Wie entwirft man also einen "sicheren" Wahlcomputer (und die weiteren Verfahren und Protokolle zu dem Thema)?

Die Anforderungen sind nach meiner Einschätzung folgende:

1) Die Wahl des Wählers ist geheim und er darf auch niemand anderem gegenüber beweisen können, was er gewählt hat
2) Die Stimmauszählung muss verifizierbar sein
3) Die Funktionalität des Wahlcomputers muss überprüfbar sein. Möglichst ohne großen Aufwand und ohne große technische Kentniss
4) Jeder Wähler darf nur einmal Wählen

Bewertung des Entwurfs:
Der Entwurf ist gut, wenn er gegenüber der traditionellen "Papier-Methode" einen nennenswerten Vorteil bringt und praktikabel durchführbar ist.

Lasst die Diskussion beginnen (zum Thema pro/contra-Wahlmaschine Das ist hier fehl am Platz!)

Meine erste Idee ist folgende:

Der Computer besteht aus einer simplen Schaltung. Es gibt n-Knöpfe. Jeder Knopf ist mit einer möglichst einfachen Schaltung verbunden, die ein Register erhöht. Der Computer besitzt keine Software, da diese schwer zu überprüfen und leicht zu ändern ist. Die Schaltungen werden in durchsichtigen Harz gegossen und so platziert, das jeder Wähler sie sehen und überprüfen kann (dafür sollten jedem Wähler natürlich auch unabhängig Schaltpläne ausgehändigt werden). Die Maschine sollte außerdem die Stimme auf ein Papier drucken, das vom Wähler zwar gelesen, aber nicht entfernt werden kann und automatisch in eine Wahlurne fällt.

Der Computer besitzt eine Schnitstelle, für das "Administratorbrett". Diese Schnitstelle muss ausserhalb der Wahlkabine platziert werden, so das sie von den Wählern und Wahlbeobachtern jeder Zeit gesehen werden kann.

Das Admin-Board, sollte ebenfalls aus simplen Schaltungen bestehen. Einmal eine Anzeige für jeden Knopf, die das Register des Knopfes ausliest und einen Knopf um die Register wieder auf 0 zu setzen. Das Admin-Board sollte ebenfalls in Harz gegossen werden und die Schaltungen so sichtbar sein, das sie leicht überprüft werden können und das Board sollte ausgelegt sein, so das jeder Wähler dies überprüfen kann.

Wenn man das Admin-Board in das Gerät steckt, sollte möglichst zusätzlich ein lautes und sichtbares Signal ertönen, da mit man über das benutzen des Boards informiert ist.

Nun kommt eine Schwierigkeit, das Gerät muss sich in einem Faraday-Käfig befinden, damit keine elektromagnetische Strahlung nach außendringt und so die Stimme des Wählers verrät und es dürfen keine Strahlen nach innen dringen, mit denen man das Gerät beeinflussen könnte.

Problem: Ein Wähler könnte einen Knopf mehrfach drücken und so mehrere Stimmen abgeben. Das sollte sich aber auch noch lösen lassen.

Vorteil gegenüber der traditionellen Methode: Schnellere Auszählung, ja nach Wahlprotokoll (Auszählungen des Wahlpapiers pflicht oder nur bei Einspruch) weniger Personal benötigt, der Wähler kann die Wahl einfacher überprüfen (da er sich von der Funktionalität der Wahlmaschine versichern kann)
Nachteil gegenüber der traditionellen Methode: Aufwendiger für den Wähler (er muss mehr überprüfen), ...

Die Schaltungen werden in durchsichtigen Harz gegossen und so platziert, das jeder Wähler sie sehen und überprüfen kann (dafür sollten jedem Wähler natürlich auch unabhängig Schaltpläne ausgehändigt werden).
und man sollte von jedem wähler verlangen können ein elektrotechnik-studium zu haben?

und man sollte von jedem wähler verlangen können ein elektrotechnik-studium zu haben?

Naja, wer so elementare Dinge nicht versteht, sollte auch nicht wählen dürfen.

Es gibt keinen sicheren Wahlcomputer, genauso wie es keine unfälschbare Wahl gibt. Es kommt immer nur auf den Aufwand an.

Die einfachste Variante aber um vertrauen zu bekommen ist das Ausdrucken der Stimme zur Kontrolle auf einen Wahlzettel welcher dann in eine Urne fällt und nachgezählt werden kann. Warum das keiner der Hersteller macht versteh ich nicht...

