Internetabstimmung ist unsicher und sollte nicht bei öffentlichen Wahlen eingesetzt werden

 (blog.citp.princeton.edu)
6 Punkte von GN⁺ 2026-01-23 | 4 Kommentare | Auf WhatsApp teilen
  • Internetabstimmung ist ein technisch nicht sicher umsetzbares System, für das auch nach jahrzehntelanger Forschung keine Lösung gefunden wurde
  • Durch Malware auf Smartphones und Computern, Server-Hacks und Eindringen in Wahlverwaltungsserver ist eine Manipulation der Abstimmung möglich, und ein einzelner Angreifer kann in großem Maßstab manipulieren
  • Auch E2E-VIV (End-to-End-verifizierbare Internetabstimmung) weist aufgrund der Vertrauenswürdigkeit der Verifizierungs-App, fehlender Receipt-Freeness und mangelnder Streitbeilegung grundlegende Schwachstellen auf
  • VoteSecure der Mobile Voting Foundation trägt all diese Probleme in sich, und sogar die Entwickler räumen ein, dass es weder vollständige Sicherheit noch ein Protokoll zur Streitbeilegung gibt
  • Wissenschaftler betonen, dass die Zuverlässigkeit von Internetabstimmung nicht anhand von Medienberichten oder Werbematerialien, sondern ausschließlich durch peer-reviewte Forschung geprüft werden darf

Grundlegende Unsicherheit der Internetabstimmung

  • Internetabstimmung birgt ein deutlich höheres Manipulationsrisiko als herkömmliche Papierwahl
    • Malware kann die vom Wähler ausgewählte Stimme auf dem Gerät verändern
    • Auch Manipulationen durch Server oder Insider in Wahlverwaltungssystemen sind möglich
    • Angriffe über das Internet können von überall auf der Welt aus in großem Maßstab durchgeführt werden
  • Papierwahlen sind nicht perfekt, aber groß angelegter Betrug wird mit hoher Wahrscheinlichkeit entdeckt und geahndet
    • Bei Internetabstimmung hingegen kann ein einzelner Angriff zahllose Stimmen verändern

Grenzen von E2E-VIV (End-to-End-verifizierbare Internetabstimmung)

  • E2E-VIV wurde so konzipiert, dass Wähler überprüfen können, ob ihre Stimme korrekt gezählt wurde, weist jedoch die folgenden strukturellen Probleme auf
    • Ist die Verifizierungs-App mit Malware infiziert, kann sie falsche Informationen anzeigen
    • Fehlt die Receipt-Free-Funktion, wird groß angelegter Stimmenkauf möglich
    • Eine App zu entwerfen, die zugleich Zuverlässigkeit und Receipt-Freeness gewährleistet, ist äußerst schwierig
    • Die Verifizierungs-App muss separat ausgeführt werden, doch tatsächlich tun dies nur sehr wenige Wähler
    • Selbst wenn einige Wähler Manipulationen entdecken, gibt es keine Möglichkeit, diese zu beweisen, sodass die Wahl nicht für ungültig erklärt werden kann
  • Daher hat die „Verifizierungs“-Funktion von E2E-VIV keinen praktischen sicherheitssteigernden Effekt
    • In der Wissenschaft gilt diese Grenze bereits seit Jahren als Konsens

Analyse des Falls VoteSecure

  • Die Mobile Voting Foundation von Bradley Tusk kündigte an, gemeinsam mit Free and Fair ein Internetabstimmungs-SDK namens VoteSecure entwickelt zu haben
    • In der Pressemitteilung wurde behauptet, „sichere und verifizierbare mobile Abstimmung“ sei nun möglich
  • Mehrere Sicherheitsexperten wiesen jedoch auf schwerwiegende Schwachstellen von VoteSecure hin
    • Auch Forscher des Entwicklers Free and Fair räumten ein: „Die angesprochenen Probleme sind real, und wir kennen keinen besseren Weg.“
    • VoteSecure verfügt über keine Receipt-Freeness, über ein unzureichendes Protokoll zur Streitbeilegung, und bei Malware-Befall ist die Verifizierung bedeutungslos
    • Zudem besteht die Möglichkeit groß angelegter automatisierter Stimmenkauf-Angriffe und von Wahlentführung (clash attack)
  • Free and Fair erklärte, „VoteSecure sei kein vollständiges Wahlsystem, sondern ein kryptografischer Kern auf Core-Ebene“

