Jusletter IT

Internet-Voting. Machbarkeit in Österreich?

  • Authors: Robert Klausner / Alexander Balthasar
  • Category: Short Articles
  • Region: Austria
  • Field of law: E-Democracy
  • Collection: Conference proceedings IRIS 2010
  • Citation: Robert Klausner / Alexander Balthasar, Internet-Voting. Machbarkeit in Österreich?, in: Jusletter IT 1 September 2010
Die verschiedenen technischen Verfahren werden auf ihre technische wie rechtliche Umsetzbarkeit in Österreich einer kritischen Bewertung unterzogen.

Inhaltsverzeichnis

  • 1. Einführung
  • 2. Übersicht
  • 2.1. Blinde Signaturen
  • 2.1.1. Verfahren
  • 2.1.2. Infrastruktur
  • 2.1.3. Würdigung
  • 2.1.4. Darstellung
  • 2.1.5. Würdigung
  • 3. ÖH-Wahlen 2009
  • 3.1. Darstellung
  • 3.2. Würdigung
  • 4. Zusammenfassung
  • 5. Literatur

1.

Einführung ^

[1]

Wie an anderer Stelle in diesem Band1 festgehalten, bestehen all jene Gefährdungen, die sich aus der Distanz des Wählenden zum Wahllokal als solcher ergeben, in ganz gleicher Weise sowohl für den Modus der konventionellen «Briefwahl» wie für jenen des «Internet-Voting2»3. Gegenstand der nachfolgenden Ausführungen sind daher ausschließlich jene (zusätzlichen) Gefährdungen, die sich aus der Eigenart des elektronischen Modus ergeben.

[2]

Die besondere Herausforderung liegt hier darin, einerseits die eindeutige Identifikation4 und Authentifizierung5 des Wählenden, andererseits aber die vollständige Anonymität des Inhaltes des Wahlaktes zu gewährleisten.6 Dazu treten der Schutz der Integrität7 sowie die ausreichende Nachprüfbarkeit, zumindest für ein Wahlgericht.8

2.

Übersicht ^

[3]

Zur Durchführung von Internetwahlen9 wurden bisher10 unterschiedliche «Wahlprotokolle11»12 entwickelt. Diese lassen sich – unbeschadet ihrer zumindest teilweisen Kombinierbarkeit – in die drei Gruppen: blinde Signaturen, mehrstufige Verfahren und andere gliedern.

2.1.

Blinde Signaturen ^

2.1.1.

Verfahren ^

[4]

Um der gerade formulierten einen generellen Anforderung zu entsprechen, ruht diese Technik auf der zu Zwecken der Identifikation und Authentifizierung im Rechtsverkehr entwickelten Technik der «digitalen» – bzw «elektronischen» – «Signatur13»14 auf, ergänzt diese jedoch, mit Blick auf die andere Anforderung, um eine sogenannte «blinde Signatur». Konkret bezogen auf den Wahlakt kann dies heißen:

[5]

Nach Identifikation und Authentifizierung wird dem potentiellen Wähler sein Stimmzettel elektronisch angezeigt; diesen sendet er ausgefüllt, verschlüsselt und (digital) signiert an die zur Überprüfung der Wahlberechtigung zuständige Wahlbehörde. Diese signiert gegebenenfalls den verschlüsselten und bereits vom Wähler signierten Stimmzettel blind (d.h. ohne Kenntnis vom Inhalt des Wahlaktes) und schickt ihn an den Wähler zurück. Der Wähler entfernt nun seine persönliche Signatur und schickt den Stimmzettel an die wahlauszählende Behörde weiter. Diese prüft die Wahlberechtigungssignatur (d.h., ob die Stimme von einer wahlberechtigten Person abgegeben wurde), entschlüsselt den Stimmzettel und zählt die Stimme.15 Nach einer anderen Variante wird die Stimme vom Wähler direkt an die wahlauszählende Behörde gesandt, welche sodann die Personenbindung entfernt.16

[6]

In beiden Varianten soll diese elektronische Koppelung zwischen Erhalt und Abgabe des Stimmzettels sichtlich eine ganz starke Sicherheit erzeugen, dass nur der Wahlberechtigte selbst den elektronischen Stimmzettel abgegeben habe.

2.1.2.

Infrastruktur ^

[7]

Die Behörden betreiben (zumindest) zwei von einander unabhängige Einheiten (Server17), d.h. (zumindest) je einen «Registrierungsserver» und einen «Urnenserver». Für den Wähler sind zur Stimmabgabe ein Chipkartenleser18 und eine Internetverbindung erforderlich. Die Chipkarte19 ist Träger der digitalen Signatur des Inhabers; sie kann eine «Bürgerkarte», die nicht nur einmalig bei einer einzigen Wahl, sondern ständig etwa bei elektronischen Behördenwegen, elektronischem Bankverkehr oder zur Abfrage des Versicherungsstatus bei Sozialversicherungen eingesetzt werden soll20, sein.

2.1.3.

