Stolze 22 Millionen Dollar hat das Pentagon in ein Online-Wahlsystem für Soldaten im Ausland gesteckt. Von der Regierung zur Prüfung bestellte IT-Sicherheitsexperten empfehlen seine Abschaffung noch vor der Einführung: Das System sei so löchrig, dass man damit die ganze Wahl verfälschen könnte.

Es gibt Worte, die haben einfach einen guten Klang: "Online-Wahlen" etwa klingt nach Fortschritt, und "Secure Electronic Registration and Voting Experiment" (Serve) Vertrauen erweckend. Dabei, befand nun ein Panel hochkarätiger, vom Weißen Haus mit der Prüfung des Pentagon-Wahlsystems betrauter IT-Experten, stimme an dem Namen dieses Serve-Systems anscheinend nur der letzte Namensbestandteil: "Experiment".

Dabei, finden die Experten, solle es auch bleiben, denn das sei gründlich in die Hose gegangen. Serve sei mit so vielen systeminhärenten Sicherheitsrisiken behaftet, dass das Wahlsystem für Auslandssoldaten geeignet scheine, die "Integrität der gesamten Wahl" in Frage zu stellen. In einem am Mittwoch veröffentlichten Bericht der Kommission heißt es, durch Serve verursachte Störungen der Wahl könnten "katastrophale Auswirkungen auf das öffentliche Vertrauen in Wahlprozesse" haben. Nun sei es das Beste, "das Serve-System gar nicht erst in Betrieb zu nehmen".

Das aber schmeckt dem Pentagon gar nicht. Serve sollte bereits im Rahmen der Vorwahlen zum Einsatz kommen und seine Sternstunde dann bei der US-Präsidentschaftswahl im Herbst erleben. Auch der letzte US-Soldat im Ausland sollte mittelfristig Gelegenheit bekommen, bequem sein Kreuz am rechten Fleck zu machen.

Und obwohl die Prüfungskommission befand, dass jeder an Serve angeschlossene Rechner durch diverse Trojaner-, Viren- und Hackattacken gefährdet sei, will das US-Verteidigungsministerium die Einführung durchziehen: Ministeriumssprecher Glen Flood bezeichnete die Einschätzung der Sicherheitsrisiken durch die Kommission als "überzogen": "Das Verteidigungsministerium steht zu Serve. Wir meinen, es ist in Ordnung, so wie es jetzt ist, und wir werden es nutzen."

Testfall Ernstfall?

Das meint auch Accenture, Hauptentwickler des Online-Wahlsystems. Die Prüfer sollten die Kirche im Dorf lassen, denn schließlich gehe es vorerst nur um "ein kleines, kontrolliertes Experiment".

Damit ist gemeint, dass Serve zunächst in sieben Vorwahlen zum Einsatz kommen und dabei von rund 100.000 Soldaten in 50 Staaten und Ländern genutzt werden soll. Das entspricht einem Zehntel aller potenziellen Wähler, die einmal über das armeeeigene Wahlsystem eingebunden werden könnten.

Pentagon und Accenture scheinen davon auszugehen, dass es innerhalb eines Clusters von 100.000 Stimmen zu keinen Wahl verfälschenden Effekten kommen könne. Dabei hatten bei der letzten Präsidentschaftswahl lang anhaltende Zählprobleme dazu geführt, dass schließlich der wahrscheinlich zahlenmäßig unterlegene Kandidat Georg W. Bush per Gerichtsentscheid zum Präsidenten gemacht wurde: Auch da kam es nur auf wenige hundert Stimmen an.

Die IT-Sicherheitsexpertin Barbara Simons kritisierte gegenüber der "Washington Post", dass es unverantwortlich sei, die Teilnahme von 100.000 Personen an einer echten Wahl als "Experiment" klein zu reden. Simons: "Wenn nachher Zweifel an der Legitimität der abgegebenen Stimmen aufkommen, könnte das die gesamte Wahl in Frage stellen." Man täte den Auslandswählern andererseits auch keinen Gefallen, wenn man ihnen nur das Gefühl geben würde, an der Wahl teilzunehmen, während ihre Stimmen am Ende nicht gezählt würden.

Ist das Expertenvotum nur "professionelle Paranoia"?

Der Expertenkommission ist all das Grund genug, vor dem Einsatz des Systems vehement zu warnen. Das Risiko sei systemimmanent: "Sicherheitslevel, die für den E-Commerce genügen mögen, reichen nicht aus für Wahlen. Man kann kein Online-Wahlsystem auf Basis von PCs von der Stange und dem Internet, so wie es heute aussieht, konstruieren", heißt es im Abschlussbericht.

