Die parteipolitische Selbstbestimmung.

Zum ersten September hat die Süd-Tiroler Freiheit eine selbstverwaltete Befragung gestartet, mit der in Erfahrung gebracht werden soll, ob die Teilnehmer die Abhaltung eines amtlichen Selbstbestimmungsreferendums wünschen. Allem Anschein nach ist der Partei ein professionelles Abstimmungssystem gelungen, mittels dessen die Stimmberechtigten sowohl analog (mittels Wahlkarte), als auch digital (über ein Internetportal) abstimmen können.

Dies ändert nichts an der Kritik, die bereits am Vorgehen der STF geäußert hatte und hiermit wiederholt:

  • Die einseitige parteipolitische Vereinnahmung eines so grundlegenden Rechtes, das allen Südtirolern gehört, ist verantwortungslos.
  • Vielmehr hätte die Partei den Konsens mit weiten Teilen der Zivilgesellschaft suchen und sich aus den konkreten Abstimmungshandlungen heraushalten müssen.
  • Die sicher nicht unbewusst gewählte zeitliche Überlappung der Abstimmung mit dem Wahlkampf droht dem Thema noch größeren Schaden zuzufügen. Die Selbstbestimmung zu missbrauchen, um ggf. einen Landtagssitz dazuzugewinnen, ist inakzeptabel!

Die Einbindung aller Sprachgruppen wurde — gegenüber dem selbstverwalteten Referendum im Ahrntal — zumindest insofern verbessert, als das Internetportal eine Stimmabgabe in allen drei Landessprachen gestattet. Zum Vergleich: Bei den amtlichen Landesreferenda 2009 blieb die ladinische Sprache unberücksichtigt.

Geradezu rührend ist hingegen der Versuch der SVP, das Selbstbestimmungsrecht gegen die STF zu verteidigen. Südtirol Online (Stol) zitiert den Obmann der Mehrheitspartei folgendermaßen:

“Als Südtiroler Volkspartei haben wir die Unverzichtbarkeit des Selbstbestimmungsrechtes für die Südtiroler in unserem Programm festgeschrieben”, betont SVP-Obmann Richard Theiner im Anschluss an die Sitzung.

Es sei jedoch ein Thema, mit dem nicht leichtfertig umgegangen werden dürfe und es stelle sich die Frage nach der Sinnhaftigkeit einer solchen Umfrage zwei Monate vor der Landtagswahl.

Theiner kann zwar inhaltlich zugestimmt werden, die Glaubwürdigkeit seiner Partei beim Thema Selbstbestimmung wurde jedoch bereits vor Monaten zu Grabe getragen: Obschon die Unverzichtbarkeit des Selbstbestimmungsrechts in ihrem Programm festgeschrieben ist, stimmte sie im Landtag gegen diesen Grundsatz. Die Mehrheitspartei ging sogar so weit, nicht nur die konkrete Anwendung des Selbstbestimmungsrechts in Südtirol abzulehnen, sondern auch das Menschenrecht auf Selbstbestimmung als solches — nur weil der Antrag aus der Opposition kam. Einen leichtfertigeren Umgang mit dem Thema kann man sich eigentlich gar nicht vorstellen, denn damit hat der Landtag diesem Recht eine grundsätzliche Absage erteilt!

Selbstbestimmung | STF-Befragung | | Stol | | STF SVP |

66 replies on “Die parteipolitische Selbstbestimmung.”

… und was wäre nun ein gangbarer Weg?
– Die sog. Volkspartei hat das “Menschenrecht auf Selbstbestimmung” niedergestimmt!
– An welchen Strohhalm soll man sich nun klammern?

Ich sehe das anders, endlich unternimmt mal jemand etwas konkretes. Debattieren ist zwar wichtig aber am Ende zählen die Taten. Es ist eben im Leben mal so, dass jemand vorangehen muss, damit was passiert. Wenn die STF einen Konsens mit der Zivilgesellschaft suchen würde, dann wäre sie immer noch am suchen.
Was wird hier missbraucht, die Selbstbestimmung gehört in den Wahlkampf, das ist die Zeit wo die Masse etwas mehr über die allgemeine Zukunft nachdenkt. Und wenn es auch eine Werbung für die STF ist, es ist eine freie Abstimmung, man kann mitmachen oder auch nicht, man kann es schlecht oder gut halten, man kann die STF belohnen in dem man sie wählt oder bestrafen in dem man sie nicht wählt.
Mir stellt sich die Frage was dabei heraus kommt, ob es soviel Potenzial abgibt, dass sich die SVP bewegen muss, weil ohne dieser geht’s halt leider nicht in diesem Lande.
Und ich fürchte es wird nach diesen Wahlen nicht anders werden als wie jetzt.

Mah, non mi sembra che il procedimento per votare alle primarie dei Verdi, curato da Moar, fosse veramente sicuro. Ad esempio io per sbaglio diedi due preferenze alla stessa persona e, inoltre, non mi venne richiesto nessun dato «sicuro». Ma visto che Moar legge il nostro blog, forse vorrà  darci qualche delucidazione.

Quindi tutto questo tam tam mi sembra alquanto ideologico («sono contrario all’autodeterminazione, quindi mi attacco a qualsiasi appiglio»), perché in realtà  nessun sistema di voto (né nei seggi*, né tantomeno a distanza, incluso il voto per corrispondenza delle elezioni provinciali) è sicuro al 100%.

*per esempio non hanno mai controllato se portassi un cellulare capace di fotografare il mio voto.

Ciao pérvasion,

certo che ti rispondo, ci mancherebbe. Mi permetto di anticipare: personalmente il mio tamtam non lo considero ideologico, ci mancherebbe. Mi permetto di mettere il link su un mio commento nel forum del NSTZ che forse spiega il mio approccio di critica:

http://www.tageszeitung.it/2013/09/04/die-pannen-umfrage/#comments

secondo me l’argomento in questione e’ talmente delicato e dalla stessa STF pensato per promuovere decisioni politiche, che e’ totalmente inacettabile che sia poi stato implementato in un modo talmente sprovveduto, permettendo a chiunque di votare in vece di chiunque altro in modo talmente semplice. Se non si usa la metodologia giusta, il gioco non vale la candela, mi pare di leggere anche qui.

Per quanto riguarda la tua domanda se il sistema dei verdi fosse o meno piu sicuro ti posso tranquillizzare. Certamente che lo era, altrimenti mai mi permetterei di puntare il dito su qualcun altro.

Esistono diversi principi fondamentali si sicurezza nel principio di “autenticazione” su internet, dunque sull’ identificare con certezza una persona.

1)
Il primo principio e’ quello che, se hai un form che permette, dopo l’inserimenti di qualche dato, di loggarsi, devi proteggere quel form da tentativi di login automatici. Conosci sicuramente i fatidici “captcha-code” sparsi su tutti i siti: il motivo di questi sta nel distinguere una persona da una macchina. Un umano e’ in grado di risolvere l’indovinello, un computer non lo puo’ fare.

Se non riesci a separare l’umano dal computer, allora una persona con piccole conoscenze tecniche (e stimerei in Sudtirolo di trovarne qualche centinaio) non ci mette piu’ di 30 minuti a scrivere uno script che prova, in cosiddetta modalita “brute force”, tutte le combinazioni possibili fino a riuscire ad entrare.

Mentre un umano ci mette, chissa’, 5 minuti di tempo a provare i numeri da 00 a 65 (e quindi prima di potersi loggare come Eva Klotz), un computer risolve questo problema in pochi secondi.