Wissenschaftlicher Konsens und Empfehlungen

  • Jahrzehntelange Forschung zeigt, dass keine Technologie existiert, mit der sich Internetabstimmung sicher machen lässt
    • Auch die E2E-VIV-Forschung löst die grundlegenden Probleme nicht
  • Wahlverantwortliche und Medien sollten sich vor ‚Pressemitteilungs-basierter Wissenschaft‘ hüten
    • Die Prüfung der Zuverlässigkeit ist nur durch peer-reviewte wissenschaftliche Forschung möglich
    • Pressemitteilungen oder Unternehmenswerbung können keine Grundlage für die Beurteilung der Zuverlässigkeit von Wahlsystemen sein

Gruppe der unterzeichnenden Experten

  • Diese Erklärung wurde gemeinsam von 21 Informatikern aus dem Bereich Wahlsicherheit unterzeichnet
    • Zu den Unterzeichnern gehören führende Forscher wie Andrew Appel (Princeton University), Ronald Rivest (MIT) und Bruce Schneier (Harvard University)
    • Die Unterzeichnung erfolgte in persönlicher Eigenschaft und stellt nicht die offizielle Position ihrer Institutionen dar

Verwandte Beiträge

4 Kommentare

 
bbulbum 2026-01-23

Was, wenn Blockchain verwendet wird??
 
bbulbum 2026-01-23

Ah, da es sich um ein End-to-End-Vertrauensproblem handelt, ist das wohl nicht besonders relevant.
 
GN⁺ 2026-01-23
Hacker-News-Kommentare

  • Ich lebe in Australien. Hier wird mit Papier und Bleistift gewählt, in Pappkabinen. Die Kosten steigen zwar linear, aber in Bezug auf das Vertrauen der Gemeinschaft ist die Papierwahl meiner Meinung nach Maschinen noch immer weit überlegen.
    Im Vereinigten Königreich habe ich einmal einen Vorschlag für Fernabstimmung bekommen; sichere Online-Wahlen auf Basis homomorpher Verschlüsselung hätte ich wohl begrüßt. Ich habe dem Staat ohnehin bereits KYC-Daten übermittelt, daher sehe ich kein Problem bei der Identitätsprüfung.
    In Australien werden alle Stimmzettel von Menschen geprüft, und Parteien haben das Recht zur Beobachtung. Es gibt kaum Zweifel an der Integrität von Wahlen, und das wird regelmäßig überprüft. In den USA ist die Kernfrage meiner Meinung nach: „Wie viel besser kann es wirklich werden als das jetzige Verfahren?“

    • Ich vote ebenfalls per Briefwahl mit dem Stift. Ausgezählt wird mit optischen Scannern, und es bleibt ein für Menschen lesbarer Nachweis erhalten. Das ist sehr kostengünstig, und groß angelegte Manipulation ist schwierig. Internetwahl würde ich niemals vertrauen. Stift und Papier reichen völlig aus.
    • Das Problem ist: Wenn Wähler beweisen können, dass ihre Stimme korrekt gezählt wurde, können sie das auch einem Erpresser beweisen. Damit droht das Prinzip der geheimen Wahl verletzt zu werden.
    • Einer der größten Gründe, warum es „einfach gut funktioniert“, ist, dass die Australian Electoral Commission (AEC) unabhängig von der Regierung ist. Zusammen mit der Wahlpflicht und dem Präferenzwahlsystem hält das die Demokratie gesund.
    • Ich habe gehört, dass auch die indische Wahlkommission ihre Aufgabe sehr ernst nimmt. Das Wahlverwaltungssystem in Indien ist ziemlich beeindruckend.
    • Ein Papiersystem scheitert lokal und laut, ein Internetsystem scheitert leise und in großem Maßstab.

  • Die Betrugsmethoden bei Papierwahlen sind seit Jahrhunderten bekannt. Deshalb sind auch die Gegenmaßnahmen gut etabliert. Versiegelte Wahlurnen, neutrale Beobachter, öffentliche Auszählung — so entsteht Vertrauen.
    Bei Internetwahlen hingegen sind die Betrugsmethoden der Allgemeinheit kaum bekannt. Selbst wenn sie vollkommen sicher wären, wäre das Vertrauen zwangsläufig geringer. Solange die geheime Wahl unverzichtbar ist, bleibt die Papierwahl die beste Lösung.