Es gibt keinen sicheren Wahlcomputer, genauso wie es keine unfälschbare Wahl gibt. Es kommt immer nur auf den Aufwand an.

Die einfachste Variante aber um vertrauen zu bekommen ist das Ausdrucken der Stimme zur Kontrolle auf einen Wahlzettel welcher dann in eine Urne fällt und nachgezählt werden kann. Warum das keiner der Hersteller macht versteh ich nicht...Wenn die ausgedruckten Zettel ehh gezählt werden, besteht keinerlei Grund mehr für einen Wahlcomputer. :rolleyes:
Es geht darum, dass man ohne viel Aufwand am Ende des Wahltages auf einen Knopf drückt, der einem das Gesamtergebnis anzeigt. Außerdem kann man Personal sparen. :)


[x] Wahl auf schnödem Papier
nix ist einfacher in der Anwendung, keine Gefahr von Manipulation, die Stimmen sind auch nach Ende der Wahl zähl- und nachvollziehbar.

Wenn die ausgedruckten Zettel ehh gezählt werden, besteht keinerlei Grund mehr für einen Wahlcomputer. :rolleyes:


nicht unbedingt, ein derartiges system würde die auszählung erstmals deutlich beschleunigen, die zusätzlich ausgedruckten stimmzettel in papierform dienen lediglich zur überprüfung im falle einer wahlanfechtung.

Vermutlich würde die Wahl fast jedes mal von irgendwelchen Leuten angefochten.

Darf man eigentlich auch noch die Frage stellen, WARUM wir einen Wahlcomputer brauchen?

Immerhin vergeht bis zu konstituierenden Sitzung des neu gewählten Parlamentes sowieso immer noch eine wesentlich längere Zeit als von der Schließung der Wahllokale bis zum amtlichen Endergebnis (bei den meisten Wahlen steht das Ergebnis ja bereits noch in der Nacht fest), also besteht kein Bedarf, die Zeit zu beschleunigen.

Ebenso ist es auch nicht wirklich billiger oder weniger personalintensiv. Während der Stimmabgabe sitzen mehrere Wahlhelfer den ganzen Tag im Wahllokal, die aber alle ehrenamtlich tätig sind, als Bezahlung bekommen sie nur ein "Erfrischungsgeld" für Kaffee usw. in Höhe von ein paar Euro, pauschal für den ganzen Tag. Die Leute einzusparen, spart also keinen Cent, auch wenn die ne Stunde früher gehen könnten.

Die Stimmauszählung dauert schlimmstenfalls 2-3 Stunden, wenn z.B. die Stimmzettel so riesig sind wie bei Europawahlen, bei Kommunalwahlen mit gerade mal einer Handvoll Wahlmöglichkeiten geht das auch wesentlich fixer. Dann gibt es eine telefonische Meldung des Ergebnisses (daraus wird dann später das "vorläufige amtliche Endergebnis"), die Stimmzettel selber werden danach gesammelt und eingeschickt, für evtl. Nachprüfungen.



Ich sehe für die Anschaffung von Wahlcomputern nur wenige Argumente, die allerdings keine Vorteile für die Allgemeinheit sind, sondern nur für gewisse kleine Personengruppen:

- Die Anschaffungskosten hauen ein ziemliches Loch in den eh schon gebeutelten Steuersäckel, das Geld fließt dann an ein kleines Unternehmen, das die Dinger herstellt und bei der Ausschreibung die richtigen Leute am besten geschmiert hat.

- Die Möglichkeit einer Wahlfälschung ist wesentlich größer, da die Boxen gehackt werden können, die Überprüfungsmöglichkeiten sind schwieriger, erfordern mehr Sachverstand usw. Der Datenschutz (wohl das wichtigste bei einer GEHEIMEN Wahl) ist nicht mehr ausreichend gewährleistet, da nicht jeder Wähler überprüfen kann, ob nicht seine Stimme mit seinen Personendaten verknüpft werden kann (z.B. über die Reihenfolge der Stimmen oder den Abgabezeitpunkt).

