CCCStuttgart

Offener Brief an die Stadt Tübingen - "Finger weg von Cybervoting!"


Liebe Mitglieder des Tübinger Gemeinderates, sehr geehrter OB Palmer,

Sie haben mit Beschluss vom 05. Oktober 2017 die Einführung von elektronischen Einwohnerbefragungen beschlossen. Was sicher gut meint ist und auf den ersten Blick technisch fortschrittlich und bürgernah wirkt, gefährdet in Wirklichkeit das Vertrauen in eine der Grundsäulen unserer Demokratie. Im Folgenden wollen wir Ihnen gerne erklären warum wir das so sehen:

Diskussion um Wahlcomputer gibt es in Deutschland seit über einem Jahrzehnt. Dass diese schon lange nicht mehr im Einsatz sind ist kein Zufall. Nun wollen Sie mit Ihrer ‘BürgerApp’ keine Wahl, sondern nur eine Befragung elektronisch durchführen lassen. Im Ergebnis jedoch kommt eine solche Befragung einer Wahl sehr nahe. Wir alle erleben dies aktuell bei der Diskussion um den Brexit, auch dieses Votum ist formal nicht bindend. Sie selbst stellen auf Ihrer Webseite fest: “Die Entscheidung trifft zwar der Gemeinderat, das Ergebnis der Befragung gibt dem Gemeinderat aber die wichtige Information, ob er auch im Sinne der Tübingerinnen und Tübinger handelt. Tut er dies nicht, muss er einen abweichenden Beschluss gut begründen.”.

Bevor wir Ihnen unsere prinzipiellen Argumente gegen Cybervoting vortragen, erst einmal konkret zur Ihrer BürgerApp‘:

Konkrete technische Umsetzung

Quelltext nicht öffentlich

Das Prinzip “Public Money, Public Code” sollte aus unserer Sicht auch für Tübingen gelten, und zwar so wohl für die App, als auch den Server dieser Software. Auch und gerade für so sensible Anwendungen wie in diesem Fall. Geheimhaltung des Programmcodes erhöht deren Sicherheit nicht, es gefährdet sie, denn viele Augen sehen mehr als wenige. Und nur durch Transparenz kann Vertrauen geschaffen werden. Dies hätten sie bei der Vergabe verbindlich vorschreiben sollen.

Prüfbericht nicht öffentlich

Wir finden es grundsätzlich gut, dass Sie die entwickelte Software einem externen Sicherheits-Test unterziehen lassen haben. Aber ohne den Testbericht hat das Siegel, mit dem Sie sich schmücken, keine Aussagekraft. Denn nur im Testbericht ist ersichtlich, was geprüft worden ist. Einzig die App? Unter Vorlage des Quellcodes? Auch der Server beim Anbieter? Wurden Angriffs- (und somit Manipulations-) Möglichkeiten vorab vom Test ausgeschlossen? Welche Schwachstellen wurden gefunden? Wie schwerwiegend waren diese? Und wie stellen Sie sicher, dass die getestete Version auch die ist, die später im Einsatz ist?

Mittlerweile hat die Stadt Tübingen den Prüfbericht veröffentlicht.

Endgeräte nicht vertrauenswürdig

Wie der Name schon sagt, soll die ‘BürgerApp’ vorwiegend auf Smartphones zum Einsatz kommen. Aber wie stark wollen Sie sich von Befragungs-Ergebnissen leiten lassen, wenn die Stimmen zum größten Teil von unsicheren Geräten aus abgegeben wurden? In Deutschland ist das mobile Betriebssystem ‘Android’ mit 76% Marktanteil aktiv genutzter Geräte klar Spitzenreiter. Doch die aktuelle und somit sicherste Version 9 läuft auf so wenigen Geräten, dass dessen Hersteller Google diese Version nicht einmal in seinen eigenen Statistiken aufführen kann. (Stand 24.02.2019).

Dem Anbieter muss vertraut werden

Wie Sie selbst nicht bestreiten: “Die Stadtverwaltung erhält lediglich die Ergebnisse.” …des Betreibers neongelbaaronprojects’. Sie sind somit darauf angewiesen, dass Ihnen der Betreiber das korrekte Ergebnis übermittelt. Woher nehmen Sie dieses Vertrauen?

Mindestens genau so gut möglich ist allerdings eine, nicht durch den Betreiber, beabsichtigte Manipulation. Das dies nicht aus zu schließen ist, bekennt die Stadt Tübingen ehrlicherweise selbst. Hinzu kommt die Manipulationsmöglichkeit durch eine(n) Innentäter(in), sei es aus Frust oder beispielsweise auf Grund einer Erpressung. Bei den Themen der Befragung wird es auch um Projekte in Millionenhöhe gehen, somit gibt es klare wirtschaftliche Anreize für einen Angriff auf die Abstimmungsergebnisse.

Update: In einer früheren Version dieses Briefes haben wir uns an 2 Stellen auf die Firma ‘neongelb’ bezogen. Diese Firma ist aber nur für die PR der BürgerApp zuständig. Entwickelt und betrieben wird sie jedoch von ‘aaronprojects’. Wir haben die entsprechenden Passagen entfernt bzw. geändert.

Grundsätzliches K.O.-Kriterium

Doch selbst für den (theoretisch möglichen) Fall, dass Sie es schaffen sollten ein System zu designen, umzusetzen und dann auch noch dauerhaft zuverlässig und sicher zu betreiben, sollten Sie davon absehen.

Ein solches System wäre so komplex, dass es für die Abstimmenden nicht mehr möglich ist, den gesamten Vorgang zu verstehen. Aber gerade diese einfache Nachvollziehbarkeit des Abstimmungsvorgangs und der Auszählung verleiht dem Ergebnis seine Legitimation in der Bevölkerung. Jeder Mensch kann problemlos Wahlbeobachter:in werden und den Vorgang innerhalb von Minuten durchdringen.

Beim Einsatz eines Computers ist diese so nicht gewährleistet.

Es gibt zwei Arten von computerbasierten Abstimmung: manipulierbare oder nicht nachvollziehbare. Weder das Eine noch das Andere ist in einer Demokratie akzeptabel. Dies hat das Bundesverfassungsgericht schon vor fast 10 Jahren erkannt und als grundgesetzwidrig untersagt.

Auch uns ist bewusst, dass korrekt durchgeführte Abstimmungen aufwändig sind und sich nicht mal eben mit einem Druck aufs Handydisplay durchführen lassen. Aber sie funktionieren seit Jahrzehnten zuverlässig! So sehr wir Ihr bemühen um mehr Beteiligung der Bürger schätzen und (grundsätzlich) unterstützen, ist dies der falsche Weg dies zu erreichen.

Computer haben unser Leben in vielen Bereichen vereinfacht und helfen Probleme zu beseitigen, aber mit Digitalisierung kann nicht jedes Problem gelöst werden.

Beenden Sie dieses gefährliche Experiment bevor Sie es richtig begonnen haben. Finger weg von Cybervoting!

Gerne erläutern wir unsere Argumente auch in einem persönlichen Gespräch.

Herzlichst, Ihr

Chaos Computer Club Stuttgart

presse@cccs.de