    • Der Fall Battle of Athens von 1946 in Tennessee zeigt übrigens, welche Folgen manipulierte Auszählungen in abgeschlossenen Räumen haben können. Wikipedia-Link
    • Wenn eine Wahl so polarisiert ist, dass es keine neutralen Beobachter gibt, kann man Beobachter aller Parteien einsetzen und den Auszählungsprozess per Kamera aufzeichnen.
    • Ein weiteres Beispiel ist der Box-13-Skandal. Wikipedia-Link. Es gibt den Verdacht, dass bei LBJs Wahl in den Senat Papierstimmen manipuliert wurden.
    • Papierwahlen sind einfach, deshalb kann sie jeder nachvollziehen. Elektronische Wahlen sind intransparent, bei Fernabstimmung ist freie Willensbildung schwer zu garantieren, und nur die geheime Wahl verhindert Stimmenkauf. Am Ende entsteht Vertrauen daraus, dass „jeder es selbst überprüfen kann“.
    • Ich sehe das anders. Wenn ein System ausreichend transparent und verifizierbar ist, kann man ihm vertrauen. Die zentrale Herausforderung ist allerdings der Schutz der Privatsphäre.

  • Das wichtigste Element einer Wahl ist Vertrauen; Effizienz ist zweitrangig. Durch den Wechsel zu elektronischen Wahlen wurde Vertrauen beschädigt, und feindliche Akteure können leichter manipulieren. Internetwahl würde das noch verschlimmern. Wir sollten zur Papierwahl zurückkehren.

    • In den USA wird bereits überwiegend Papierwahl plus elektronische Auszählung verwendet. Es gibt also nichts, wohin man zurückkehren müsste.
    • Es wird bereits auf Papier gewählt. Eine vollständige Rückkehr zur Handauszählung würde eher Fehler und ungültige Stimmen erhöhen. Ironischerweise haben gerade jene Kräfte, die Wahlmaschinen misstrauisch gemacht haben, früher Nachzählungen blockiert.
    • Mehr als 95 % der US-Wähler stimmen papierbasiert ab. Verified-Voting-Statistik
    • In Georgia stimmt man am Computer ab, dann wird eine Papierquittung ausgedruckt und zur Auszählung eingescannt. Die früheren Diebold-Maschinen waren anfällig für Hacks.
    • In Kalifornien wird die Identitätsprüfung bei Briefwahl nur anhand der Ähnlichkeit der Unterschrift vorgenommen. Praktisch ist das ein Ehrensystem. Relevante Gesetzesstelle

  • Der Hinweis, dass Malware auf dem Gerät eines Wählers die Stimme verändern könnte, ist berechtigt. Aber Smartphones werden bereits für die meisten sicherheitsrelevanten Alltagsgeschäfte genutzt.
    Auch das Risiko eines Server-Hacks besteht, aber der Grund, warum Staaten persönliche Daten speichern, ist letztlich ebenfalls eine Risiko-Nutzen-Abwägung.
    Derzeit ist der Nutzen von Online-Wahlen kleiner als das Risiko, aber wenn man sich ein partizipatives Demokratie-Modell in Echtzeit vorstellt, könnte das anders aussehen. Das größte Problem bleibt allerdings Desinteresse und geringe Beteiligung.

  • Internetwahl erleichtert Manipulation im großen Maßstab. Aber Online-Banking ist ähnlich riskant. Letztlich geht es um die Abwägung von Vor- und Nachteilen. Können die Vorteile der Internetwahl ihre Nachteile aufwiegen?

    • Bankhacks sind fast unmöglich. Systeme wie SWIFT machen Transaktionen nachvollziehbar und rückgängig. Bei Wahlen gibt es keinen solchen Spielraum für Fehler. Ein gehackte Wahl bedeutet den Zusammenbruch der Demokratie.
    • Bankbetrug kann durch Versicherungen ausgeglichen werden, aber Vertrauen in Wahlen lässt sich nicht wiederherstellen.
    • Online-Banking ist nicht anonym, aber Wahlen müssen anonym sein.

  • Die Kosten und Ineffizienz von Papierwahlen sind eher ein Vorteil. Sie erschweren Manipulation und binden Bürger direkt in den Wahlprozess ein, was das Gewicht der Entscheidung erhöht.

