel Quelle setz mit dem die Nationalrats Wahlordnung 1992 das Bundespr sidentenwahlgesetz 1971 die Europawahlordnung das W hlerevidenzgesetz 1973 das Europa W hlerevidenzgesetz das Volksbegehrengesetz 1973 das Volksabstimmungsgesetz 1972 und das Volksbefragungs gesetz 1989 ge ndert werden Wahlrechts nderungsgesetz 2007 BGBI30 Bundesgesetzblatt f r die Republik sterreich sterreichisches Wahlrecht Bundes Verfas sungsgesetz BGBI Nr 1 1930 zuletzt ge ndert durch BGBl Nr 27 2007 BGBI55 Bundesgesetzblatt f r die Republik sterreich Staatsvertrag von Wien betreffend die Wie derherstellung eines unabh ngigen und demokratischen sterreich BGBI 1955 152 BGBI74 Bundesgesetzblatt f r die Republik sterreich Bundesrecht Strafgesetzbuch StGB BGBI Nr 60 1974 BGBI92 Bundesgesetzblatt f r die Republik
274. werden und dient ebenfalls zur berpr fung der Korrektheit einzelner Maschinen Dieses Verfahren erm glicht bedeutungsvolle Neuz hlungen und Audits und stichprobenartige berpr fungen der Maschinen DiRu04 Die Vorteile eines Papierbelegs oder Papierbackups liegen auf der Hand Er existiert dauerhaft und permanent denn man kann ihn nicht entfernen oder manipulieren ohne dass es daf r Spuren gibt F r erneute valide Ausz hlungen ist er unerl sslich Papierbelege sind transparent und selbst f r Laien verst ndlich und machen eine ger teunabh ngige Verifizierbarkeit des Wahlergebnisses m glich Die Wahl wird somit softwareunabh ngig Der Begriff der Softwareunabh ngigkeit ge pr gt von R Rivest RiWa06 bezeichnet ein elektronisches Wahlsystem bei dem eine b sartige Manipulation oder ein unentdeckter Fehler in der Software keine unentdeckte Auswirkung auf das Endergebnis haben kann Ver nderungen sind bemerkbar Elektronisch repr sentierte Stimmen sind nicht fixiert sie lassen sich ohne jeglichen Nachweis ver ndern oder l schen Erneute Ausz hlungen werden in einer undurchsichtigen der ffentlichkeit verschlossenen Umgebung einer Blackbox durchgef hrt Ob die Stimme auf dem Stimmzettel der tats chlichen Intention des W hlers entspricht ist fraglich da der elektronische Stimmzettel mani puliert werden h tte k nnen Ein entscheidendes Kriterium f r den Einsatz von Papierbelegen ist allerdings die Einhalt
275. xploitability e Betroffene Benutzer Affected Users e Entdeckbarkeit Discoverability Bei STRIDE werden folgende Schritte durchgef hrt 1 Assets identifizieren z B Computer Daten etc indem Personen aller Interessengruppen Manager Entwickler etc befragt werden Das System durch Data Flow Diagramme abbilden 3 Assets in STRIDE Kategorien einordnen Die Kritizit t der Assets mit DREAD bewerten wobei jeweils ein Wert zwischen 1 und 10 zu geordnet und der Mittelwert kalkuliert wird Dieser Endwert kann zur Priorisierung der Gegen ma nahmen verwendet werden STRIDE ist eine besonders weit verbreitete Methode um Bedrohungen zu analysieren die auch eine M glichkeit zur Einstufung der Bedrohungen mit numerischen Werten bietet 3 3 2 Baumanalyseverfahren Um Risiken oder Kosten und deren Zusammenh nge abzubilden werden in der Risikoanalyse h u fig Baumanalyseverfahren verwendet Fault Tree Analysen sind ein logischer strukturierter Prozess der dabei hilft m gliche System ausf lle zu erkennen bevor sie eintreffen LeHa83 Sie wurden urspr nglich 1961 von H A Wat son der Bell Telephone Laboritories entwickelt und sp ter von Nancy Leveson aufgegriffen Fault Tree Analysen dienen haupts chlich der Analyse der Ursachen von Risiken nicht der Identifikation der Risiken selbst Basis f r den Baum sind alle m glichen Ursachen eines Fehlers Als Wurzelkno 36 Dissertation Sicherheit von E Voting System
Download Pdf Manuals
Related Search