Se i verdi hanno fatto meglio? Certamente. Il nostro screen di pre-registrazione richiedeva la compilazione di un Captcha Code. Proprio per questo.

2)
Il secondo principio fondamentale, e vermante oramai da 20 anni, e’ quello di un authenticazione con due fattori. In gergo tecnico si dice “something you know, and something you have”. Significa che l’autenticazione con un semplice password non e’ sufficiente ad individuare una persona: la password qualcuno puo’ copiarla o provarla. Serve un secondo elemento, per l’appunto qualcosa che hai in mano. La Volksbank, per esempio, chiede il tuo cellulare. La Raika, per esempio, chiede un numero preso dal loro aggeggino “token”. La Bürgerkarte, per ultimo esempio, chiede l’inserimento della card nel lettore e l’imissione di un PIN.

Solo la combinazione di questi due componenti rende abbastanza sicuro un tentativo di autenticazione.

Se i verdi hanno fatto meglio? Certemante. Il nostro secondo screen di filtraggio richiedeva per l’appunto l’immissione di un codice inviato al tuo cellulare. Solo questo meccanismo ci permette di avvicinarci ai tre principi fondamentali di un elezione:

a) L’elezione e’ segreta.
b) Ogni voto viene contato.
c) “One man, one vote”, dunque il principio che ognuno ha un solo voto da esprimere.

Certo, dirai, tu puoi avere piu’ cellulari e dunque esprimere piu’ voti.
Assolutamente vero, ma un numero di cellulare e’ comunque una risorsa limitata e abbinata ad una persona (devi, quando lo richiedi, lasciare il tuo documento). Per lo scopo “primarei dei verdi” questa approssimazione era accettata. Infatti, per poterla sfruttare, avresti dovuto procurarti i dati elettorali di diverse persone e, in più, avere più di un cellulare a disposizione. Capirai che cio’ limita quello che in gergo si chiama “superficie di attacco”.

Ecco, questo e’ il punto. Se confronti in dettaglio la superficie di attacco che il sistema dei verdi aveva con quello della STF vedrai una differenza chilometrica. Inoltre concordo con quanto seguo in questo blog, che la domanda se porre la domanda sull’autodeterminazione, e’ di diverse dimensioni di grandezza piu’ sensibile del risultato delle primarie dei verdi (dove, alla fine, si decideva chi piu in alto arrivava).

Per dirla spiccia: un sistema talmente bucato come quello della STF per le primarie lo avrei fatto passare, con un po’ di mal di pancia, ma comunque non avrei alzato la voce. Per un risultato invece, che un partito come al STF vorrebbe poi utilizzare per muovere acque politiche, il metodo e’ completamente inaccettabile.

Certo, nessuna votazione e’ sicura al 100%, esattamente per quello che descrivi (cellulari per fotografare il risultato, ma anche schede vuote rubate prima che poi “girano” in giardino davanti al seggio – tu entri con una scheda precompilata e devi riportarne una vuota).

Ti prego di credermi, lo dico da ingegnere e non da politico: il sistema della STF non garantisce certamente una sicurezza del 100%. Ma neppure del 0%. Se hai voglia, domani vai in comune, lasciali carta d’identita e richiesta scritta di accesso alle liste elettorali e avrai in mano nomi, cognomi, date di nascita e codice del fascicolo di nascita di tutte le persone che vuoi. Poi, se hai tempo da perdere, puoi manualmente inserire 10-100-1000 voti. Se parli con qualche ragazzo che smanetta su internet, di scrive uno script che ti automatizza questo inserimento di dati.

Se non hai voglia di andare in comune, vai su Wikipedia, prendi i dati di nascita di Luis Durnwalder e prova a inserire i numeri da 00 a 99. Dopo pochi minuti ti sarai loggato.

Un caro saluto a questo blog, che effettivamente leggo con interesse, e non di rado.

Christoph

Nun gibt es andere Methoden außer captcha, um ein Brute-Force-Attacke zu verhindern. Die einfachste ist, nach der Eingabe des dritten falschen Sicherheitcodes den User zu blockieren (wie beim Bankomat). Ich frage mich, ob denn von außen sichtbar ist, nach wie vielen Versuchen der STF-Server abbricht, und ob man tatsächlich stumpf von 0 bis 99 durchprobieren kann. Um das zu behaupten müsste man entweder Insider-Wissen bezüglich der spezifischen Implementierung haben, oder aber eine Brute-Force-Attacke tatsächlich durchgeführt haben. Beides stimmt mich nachdenklich.

Lieber bzler,

leider stimmt das so nicht. Ein System, das nach X versuchen blockiert, ist nur bei Vorliegen eines physischen Geräts möglich (eben, Bankomatkarte). Im Internet taugt dieser Ansatz nichts, nicht umsonst haben sich die Techniker auf eben dieses Captcha-System geeinigt.

Warum das nur bei physischen Geräten funktioniert?

Nun, das Internet ist ein sogenanntes “stateless” System, das heisst zwischen Server (Wahlsystem der STF) und Client (dein PC) gibt es keine Vereinbarung darüber, wie er dich erkennen und blockieren kann.

Wenn Du sowas missbrauchen willst, dann reicht es ein Proxynetzwerk zu verwenden, der bei jedem Aufruf eine andere Quelle der Anfrage simuliert. Und du probierst natürlich nicht den einzelnen Datensatz hintereinander, sondern probierst Tausende von Datensätzen verteilt.

Mach dir keine Mühe, dich wegen hypothetischer unredlicher Vorgehensweisen nachdenklich zu stimmen. Vergiss bitte nicht, dass das mein Beruf ist. Ich weiss genauer als viele anderen, was ich darf und was nicht. Und ich verschwende nicht den Hauch eines Gedankens daran, ein System effektiv zu kompromittieren oder Stimmen im Namen von jemand anderem abgegeben, also bitte.

Ich habe aber fundierte Sachkenntnisse darüber, was eine Angriffsfläche darstellt und was nicht. Und vor allem: wie man solche Angriffsflächen nach dem geltenden Stand der Technik reduziert. Und der Stand der Technik ist, leider, Two-Factor-Authentication und Turing Tests, alles andere ist unzureichend.

Versuchen wir bitte auch nicht jetzt das Ganze als Nerd-Thema zu reduzieren. Wer möchte, geht morgen in die Gemeinde, holt sich einen Stapel Daten und präsentiert diese der Presse. Wie glaubwürdig ist eine Umfrage, die so leicht missbrauch werden kann?

Mit herzlichen Grüßen
Christoph Moar

So wie du das ausführst ist das eine konstruktive Kritik, die zu einer Verbesserung der Sicherheit beim Abstimmungsportal der STF führen kann. Dann müssten sie aber ihre Abstimmung neu starten, denn evtl. bereits vorangegangene »Angriffe« können nicht ausgeschlossen werden.
Noch besser wäre für mich, wenn sie sich eines besseren besinnen und vorerst ganz darauf verzichten würden, aber das ist zu Wahlkampfzeiten wohl unvorstellbar (schon ein erster konkreter Schaden, den die Überlappung zwischen Wahlkampf und selbstverwaltetem Referendum möglicherweise generiert hat).

Ideologisch finde ich vor allem den Umgang mit deiner Information — einmal vonseiten von Salto (»Bufala«), andererseits vonseiten grüner Politiker (sowohl Dello Sbarba, als auch Foppa posten die Nachricht schadenfroh in ihren FB-Profilen). Das ärgert mich maßlos, obschon ich ja auch gegen diese Vereinnahmung der Selbstbestimmung durch die STF bin, wie ich oben geschrieben habe. Natürlich muss man diese Ideologisierung eines allgemeinen Rechts zuallererst der STF ankreiden, doch wieder einmal sind die Grünen keinen Deut besser… obwohl sie diesen Anspruch zu Recht erheben.