Würdigung ^

[8]

Falls tatsächlich ein «anonymer Kanal21»22 zum Einsatz kommt und damit sowohl ausgeschlossen werden kann, dass die erste Wahlbehörde ihre «blinde» Signatur heimlich mit einem wähleridentifizierenden «Tag23»24 ausstatten kann, als auch, dass der erste Server mit dem Server kommunizieren kann, der die Stimme entgegen nimmt25, und falls die eingesetzte Infrastruktur tatsächlich wie vorgesehenfunktioniert26, so ist bei dieser Protokollklasse die Einhaltung des Wahlgeheimnissestheoretisch unabhängig von der Vertrauenswürdigkeit der Wahlbehörden, der Wähler, sowie dritter Netzteilnehmer gewährleistet. Gleichwohl bestehen in praxi erhebliche Bedenken .

[9]

Was zunächst die weniger stichhältigen anlangt:

  • Die abgegebene Stimme könnte auf dem Weg zur Wahlbehörde, also noch im verschlüsselten Zustand, unbefugt entschlüsselt und ausgewertet werden.
[10]

Nun sind zwar Angriffe auf einzelne elektronische «Wahlzettel» etwa durch «Brute Force» Attacken (Durchprobieren aller möglichen Schlüssel) denkbar, sie benötigen aber große Hardware-Ressourcen, die nur militärischen oder wissenschaftlichen Einrichtungen zur Verfügung stehen. Da der Aufwand für solche Angriffe exponentiell zur Länge des Schlüssel ansteigt und, soweit zu sehen, durchgehend Schlüssel mit großer Länge eingesetzt werden, können solche Angriffe praktisch ausgeschlossen werden.27

  • Sollte eine zur Mehrfachverwendung vorgesehene Chipkarte eingesetzt werden, besteht immer ein gewisses Risiko, dass, etwa im Fall eines Softwarefehlers28, auf dieser Karte bereits gespeicherte Daten von Unbefugten abgelesen werden. Für die österreichische «Bürgerkarte29»30 kann aber selbst diesfalls zumindest ausgeschlossen werden, dass Informationen über den Wahlakt als solchen nachträglich zugänglich werden; denn die Abspeicherung solcher Informationen auf der Karte – die nur zur Identifikation und Authentifizierung herangezogen wird31 – ist, soweit zu sehen, ja überhaupt nicht vorgesehen.32
[11]

Wesentlich begründeter erscheint dagegen:

  • Sollte der Computer des Wählers gerade dann ausfallen33, wenn der Wahlzettel bereits «blind» signiert, aber noch nicht an die stimmzählende Wahlbehörde abgesandt wurde, kann der ausgefüllte Wahlzettelunwiederbringlich verloren gehen34 . Da (aus naheliegenden Gründen) eine «Wiedereinsetzung in den vorigen Stand» nicht vorgesehen ist, wäre der Wähler in dieser Konstellation an der Abgabe seiner Stimme dauerhaft gehindert.
    • Das Verfahren der «blinden» Signatur benötigt eine relative aufwändige Kommunikation. Zur Abgabe der Stimme muss – jedenfalls in der erstdargestellten Variante35 – mit zwei Servern kommuniziert werden. Dadurch ergeben sich schon rein abstrakt mehr Ansätze für mögliche Manipulationen.36
      • Auch die Frage der vorgängigen Kontrolle des Verbrauches des Wahlrechtes stellt – in der besonderen Konstellation, dass ein Wahlberechtigter, der zunächst im elektronischen Modus gewählt hat, eine weitere Stimmabgabe im konventionellen Modus versuchte – eine Herausforderung dar.37
        • Schließlich ist aber auch – jedenfalls in den bisher vorliegenden Systemen – die nachträgliche Überprüfbarkeit38 problematisch: Im konventionellen Verfahren können die Wahlzettel bei Zweifeln an der Auszählung in technischer Hinsicht problemlos beliebig oft neuerlich ausgezählt und dabei in Augenschein genommen werden, wobei Manipulationen am Zettel leicht auffallen sollten. Im elektronischen Modus ist dagegen eine Manipulation der elektronischen «Wahlzettel» deshalbkaum nachzuweisen (die «Integrität» des Wahlvorganges daher nicht zu gewährleisten), da die Stimmen bei der Auszählung bereits unverschlüsselt vorliegen.
[12]

Vor allem aber stehen bei diesem Verfahren – bei dem eine anfängliche elektronische Identitätsoffenbarung unabdingbar ist – alle nachfolgenden Anonymisierungsschritte letztlich – genau komplementär zu den eingangs aufgestellten Bedingungen39 – unter dem Damoklesschwert der Rückverfolgbarkeit.

2.1.4.

