Schutzziele eines computergestützten Wahlsystems

Die Anforderungen mehrseitiger Sicherheit sind aufgrund ihres Anspruchs der Allgemeingültigkeit nicht exakt für den Entwurf und Betrieb eines computerbasierten Wahlsystems verwendbar. Es muss daher konkret untersucht werden, welche Sicherheitsanforderungen durch ein solches System entstehen und wie diese realisiert werden können, um die notwendige Vertrauensebene für die Einführung und den Betrieb eines solchen IT-Systems schaffen zu können.

Für diese Untersuchung unterscheiden wir zwischen den grundlegenden organisatorischen Anforderungen innerhalb der Entitäten der Wahlinstitutionen (Wahlkabine, Wahlbüro, Wahlkreis, etc.) und den kommunikativen Aspekten zwischen diesen Entitäten. Bzgl. der organisatorischen Anforderungen sollten die Entitäten der Wahlinstitutionen hinsichtlich folgender Komponenten konzipiert werden:

• Hardware
• Bzgl. Verfügbarkeitsaspekte müssen die Datenspeicher mit maximaler Redundanz ausgestattet sein, damit Datenverluste möglichst ausgeschlossen sind und ein unterbrechungsfreier Ablauf gewährleistet ist. Die an der Fertigung der Komponenten beteiligten Firmen sollten strengen Qualitätsrichtlinien unterworfen sein.
  
• Bei der Auswahl der benötigten Komponenten sollte berücksichtigt werden, dass das sogenannte TEMPEST-Verfahren (Transient Electromagnetic Pulse Standard) zum entfernten Abhören elektro-magnetischer Impulse, wie sie beispielsweise von Prozessoren oder Monitoren ausgesendet werden, existiert, welches theoretisch einen Angriff auf jegliches Computersystem dadurch ermöglicht, diese elektro-magnetischen Impulse wiederum in Information zurückwandeln zu können. An dieser Stelle wollen wir ebenfalls auf die US-amerikanische Clipper-Chip-Debatte hinweisen. Die National Security Agency (NSA) will den Einbau sog. Clipper Chips gesetzlich vorschreiben lassen, mit deren Hilfe die Entschlüsselung verschlüsselter Informationen durch staatliche Institutionen möglich wäre (Informationen zum Clipper-Chip sind vielfach im Internet oder der Fachpresse zu finden. In einem gesellschaftlichen Zusammenhang betrachtet wird die damit verbundene Problematik in einem Artikel von Prof. Dr. Bernd Lutterbeck). Daher sollten nur solche Chip-Typen verwendet werden, die nachweisbar nicht über solche „Fähigkeiten“ verfügen, bzw. sollten sämtliche relevanten Rechner des Wahlsystems in einer abhörsicheren bzw. abgeschirmten Umgebung installiert sein.
  
• Systemsoftware 
• Es sollte nur die unbedingt zur Erfüllung der Aufgaben des Systems notwendige Software installiert werden.
  
• Das zu verwendende Betriebssystem sollte insbesondere in Bezug auf die Implementierung der Netzwerk-Protokolle (TCP/IP, etc.) stabil und performant sein. Ein Beispiel hierfür wäre LINUX als frei verfügbare Implementierung eines UNIX-Betriebssystems.
  
• Sämtliche Verwendung findende Software muss vor der Inbetriebnahme intensiv getestet und - soweit möglich - verifiziert werden.
  
• Die zu implementierenden Verfahren und Datenbankzugriffe müssen den Bestimmungen der jeweils anzuwendenden Datenschutzgesetze genügen. Daher sollten nur die Funktionalitäten umgesetzt werden, die im Wahlprotokoll spezifiziert werden.
  
• Zugangsmöglichkeiten
• Sämtliche Rechner sollten keinen Zugang zur Systemebene über das Netzwerk ermöglichen. Falls dies aus Gründen der Fernwartung, etc. doch nötig sein sollte, muss das Betriebssystem geeignete Sicherungsverfahren bieten.
  
• Administration
• Die Administration und Wartung der Rechner sollte immer durch mehr als eine Person zu einem Zeitpunkt erfolgen. Alle Vorgänge dieser Art sollten protokolliert werden (Video, etc.).
  