Lieber Pervà sion,

danke für die Rückmeldung und ja, genau so sehe ich es, als harsche Kritik an der Methodik, ich habe in keiner Wortmeldung von mir über den Fakt an sich Stellung genommen. Ganz oben habe ich bereits geschrieben:

“Se non si usa la metodologia giusta, il gioco non vale la candela, mi pare di leggere anche qui.” Und damit meinte ich tatsächlich einen Bezug zum einleitenden Artikel hier zu ziehen.

Ich stimme dir zu. Das Ding ist jetzt nicht mehr aussagekräftig und gehört in der Form abgeschaltet. Nicht aussagekräftig war es – aus Ideologischer Vereinnahmung – schon vorher, weil es eben ein Unterschied ist ob so eine Frage von einer Partei oder von einer breiten Zivilgesellschaft gestellt wird. Aber mit einer Scheunentorweiten Angriffs- und Missbrauchsfläche ist das Ergebnis völlig hinfälig.

Ich mische mich redaktionell nicht ein, nur der Autor des Artikels entscheidet aus meiner Sicht wie er/sie es bringt und mit welchem Aufreißer. Mir ist nur wichtig, korrekt zitiert zu werden, weil ich stets sachlich und korrekt bleibe.

Was Social Networks und Schadenfreude angeht – nun ja, Wahlzeiten sind auch Wahlkampfzeiten. Wir wissen alle wie das Spiel um Aufmerksamkeit läuft. Schon gemerkt? Eine schwammige Kritik der SVP erscheint auf STOL und Dolomiten. Eine sachliche Kritik von mir wird dort nicht platziert…

Insofern kann ich bisher wirklich nur harmloses von Riccardo und Brigitte lesen, und werde sicher nichts dagegen sagen wollen. Sei aber versichert, ich lese diesen Blog. Ich finde mich manchmal wieder, manchmal nicht, manchmal lerne ich dazu. So stelle ich mir Meinungsaustausch und auch unterschiedliche Positionen vor.

Der Satz “Quindi tutto questo tam tam mi sembra alquanto ideologico («sono contrario all’autodeterminazione, quindi mi attacco a qualsiasi appiglio»)” ist bei mir falsch. Ich versuche mit sehr sachlich der Fragestellung zu nähern, und bin sicher noch nicht so weit wie viele auf diesem Blog. Aber ich habe da mit sicherheit noch keine verfestigte Ideologie, sondern lasse mich gerne auf Gedankenspiele und Überlegungen ein. Davon lebt der gesellschaftliche Diskurs.

Man liest sich,
Christoph.

“Nerd”?! habe ich so schmerzlich getroffen? Und wenn ich mich hinter noch so dynamischen Proxynetzwerken verstecke, um meine IP-Adresse zu verschleiern bzw dauernd dynamisch zu ändern, bleibt der User Name nach wie vor “Luis Durnwalder” um beim Beispiel zu bleiben. Mit minimalstem Handwerk ist das auch resistent gegen auf Tausende verteilte Anfragen.
Ich behaupte ja nicht, dass die Implementierung State of the Art wäre, besser geht immer, aber sie deshalb gleich quasi als unzulässig zu erklären, bedarf einer technisch präziseren Argumentation als bis dato vernommen. Meine technische Neugierde freut sich natürlich auf Klärung des Sachverhalts. Ansonsten schließe ich mich pérvasion an, dass die ideologische Schadensfreude ihren Beigeschmack behält, und ich mit der STF-Aktion wenig Freude habe.

”Nerd”?! habe ich so schmerzlich getroffen?

Nein, überhaupt nicht. Ich habe klar ausgedrückt, dass mir die technische Ebene zu langweilig ist, das Thema ist eigentlich viel zu wertvoll um sich mit Erbsenzählerei die Zeit zu vertreiben.

bedarf einer technisch präziseren Argumentation als bis dato vernommen.

Noch präziser? Huch. Wenn dir meine durchaus klare Erklärungen nicht reichen, muss ich passen. Soviel Zeit zur Vertiefung habe ich nicht.

Und wenn ich mich hinter noch so dynamischen Proxynetzwerken verstecke, um meine IP-Adresse zu verschleiern bzw dauernd dynamisch zu ändern, bleibt der User Name nach wie vor ”Luis Durnwalder”

Eben. Habe ich auch geschrieben: “Und du probierst natürlich nicht den einzelnen Datensatz hintereinander, sondern probierst Tausende von Datensätzen verteilt.”

Du führst nämlich natürlich nicht 20 Versuche für Luis Durnwalder hintereinander aus, sondern verteilst diese Versuche auf 60 Tage Laufzeit. Wenn du so simpel implementierst, dass du jeden Versuch trackst und zählst, und einen User nach 3 Versuchen sperrst, hast du dich soeben für einen Denial of Service Angriff qualifiziert: ein Spaßvogel kann in kürzester Zeit sämtliche User sperren, und deine Umfrage scheitert.

Glaub mir, ich habe Sachverständnis, und rede nicht von Luftschlössern, sondern völlig normale und weltweit vereinbarte Mindestsicherheitsstandards. Jeder Versuch, diese Mindeststandards zu umgehen, wird scheitern. Du darfst dich gerne daran versuchen, einen anderen Weg zu gehen. Aber denke jede deiner Maßnahmen wirklich zu Ende, das haben viel mehr Leute vor uns bereits getan.

Ansonsten schließe ich mich pérvasion an, dass die ideologische Schadensfreude ihren Beigeschmack behält, und ich mit der STF-Aktion wenig Freude habe.

Und da stimme ich auch beiden doch genauso zu.
Einen lieben Gruß

Christoph

Ich mische mich redaktionell nicht ein, nur der Autor des Artikels entscheidet aus meiner Sicht wie er/sie es bringt und mit welchem Aufreißer.

Diese Haltung ist vollkommen in Ordnung. Ich mische mich übrigens auch nicht ein, was Gabriele Di Luca oder die Tageszeitung dürfen, aber ich bewerte es.

Der Satz ”Quindi tutto questo tam tam mi sembra alquanto ideologico («sono contrario all’autodeterminazione, quindi mi attacco a qualsiasi appiglio»)” ist bei mir falsch.

Er war auf Gabriele bezogen und wie das ausgeschlachtet wird — auf dich schon deshalb nicht, weil ich deine »ideologische Einstellung« gar nicht kenne.

Im Grunde sollte uns alle traurig stimmen, wie mit einem Recht, das allen Südtirolern gehört, umgegangen wird und nicht die Schadenfreude überwiegen, dass die STF gegebenenfalls mit ihrem Versuch scheitert. Das vermisse ich in der öffentlichen Debatte und das macht den beteiligten Akteuren auf beiden Seiten keine Ehre.

Christoph, in diesem Kontext ist ein DoS ein Availability-Problem und kein Security-Problem. Bei entsprechender Attacke wäre weitere Online-Abstimmung gesperrt, aber keine der eingegangenen Stimmen ungültig oder falsch und die betroffenen User müssten sich künftig halt physisch zur Abstimmung bewegen. Somit wäre das Online-Voting zwar ab dem Zeitpunkt vermasselt, die Abstimmung aber nach wie vor gültig. Die Stimmdetails aller Wähler einer Gemeinde zu bekommen, mag jemand ja noch gelingen, aber alle Wähler aller Gemeinden? Da würde jemand meinen Respekt verdienen!
Wie auch immer, Du kannst das System als unprofessionell qualifizieren, aber nicht als ungültig, wenigstens nicht solange die implementierten Sicherheitsbarrieren weder bekanntgegeben noch erhackt worden sind. Ich will ja keine Freaks auf dumme Gedanken bringen…, da sorgt STF wohl besser selber für Transparenz.

