Linus Neumann beim Kongress des Chaos Computer Clubs 2013 in Hamburg. Dort warnen Hacker seit Jahren vor den Gefahren von Online-Abstimmungen.

Könnten Hacker SPDlern wie Thilo Sarrazin die Stimme klauen? Linus Neumann vom Chaos Computer Club kritisiert die Online-Befragung über die künftigen Parteichefs und erklärt, warum sie anfällig für Manipulation ist.

Interview von Max Hoppenstedt, Berlin

Dieser Samstag soll ein wichtiger Tag für den politischen Neustart der SPD werden. Die Sozialdemokraten wollen das Ergebnis ihres Mitgliedsvotums für den neuen Parteivorsitz bekannt geben. Sechs Kandidaten-Paare sind im Rennen. Auch online konnten Parteimitglieder bis Freitag ihre Stimme abgeben.

An der digitalen Stimmabgabe gibt es massive Kritik. Christopher Lauer, der sich als Ex-Piraten-Abgeordneter mit Online-Abstimmungen auskennt, hat sich das Verfahren auf Schwachstellen hin angesehen. Sein Fazit: "Die SPD kann das Ergebnis in die Tonne kloppen." Unbefugte könnten Parteimitgliedern die Stimme klauen (mehr dazu hier). Auf Twitter kokettieren nun Nutzer unter anderem damit, für Thilo Sarrazin abzustimmen - dessen Mitgliedsnummer ist seit seinem gescheiterten Parteiausschlussverfahren öffentlich.

Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hat zusammen mit anderen IT-Sicherheitsforschern schon vor der Bundestagswahl 2017 Schwachstellen in einer Auswertungs-Software aufgedeckt. Für ihn geht das Problem mit Online-Abstimmungen wie jener der SPD weit über einzelne Sicherheitslücken hinaus.

Ist das SPD-Mitgliedsvotum vertrauenswürdig und sicher gewesen?

Allein, dass ich das jetzt gefragt werde, zeigt schon das ganze Problem. Es sollten gerade keine technischen Experten notwendig sein, um bewerten zu können, ob eine Wahl sicher und korrekt ablief. Eine der wichtigsten Anforderungen an eine demokratische Wahl lautet, dass jede Bürgerin und jeder Bürger das Wahlgeschehen verstehen kann - auch ohne besondere technische Expertise. Nur so entsteht das notwendige allgemeine Vertrauen in die Echtheit eines Wahlergebnisses.

Welche Fehler hätte die SPD denn vermeiden müssen, damit die Mitgliederbefragung jetzt nicht als unsicher kritisiert wird?

Der Grundfehler ist, überhaupt digital abstimmen zu lassen. Das Problem beginnt schon damit, dass hier ernsthaft eine demokratische Partei ihr Wahlverfahren aus Kostengründen outsourct.

Hat die SPD den CCC oder andere relevante Sicherheitsforscher gebeten, das System vorher zu prüfen?

Mir ist nicht bekannt, dass die SPD uns als Club oder andere Experten konsultiert hat. Wir hätten uns gerne die Zeit genommen, ihnen das Problem zu erklären.

Kann denn eine digitale Abstimmung jemals sicher sein?

Es gibt zwei zentrale Anforderungen, die in einer Demokratie an Wahlen gestellt werden. Der Wahlvorgang muss nachvollziehbar und gleichzeitig aber jede einzelne Stimme geheim sein. Die Urne ist eine geniale Erfindung, denn sie bringt diese beiden Anforderungen in Einklang. Digital ist das nicht möglich.

Die SPD hat auf die Kritik geantwortet. Man sei sicher, dass man mit dem Anbieter des Wahlprogramms Scytl "erneut ein reibungsloses und sicheres Abstimmungsverfahren erleben" werde.

Die einzigen Wahlsysteme, die als sicher gelten, sind diejenigen, die sich noch kein Hacker angeschaut hat. Jedes Mal, wenn ein Sicherheitsforscher dieses System analysiert, zerbröseln die Sicherheitsversprechen zwischen den Händen der Forscher.

Die Partei betont, dass die Online-Abstimmung keine Wahl sei, sondern lediglich eine Befragung. Endgültig werde die Parteispitze ja erst im Dezember auf dem Parteitag gewählt.

Diese Wahl als nicht verbindliche Abstimmung abzutun, ändert nichts daran, dass hier ein verfassungswidriges Wahlinstrument normalisiert wird. Es offenbart nur umso mehr mangelnde Wertschätzung der Demokratie. Mit einer Online-Wahl die Glaubwürdigkeit der Partei aufs Spiel zu setzen, finde ich leichtfertig.

Die Digitalisierung macht so viele Bereiche des Lebens einfacher. Warum ist es denn so schlimm, eine Wahl digital abhalten zu wollen?

Was wäre denn, wenn ich am Montag als CCC-Sprecher verkünden würde, dass wir diese Wahl manipuliert haben? Weder die SPD noch Scytl könnten meine Behauptung wirklich technisch nachvollziehbar entkräften. Ich könnte einfach irgendwelchen Code bei Github (eine Online-Plattform für Programmierer; Anm. d. Red) hochladen und behaupten, dass ich die Wahl damit manipuliert habe. Einen klaren Gegenbeweis könnten sie nicht antreten.

Dann stünde Aussage gegen Aussage und die Öffentlichkeit müsste entscheiden, wem sie mehr vertraut. Allein das ist schon problematisch. Auch das Bundesverfassungsgericht hat mit einem Urteil 2009 Online-Wahlen de facto für verfassungswidrig erklärt. Das Gericht verlangt wie gesagt, "dass die wesentlichen Schritte der Wahlhandlung und der Ergebnisermittlung vom Bürger zuverlässig und ohne besondere Sachkenntnis überprüft werden können". Das ist bei dieser Online-Wahl nicht möglich.

Ist das nicht der Fall, bei einem Verfahren, wie es die SPD jetzt nutzt?

Wenn Sie eine Genossin jetzt nach ihrer Abstimmung fragen "Und, hast du die Online-Wahl verstanden?", dann wird die Antwort lauten: "Ja, ich habe da auf eine Webseite geklickt." Aber was im Computer passiert, wird keines der Mitglieder wirklich verstanden haben.

Wir leben in einer Welt, in der täglich Leute ihre Bankdaten auf gefälschten Websites eingeben. Ein großer Teil der Bevölkerung versteht digitale Prozesse nur so weit, wie sie vor seinen Augen stattfinden, aber nicht die technischen Details.