- Die Möglichkeit einer Wahlbeeinflussung ist wesentlich größer, wie man schon bei den Skandalwahlen in den USA ansehen mußte: Soundsoviele Leute haben den Umgang mit den Teilen nicht hinbekommen und haben anders abgestimmt, als sie wollten. Es gibt genug (ältere) Leute, die z.B. keinen Bankautomaten benutzen, sondern lieber eine extra Gebühr bezahlen und es am Bankschalter machen, weil sie sich unsicher fühlen. Die würden dann einfach gar nicht mehr zur Wahl gehen (z.B. siehe hier (http://www.wahlhelfer.org/?page_id=37)).


Jetzt kommen sicher wieder soundsoviele Leute, die meinen "ach alles Unsinn und Schwarzmalerei, unsere Demokratie ist sicher, da passiert nix". Aber es gibt genug Leute, die ein Interesse daran haben, sie zu Fall zu bringen und chinesische Verhältnisse zu haben, sprich ungestört wuchernder Kapitalismus in der schlimmsten Form, Bevölkerung ohne Mitbestimmung. Denen darf man nichtmal den kleinen Finger reichen - nein, besser gesagt: man muß ständig höllisch aufpassen, daß sie sich nicht von selber den kleinen Finger schnappen und daran den Arm ausreißen.

Statt also händeringend nach Gründen für einen Wahlcomputer zu suchen, will ich erstmal hören, was ernsthaft GEGEN die althergebrachte Methode spricht (und nicht nur "öfter mal was Neues zur Abwechselung"^^).

Darf man eigentlich auch noch die Frage stellen, WARUM wir einen Wahlcomputer brauchen?
...
Nein:
(zum Thema pro/contra-Wahlmaschine Das ist hier fehl am Platz!)

Man muss für eine sinnvolle Diskussion sowieso 2 Teilaufgaben trennen:
1. Erfassen der Stimmabgabe eines Wählers
2. Ermitteln eines Ergebnis aus den abgegebenen Stimmen

Für das 1. ist Papier und Stift seit Jahrtausenden bewährt, jede andere Lösung hat bedeutende Nachteile. Nachvollziehbarkeit, Kosten, Verifizierbarkeit sind nur ein paar Dinge in denen Papier und Stift ganz weit vorne liegt.

Für das 2. sind Computer ganz praktisch, aber beim derzeitigen Wahlsystem wirklich nicht nötig, bei Condorcet oder ähnlichen Methoden gäbe es einen Grund für Computer, aber bei einfacher Proportionalwahl ist das Auszählen keine riesige Aufgabe. Wenn man trotzdem Computer benutzen will braucht man die Stimmen in elektronischer Form, dafür gibt es verschiedene Möglichkeiten:
a) von den realen Stimmzetteln erfassen (per Hand oder per Scanner)
b) bei der Stimmabgabe direkt auch eine elektronische Version der Stimme erfassen, sowas wie Pauspapier nur mit elektronischer Kopie.
c) nur elektronisch erfassen, das ist aber nichtmehr nachvollziehbar und auch kaum nachträglich verifizierbar.
d) elektronisch erfassen, aber eine physikalisch Kopie ausdrucken, das halte ich nur für brauchbar wenn man einfach und genau nachvollziehen kann, dass tatsächlich das eingeworfen wird was man gewählt hat

am besten für die Sicherheit wäre aber doch Papier + Computer

Im Prinzip ist ein guter Wahlcomputer nicht so schwer zu entwickeln. Man braucht eine fix definierte, zuverlässige, nicht abhörbare und vor allem verifzierte Hard- und Software, die alle Grundfunktionen bietet. Dieses Paket wird als versiegelte Blackbox mit einem einzigen Interface ausgeliefert. Dazu gibt es noch einen simplen Knopf, der bei den Wahlleitern liegt und der die Kabine für den nächsten Wähler freischaltet.

Über das Interface wird ausschliesslich die von einer zentralen und vertrauenswürdigen Stelle digital signierte Wahlkonfiguration eingelesen, sonst nichts. Nach draussen geht über sie absolut nichts, das Ergebnis der Wahl wird am Ende einfach auf dem Display der Maschine ausgegeben und von den Wahlleitern manuell übertragen. Einen zusätzlichen Ausdruck der Stimme zu Kontrollzwecken sollte auch möglich sein.

Also zusammengefasst, müsste er verifizierbar (Ausdruck) und möglichst simpel sein.