Abseits der Diskussion um die Sicherheit des STF-Portals würde mich noch interessieren, Christoph, wie es möglich war, dass ich bei der Grünen-Vorwahl versehentlich zwei Vorzugsstimmen für dieselbe Person abgegeben habe, ohne eine Fehlermeldung zu bekommen.

gruber, nachdem ich annehme, dass Herr Thaler schon für sich selbst abgestimmt hat, verstehe ich den Sinn deiner bahnbrechenden Entdeckung nicht. Es sei denn man kann zweimal als dieselbe Person abstimmen?

Da bin ich vollkommen deiner Meinung. Traurig finde ich nur die Tatsache dass die STF bei dieser wichtigen Aufgabe alleine gelassen bzw sogar behindert wird von Parteien die eigentlich die gleichen Ziele haben.

Non credo per me possa valere il principio “sono contrario all’autodeterminazione, quindi mi aggrappo a ogni appiglio”. Diciamo che sono contrario a un’idea e a una pratica dell’autodeterminazione impostata secondo la visione delle cose di Süd-Tiroler Freiheit. E ovviamente sono contrario all’uso dell’istituto referendario (si fa per dire) se organizzato in questo modo pedestre. Definirlo una truffa o una bufala a me pare sinceramente il minimo.

@pervasion:
Wenn’s her Thaler nicht gemacht hätte, hätt eben ich das für ihn erledigt. Das einzige, was mich daran gehindert hat ist, dass er vor mir abgestimmt hat. Das spricht doch Bände in Bezug auf die Authentifizierungsmechanismen dieser online-Wahl.

Es geht um den fahrlässigen Umgang mit Daten und um die Missachtung von Sicherheitsstandards.

– Man scannt nicht seinen Ausweis ein und stellt ihn online. Nicht umsonst gibt es einen Max Mustermann und einen John Doe. Und wenn man schon Textstellen unkenntlich macht dann bitte nicht so, dass die Buchstaben mit ein paar Bildbearbeitungskniffen lesbar werden.

– Das Wahlsystem ist ähnlich schlecht gemacht. Deshalb hab ich diese “bahnbrechende Entdeckung” -wie du es nennst- gepostet. Christoph Moar hat das ja bereits ausgeführt. Das System ist für eine Bruteforce Attacke sehr einladend, weil ungeschützt.
Die Sicherheitslücken sind so evident, dass man sie gar nicht bekanntgeben muss. Die liegen quasi auf der Straße. Bitte sehr, das verstehe wer will:

https://vote.selbstbestimmung.com/registry/login/personal;jsessionid=SESSIONID?FLAG-1.IFormSubmitListener-formPersonal&login=x&personalLogin:lastname=Thaler&personalLogin:firstname=Werner&personalLogin:bDay=15&personalLogin:bMonth=03&personalLogin:bYear=1979&personalLogin:bNR=468

Die SESSIONID steht im html-Header. FLAG wird bei jedem Seitenaufrauf inkrementiert Standardmäßig auf 0. Damit ist jeder, dessen Name und Geburtsdatum öffentlich sind, ein potenzieller Wähler dazu zähen z.B. sämtliche Lehrkräfte:
http://www.provinz.bz.it/schulamt/download/defBewertungsrangordnungKlassenlehrer.pdf

Ich hör jetzt schon die Opferrollenrhetorik … diese bösen Menschen …

Drei Richtigstellungen bzw. Beantwortungen sind nötig:

@bzler
1)

Christoph, in diesem Kontext ist ein DoS ein Availability-Problem und kein Security-Problem. Bei entsprechender Attacke wäre weitere Online-Abstimmung gesperrt, aber keine der eingegangenen Stimmen ungültig oder falsch und die betroffenen User müssten sich künftig halt physisch zur Abstimmung bewegen. Somit wäre das Online-Voting zwar ab dem Zeitpunkt vermasselt, die Abstimmung aber nach wie vor gültig.

Nein, da verkennst du leider das Wesen einer demokratischen Wahl. Ich wiederhole mich, es hilft, jede Maßnahme auf seine Auswirkungen zu Ende zu denken, nur dann erkennt man ob man nur “vermeintlich” sicher ist oder wirklich.

Eine Wahl, lieber bzler, hat drei wesentliche Eigenschaften, ich glaube das schrieb ich bereits:

#1 Sie ist geheim.
#2 Jede(r) Wähler(in) darf teilnehmen und jede(r) hat Stimme wird gezählt.
#3 Jede(r) hat genau eine Stimme.

Wenn du also naiv jeden sperrst, der dreimal sich einzuloggen versuchst, dann hast du dir eine scheunentorweite Angriffsfläche für DoS eingebrockt. Warum das ein Security Problem, kein Availability Problem ist? Nun, ganz einfach. Ich möchte wählen, jemand anderes hat aber mein Account gesperrt. Damit hast du soeben Regel #2 gebrochen: ich darf nicht mehr wählen, obwohl ich das möchte. Der Verweis auf Offline-Wahl hinkt: ich bin zufällig im Ausland und bin meiner Wahlmöglichkeit beraubt. Du hast quasi postuliert, dass wer “offline” wählt mehr Rechte hat als wer “online” wählt.

2)

Die Stimmdetails aller Wähler einer Gemeinde zu bekommen, mag jemand ja noch gelingen, aber alle Wähler aller Gemeinden? Da würde jemand meinen Respekt verdienen!

Huch, dann danke für deinen Respekt. Ich empfehle dir den Südtiroler Gemeindeverband aufzusuchen, dort einen Antrag stellen, Kopie deines Ausweises und schon hast du die Daten aller Südtiroler (mit Ausnahme der Gemeinden Bozen, St. Ulrich, Innichen und Moos i.P.). Dauert keine 5 Minuten und steht jedem frei. Warum so unglaubwürdig? Ich erfinde hier nichts, lieber bzler. Das System ist tatsächlich so einfach zu brechen, da geht es nicht um Interpretationsspielraum.

Und übrigens, ich finde deine Argumentation fatal, es wäre “nicht schlimm” wenn jemand sich auch nur die Daten von 10 Leuten aus seiner eigenen Gemeinde besorgt. Auch nur eine einzige ungültige/gefälschte Stimme ist demokratisch gesehen katastrophal. Es geht nicht um die Menge, wenngleich hier verschärfend dazukommt dass sogar 400.000 Datensätze problemlos und legal zu erhalten sind.

“Wie auch immer, Du kannst das System als unprofessionell qualifizieren, aber nicht als ungültig, wenigstens nicht solange die implementierten Sicherheitsbarrieren weder bekanntgegeben noch erhackt worden sind. Ich will ja keine Freaks auf dumme Gedanken bringen…, da sorgt STF wohl besser selber für Transparenz.”

Eine Wahl, die eines oder mehrere der oben genannten Kriterien #1, #2, #3 ist nach internationalen Standards nicht unprofessionell, sondern tatsächlich ungültig. Deine Resilienz darin, dies einzugestehen, ist aus meiner Sicht unverständlich.

@pervasion
3)

Abseits der Diskussion um die Sicherheit des STF-Portals würde mich noch interessieren, Christoph, wie es möglich war, dass ich bei der Grünen-Vorwahl versehentlich zwei Vorzugsstimmen für dieselbe Person abgegeben habe, ohne eine Fehlermeldung zu bekommen.