Darstellung ^

[13]

Mehrstufige Verfahren trennen Identifikation und Authentifizierung einer wahlberechtigten Person samt Ausgabe eines Stimmzettels von dessen Abgabe.40 Diese Modelle verzichten demnach auf die im in Punkt 2.1. beschriebenen, «klassischen» System der «blinden Signatur» enthaltene elektronische Koppelung:

  • Im Verfahren Prosser/Müller41 läuft das Protokoll in zeitlich strikt getrennten Phasen ab, nämlich zunächst als Registrierung als elektronischer Wähler, bei dem ein blind signiertes Wahltoken (eine elektronische Briefwahlkarte, d.h., soweit zu sehen, eine «Chipkarte») ausgegeben wird, und sodann als Stimmabgabe. Nach der Registrierung wird beim Registrator vermerkt, dass der Wahlberechtigte für die elektronische Stimmabgabe registriert wurde. Zur Stimmabgabe weist der Wähler zuerst dem «Trust Center» gegenüber seine Wahlberechtigung nach, und gibt dann die Stimme an der virtuellen Urne ab und erhält eineBestätigungsmeldung ,dass die Stimme akzeptiert wurde. Nach der Stimmabgabe werden die gesammelten Stimmen veröffentlicht.Zusätzlich kann jeder Wählerüber eine Nummer nachvollziehen, ob seine Stimme in dasErgebnis eingeflossen ist. Wohl weniger aus Voraussicht der erst Jahre später explizierten rechtlichen Rahmenbedingungen42, denn aus bereits früher technischer Einsicht in das gegenüber dem konventionellen deutlich «effektivere» Manipulationspotential deselektronische n Modus43, wird hier bereits besonderer Wert auf «Verifikation» durch eine«unabhängige Stelle» gelegt: «Mithilfe der öffentlichen Teile … der blinden Signaturen von Registrator und Trust Centers» können «dieTokenteile …von jedem-»Internet-User «auf ihre Authentizität überprüft werden44».45
    • Bei Wahlen über das Internet in derSchweiz46 erhält dagegen jeder Stimmberechtigte per Post einen Stimmrechtsausweis47. Mit diesem kann brieflich, über die Urne oder das Internet abgestimmt werden. Zum letzteren Zweck sind eine «UserId48»49 und ein PIN-Code enthalten. Zusätzlich ist der «Fingerabdruck50»51 des Servers abgedruckt, mit dem später überprüft werden kann, ob eine Verbindung zu einem gültigen Wahlserver aufgebaut wurde. Der PIN-Code ist erst nach dem Aufreißen einer Lasche und dem Aufrubbeln eines Sicherheitslackes sichtbar. Nach Eingabe der Benutzeridentifikation und des PIN-Codes im Webbrowser kann die Stimme abgegeben werden.52 Nach der Prüfung des Votums muss noch ein Sicherheitssymbol verglichen und das Geburtsdatum eingegeben werden.

2.1.5.

Würdigung ^

[14]

Der größte Vorzug des Verfahrens nach Prosser/Müller liegt in der Gewährleistung einer dem traditionellen Modus zumindest gleichwertigen Transparenz: Zum einen kann selbst ein Administrator keine Stimmzettel für sich der Wahl enthaltende elektronische Wähler einfügen, da nicht nur eine Signatur des Registrators, sondern auch eine solche des Trust Centers notwendig ist. Zum andern vermag buchstäblich jedermann überprüfen, ob ausschließlich berechtigte Stimmen in das Ergebnis eingegangen sind. Das Löschen, Einschleusen und Ändern von Stimmen würde also bereits durch diese jederzeitige Möglichkeit einer öffentlichen Überprüfung zuverlässig ex ante verhindert werden; dazu tritt die damit zugleich eröffnete – dem traditionellen Modus gleichwertige – Möglichkeit nachträglicher behördlicher Überprüfung, zuallererst durch ein Wahl-, aber auch etwa durch ein Strafgericht.53 Beide genannte Aspekte lassen ein hohes Maß an Vertrauen gegenüber diesem System erwarten. Auch die Anonymität der Wählenden wird grundsätzlich dadurch gesichert, dass die Registrierung und Stimmabgabe in getrennten Schritten erfolgen, womit eine direkte Zuordnung der abgegebenen Stimme zu einer bestimmten Person ausgeschlossen wird.54

[15]

Das System setzt aber, in seiner gegenwärtig vorgeschlagenen Form, eine Chipkarte voraus; je nach konkreter Ausgestaltung kann diese, im Falle vorgesehener Mehrfachverwendung sowie insbesondere «Verschränkungen», ein gewisses Rest-Risiko implizieren.55 Auch dieses wäre aber durch die ausschließliche Verwendung von «Einmalkarten» aufhebbar.

[16]

Das in der Schweiz angewandte System56 stellt die Anonymität auf strikt konventionellem Wege bereits in der Phase vor dem eigentlichen, elektronischen Wahlakt her und erübrigt damit – in grundsätzlich gleicher, jedoch noch konsequenterer Weise als im Verfahren Prosser/Müller – nachfolgende komplizierte technische Verfahren zur Sicherung ebendieser: denn aufgrund der zu diesem Zeitpunkt bereits gesicherten Anonymität kann selbst bei allfälliger Entschlüsselung der Kommunikation bei der Stimmabgabe keine direkte Zuordnung zu einer Person mehr abgeleitet werden.57 Überdies bietet die geringere Komplexität als bei anderen Wahlprotokollen – zur Stimmabgabe ist nur eine einmalige Kommunikation mit den Servern auf Behördenseite erforderlich, die Ausgabe der Stimmberechtigungskarte erfolgt konventionell – eben deshalb weniger mögliche Angriffspunkte für elektronische Manipulation. Tatsächlich scheint, dass insbesondere dieser – nicht vollständig elektronische – Weg der Wahrung der Anonymität, d.h. des Wahlgeheimnisses, am ehesten gerecht werden kann.

