Schutzziele eines computergestützten Wahlsystems
Die Anforderungen mehrseitiger Sicherheit sind aufgrund ihres
Anspruchs der Allgemeingültigkeit nicht exakt für den Entwurf
und Betrieb eines computerbasierten Wahlsystems verwendbar. Es muss daher
konkret untersucht werden, welche Sicherheitsanforderungen durch ein solches
System entstehen und wie diese realisiert werden können, um die notwendige
Vertrauensebene für die Einführung und den Betrieb eines solchen
IT-Systems schaffen zu können.
Für diese Untersuchung unterscheiden wir zwischen
den grundlegenden organisatorischen Anforderungen innerhalb der Entitäten
der Wahlinstitutionen (Wahlkabine, Wahlbüro,
Wahlkreis, etc.) und den kommunikativen Aspekten zwischen diesen Entitäten.
Bzgl. der organisatorischen Anforderungen sollten die Entitäten der
Wahlinstitutionen hinsichtlich folgender Komponenten konzipiert werden:
-
Hardware
- Bzgl. Verfügbarkeitsaspekte müssen die Datenspeicher mit maximaler
Redundanz ausgestattet sein, damit
Datenverluste möglichst ausgeschlossen sind und ein
unterbrechungsfreier Ablauf gewährleistet ist. Die an der Fertigung
der Komponenten beteiligten Firmen sollten strengen Qualitätsrichtlinien
unterworfen sein.
-
Bei der Auswahl der benötigten Komponenten
sollte berücksichtigt werden, dass das sogenannte TEMPEST-Verfahren
(Transient Electromagnetic
Pulse Standard) zum entfernten Abhören elektro-magnetischer
Impulse, wie sie beispielsweise von Prozessoren oder Monitoren ausgesendet
werden, existiert, welches theoretisch einen Angriff auf jegliches Computersystem
dadurch ermöglicht, diese elektro-magnetischen Impulse wiederum in
Information zurückwandeln zu können. An dieser Stelle wollen
wir ebenfalls auf die US-amerikanische Clipper-Chip-Debatte hinweisen.
Die National Security Agency (NSA) will den Einbau sog. Clipper
Chips gesetzlich vorschreiben lassen, mit deren Hilfe die Entschlüsselung
verschlüsselter Informationen durch staatliche Institutionen möglich
wäre (Informationen zum Clipper-Chip sind vielfach im Internet oder
der Fachpresse zu finden. In einem gesellschaftlichen Zusammenhang betrachtet
wird die damit verbundene Problematik in einem Artikel von Prof. Dr. Bernd
Lutterbeck). Daher sollten nur solche Chip-Typen verwendet werden, die
nachweisbar nicht über solche „Fähigkeiten“ verfügen, bzw.
sollten sämtliche relevanten Rechner des Wahlsystems in einer abhörsicheren
bzw. abgeschirmten Umgebung installiert sein.
-
Systemsoftware
-
Es sollte nur die unbedingt zur Erfüllung der Aufgaben
des Systems notwendige Software installiert werden.
-
Das zu verwendende Betriebssystem sollte insbesondere in
Bezug auf die Implementierung der Netzwerk-Protokolle (TCP/IP, etc.) stabil
und performant sein. Ein Beispiel hierfür wäre LINUX als frei
verfügbare Implementierung eines UNIX-Betriebssystems.
-
Sämtliche Verwendung findende Software muss vor der
Inbetriebnahme intensiv getestet und - soweit möglich - verifiziert
werden.
-
Die zu implementierenden Verfahren und Datenbankzugriffe
müssen den Bestimmungen der jeweils anzuwendenden Datenschutzgesetze
genügen. Daher sollten nur die Funktionalitäten umgesetzt werden,
die im Wahlprotokoll spezifiziert werden.
-
Zugangsmöglichkeiten
-
Sämtliche Rechner sollten keinen Zugang zur Systemebene
über das Netzwerk ermöglichen. Falls dies aus Gründen der
Fernwartung, etc. doch nötig sein sollte, muss das Betriebssystem
geeignete Sicherungsverfahren bieten.
-
Administration
-
Die Administration und Wartung der Rechner sollte immer durch
mehr als eine Person zu einem Zeitpunkt erfolgen. Alle Vorgänge dieser
Art sollten protokolliert werden (Video, etc.).