Das kann ich dir leider nicht (mehr) beantworten, weil ich keinen Zugang zum System und zu den Daten habe. Damit auch keine Missverständnisse entstehen: ich habe das System der Grünen nur technisch spezifiziert. Weder bei Implementierung, noch bei Test oder Abnahme war ich beteiligt, und das ist auch gut so, da ich Teilnehmer an der Vorwahl selbst war.

Die Prüfung darin, dass man 2, 3 oder 4 Vorzugssstimmen abgab, und dass diese Gendergerecht aufgeteilt waren, war Teil der technischen Spezifikation und ist natürlich auch programmiert worden. Wenn tatsächlich das passiert ist, was du beschreibst, dann hast du einen Programmierfehler gefunden, der in der – ganz offen gesagt zu kurzen – Testphase nicht entdeckt wurde.

Der Programmierfehler kann verschiedene Ausprägungen gehabt haben, die ich dir aber nicht nachprüfen kann:

– der javascript Code, der die Prüfung “interaktiv” vornimmt, um sie dir auch gleich anzuzeigen, war fehlerhaft und hat dir diesen konkreten Fall nicht gemeldet.
– der dahinterliegende (server-seitige) Code, der diese Prüfung auch vornimmt, kann ebenfalls davon betroffen gewesen sein oder auch nicht.

Sprich: es ist falsch, dass du nicht darauf hingewiesen wurdest. Es besteht die Möglichkeit, dass du trotzdem nur eine Stimme abgegeben hast, da serverseitig die Prüfung nochmal implementiert wird. Es besteht natürlich auch die Möglichkeit, dass der Programmierer zwei Fehler gemacht hat und sowohl die Javascript Prüfung, als auch die serverseitige Prüfung Fehler hatte und du zwei Stimmen abgegeben hast. Ich kenne Murphy, und damit schließe ich sogar letzteres nicht mit Sicherheit aus.

Nota bene:

es besteht ein wesentlicher Unterschied, ob ein Sytem “unsicher designed” oder “unsicher programmiert” wird. Designfehler, wie beim System der STF, können nicht mehr behoben werden. Deswegen ist es (auch mein) Job, Systeme sicher zu spezifizieren.
Programmierfehler (bugs) sind hingegen an der Tagesordnung. Diese können behoben werden, sobald sie entdeckt und kommuniziert werden. Auf die Wichtigkeit einer ausführlichen Testphase brauche ich nicht hinzuweisen.

Ich werde manchmal beruflich zu Rate gezogen, wenn einem Unternehmen ein Server gehackt oder missbraucht wird. Dies sowohl als Berater als auch als Gutachter. Die erste Direktive, um weiteren Schaden und Imageverlust abzuwenden, ist in diesem Fall immer die gleiche:

– System sofort abschalten und alle Kunden/User informieren, dass die Sache professionell bereinigt wird, gesichert wird, von unabhängigen Dienstleistern getestet wird und erst nach Ausstellung einer Unbedenklichkeitserklärung (zum Beispiel durch den TÜV-Cert) wieder in Betrieb genommen wird.

– So wirkt man Vertrauensverlust entgegen. Wer sich, wie die STF oder bzler, sich windet und mit vermeintlichen Argumenten versucht, das System irgendwie zu retten, eskaliert das Problem nur noch weiter.

einen lieben Gruß
Christoph

@m.gruber: Zahlendreher im Link ;-) 486 nicht 468. Im Ernst: wir sprechen hier immer von “Sicherheitslücken” und meinen damit einmal Privacy, einmal Denial of Service Robustheit und einmal echte Wahlfälschung. Übrigens, wenn jemand einen Brute-Force programmieren will, kleiner Hinweis: meine Aktennummer ist vierstellig, also nicht 00-99, sondern 0-9999 als Zahlenbereich für die Laufvariable setzen. Ich habe mir aber noch nie Gedanken darüber gemacht, wie leicht oder schwierig es ist an die Aktennummer meiner Identitätskarte heranzukommen. Eigentlich will heutzutage ja jeder eine Kopie des Ausweises mit den Unterlagen abheften. Im Sinne einer möglichen Wahlfälschung würde ich mir da mehr Sorgen machen als über eine Brute-Force-Attacke, denn der Teil ist von der im Auftrag arbeitenden, deutschen Firma wohl am schwersten einzuschätzen (gewesen).

@Christoph. Auf die Gefahr hin, dass ich jetzt irgendwann tatsächlich noch “Nerd”-ig wirke, finde ich doch, dass die Präzisierung des Sachverhaltes die etwas leidige Diskussion wert ist. Ich dachte, es handle sich um ein “Befragung” und nicht um eine “Wahl”. Ob diese per Definition geheim zu sein hat, um gültig zu sein, entzieht sich meiner juridischen Kenntnis. Meine geleistete Unterschrift zur direkten Demokratie kann jeder “offline” einsehen. Ich übergebe den Juristen. Ob man ein Recht auf online hat, oder ob das nur ein freiwilliger Zusatzservice ist, lasse ich auch andere bewerten. Die Gefahr, dass jemand mehrere Stimmen abgegeben könnte, habe ich bis dato noch nicht geortet. So und jetzt denke ich, ist alles gesagt. Wenn Du jetzt Deine “Anklage” neu formulierst, könnte ich hochwahrscheinlich komplett beipflichten. Mein Bestreben ist es nämlich nicht, “mich zu winden und das System mit vermeintlichen Argumenten zu retten”, sondern die Vorwürfe sachlich präzise formuliert zu bekommen.

Und weil es lustig ist und gerade am Silbertablett kommt: Zweigleisigkeit bei Datenüberprüfung, also redundante clientseitige Javascripts und serverseitige Scripts, ist wegen Browser-Abhängigkeit und hochwahrscheinlicher Inkonsitenz heute sicher auch nicht mehr State of the Art, aber lassen wir das.

Ach bzler, ich lasse es tatsächlich. Deine Fachkompetenz, die du durchscheinen lässt, ist wäre mir mit etwas mehr Sachkenntnis und gar mit Klarnamen viel lieber. Es sei dir versichert, die Zweigleisigkeit, die du vermuten willst, ist absolut State of the Art: ich finde es betrüblich wie du mit falscher Sicherheit Thesen aufstellst.

Clientseitige Validierung ist stets ein reines Komfortmerkmal für den User. Die einzig richtige Validierung ist aber die serverseitige, denn nur dort muss auf die Korrektheit der Daten geprüft werden. Clientseitige Validierung ist damit ein “optional”, das du auch mit einem einfachen disablen deines Javascript Interpreters deaktivieren kannst. Die serverseitige Überprüfung kannst du nicht deaktivieren.

Dass die System so gebaut sind, dass die clientseitige Validierung möglicherweise anhand der serverseitigen automatisch generiert wird (RubyOnRails oder GroovyOnGrails sind da excellente Beispiele) brauchen wir dem nicht-technischen Publikum doch nicht zu erklären.

Du brauchst auch nicht den Juristen zu übergeben, du musst nur einmal scharf nachdenken warum wir hier so pedantisch diskutieren: die politische Aussage, die die STF anhand dieses “Selbstverwalteten Referendums” (O-Ton STF) ausdrücken will, ist eben sehr stark. Und wer eine starke Aussage machen will, und sich damit auch des Mittels des “Referendums” bedient (auch wenn es keiner ist), der muss auch die Wahlregeln einhalten, die für ein Referendum gelten. Ich empfehle dir die Lektüre der Mindestanforderungen an Wahlen der UN.