[17]

Eine ernste Schwäche zeigt dieses System jedoch bislang in puncto Nachprüfbarkeit :

[18]

Nach Braun/Brändli58 widerstanden zwar die für die Pilotversuche in Genf, Neuenburg und Zürich ergriffenen Sicherheitsmaßnahmen allen «registered attacks», unabhängige Experten hätten eine «exzellente Sicherheitsarchitektur» bescheinigt. Im «Bericht» des Schweizerischen Bundesrates vom 31.5.2006 «über die Pilotprojekte zum Vote éléctronique» wird jedoch eingeräumt: «Die Pilotkantone haben bei der Umsetzung Lösungsmöglichkeiten entwickelt, die zwar nicht eine individuelle, wohl aber eine demokratische Validierung der Abstimmungs- und Wahlresultate zulassen (kryptografische Schlüssel der Ausschüsse, Testgemeinden).»59

 

[19]

Diese Varianten beschreiben theoretische Möglichkeiten, die jedoch bislang bei Wahlen60 keine praktische Anwendung fanden.

3.

ÖH-Wahlen 2009 ^

3.1.

Darstellung ^

[20]

Für die ÖH-Wahlen 200961 wurde neben dem konventionellen Modus die zusätzliche Möglichkeit zur Abgabe der Stimme mittels I-Votings geschaffen.62 Dafür war die Sozialversicherungskarte e-card als Bürgerkarte63 auszurüsten.64 Zur Stimmabgabe war die Karte im Wahlzeitraum – aus Gründen der Ausfallssicherheit wurde das I-Voting eine Woche vor der Papierwahl durchgeführt – in das Lesegerät65 einzustecken und ein PIN-Code einzugeben, worauf die Stimmzettel angezeigt wurden. Nach deren Ausfüllung durch den Wähler wurden die elektronischen Stimmen verschlüsselt, mit der Bürgerkarte digital signiert und über das Internet abgegeben. Sie wurden bis zum Ende der Papierwahl im Bundesrechenzentrum aufbewahrt. Danach trat die Wahlkommission zusammen, entfernte die digitalen Signaturen, vermischte die Stimmzettel und zählte schließlich die Stimmen aus.66 Überdies67 hatte jeder Wähler nach seinem Wahlakt einen Prüfcode erhalten, mit dem er feststellen konnte, ob seine Stimme tatsächlich in der elektronischen Urne landete.68

3.2.

Würdigung ^

[21]

Bei der ÖH-Wahl wurde im Wesentlichen das (klassische) System der «blinden» Signatur eingesetzt. Demnach kommen hier sämtliche oben in Punkt 2.1.3. angeführten Bedenken zum Tragen.69

4.

Zusammenfassung ^

[22]

Nach dem hier Gesagten wundert es nicht, dass gerade das bei der ÖH Wahl zum Einsatz gelangende Verfahren schon im Vorfeld kritisiert wurde70 , zumal ja diese Wahl einen Testlauf für die Einführung der elektronischen Wahl für andere Bereiche darstellen sollte.71 Auch wenn viele befürchtete Manipulationen wohl nur theoretische Möglichkeiten darstellen, bleibt für den einzelnen Wähler wohl immer ein unangenehmer Beigeschmack bei der Verwendung eines derartigen Wahlmodus.72 Dies zeigt schon die in diesem (Pilot-)Fall tatsächlich eingetretene «Beschwerdeflut»73 recht deutlich (dies ganz unabhängig von der Frage, ob gerade auf diese Wahl der hier implizit zugrundegelegte rechtliche Standard überhaupt Anwendung zu finden habe).74

[23]

Allerdings bestehen, wie ausgeführt, durchaus zuverlässige Alternativen , die die einleitend in Punkt 1 genannten Anforderungen – allein oder allenfalls auch inKombination – zu erfüllen vermögen: Zum einen kann ein mehrstufiges Verfahren durchaus als in puncto Anonymität ausreichend sicher eingestuft werden. Zum andern erfüllt – allerdings, soweit zu sehen, bislanglediglich – das Verfahren nachProsser/Müller auch zumindest den, wie ausgeführt, in Österreich geltenden Standard der «Nachprüfbarkeit75».76 Diese «Nachprüfbarkeit» scheint überdies ein selbständiges – und damit mit anderen Modellen grundsätzlich kombinierbares77 – Modul darzustellen.

5.