Deshalb liege die Schuld für das offenkundige Scheitern des Serve-Programms auch nicht beim Pentagon oder bei Accenture, deren Arbeit an Serve als "innovativ und gewissenhaft" zu bezeichnen sei. Vielmehr sei es Zeit einzusehen, dass der Traum von der Schaffung eines wirklich sicheren Online-Wahlsystems über das Internet eine "grundsätzlich unmögliche Aufgabe" sei.

Darauf deute auch hin, dass eine vom kalifornischen Innenministerium beauftragte Expertenkommission schon im Jahr 2000 über das in Entwicklung befindliche Serve-Programm zu ganz ähnlichen Schlüssen gelangt sei. "Seitdem hat sich daran nichts Wesentliches geändert", sagt David Jefferson, IT-Wissenschaftler am Lawrence Livermore National Laboratory und Mitglied beider Kommissionen. Jefferson: "Nichts, was wir gesehen haben, hat uns überzeugen können, dass dieses System sicher gemacht werden kann."

Zu den im Bericht angeführten ignorierten Sicherheitsrisiken gehört das so genannte ARP-Spoofing, mit dem auch und gerade innerhalb von geswitchten Netzwerken jeder Datenverkehr abgefangen und verfälscht werden könne. Damit ließen sich sämtliche abgegebenen Stimmen verändern. Sicherheitslösungen, mit denen sich ARP-Spoofing anmessen lässt, gibt es nur wenige: Serve beinhaltet keine.

Selten ist Spoofing dagegen nicht. Entsprechende Programme, mit denen sich innerhalb von Firmen-, Universitäts- oder Militärnetzen sämtliche Passworte abfangen und Datenkommunikation verfälschen lassen, werden über Warez-Seiten im Web frei verteilt. Geredet wird über solche Risiken nur selten offen, weil sich über Spoofing so ziemlich alles knacken lässt: vom Online-Voting über Zahlungsabwicklungen bis hin zum Online-Banking.

Die Experten stehen zu ihrem harten Urteil

"Wir reden hier nicht über theoretische Konzepte", meint Aviel Rubinstein, Chef des Information Security Institutes an der Johns Hopkins University und Mitglied der Kommission der "New York Times". "Wir reden über Sicherheitsprobleme, die wir im Internet ständig beobachten." Sein größter Alptraum sei nun, dass Serve in diesem Jahr anscheinend erfolgreich getestet und dann bei der nächsten Präsidentenwahl landesweit eingesetzt werden könnte - mit dem möglichen Resultat massiver Wahlverfälschungen. Rubinstein: "Die Geschichte hat gezeigt, dass, wenn man Leuten die Möglichkeiten zur Wahlfälschung gibt, diese auch eingesetzt werden."

"Unter dem Strich", sekundiert David Wagner, IT-Professor in Berkeley, "haben wir das Gefühl, dass ein System, das die Risiken vergrößert, nur um mehr Bequemlichkeit zu erreichen, nicht die Lösung sein kann."

Jetzt kämpfen Accenture und Pentagon darum, den Ruf von ihrem Serve-Programm zu retten. Ein Schönheitsfehler des Expertenberichts ist, dass er nur von vieren der zehn Mitglieder unterzeichnet sei. Deshalb, so Pentagon-Sprecher Flood, handele es sich dabei um einen "Minderheitenvotum".

Ein Mehrheitsvotum gibt es allerdings nicht: Nicht nur, dass sechs der zehn Experten sich nicht äußerten, sie nahmen auch an den Sitzungen und System-Demonstrationen nicht oder nur unregelmäßig teil. Jetzt holen Pentagon und Accenture die fehlenden Stimmen per Telefonumfrage ein. Mit dem MIT-Professor Ted Selker fanden sie zumindest einen erheblich weniger aufgeregten Experten: Selker meint, der Abschlussbericht spiegele "die professionelle Paranoia von IT-Sicherheitsexperten" wider. "Das ist deren Job."

David Dill, der vierte Unterzeichner und IT-Professor an der Stanford University, will das nicht gelten lassen. "Was ich gesehen habe, hat mich überzeugt, dass niemals jemand über dieses System wählen sollte. Ich verstehe durchaus, wie problematisch es sein kann, sich aus dem Ausland an Wahlen zu beteiligen, und ich meine auch, dass wir es diesen Leuten viel einfacher machen müssen. Aber Serve ist dafür die falsche Lösung."