  • Wahlen bestehen aus drei Phasen: Stimmabgabe, Auszählung und Aufbewahrung. Nur wenn alle drei transparent und auditierbar sind, entsteht Vertrauen.
    Mexiko ist dafür ein gutes Beispiel.

    1. Alle stimmen im lokalen Wahllokal auf Papier ab
    2. Freiwillige und Parteibeobachter zählen direkt vor Ort aus
    3. Die Ergebnisse werden elektronisch übermittelt, und die Papierergebnisse werden eine Woche lang ausgehängt
      Das zentrale System summiert nur auf, und jeder kann die lokalen Ergebnisse mit den Online-Ergebnissen abgleichen.
      Dank dieser dezentralen Struktur sind die Ergebnisse schnell und zugleich vertrauenswürdig. Allerdings gibt es weiterhin Zwangsformen wie „carousel voting“.
    • Ich verstehe nicht, warum nur in den USA das Wahlverfahren so umstritten ist. Wenn man Papierwahl fordert, heißt es Rassismus; wenn man Fristen für die Auszählung begrenzen will, Fremdenfeindlichkeit. Europa organisiert das deutlich rationaler.
    • In Idaho wird auf Papier gewählt, elektronisch ausgezählt, und bei Bedarf ist eine manuelle Nachzählung möglich. Ohne Internetverbindung ist das die ideale Kombination aus Schnelligkeit und Auditierbarkeit.
    • Wenn man die geheime Wahl aufgibt, verschwinden große Teile des Transparenzproblems. Das wäre allerdings eine Entscheidung, die die Grundlagen der Demokratie erschüttert.
    • Auch elektronische Wahlen könnten mit mehreren Verifikationsebenen (layer) eine ähnliche Vertrauenswürdigkeit erreichen.
    • In Frankreich läuft es fast genauso.

  • Das Video von Tom Scott darüber, warum elektronische Wahlen schlecht sind, ist Pflichtprogramm.
    Teil 1 / Teil 2

  • Das Problem ist nicht die Technik, sondern nicht vertrauenswürdige Akteure. Mit Wahlen verdient man kein Geld, deshalb ist es schwer, Sicherheitsinvestitionen auf Bankniveau zu rechtfertigen.
    Außerdem verzerren bereits heute Informationsmanipulation und Bot-Aktivität die öffentliche Meinung. Papierwahlen sind besser, aber in der Realität befinden wir uns schon in einem Zustand digitaler Verwirrung.

    • Meine Vorhersage: 2026 wird die Trump-Regierung unter dem Vorwand der „Wahlsicherheit“ nur noch elektronische Wahlen zulassen wollen. Ein politisch genehmer Anbieter wird das System liefern, dann folgen Klagen und langes Chaos. Am Ende besteht die große Gefahr, dass beide Parteien dem Ergebnis misstrauen.

  • Ich bin Mitautor dieses Textes und Professor am Georgia Tech. Ich forsche zu Sicherheit, Privatsphäre und Public Policy. Hier ist mein CV. Wenn es Fragen gibt, beantworte ich sie gern.

    • Mich würde interessieren, ob Sie sich die Verifikationsmethoden des Swiss-Post-E-Voting-Systems angesehen haben.
    • Wahlen müssen für alle Wähler direkt überprüfbar sein. Jedes System, das komplexer ist als Handzählung, verliert Vertrauen.
 
brilliant08 2026-01-23

Ich denke, elektronische Wahlsysteme können das Problem der zufälligen Zuverlässigkeitsprüfung durch die breite Öffentlichkeit nicht lösen.
Die Überprüfung des Systemcodes ist nur einer ausgewählten privilegierten Schicht möglich, und man kann wohl auch nicht darauf vertrauen, dass der überprüfte Code tatsächlich der Code ist, der vor Ort eingesetzt wurde.
Wenn man sieht, welche Kontroversen entstanden sind und welche gesellschaftliche Verwirrung in Südkorea bereits dadurch ausgelöst wurde, dass lediglich der Prozess der Erfassung von Ergebnissen von Papierstimmen durch ein elektronisches System digitalisiert wurde, lässt sich grob erahnen, welche gesellschaftliche Verwirrung bei der Einführung eines vollständig elektronischen Wahlsystems entstehen könnte.