Literatur ^

Ablameyko/Kalosha/D.Lipen/V.Lipen, New Technologies for remote Observation and Verification of electronic Votes: Foundation of a better E-voting System, in: Prosser/Parycek, EDEM 2009 (s dort), 255 ff.
Balthasar, Mögliche rechtliche Grenzen für Änderungen des Wahlrechts [in Vorbereitung]
Braun/Brändli, Swiss E-Voting Pilot Projects: Evaluation, Situation Analysis and How to Proceed, in: Krimmer, Electronic Voting 2006 (s dort), 27 ff.
Buchsbaum, Rechtliche Herausforderungen der E-Democracy, in: Prosser/Parycek (Hrsg.), Elektronische Demokratie in Österreich. Proceedings der EDEM 2007, 27.-28. September 2007, Wien (2007)
Burmester/Magkos, Towards secure and practical e-elections in the new era, in: Gritzalis, Secure Electronic Voting (siehe dort), 63 ff.
Dåmgard/Groth/Salomonsen, The theory and implemantation of electronic voting systems, in: Gritzalis, Secure Electronic Voting (s dort), 77 ff.
Gritzalis (Hrsg), Secure Electronic Voting (2003)
Hahn,Österreichische E-Voting Premiere bei den ÖH-Wahlen 2009, direkt 2009, 6 f.
Karning/Kustor, E-Government, in: Bauer/Reimer (Hrsg), Handbuch Datenschutzrecht (2009), 231 ff.
Krimmer (Hrsg), Electronic Voting 2006, [Proceedings of the] 2nd International Workshop Co-Organized by Council of Europe, ESF TED, IFIP WG 8.6 and E-Voting.CC (2006)
Krimmer, E-Voting in Österreich, Academia, 2009/1, 14 f.
Krimmer/Volkamer, Wählen auf Distanz: ein Vergleich zwischen elektronischen und nicht elektronischen Verfahren, in: Schweighofer/Liebwald/Augeneder/Menzel (Hrsg), Effizienz von e-Lösungen in Staat und Gesellschaft. Aktuelle Fragen der Rechtsinformatik. IRIS 2005 (2005), 256 ff.
Kustor, Aktuelle Entwicklungen rund um die Bürgerkarte seit dem «Novellenpaket 2007/2008», in: Jahnel (Hrsg), Datenschutzrecht und E-Government. Jahrbuch 2009(2009), 285 ff.
Kustor, Update Bürgerkarte 2008 Quo Vadis, NetV 2009, 23 ff.
Langer/Schmidt/Volkamer/Buchmann, Ein PKI-Basiertes Protokoll für sichere und praktikable Online-Wahlen, in:
Prosser/Parycek, EDEM 2009 (s dort), 243 ff.
Leitold , Technische Aspekte des E-Voting, JRP 2004, 77 ff.
Maaten/Hall, Improving the Transparency of Remote E-Voting: The Estonian Experience, in: Krimmer/Grimm (Hrsg), [Proceedings of the] 3rd International Conference Co-organized by Council of Europe, Gesellschaft für Informatik and E-Voting.CC (2008), 31 ff.
Madise/Martens, E-Voting in Estonia 2005. The first practise of country-wide binding Internet voting in the world, in: Krimmer, Electronic Voting 2006 (s dort), 15 ff.
Ondrisek, Sicherheit elektronischer Wahlen. Eine Methode zur Bewertung und Optimierung der Sicherheit von E-Voting-Systemen (2008)
Prosser, The Ruling of the Federal Constitutional Court on Evoting and its Technical Consequences for Internet Voting, in: Prosser/Parycek, EDEM 2009 (s dort), 17 ff.
Prosser/ Kofler/ Krimmer, e-Voting. at – Vom e-Government zur e-Demokratie, in: Schweighofer/Menzel/ Kreuzbauer (Hrsg.), IT in Recht und Staat. IRIS 2002 (2002), 135 ff.
Prosser/ Müller-Török, E-Democracy Eine neue Qualität im demokratischen Entscheidungsprozess, WI 2002, 545 ff.
Prosser/ Parycek (eds), EDEM 2009 – Conference on Electronic Democracy 2009, Proceedings of EDEM 2009 (2009)
Prosser/Schiessl/ Fleischhacker, E-Voting: Usability and Acceptance of Two-Stage Voting Procedures, in: Wimmer/Scholl/Grönlund (Hrsg.), Electronic Government. EGOV 2007 Regensburg, Germany, September 3-7, 2007 Proceedings (2007), 378 ff.
Schwarz, Die österreichische Bürgerkarte in der Praxis – Status quo, in: Jahnel (Hrsg.), Datenschutzrecht und E-Government. Jahrbuch 2008 (2008), 246 f.
Schweizerischer Bundesrat, Bericht vom 31.5.2006 «über die Pilotprojekte zum Vote électronique» (www.admin.ch)



Alexander Balthasar, Ministerialrat im Bundeskanzleramt/Präsidium, Sektionsleitung, Wien AT; Alexander.Balthasar@bka.gv.at