Ob man ein Recht auf online hat, oder ob das nur ein freiwilliger Zusatzservice ist, lasse ich auch andere bewerten.

Nein, bewerte es ruhig selbst. Wenn ich diesen Dienst anbiete, später aber entferne, dann habe ich einige User gegenüber anderen priviliegiert. Das widerspricht dem Prinzip der freien Wahlen: jede(r) BürgerIn hat dieselben Zugangsvoraussetzungen zum Wahlsystem zu erhalten. In dem Moment, wo einige das nicht (mehr) haben, ist dieses Prinzip widersprochen.

Die Gefahr, dass jemand mehrere Stimmen abgegeben könnte, habe ich bis dato noch nicht geortet.

Dann kann ich dir tatsächlich nicht mehr helfen. Du gehst in die Gemeinde, lässt dir die Daten von 10 Personen geben und wählst für diese Personen. Und du willst die Gefahr nicht geortet haben, dass hier jemand mehrere Stimmen abgeben könnte? Das ist jetzt süß.

sondern die Vorwürfe sachlich präzise formuliert zu bekommen

Empfehle dir, in aller Güte, meine Kommentare zu lesen und sie auch technisch zu verstehen. Präziser formulieren scheint mir nicht möglich. Möglicherweise gehts hier aber gar nicht mehr darum, etwas präziser zu formulieren und fachlich zu verstehen. Es geht eher um Glauben und Glauben wollen. Und damit befinden wir uns im Themengebiet der Religion, da klinke ich mich lieber aus.

Einen lieben Gruß
Christoph

Christoph, nachdem wir uns scheinbar nicht leicht einigen können, lass mich wenigstens die einfachen Missverständnisse ausräumen: Ich meinte (so wie Du wohl in Deinem Punkt 3 auch), dass unter einem User Namen nur eine Stimme abgegeben werden kann. Sonst hätte jetzt wohl mehrere mit Herrn Thalers Daten fleissig weitergestimmt.
Beim Rest mag ich mich täuschen, werden schon alle Leser verstanden haben, was denn jetzt der STF vorgeworfen werden kann und was eben nicht. Also verbleib ich auch mit liebem Gruß und mit einem gesunden Grad an Selbstunsicherheit, dass auch ich derjenige sein könnte, der das Maß der Dinge verkennt.

Abseits der Diskussion um die Sicherheit des STF-Portals würde mich noch interessieren, Christoph, wie es möglich war, dass ich bei der Grünen-Vorwahl versehentlich zwei Vorzugsstimmen für dieselbe Person abgegeben habe, ohne eine Fehlermeldung zu bekommen.

Nach dem medialen Aufreger von Seiten der Grünen würde mich doch interessieren, was Christoph Moar zu den von pèrvasion angebrachten Mängel bei der Vorwahl der Grünen sagt. Bekommt man hier eine Antwort?

Wer lesen kann, lieber succus, ist klar im Vorteil. Die von dir gewünschte Antwort habe ich schon längst gegeben. Siehe meinen Post vom 5. Setëmber 2013 a les 10:18.

Falls es das Herz beruhigt, einen Fehler an einem anderen System gefunden zu haben, dann wirst du über meine unverblümt ehrliche und nichts verheimlichende Antwort dich freuen.

Falls du dir die Mühe nimmst, den Unterschied zwischen “Designfehler” und “Programmierfehler” zu verfolgen, dann wirst du erkennen, dass das System der STF nicht “flickbar” ist, weil konzeptionell falsch. Das System der Grünen hatte einen Programmierfehler, der ist behebbar in dem Moment wo man davon in Kenntnis kommt.

Nochmal, einen lieben Gruß an alle.

Jedenfalls sehe ich wie bzler einen signifikanten Unterschied zwischen der Sicherheitslücke und dem DoS-Risiko — zumindest falls zweiteres nicht eintritt, kann der Promotor der Befragung doch erkennen, dass die Daten weitgehend »sauber« sind!?

Deine bei Salto vorgebrachte Kritik am Vorgehen (falls jemand per Wahlkarte und online abgestimmt hat, wird nur die Wahlkarte gezählt) verstehe ich auch nicht: Das kann problematisch sein, muss es aber nicht, je nachdem, wie das verfahrenstechnisch gelöst wurde.

Wir sollten uns echt mal beim Bier treffen, ich tu mich schwer euch schriftlich zu überzeugen. Nimm dir die Zeit, wenn du magst, nachzulesen wie elektronische Wahlmaschinen funktionieren. Wenn du die drei von mir genannten Kriterien #1, #2, #3 einhalten willst, dann kannst du nicht eine Stimme so abspeichern, dass du auf den Stimmgeber zurückschließen kannst. Die Wahl ist damit nicht mehr geheim.

Es gibt Lösungen für dieses Problem, und die gehen, wie sie auch Patrick Ohnewein heute Mittag im RAI Magazin angesprochen hat, in Richtung Kryptographie. Du hast damit einen kryptographischen “Beleg”, dass deine Stimme gezählt wurde, kannst es sogar nachprüfen weil jede einzelne Stimme anonym publiziert wird, du kannst aber nicht von der Stimme auf den Menschen zurückschließen.

Beim System der STF ist genau dies nicht gegeben. Wenn jede Stimme, sowohl online wie offline, mit dem Wahlausweis verknüpft ist, hast du eklatant gegen das Prinzip der “die Wahl ist geheim” verstoßen. Oder hast du bei irgendeiner Wahl etwa bemerkt, dass auf deinen Wahlzettel dein Name oder Wahlausweisnummer draufsteht? Nein, oder? Die Mindestanforderungen an Wahlen der UN sehen dies auch vor, und es sollte auch selbstverständlich sein.

Wenn du dich im System der STF einloggst, dann wirst du irgendwann den Hinweis kriegen “sie verlassen jetzt den nominellen Bereich, ab jetzt wird Ihre Wahl anonym und ohne Rückschlüsse auf ihre person gespeichert”. Bullshit, also, wenn sie in der Lage sind später meine Stimme wieder herauszufischen, weil ich online + offline gewählt habe.

Je länger diese Geschichte geht, desto blauäugiger wird das Ganze. Damit die Frage nicht gestellt wird: bei den Vorwahlen der Grünen wurde dir im Wahllokal kein Wahlzettel ausgehändigt, wenn du bereits Online gewählt hattest. Alle Wahllokale waren direkt ans Internet angebunden. Umgekehrt, in dem Moment wo man dir einen Wahlzettel in die Hand gedrückt hat, wurde dein Online Account gesperrt.

So macht man das. Alles andere wird den Grundregeln einer Wahl nicht gerecht.

lg
Christoph

Übrigens: Welche Sicherheit der Anonymität und der korrekten Zählung habe ich denn bei einer repräsentativen Telefonumfrage durch ein Meinungsforschungsinstitut? Im Grunde muss ich auch dort darauf vertrauen, dass sie meine Telefonnummer keinem Namen zuordnen und dass sie meine Antworten korrekt verbuchen. Darüberhinaus könnte auch jemand befragt werden, der eigentlich gar nicht wahlberechtigt ist.

Trotzdem wird auch mit solchen Repräsentativumfragen häufig Politik gemacht.

Noch was zu deiner Unterscheidung zwischen Design- und Programmierungsfehler: Was ist, wenn der Programmierungsfehler — der ja theoretisch behoben werden kann, wenn er entdeckt wird — unbemerkt bleibt? Nachdem ich zwei Vorzugsstimmen für dieselbe Person abgeben konnte, hätte ich meinen gesamten Bekanntenkreis darauf aufmerksam machen und zur missbräuchlichen Stimmabgabe animieren können — immerhin hätte dann jeder doppelt soviele Präferenzen für den eigenen Lieblingskandidaten abgeben können, wie ein »normaler« Wähler.

