Re: [AG Liquid Democracy] Vorschlag für ein sicheres und geheimes elektronisches Abstimmsystem

[Dinu Gherman <gherman AT darwin.in-berlin.de>]

Arne Pfeilsticker:

> Hallo Dinu,
> ich habe den Artikel gelesen. Er ist aus dem Jahre 2010. Es heißt zwar in 
> der Überschrift „Praktische Demonstration erheblicher Sicherheitsprobleme 
> ...“, aber der lange Artikel enthält kein einziges Beispiel, das man 
> konkret nachmachen könnte.
> 
> In meiner Erfahrung als Softwareentwickler bin ich etwas vorsichtig, wenn 
> jemand mein, dass, wenn er jemand kennt, der schon gehört hat, dass da oder 
> dort ein erhebliches Problem besteht, dass dann tatsächlich ein Problem 
> besteht.
> 
> Als Softwareentwickler muss man Probleme „lieben“ um zu überleben und sie 
> zu lösen ist einer unserer Jobs.
> 
> Kannst du mir ganz konkrete Problembeschreibungen und Testanordnungen 
> schicken mit denen ich eines der behaupteten Sicherheitsprobleme mit dem 
> heutigen Personalausweis und einem Standardlesegerät nachvollziehen kann?

Hallo Kollege,

da fragst Du vielleicht lieber beim CCC nach. Soweit ich weiß, haben sich 
aber nach diesem von Dir als veraltet empfundenen Artikel weder der Ausweis 
selbst noch irgendwelche Lesegeräte entscheidend verbessert. Überhaupt ist es 
ziemlich still geworden um den ePA, und ich habe auch nicht davon gehört, 
dass er zu einem "Renner" beim Abschluss von Online-Geschäften geworden wäre, 
oder liege ich da falsch? Gibt es da offizielle Zahlen? Ich habe jedenfalls 
online noch keinen ePA gebrauchen können. 

> Dinu Gherman schrieb:
>> Piraten für den ePA? Das wär wohl ganz was neues, um nicht zu sagen, ein 
>> kleiner Glaubwürdigkeits-GAU, oder?
> 
> Möglicherweise bin ich etwas schwer von Begriff, aber worin genau besteht 
> der Glaubwürdigkeits-GAU?

Für mich besteht er darin, dass sich Piraten schwerlich einerseits gegen die 
Erstellung riesiger Datenbanken mit Bürgerdaten wehren (siehe Elena, eGK, 
ePA, ...), für die nachweislich Sicherheitsprobleme bestehen, und 
andererseits genau die dafür auch nötige Infrastruktur für eigene Zwecke 
einsetzen wollen. 

Und selbst, wenn es keine wie vom CCC gefundenen Sicherheitsprobleme gäbe, 
geht, meiner bescheidenen Meinung nach, die "piratische Grundhaltung" dahin, 
große, zentralisierte Datenbanken schon allein wegen der potentiellen 
Missbrauchsgefahr (Stichwort Überwachung) abzulehnen. Siehe die aktuelle 
Diskussion zu Schufa und Facebook...

> Plädierst du für den Aufbau eines pirateninternen Identifikationssystems, 
> das völlig unabhängig von jedem Personalausweis und amtlichen Dokumenten 
> ist? Wenn ich mich richtig erinnere, dann musste ich bei der Akkreditierung 
> der letzten Parteitage meinen Personalausweis vorlegen.

Für die hier von Dir ins Spiel gebrachten "nicht-hoheitlichen Aufgaben" eines 
ePA gibt es andere, funktionierende Lösungen, die weniger zentral sind und 
auch auf Crypto-Systemen basieren. Wenn wir denn von einer Lösung in der PP 
sprechen, dann könnte das vermutlich durchaus auch eine interne 
Zertifizierungsstelle für digitale Zertifikate sein.

Ob das aber alles (und dazu zähle ich auch den ePA) wirklich auch noch für 
jede piratenwählende Großmutter praktikabel und nachvollziehbar ist, ist eine 
ganz andere Frage. Das Problem mit allen "Sicherheitssystemen" ist, dass sie 
einerseits suggerieren müssen, dass sie funktionieren, auch wenn man nicht 
daran glaubt. Und gleichzeitig muss man als Benutzer diesen Systemen 
Vertrauen entgegenbringen, weil man sie bei ausreichender Komplexität nicht 
mehr durchschaut.

> Wir wollen Wahlen durchführen, die rechtsgültig sind. Dafür als Basis ein 
> amtliches Dokument mit rechtsverbindlicher Identifikation der Wähler zu 
> benutzen mag vielleicht „was ganz Neues“ sein, aber vielleicht dennoch eine 
> akzeptable Idee.

Aber nicht notwendig, und wie ich meine, auch nicht unbedingt "piratig", 
jedenfalls, was den ePA angeht.

Letztendlich sind solche Diskussionen für mich ziemlich fragwürdig, weil 
darin immer nur eine technokratische Lösung für Teilaspekte eines Problems 
gesucht werden, in diesem Fall den "Zugang" oder die "Teilnahme" an Diensten 
oder Information, wobei soziale und von mir aus auch politische Ursachen und 
Folgen eines Missbrauchs völlig unbeachtet bleiben. Und während ich das 
schreibe, taucht vermutlich in der nächsten Mülltonne irgendeine neue DVD mit 
den nächsten interessanten Daten auf... 

Gruß,

Dinu