Wieso nicht mechanisch? Bspw. 2 Knöpfe, A und B, drücke ich A, fällt bei A eine Kugel runter und A wird ausgedruckt. Bei B dasselbe in grün. Bei hundert a Kugeln, fällt eine "100A" Kugel, bei "100A" Kugeln, eine "10000A" Kugel usw. So lassen sich auch grosse Zahlen mit bereits etwa 1000 Kugeln adressieren (immerhin etwa 10'000'000'000*2 (für A u B)) und verständlich sollte es für genügend Leute sein, damit man einem Betrug vorbeugen kann.

Habe jetzt nicht die ganzen Posts gelesen, deswegen bitte ich um Nachsicht, sollte schon etwas erwähnt worden sein.


Rein theoretisch könnte man das doch so laufen lassen:

Ein BS, wie z.B. Linux, im Kioskmodus laufen lassen und nach einer Stimmabgabe die Eingaben sperren und nur per HW-Dongle (z.B. USB-Stick mit Entsperrdatei und 2facher PW-Abfrage) wieder freigeben. So wäre gewährleistet, dass keiner 2x wählt.

Bis zur Schließung der Wahllokale die Stimmen für jeden Wahlkreis in einer Datei horten (verschlüsselt) und am Ende zum Server nach Berlin schicken (natürlich auch verschlüsselt), der dann die Stimmen zusammenzählt und in Prozenten ausgibt. Dies könnte er dann ja sinnvollerweise ja auch gleich in Sitze unterteilen.

Um alles perfekt zu machen, werden die Ergebnisse dann noch an die DPA und alle Sender (TV, Radio) übermitteln, welche diese dann umgehend ausstrahlen.

Ich denke, so könnte keiner die Wahl anfechten, da Doppelstimmen und Manipulationen ausgeschlossen wären.

Manipulationen seien dadurch ausgeschlossen? Auch wenn die Übertragung verschlüsselt abläuft, kann da manipuliert werden. Das findet heute glaube ich noch keine so große Anwendung, aber es wurde afaik bewiesen, dass das funktioniert, auch bei verschlüsselten Verbindung.
Wenn du jetzt natürlich auf Quantenleitung bestehst, wird das merklich vermindert, aber das wird wohl ziemlich teuer ;)

Direkt nen Betriebssystem einzusetzen ist denke ich keine gute Idee. Betriebssysteme abstrahieren die Funktionalität sehr stark, aber sie sind so ernorm komplex, dass sich da schnell Lücken bilden bzw. mit Absicht durch ganz klitzekleine Programme da rumgepfuscht werden kann. Da empfinde ich eine richtige Hardware-Schaltung, wie die vorgeschlagenen schon besser, aber dann wirklich in einer Black-Box und nicht in Harz, weil elektromagnetische Wellen ja ausgesandt werden und dies ließe ja Rückschlüsse auf die Wahl eines Einzelnen zu, was bei einer Abschirmung nicht mehr gegeben wäre.

Ich gebe dabei zu bedenken, dass die Entschlüsselung ja nahezu in Echtzeit stattfinden muss.

Zudem, wie will man unerwünschte Programme einschleusen, wenn man außer auf ein paar Knöpfe keinen Zugang zu BS und Hardware hat?

Ich gebe dabei zu bedenken, dass die Entschlüsselung ja nahezu in Echtzeit stattfinden muss.

Zudem, wie will man unerwünschte Programme einschleusen, wenn man außer auf ein paar Knöpfe keinen Zugang zu BS und Hardware hat?

Indem der Hersteller dieser Maschine diese einschleust? Für ne Menge Millionen €/$ lässt sich da bestimmt was machen. Was man offiziell vorgibt zu verwenden und was man dann tatsächlich verwendet sind doch zweierlei paar Schuhe ;)

Die Frage ist: was will man denn mit einem Wahlcomputer erreichen? Schnellere Zählung der Ergebnisse, oder?
Und darüber hinaus sollen die Ergebnisse auch noch sicher und nachvollziehbar sein.

Ich glaube, man kommt an einem physikalischen Medium nicht vorbei. Digitale Ergebnisse lassen sich beliebig vervielfältigen, Wahlzettel nicht. Deshalb könnte ich mir eine Art Lochkartensystem vorstellen: der Wähler kriegt seinen Wahlzettel, er geht in die Wahlkabine rein, stanzt mit einer speziellen Maschine das Ding, und wirft dann die Lochkarte wie einen ganz normalen Wahlzettel ein.