Oder hast du bei irgendeiner Wahl etwa bemerkt, dass auf deinen Wahlzettel dein Name oder Wahlausweisnummer draufsteht? Nein, oder?

Doch, zumindest offline ist das so — bei einer Briefwahl. Meines Wissens, lasse mich gern eines Besseren belehren, gibt man in der Schweiz bei einer Briefwahl den Wahlzettel und ein unterschriebenes Blatt in ein Kouvert. Ok, der Wahlzettel ist nochmal in einem zweiten Kouvert und wird dann anonym gezählt, doch wer sagt mir, dass da kein Schindluder betrieben wird? Und zweitens: Wer sagt dir, dass auch bei der STF nicht die Nummer (auf dem Kouvert) und die Stimme (im Kouvert) gesondert überprüft werden?

Möchte hinzufügen, dass es mir fernliegt, die STF zu verteidigen. Mir geht es darum, besser zu verstehen, ob und was schiefläuft.

Yup, wie du siehst, “ok… der wahlzettel ist nochmal…”. Genau das ist der Punkt. Ich kenne Briefwahlen, ich habe an solchen teilgenommen.

Wer mir sagt, dass es nicht gesondert überprüft wird? Ha, ich rede doch nicht vom Kuvert, lieber pervasion, der Knackpunkt ist der Online Mist. Wenn ich eine Online Stimme “löschen” kann, weil ich merke dass jemand ein Kuvert mit der gleichen Nummer abgegeben hat, dann ist die Online Stimme *unweigerlich* mit der Nummer verknüpft.

Das ist das k.o. Kriterium, denk das zu Ende. Ich würde euch gerne helfen, zu verstehen, es ist bloss unendlich schwer diese Skepsis zu überwinden, die ihr an den Tag legt. Dabei, das möchte ich ganz deutlich sagen, habe ich das, wovon ich hier schreibe, studiert und verstehe es sogar auf einer technischen Ebene. Aber egal wie sehr ich mich bemühe, das kommt wohl nicht rüber. Vielleicht braucht es ein Bier, oder wir lassen das einfach, ich muss den Versuch wohl abbrechen. Lest auf Wikipedia ruhig weiter (wenn ihr der vertraut, ist ja auch so ein offenes Ding), ihr findet dort alles Wesentliche zu Anforderungen an Wahlmaschinen. Wenn ihr dann konkrete technische Fragen habe, komme ich gerne zu einer Antwort.

lg!

Sorry, du hattest zwei Fragen, hier die zweite:

Jedenfalls sehe ich wie bzler einen signifikanten Unterschied zwischen der Sicherheitslücke und dem DoS-Risiko — zumindest falls zweiteres nicht eintritt, kann der Promotor der Befragung doch erkennen, dass die Daten weitgehend »sauber« sind!?

Klar kannst du das. Du kannst aber ein Leck im System (Missbrauchmöglichkeit durch Ausprobieren von Zugangsdaten) nicht dadurch abfangen, dass du (wie bei einer Bankomatkarte) den Zugang sperrst. Wenn du das tust, hast du eine andere Angriffsfläche eröffnet: nämlich die, dass ein jeder den Zugang eines anderen blockieren kannst. Und auch das ist keine freie Wahl mehr, denn jeder sollte die gleichem Möglichkeiten haben, abzustimmen. Wenn ich fünf vor Schluss der Wahl meine Stimme abgeben möchte, und ich kann nicht, weil du mich blockiert hast, so wurde ich meines demokratischen Rechts an Teilnahem verhindert.

Wieso man so penetrant versucht, das System zu entschuldigen ist mir schleierhaft. Ich verfolge das gleiche Prinzip das im Eingangsartikel genannt ist: die Methodik dieser Umfrage ist daneben, für so ein wichtiges Thema wurde der Sache ein Bärendienst geleistet. Und es nützt nichts, nach Abkürzungen und Ausreden zu suchen: schaut euch um, beobachtet die vielen Webdienste, die ihr täglich nutzt, und versteht, warum bestimmte Dinge auf bestimmte Weise gelöst sind. Rede mit Patrick Ohnewein, liest dir die technischen Grundlagen von Wahlmaschinen, vielleicht kommst du irgendwann zur Erkenntnis dass ich hier Sachkenntnis gepostet habe. Es gibt Konsens darüber, wie man Probleme löst, und mir scheint hier wird versucht herauszufinden, dass es auch ohne geht. Da werden sich dann wohl alle Ingenieure dieser Welt geirrt haben, wenn sie es “richtig” gemacht haben, wenn es, laut euch, auch anders geht.

lg
christoph

Noch was zu deiner Unterscheidung zwischen Design- und Programmierungsfehler: Was ist, wenn der Programmierungsfehler — der ja theoretisch behoben werden kann, wenn er entdeckt wird — unbemerkt bleibt?

Du sagst es selbst. Eines der beiden kann gefixt werden. Das andere nicht. Beides ist furchtbar schlimm. Trotzdem gibt es diese Kategorien. Kein Mensch arbeitet fehlerfrei. Und doch hat der Rechenfehler in der Statik eines Wolkenkratzers, der dazu führt dass das Haus einstürzt, eine rechtlich völlig andere Dimension als der Fehler eines Bauarbeiters, der zuwenig Eissen in die Stahlbetonsäule legt. Ingenieursunterscheidung, halt.

Zu den Repräsentativumfragen: tja, ich habe nie was anderes behauptet. Wer aber Referendum sich auf die Fahnen schreibt, sollte auch die Anforderungen eines Referndums (einer geheimen Wahl) verstehen. Die Anforderungen an Umfragen sind andere.

lg

Christoph, mit welcher Rechtfertigung unterstellst Du, dass online und offline Stimmen in “plain text” verglichen werden? Ein simpler, eindeutiger Hash katapultiert das von Dir unterstellte Problem aus der Welt. Mir liegt es fern, die STFler zu verteidigen, aber dieser ständige Grundverdacht, dass alles, was die angreifen, von Vollidiotie zeugen würde, ist gegen jedes “Unschuldsvermutungsprinzip” und schwächt die Position des Anklägers (vielleicht mehr, als mir lieb ist).

Bzler, ich steige aus. Studier dir in Ruhe, was ich geschrieben habe, denke zu Ende bevor du was schreibst oder triff dich mit mir, mit Klarnamen und bei einem Bier, dann versuche ich ein letztes Mal dir zu erläutern, was hier absurderweise solange verneint wird, bis die Balken brechen.

Wenn du in der Lage bist, beim Abgleich der Offline Wahlkarten mit den Online Wahlkarten “meine” Online Wahlstimme zu identifizieren und rauszufischen, dann hast du eine Zuordnung. Du kannst Hashsummen haben, du kannst sie verschlüsseln, verheimlichen, verdrehen und sonstwas damit tun. Du hast eine Zuordnung, völlig egal wie sie sich darstellt. Und diese Zuordnung erlaubt es dir, das Kuvert von Christoph Moar in die Hand zu nehmen, und die Online Stimme zu finden, die ebenfalls Christoph Moar gehört. Aus.