Robert Klausner, Software-Entwickler, XIMES, Wien AT; klausner@ximes.com

  1. 1 Für einzelne Hinweise danken wir Dipl.-Ing. David Schmitt und Prof. Mag. Franz Kranzler. Balthasar, Die österreichischen Wahlrechtsgrundsätze, unter dem besonderen Blickwinkel des Internet-Voting, Punkt 4.3.
  2. 2 «I-Voting». Die Abkürzung «E-Voting» steht dagegen allgemein für elektronische Wahlen und schließt alle Formen elektronischer Wahlmöglichkeiten ein, insbesondere auch im Wahllokal selbst aufgestellte «Wahlmaschinen» (vgl. Ondrisek, Sicherheit, 17). Der Präzision halber wird daher hier konsequent zwischen diesen beiden Begriffen unterschieden.
  3. 3 «I-Voting». Die Abkürzung «E-Voting» steht dagegen allgemein für elektronische Wahlen und schließt alle Formen elektronischer Wahlmöglichkeiten ein, insbesondere auch im Wahllokal selbst aufgestellte «Wahlmaschinen» (vgl. Ondrisek, Sicherheit, 17). Der Präzision halber wird daher hier konsequent zwischen diesen beiden Begriffen unterschieden.
  4. 4 Eindeutige Erkennung einer Person (vgl § 2 Z 4 EGovG).
  5. 5 Überprüfung einer behaupteten Identität (vgl § 2 Z 6 EGovG).
  6. 6 Siehe hiezu schon Prosser/Kofler/Krimmer, e-Voting. at, 4f, sowie Leitold, JRP 2004, 81.
  7. 7 Komplementärbegriff zu Manipulation an den bereits abgegebenen Stimmen, vgl etwa Leitold, JRP 2004, 79.
  8. 8 Siehe Balthasar, Wahlrechtsgrundsätze (in diesem Band), Punkt 5.
  9. 9 In der EU setzte, nach einem Pilotprojekt im VK (siehe Leitold, JRP 2004, 83), Estland (vgl. Madise/Martens, E-Voting in Estonia, 15 ff.; Maaten/Hall, The Estonian Experience, 31 ff.) 2005 Internet-Voting bei regionalen Wahlen und im Jahr 2007 bei Parlamentswahlen ein. Für die Stimmabgabe reichten eine Identifikationskarte mit digitaler Signatur, eine Chipkartenlesegerät und ein Internetzugang. In der Schweiz wurden 2004 und 2005 erste Pilotversuche in den Kantonen Genf, Neuenburg und Zürich mit I-Voting durchgeführt (Braun/Brändli, Swiss E-Voting, 27 ff.). In Deutschland wurden bei der Bundestagswahl 2005 Wahlcomputer eingesetzt, was – aufgrund mangelnder Transparenz –vom dBVerfG als grundgesetzwidrig eingestuft wurde (Urteil vom 3.3.2009, Zl 2BvC 3/07 u.a, Rz 145ff, 153ff). Zu Finnland siehe unten FN 28.
  10. 10 Vgl. Ondrisek, Sicherheit, 58ff.
  11. 11 Ein Wahlprotokoll (bzw. Wahlschema oder Wahlalgorithmus) beschreibt die generelle Architektur (z.B. Wahlserver, Kommunikation) und die Schritte, welche zur Abgabe der Stimme notwendig sind.
  12. 12 Ein Wahlprotokoll (bzw. Wahlschema oder Wahlalgorithmus) beschreibt die generelle Architektur (z.B. Wahlserver, Kommunikation) und die Schritte, welche zur Abgabe der Stimme notwendig sind.
  13. 13 In Österreich im SigG (BGBl I 1999/190) geregelt; siehe näher etwa Karning/Kustor, E-Government, 248ff; Schwarz, Bürgerkarte, 246 f.
  14. 14 In Österreich im SigG (BGBl I 1999/190) geregelt; siehe näher etwa Karning/Kustor, E-Government, 248ff; Schwarz, Bürgerkarte, 246 f.
  15. 15 Darstellung nach Ondrisek, Sicherheit, 58 ff.
  16. 16 Siehe Krimmer, Academia, 2009/1, 15.
  17. 17 Bezogen auf Österreich: etwa im Bundesrechenzentrum.
  18. 18 Die einmaligen Kosten für den potentiellen Wähler betragen weniger als € 20.-- (siehe etwa Cryptoshop, www.cryptoshop.com).
  19. 19 Zu frühen Versuchen mit Festnetztelefongeräten (im VK 2003) siehe Leitold, JRP 2004, 83.
  20. 20 Vgl, für den Bereich der «Auftraggeber des öffentlichen Bereichs», § 4 Abs 1 EGovG, für solche «des privaten Bereichs» § 14 EGovG. Siehe näher Schwarz, Bürgerkarte, insbes. 243 ff., 260 ff.; Kustor, Entwicklungen, 288 ff.
  21. 21 Vgl. Burmester/Magkos, e-elections 71; Dåmgard/Groth/Salomonsen, electronic voting systems, 78.
  22. 22 Vgl. Burmester/Magkos, e-elections 71; Dåmgard/Groth/Salomonsen, electronic voting systems, 78.
  23. 23 Ein «Tag» ist ein Vermerk, mit dem ein Objekt gekennzeichnet wird, was dessen spätere Identifizierung ermöglicht.
  24. 24 Ein «Tag» ist ein Vermerk, mit dem ein Objekt gekennzeichnet wird, was dessen spätere Identifizierung ermöglicht.
