Wählen per App in den USA Bequem, schnell - unsicher

Vor den Zwischenwahlen in den USA ist die Sorge vor Manipulationen durch Russland groß. Dennoch testet ein Bundesstaat das Wählen per Smartphone-App.
Wahllokal in den USA (Archivbild)

Wahllokal in den USA (Archivbild)

Foto: David McNew/ Getty Images

Wählen gehen per Selfie und App: Für einige Amerikaner wird das bei den Zwischenwahlen im November möglich sein. Denn der Bundesstaat West Virginia testet in einem US-weit einzigartigen Versuch die Smartphone-App Voatz. Soldaten, die außerhalb der USA stationiert sind, sollen damit ihre Stimme digital abgeben können - alternativ zur aufwendigen Briefwahl.

"Niemand verdient das Wahlrecht mehr, als die Männer und Frauen da draußen, die ihre Leben für uns riskieren", wird der zuständige Wahlaufseher von West Virginia, der Republikaner Mac Warner, zitiert . Kritikern hingegen graust es angesichts immer neuer Enthüllungen über Manipulationsversuche aus Russland davor, demokratische Wahlen in eine App auszulagern. Sie werfen dem Start-up Voatz gravierende Versäumnisse vor: mangelnde Transparenz, offensichtliche technische Schwächen, lückenhafte Dokumentation, fragwürdige Außendarstellung.

Gesichtserkennungssoftware und ein Selfie-Video

Die Nutzer von Voatz müssen Beschreibungen zufolge ein Foto von ihrem Ausweis machen und es in der App hochladen, ebenso ein Video im Selfie-Modus von ihrem Gesicht. Eine Gesichtserkennungssoftware entscheidet dann, ob die Person auf dem Ausweisdokument und die Person aus dem Video übereinstimmen, bevor die Wahl per Smartphone-App startet.

Der digitale Stimmzettel soll dann sicher übertragen werden, dank der Blockchain-Technologie. Auf ihr fußen auch Kryptowährungen wie Bitcoin. "Weil die Blockchain ein dezentrales Kassenbuch aller Transaktionen ist, werden die Stimmen der Soldaten unabänderlich und nicht manipulierbar, sobald sie einmal aufgenommen wurden", heißt es über Voatz .

Wie sicher ist das Verfahren wirklich?

Es ist fraglich, ob überhaupt jemand beantworten kann, wie sicher Voatz ist. Die App von Gründer Nimit Sawhney existiert erst seit wenigen Jahren und hat seitdem eine Reihe von Auszeichnungen gewonnen - für Start-up-Ideen. Aber die Nachweise für die Behauptungen von Voatz zur Sicherheit ihres Systems sind extrem dünn.

  • Das beginnt mit der Infrastruktur, die Voatz nutzt, aber nicht kontrolliert: die Smartphones der Wahlberechtigten und die Netzwerke zur Datenübertragung. Marian K. Schneider, Präsidentin der US-Organisation Verified Voting, setzt sich dafür ein, dass Wahlen im Digitalzeitalter transparent und sicher ablaufen. Die Stimmabgabe per Mobilgerät kritisiert sie scharf: "Selbst wenn man alle Probleme der Authentifizierung von Nutzern in der App beiseite wischen würde: Die App verhindert nicht, dass Schadsoftware aufs Smartphone an sich gelangen kann, oder dass die Kommunikation auf Seiten des Empfängers oder unterwegs manipuliert wird." Es bräuchte keinen elaborierten Plan zur Täuschung der Selfie-Identifikation - schon die gezielte Unterbrechung der Verbindung wäre eine effektive Wahlbeeinflussung.
  • Die Erklärungen von Voatz zur eingesetzten Blockchain-Technologie sind unvollständig. So ist unklar, ob sie im Vergleich zu klassischen Datenbanken irgendeinen handfesten Vorteil bietet. "Die Blockchain-Technologie ist ein neues Modewort. Es sieht danach aus, als würde Voatz die Technik in der am wenigsten wirkungsvollen Art einsetzen", sagt Informatikprofessor Douglas Jones von der Universität Iowa, ein Experte für elektronische Wahlsysteme. Normalerweise halten bei der Blockchain viele Stellen dezentral Informationen, Manipulationen an einer Stelle fallen dadurch auf. Hier kommt dieser Vorteil offenbar nicht zum Tragen, jedenfalls hat Voatz entsprechende Vorwürfe nicht ausgeräumt: "Wenn alle Server im Besitz des Anbieters sind, kann der mit den dort gespeicherten Ergebnissen machen, was er will", kritisiert Jones die Voatz-Funktionsweise.
  • Nach eigenen Angaben hat Voatz externe Unternehmen mit umfangreichen Sicherheitsüberprüfungen, sogenannten Audits, beauftragt. Die Angaben zu diesen Unternehmen wurden in den vergangenen Tagen aber - offenbar auf Druck durch Medienanfragen - mehrfach geändert. Übrig geblieben sind die Firma Security Innovation sowie HackerOne, eine Plattform, auf der Voatz Belohnungen für gefundene Sicherheitslücken ausgeschrieben hat. Bisher hat Voatz dort einmal 100 und einmal 50 Dollar ausgezahlt. Mit einem echten Audit hat das offensichtlich nichts zu tun.
  • Es gibt keine Hinweise, dass eine technische Prüfung durch staatliche Stellen stattgefunden hat, zumindest macht Voatz keinerlei Angaben. Damit wüsste also auch die öffentliche Verwaltung nicht, was genau Voatz tut. An einer Stelle ist lediglich die Rede von einem Besuch in der Firmenzentrale in Boston.
  • Auf der Plattform Github ist an mindestens zwei Stellen interner Code von Voatz aufgetaucht. Die Firma beteuert zwar, es habe sich um Test-Code ohne Bezug zum echten System gehandelt. Doch Details in diesem Code lassen befürchten, dass Voatz nicht immer Wert auf gängige Sicherheitspraktiken legt.