Der Schwerpunkt unserer Betrachtung von Schutzzielen eines computerbasierten Wahlsystems liegt im Folgenden auf den kommunikativen Aspekten der Entitäten im offenen Internet.

Eine wesentliche Voraussetzung für ein Wahlsystem der Bundesrepublik Deutschland ist nach Grundgesetz Artikel 38 Absatz 1 der Grundsatz einer allgemeinen, unmittelbaren, freien, gleichen und geheimen Wahl. Daher darf es keine Instanz geben, die eine Verbindung zwischen den Wahlinhalten und den Wählern ziehen kann (Eine Sonderstellung nimmt hierbei die Institution der Wählerverwaltung ein - siehe „Administrative Aufgaben eines CWS“). Um sicherstellen zu können, dass jeder Wähler genau einmal pro Wahl am Wahlvorgang teilnehmen kann, ist jedoch eine Verbindung zwischen Wahlvorgang und einer natürlichen Person notwendig, wobei der Nachrichteninhalt des Wahlvorgangs für die Instanz, welche eine Kenntnis über die Person besitzt, verborgen bleiben muss. Dies ist sowohl bei der Entwicklung der Datenverarbeitungssysteme für die jeweiligen Wahlinstitutionen als auch der Kommunikationsprotokolle zu berücksichtigen.

Wir sind zu der Ansicht gelangt, dass das Internet als Kommunikationsmedium Verwendung finden sollte. Die Eigenschaften dieses weltweit verfügbaren offenen, d.h. „jedermann“ zugänglichen, Netzwerks definieren an sich keinerlei Sicherheitskonzepte. Vielmehr basieren sämtliche Internet-Protokolle auf der Transparenz der Daten. Erst die jeweils interpretierenden Schichten der Kommunikationssoftware können durch entsprechende Implementierungen von standardisierten Sicherheitsprotokollen Sicherheitsanforderungen erfüllen.

Im Folgenden werden diese Anforderungen definiert und anschließend die dafür existierenden Verfahren zu deren Realisierung vorgestellt.

Wie bereits erwähnt, definieren die Aspekte der Kommunikation zwischen den Entitäten der Wahlinstitutionen und der Kommunikation zwischen Wahlinstitutionen und Wähler die Schutzziele des Wahlsystems. Diese Schutzziele ergeben sich aus zwei Aspekten:

• Identifizierbarkeit

Wähler und Wahlinstitutionen müssen eindeutig identifizierbar sein. Hierbei ist die Voraussetzung zu erbringen, dass Entität A und Entität B einander kennen und vertrauen müssen, d.h. A und B müssen so viel Informationen über ihr Gegenüber haben, dass diese zur Identifikation ausreichen. Desweiteren darf kein C existieren, der die Identität des einen für den anderen annehmen kann.

• Dokumente, die von Wählern oder Wahlinstitutionen unterschrieben worden sind, müssen diesen eindeutig zugeordnet werden können (Z1).
  
• Ein Dokument, das von A an B gesendet wird, darf nur von B gelesen werden können (V2).
  
• Beim Verbindungsaufbau zwischen Wähler und Wahlinstitution muss sich der Wähler sicher sein können, dass er mit der gewünschten Entität und keiner anderen verbunden ist.
  
• Beim Verbindungsaufbau zwischen Wähler und Wahlinstitution muss für die Wahl­institution sichergestellt sein, dass kein Dritter existiert, der vorgeben kann, dieser Wähler zu sein.
  
• Datenübertragungssicherheit

Alle Dokumente (z.B. Wahlbriefe) müssen sicher versendet werden können. Sicher bedeutet in diesem Zusammenhang: Für jedes zur Erfüllung einer Wahl relevante Dokument X muss bei dessen Versendung von A nach B gelten, dass

• A und B wissen, ob X unverändert geblieben ist (I1)
  
• A weiss, dass X bei B angekommen ist (I1, Z1, Z2)
  
• B weiss, dass X von A kam (I1, Z1, Z2)
  
• kein C existirt, welcher das Dokument ohne Einwilligung von A und B einsehen kann (V1)