  25. 25 Prosser/Kofler/Krimmer, e-Voting. at, 7; Prosser, Ruling, 22f. In Falle einer solchen Kollusion könnten die Wahlbehörden sogar ihnen genehmeWahlakte vervielfältigen (Bei voller Kontrolle über beide Server, die für dieses Verfahren notwendig sind, könnten beliebig viele Umschläge mit der Wahlberechtigungssignatur versehen und anschließend zur Abgabe gebracht werden; eine natürliche Obergrenze besteht in einem solchen Fall nur in der – vorweg bekannten – Zahl der Wahlberechtigten).
  26. 26 Schon Leitold hat darauf hingewiesen, dass «Schadprogramme wie Viren oder trojanische Pferde, die Systeme bei der Stimmabgabe beeinflussen, nicht ausgeschlossen werden» können (JRP 2004, 79).
  27. 27 Vgl. Ablameyko/Kalosha/D. Lipen/V. Lipen, New Technologies, 261, bereits für Schlüssel = 64 bit.
  28. 28 Eigentlich sollten Programme ohne Bestätigung des Benutzers nur Daten auslesen, die ohnehin auf die Karte aufgedruckt sind (etwa Vor- und Nachnamen).
  29. 29 Diese zeigt häufig – im Lichte des gerade Gesagten – wohl suboptimale Verschränkungen, aufgrund zulässiger Anbindung etwa an Bankomatkarte oder „e-card“ oder an Berufs- bzw Dienstausweise, siehe Schwarz, Bürgerkarte, 253; Kustor, Entwicklungen, 286, 296.
  30. 30 Diese zeigt häufig – im Lichte des gerade Gesagten – wohl suboptimale Verschränkungen, aufgrund zulässiger Anbindung etwa an Bankomatkarte oder «e-card» oder an Berufs- bzw Dienstausweise, siehe Schwarz, Bürgerkarte, 253; Kustor, Entwicklungen, 286, 296.
  31. 31 Siehe oben Punkt 2.1.2 iVm Punkt 2.1.1.
  32. 32 Vgl. auch Kustor, NetV 2009, 25 («Alle ‚Bürgerkarten’ haben» – als solche – «Schlüsselfunktion und nicht Funktion als Träger von Daten»).
  33. 33 Aus welchen Gründen (und in welch quantitativer Dimension) auch immer (siehe bereits oben FN 21).
  34. 34 Dies war bei den finnischen Regionalwahlen 2008, wo «more than 200 electronic votes disappeared», sichtlich der Fall (cit Prosser, Ruling, 17).
  35. 35 Siehe oben Punkt 2.1.1.
  36. 36 Siehe oben FN 19f. Vgl. auch die von Langer/Schmidt/Volkamer/Buchmann, Protokoll, 245f, für «Bestätiger», «schwarzes Brett» und «Mix-Netz» für erforderlich gehaltenen «Annahmen».
  37. 37 Vgl. schon Leitold, JRP 2004, 81.
  38. 38 Schon im Sinne des nach der österreichischen Rechtslage heranzuziehenden Maßstabes (siehe Balthasar, Wahlrechtsgrundsätze [in diesem Band], Punkt 5.2).
  39. 39 «Falls».
  40. 40 Vgl. Prosser/Schiessl/Fleischhacker, E-Voting, 378 ff.
  41. 41 Siehe zunächst die Darstellung der ursprünglichen Version etwa bei Prosser/Kofler/Krimmer, e-Voting.at, 7 ff., sowie sodann die «Weiterentwicklung» bei Prosser/Müller-Török, WI 2002, 550 ff.
  42. 42 Prosser, Ruling, 18, schreibt selbst von einem (erst) durch das Urteil des dBVerfG eingeleiteten «Paradigmenwechsel».
  43. 43 Vgl. Prosser/Müller-Török, WI 2002, 546.
  44. 44 Cit Prosser/Müller-Török, WI 2002, 552.
  45. 45 Cit Prosser/Müller-Török, WI 2002, 552.
  46. 46 Siehe zum Ganzen evoting.zh.ch («Anleitung zur elektronischen Stimmabgabe», März 2009: auf dieser Seite gibt es auch eine Demonstration, anhand derer der Wahlvorgang über das Internet simuliert werden kann).
  47. 47 Der Stimmrechtsausweis wird in Papierform ausgestellt und enthält eine Prüfnummer, einen persönlichen Identifikationscode («UserId») sowie weitere Sicherheitsmerkmale.
  48. 48 Diese „UserId“ gilt in Kombination mit dem PIN-Code lediglich zur Identifikation eines gültigen Wählers innerhalb aller Wahlberechtigen und ist vollständig anonym. Durch den PIN-Code wird das zufällige Erraten einer „UserId“ unmöglich gemacht. Dies setzt voraus, dass die „UserId“ rein zufällig auf den personenbezogenen Stimmrechtsausweis aufgedruckt wird und keine weitere Kodierung enthält, die auf eine Person schließen lassen kann.
  49. 49 Diese «UserId» gilt in Kombination mit dem PIN-Code lediglich zur Identifikation eines gültigen Wählers innerhalb aller Wahlberechtigen und ist vollständig anonym. Durch den PIN-Code wird das zufällige Erraten einer «UserId» unmöglich gemacht. Dies setzt voraus, dass die «UserId» rein zufällig auf den personenbezogenen Stimmrechtsausweis aufgedruckt wird und keine weitere Kodierung enthält, die auf eine Person schließen lassen kann.