Vorteil: eine mechanische Stanzung mit einer Maschine auszuwerten sollte kein Problem sein. Jedes Wahllokal kann innerhalb weniger Minuten die eigenen Stimmen auf die Weise zählen. Der Wähler kann seine eigene Wahl auch problemlos nachvollziehen, Manipulationen an der Wahlmaschine sind fast ausgeschlossen. So hat man die Vorteile aus schneller Zählung, Sicherheit und geringen Kosten vereint.

Nachteil:
Man wälzt zusätzliche Arbeit auf den Wähler ab, für die er möglicherweise gar nicht das technische Verständnis hat. Aber trotzdem wäre das imho die WEIT bessere technische Lösung als ein volldigitaler Wahlcomputer, und zwar in so ziemlich allen Belangen.

Die Frage ist: was will man denn mit einem Wahlcomputer erreichen? Schnellere Zählung der Ergebnisse, oder?
Und darüber hinaus sollen die Ergebnisse auch noch sicher und nachvollziehbar sein.

Ich glaube, man kommt an einem physikalischen Medium nicht vorbei. Digitale Ergebnisse lassen sich beliebig vervielfältigen, Wahlzettel nicht. Deshalb könnte ich mir eine Art Lochkartensystem vorstellen: der Wähler kriegt seinen Wahlzettel, er geht in die Wahlkabine rein, stanzt mit einer speziellen Maschine das Ding, und wirft dann die Lochkarte wie einen ganz normalen Wahlzettel ein.

Vorteil: eine mechanische Stanzung mit einer Maschine auszuwerten sollte kein Problem sein. Jedes Wahllokal kann innerhalb weniger Minuten die eigenen Stimmen auf die Weise zählen. Der Wähler kann seine eigene Wahl auch problemlos nachvollziehen, Manipulationen an der Wahlmaschine sind fast ausgeschlossen. So hat man die Vorteile aus schneller Zählung, Sicherheit und geringen Kosten vereint.

Nachteil:
Man wälzt zusätzliche Arbeit auf den Wähler ab, für die er möglicherweise gar nicht das technische Verständnis hat. Aber trotzdem wäre das imho die WEIT bessere technische Lösung als ein volldigitaler Wahlcomputer, und zwar in so ziemlich allen Belangen.

Wurde in den USA zur Präsidentschaftswahl damals (Al Gore vs. George W. Bush) nicht so etwas benutzt? War da zum Teil nicht auch das Problem, dass manche Löcher nicht richtig gestanzt waren und man somit nicht genau wusste, für was jetzt gestimmt wurde bzw. ob die Stimme überhaupt gültig ist?

Wurde in den USA zur Präsidentschaftswahl damals (Al Gore vs. George W. Bush) nicht so etwas benutzt? War da zum Teil nicht auch das Problem, dass manche Löcher nicht richtig gestanzt waren und man somit nicht genau wusste, für was jetzt gestimmt wurde bzw. ob die Stimme überhaupt gültig ist?

Afaik haben die das selber gestanzt, d.h. die Wähler kriegen so eine Art Stift, mit dem sie dann Löcher ins Papier bohren. Dass so viele ungültige Stimmen dabei rausgekommen sind, lag aber auch an der Art der Wahlzettel. Die waren einfach mies designt.

Afaik haben die das selber gestanzt, d.h. die Wähler kriegen so eine Art Stift, mit dem sie dann Löcher ins Papier bohren. Dass so viele ungültige Stimmen dabei rausgekommen sind, lag aber auch an der Art der Wahlzettel. Die waren einfach mies designt.

Broken by Design, wie man so schön sagt ;)

Aber okay, das Stanzen könnte wirklich funzen.

http://www.heise.de/newsticker/meldung/79981 "In Chicago konnte die Online-Wählerdatenbank gehackt werden" "Nachdem sich die Sicherheitslücke schließlich als größer als zunächst gedacht erwiesen habe, sei man in die Online-Datenbank eingedrungen und habe damit erkannt, dass sich nicht nur persönliche Daten einsehen, sondern auch die Wahl beeinflussen ließe. „Ein bösartiger Hacker“, so Bob Wilson vom IBIP, könnte den Status von Wählern verändern, so dass diese am Wahltag nicht zur Wahl zugelassen worden wären. Man hätte auch die Angaben verändern, die Wähler bestimmten Wahlbezirken oder Wahllokalen zuordnen. Man hätte auch die ganze Datenbank löschen können."

-> http://itc.napier.ac.uk/e-Petition/bundestag/view_petition.asp?PetitionID=294

http://www.heise.de/newsticker/meldung/80022