Der Schwerpunkt unserer Betrachtung von Schutzzielen eines
computerbasierten Wahlsystems liegt im Folgenden auf den kommunikativen
Aspekten der Entitäten im offenen Internet.
Eine wesentliche Voraussetzung für ein Wahlsystem
der Bundesrepublik Deutschland ist nach Grundgesetz Artikel 38 Absatz 1
der Grundsatz einer allgemeinen, unmittelbaren, freien, gleichen und geheimen
Wahl. Daher darf es keine Instanz geben, die eine Verbindung zwischen den
Wahlinhalten und den Wählern ziehen kann (Eine Sonderstellung nimmt
hierbei die Institution der Wählerverwaltung ein - siehe „Administrative
Aufgaben eines CWS“). Um sicherstellen zu können, dass jeder Wähler
genau einmal pro Wahl am Wahlvorgang teilnehmen kann, ist jedoch eine Verbindung
zwischen Wahlvorgang und einer natürlichen Person notwendig, wobei
der Nachrichteninhalt des Wahlvorgangs für die Instanz, welche eine
Kenntnis über die Person besitzt, verborgen bleiben muss. Dies ist
sowohl bei der Entwicklung der Datenverarbeitungssysteme für die jeweiligen
Wahlinstitutionen als auch der Kommunikationsprotokolle zu berücksichtigen.
Wir sind zu der Ansicht gelangt, dass das Internet
als Kommunikationsmedium Verwendung finden sollte. Die Eigenschaften dieses
weltweit verfügbaren offenen, d.h. „jedermann“ zugänglichen,
Netzwerks definieren an sich keinerlei Sicherheitskonzepte. Vielmehr basieren
sämtliche Internet-Protokolle auf der Transparenz der Daten. Erst
die jeweils interpretierenden Schichten der Kommunikationssoftware können
durch entsprechende Implementierungen von standardisierten Sicherheitsprotokollen
Sicherheitsanforderungen erfüllen.
Im Folgenden werden diese Anforderungen definiert und
anschließend die dafür existierenden Verfahren zu deren Realisierung
vorgestellt.
Wie bereits erwähnt, definieren die Aspekte der Kommunikation
zwischen den Entitäten der Wahlinstitutionen und der Kommunikation
zwischen Wahlinstitutionen und Wähler die Schutzziele des Wahlsystems.
Diese Schutzziele ergeben sich aus zwei Aspekten:
-
Identifizierbarkeit
Wähler und Wahlinstitutionen müssen eindeutig
identifizierbar sein. Hierbei ist die Voraussetzung zu erbringen, dass
Entität A und Entität B einander kennen und vertrauen müssen,
d.h. A und B müssen so viel Informationen über ihr Gegenüber
haben, dass diese zur Identifikation ausreichen. Desweiteren darf kein
C existieren, der die Identität des einen für den anderen annehmen
kann.
-
Dokumente, die von Wählern oder Wahlinstitutionen unterschrieben
worden sind, müssen diesen eindeutig zugeordnet werden können
(Z1).
-
Ein Dokument, das von A an B gesendet wird, darf nur von
B gelesen werden können (V2).
-
Beim Verbindungsaufbau zwischen Wähler und Wahlinstitution
muss sich der Wähler sicher sein können, dass er mit der gewünschten
Entität und keiner anderen verbunden ist.
-
Beim Verbindungsaufbau zwischen Wähler und Wahlinstitution
muss für die Wahl­institution sichergestellt sein, dass kein
Dritter existiert, der vorgeben kann, dieser Wähler zu sein.
-
Datenübertragungssicherheit
Alle Dokumente (z.B. Wahlbriefe) müssen sicher versendet
werden können. Sicher bedeutet in diesem Zusammenhang: Für jedes
zur Erfüllung einer Wahl relevante Dokument X muss bei dessen Versendung
von A nach B gelten, dass
-
A und B wissen, ob X unverändert geblieben ist (I1)
-
A weiss, dass X bei B angekommen ist (I1, Z1, Z2)
-
B weiss, dass X von A kam (I1, Z1, Z2)
-
kein C existirt, welcher das Dokument ohne Einwilligung
von A und B einsehen kann (V1)