Der SPIEGEL hat Voatz einen ausführlichen Fragenkatalog geschickt. Das Start-up könnte einige der Bedenken zumindest abschwächen, hat aber noch nicht geantwortet.

Geheimdienste erwarten neue Manipulationsversuche

Im Mai durfte die Firma in West Virginia einen ersten Versuch starten, bei den Vorwahlen in zwei Bezirken. Der wurde als Erfolg gewertet, auch wenn in einer der beiden Bezirke gerade einmal elf Wählerinnen und Wähler die Technik nutzten. Nun steht die Ausweitung auf die Zwischenwahlen an: Die in Übersee stationierten Soldatinnen und Soldaten aus West Virginia und ihre Familien sollen im November einen neuen Senator und neue Kongressabgeordnete wählen.

Die Nachricht stößt mitten in eine nervös geführte Debatte um die Frage, wie leicht die amerikanische Demokratie gehackt werden kann. Die Erinnerungen an die Vorgänge um die Präsidentschaftswahlen vor zwei Jahren sind noch nicht verblasst. Nach Donald Trumps Sieg kamen immer neue Informationen zu russischen Manipulationsversuchen ans Licht. Mehrere Kongressausschüsse sowie die Bundespolizei FBI und ein Sonderermittler untersuchen zudem Verbindungen des Trump-Lagers nach Moskau.

Die Geheimdienste sind sich sicher, dass Russland auch vor einer Manipulation der Kongresswahlen nicht zurückschreckt, sagte der Chef des US-Auslandsgeheimdiensts CIA, Mike Pompeo, im Januar. Im Februar zog der Nationale Geheimdienstdirektor Dan Coats bei einer Anhörung in Washington nach: "Es gibt keinen Zweifel daran, dass Russland seine letzten Anstrengungen als einen Erfolg wertet und die Halbzeitwahlen als ein mögliches Ziel für Operationen sieht."

Vor rund einem Jahr  informierte das Heimatschutzministerium knapp die Hälfte aller Bundesstaaten, dass ihre Systeme vor den Wahlen 2016 bereits Ziel von Hackern waren, die mutmaßlich Verbindungen nach Russland haben.

Verfahren "ganz und gar undurchsichtig"

Angesichts der vielen Kritikpunkte am Wählen per App wäre es interessant zu erfahren, wie das Pilotprojekt in West Virginia zustande kam. Haben allein Schlagworte wie "Biometrie" und "Blockchain" die Verantwortlichen überzeugt, Voatz eine Chance zu geben?

Fragen dazu lässt die zuständige Wahlkommission des Bundesstaates unbeantwortet. "Der Prozess, in dem West Virgina einen Vertrag mit Voatz geschlossen hat, ist ganz und gar undurchsichtig", kritisiert auch Informatiker Jones. Andere Wahl-IT-Experten wie David Eckhardt, Professor für Informatik an der Carnegie Mellon Universität, werden grundsätzlicher. Eckhardt lehnt Onlinesysteme für Wahlen generell ab.

Wie viele Stimmen im November per Voatz abgegeben werden, ist schwer abzuschätzen. Jeder der 55 Bezirke des Bundesstaates kann selbst entscheiden, ob er den wahlberechtigten Soldaten seines Wahlbezirks und deren Familien Voatz als Alternative zu bisherigen Wahlverfahren anbieten will oder nicht. Wer per Smartphone wählen will, braucht außerdem ein iPhone 5s oder ein neueres Modell, oder eines von ausgewählten Android-Geräten, die nicht älter als zwei Jahre sein dürfen.

Zur Sicherheit soll das Voatz-System jede abgegebene Stimme durch einen Papierausdruck quittieren, damit die Wahlkommission die Ergebnisse nachträglich überprüfen kann. Wo und wie die Ausdrucke generiert werden, hat Voatz nicht erklärt.

Auch die Technik, die bisher bei US-Wahlen zum Einsatz kommt, gilt als problematisch. Anders als bei den deutschen Bundestagswahlen etwa, wo mit Stift und Papier gewählt wird, kommen in Amerika verschiedene elektronische Wahlsysteme zum Einsatz. Nicht alle erlauben eine Papiernachzählung. Experten sehen "haarsträubende" Sicherheitsprobleme bei den veralteten Computern in den US-Wahlkabinen. Wie unsicher die Maschinen sind, wurde gerade wieder  von etlichen Hackern auf der Sicherheitskonferenz Defcon in Las Vegas demonstriert. Offensichtlich, so zeigt der Fall Voatz, wird die Sache auch nicht besser, wenn der Staat auf vermeintlich moderne Technik umsteigen will.

Zusammengefasst: Im November stehen in den USA Zwischenwahlen an, befürchtet werden neue russische Manipulationen. Der Bundesstaat West Virgina will dennoch für einen kleinen Personenkreis den Einsatz der Wahl-App Voatz testen. Experten haben ernsthafte Sicherheitsbedenken, die Voatz bisher nicht ausräumen konnte.

Die Wiedergabe wurde unterbrochen.