  50. 50 Analog zu einem menschlichen Fingerabdruck kann für einen Server ein „Fingerabdruck“ berechnet werden. Stimmt dieser mit dem auf dem Stimmrechtsausweis abgedruckten Wert überein, so kann der Wähler sicher sein, eine Stimme bei einem gültigen Wahlserver abzugeben.
  51. 51 Analog zu einem menschlichen Fingerabdruck kann für einen Server ein «Fingerabdruck» berechnet werden. Stimmt dieser mit dem auf dem Stimmrechtsausweis abgedruckten Wert überein, so kann der Wähler sicher sein, eine Stimme bei einem gültigen Wahlserver abzugeben.
  52. 52 Eine derartige Technik findet bereits weithin in Zusammenhang mit Umfragen Verwendung, bei denen die Anonymität gewährleistet sein soll.
  53. 53 Vgl. § 266 Abs 2 StGB.
  54. 54 Es trifft allerdings zu, dass dieser Sicherungseffekt umso größer ist, je weniger Rückschlüsse von der Verwendung eines bestimmten PC (d.h. von dessen IP-Adresse) auf den aktuellen Benutzer gezogen werden können. Im Zweifelsfalle wäre einem Internet-Wähler daher die Benützung etwa eines Internet-Cafés zu empfehlen.
  55. 55 Siehe oben Punkt 2.1.3, zweiten Markierungspunkt, insbesondere FN 24.
  56. 56 Dieses soll auf weitere acht Kantone (Aargau, Freiburg, Solothurn, Schaffhausen, St. Gallen, Thurgau und Graubünden) ausgeweitet werden (NZZ 5./6. 9 2009, 34).
  57. 57 Siehe jedoch gerade oben FN 45.
  58. 58 Swiss E-Voting. 33.
  59. 59 Punkt 5.2.2.6, S 5514.
  60. 60 Vgl. oben FN 8.
  61. 61 Für die Vorbereitung und Durchführung war eine Arbeitsgruppe im BMWF zusammen mit dem Bundesrechenzentrum und der «spanischen E-Voting-Firma Scytl» verantwortlich.
  62. 62 § 34 Abs. 4 bis 7 HSG 1998 idF. BGBl. I 2001/18 und BGBl. I 2005/1 iVm. § 39 Abs 7 leg. Cit.. idF. BGBl. I 2001/18 iVm. der VO des BMWF BGBl.. II 2008/351, womit in die HSWO 2005 (BGBl. II Nr. 91) ein eigener «8. Abschnitt E-Voting» eingefügt wurde.
  63. 63 Siehe oben FN 24.
  64. 64 Dazu war eine einmalige Registrierung bei einer Zertifizierungsstelle erforderlich.
  65. 65 Dieses wurde an Studierende kostenlos abgegeben.
  66. 66 Gesamte Darstellung nach Krimmer, Academia 2009/1, 15.
  67. 67 Diese Ergänzung des ursprünglich vorgesehenen Wahlverfahrens erfolgte erst kurz vor der Wahl (Der Standard 12.3.2009 [online], Stimmencheck bei ÖH-Wahl jetzt fix, zuletzt abgerufen am 23.3.2009).
  68. 68 Dies dürfte (nur) der «Bestätigungsmeldung» im Verfahren nach Prosser/Müller (siehe oben Punkt 2.2.1., ersten Markierungspunkt) entsprechen.
  69. 69 Zur (lediglich limitierten) Auswirkung der Hinzufügung des «Prüfcodes» siehe gerade vorige FN.
  70. 70 Vgl. Korinek (Die Presse, 26.2.2009, 4), Holzinger (Kleine Zeitung, 8.1.2009); Wollner (Der Standard, 14.4.2009); Mayer und Purgathofer (im Rahmen der Podiumsdiskussion im Wiener Juridicum am 22.4.2009). Siehe auch Der Standard 31.3.2009 [(online), «Kreuzen Sie noch an, oder wählen Sie schon?», zuletzt abgerufen am 5.5.2009.
  71. 71 So ausdrücklich der zuständige BM Hahn: «Die kommenden ÖH-Wahlen 2009 werden einen kleinen Schritt zu mehr Partizipation und einen großen Schritt für Wahlen in Österreich darstellen» (cit .Premiere, 6); vgl. auch Der Standard 12.3.2009 (online), Stimmencheck bei ÖH-Wahl jetzt fix, zuletzt abgerufen am 23.3.2009.
  72. 72 Zu betonen ist hierbei, dass der einzelne Wähler nicht nur ein (Grund-)Recht darauf hat, dass seine eigene Stimme korrekt behandelt werde, sondern, dass der Wahlakt insgesamt korrekt ablaufe (siehe näher Balthasar, Grenzen).
  73. 73 Vgl. Der Standard 24.6.2009 (online), «Beschwerdeflut bei ÖH-Wahl», zuletzt abgerufen am 21.11.2009.
  74. 74 Siehe Balthasar (FN 1), FN 7.
  75. 75 Vgl.hiezu auch jüngst Prosser, Ruling, 24f; vgl auch dessen Einwand gegen die weitergehende Forderung des dBVerfG: «If … the verification facility indicates how the vote was counted, they make vote buying and voter coercion possible».
  76. 76 Vgl.hiezu auch jüngst Prosser, Ruling, 24f; vgl auch dessen Einwand gegen die weitergehende Forderung des dBVerfG: «If … the verification facility indicates how the vote was counted, they make vote buying and voter coercion possible».
  77. 77 Vgl, für einen offenbaren ersten Schritt in diese Richtung, bereits oben FN 60.