Ich rede nicht von Vollidiotie, das Wort hast du in den Mund genommen. Ich bin sets höflich und korrekt geblieben, und mit fundierter Sachkenntnis beweise ich dir Probleme. Du hoffst darauf, dass es nicht so ist, das nützt aber leider nichts. Sicherheit entsteht nicht durch Glauben, Sicherheit entsteht durch Nachdenken, und du versuchst ein System zu reparieren, das nicht reparierbar ist.

herzliche Grüße
Christoph

Ich würde wahnsinnig gerne mit euch 3 ein oder auch mehrere Biere trinken gehen, um da besser durchzublicken, habe mich jetzt hier durchgelesen, leider nicht alles verstanden, aber trotzdem scheint mir die Argumentation von Christoph sehr einleuchtend. Aber bei einem Bier würde das sicher noch besser rüberkommen

Ich fasse mal ein wenig zusammen:

  1. Wie Christoph sagt ist das, was die STF macht, kein Referendum — es hat nur den Wert einer Umfrage. Ich glaube aber, dass jedem bewusst ist/war, dass ein selbstverwaltetes Referendum nicht den Wert einer amtlichen Befragung hat. Dafür gibt es einfach (Sicherheitslücke im Portal hin oder her) zu viele Manipulationsmöglichkeiten. Aber meines Wissens hat selbst die STF auch stets von einem Willensbildungsprozess gesprochen.
  2. Bei den selbstverwalteten Offline-Referenda auf grün-linker Seite (etwa gegen die Ried-Piste) hat es mit großer Wahrscheinlichkeit genauso große Sicherheitslücken gegeben, schon nur deshalb, weil sie von einer »interessierten Seite« abgehalten wurden. Allerdings haben sich die Medien nicht wie die Aasgeier darauf gestürzt; es war jedem klar, dass es sich um eine politische und um keine juristisch hieb- und stichfeste Aktion war. Grundtenor der Berichterstattung war damals eher, dass es sich um eine Sternstunde der Partizipation gehandelt hatte. Allein schon wegen dieser Ungleichbehandlung halte ich die jetzige Kritik für (vorwiegend) ideologisch.
  3. Die Unterscheidung zwischen Designfehler und Programmierfehler halte ich in diesem Fall für eine akademische Spitzfindigkeit. Ich stelle nicht infrage, dass diese Unterscheidung existiert und aus rechtlicher bzw. technischer Sicht ihre Bedeutung hat. De facto (!) können aber ein theoretisch behebbarer, aber nicht tatsächlich behobener Programmierfehler und ein Designfehler ähnliche Auswirkungen haben.
  4. Die Unterscheidung zwischen Sicherheitslücke und Gefahr eines DoS ist hingegen signifikant: Während ein Missbrauch aufgrund einer Sicherheitslücke höchstwahrscheinlich unerkannt bleibt und zu einer Fälschung des Ergebnisses führt, kann eine DoS-Attacke erkannt werden. Findet sie nicht statt, kann das Ergebnis als einigermaßen »sauber« eingestuft werden; nur falls sie tatsächlich stattfindet hat man ein Problem, man weiß es aber und kann die Abstimmung nachträglich für ungültig erklären.

Die kritische Hinterleuchtung des Sachverhalts müsste man sich eigentlich von Profijournalisten erwarten, doch offenbar ziehen die es vor, schnell eine reißerische Schlagzeile rauszuposaunen.

(Achja: Bestellt jemand schon mal ein Bier für Jonny!)

Già . Le famose aspettative di pérvasion. Giornalismo critico e sempre informato. E magari pure lettissimo (notoriamente gli articoli migliori e più accurati sono quelli più letti, secondo il modello della Bild Zeitung). Ma non basta. Ci vorrebbero anche dei blogger che magari non fanno per hobby gli architetti, oppure degli indipendentisti che sappiano almeno organizzare una “consultazione online”. Invece ci ritroviamo tutti qui. Miserabili tra miserabili. Siamo una provincia sfigata.

Beh, penso che se tu non riesci a cogliere la differenza tra la Bild e Salto il problema non è certo mio. ;)

Autsch. Morgen Abend geht schlecht. Wer aber in Brixen etwas über das “bedingungslose Grundeinkommen” hören möchte, da bin ich auch im Publikum dabei. Und sonst im Ernst: dieser Thread hier war mir zu langsam. Ich teile nur einen Teil der Zusammenfassung von pervasion, staune dass wieder ein ganz neuer Punkt b) dazukommt, staune dass mir erneut eine Ideologische Kritik unterstellt wird, und weise die akademische Spitzfindigkeit zurück. Aber hey, lasst uns alle mit den Schultern zucken und belasse wir es bei dieser Einschätzung. Gehen wir in uns, und prüfen wir auf welcher Basis ihr diese Ideologie in meinen Ausführungen zu erkennen glaubt. Ein Bier, warum nicht, wird sich sicher ausgehen, da muss man weniger schreiben. Und Klausen hat, in maßvoll genossen, ein gutes Bier.

Nun ist die Seite off line. Dem Christoph meinen aufrichtigen Respekt für diesen Erfolg, der bestimmt die Internetkultur in diesem Land positiv beeinflussen wird. Wenn uns jetzt ein “eigener Wahlschlüssel-Code” per Post ins Haus flattert, wollen wir hoffen, dass er mindestens 128 Bit breit ist, oder ob wir bei der gleichen Brute Force Diskussion weitermachen werden. Na ja, bei der verbleibenden Zeit zum Wählen, kann vielleicht auch auf das eine oder andere Bit verzichtet werden.

Also was erwarten wir?
1) einen persönlichen 128-bit Code
2) captcha bei der Eingabe
3) ordentlich verschlüsselte Übertragung und kein Klartext https
4) eine saubere Lösung zum Abgleich mit offline Wahlsysteme, wobei ich mit Hashs glücklich wäre, Christoph aber wohl noch nicht. Also was ist der Vorschlag?
BTW. Bier. Gerne ein anderes Mal, bin beruflich unterwegs.

PS. Ich meinte, wo liegt die unterste Messlatte, bin da (noch)nicht auf der Suche nach dem optimalen System.

@bzler:
128-bit Code, Klartext-HTTPS?
Aber hey, du bist ja auch der Meinung Javascript ist wegen Browser-Abhängigkeit und hochwahrscheinlicher Inkonsitenz heute nicht mehr State of the Art.

Da du mich um kurz nach 3 Uhr Morgens so köstlich unterhälst, will ich dir das mal erklären.

*128-bit Code:
Mit 128-bit Code meinst du wahrscheinlich eine 128-bit Verschlüsselung. Das bezieht sich aber auf die intern(!) generierten Block- und Schlüssellängen von Verschlüsselungsalgorithmen. 128-bit Verschlüsselung verwenden z.B.: AES, Twofish, RC6, usw. das hat aber nichts mit der Passwortlänge zu tun.
Wenn du mit 128-bit die Passwortlänge meinst, dann wären das ( 128/8=16 ) 16 Zeichen. Um ein Passwort aber halbwegs sicher zu machen reicht schon eine Kombination von Zahlen, Buchstaben und Sonderzeichen von 64-bit. Das sind 8 Zeichen. Du verwechselst da was.

*Klartext-HTTPS:
Es gibt kein Klartext-Https. Https ist ein Protokoll, dessen Daten mittels SSL, oder TLS verschlüsselt werden. Ich wiederhole mich: https sagt schon, dass da kein Klartext verschickt wird. Http überträgt Daten im Klartext.

*Javascript, Inkonsistenz und Browser-Abhängigkeit
… das war mal. Javascript ist Gegenwart und Zukunft.
WebGl, Html5, Javascript läuft u.U. auch Serverseitig, seit Firefox 23 ist die Menüfunktion um Javascript auszuschalten weg (nur mehr über about:config). WordPress, facebook, wikipedia haben JS standardmäßig integriert. Kein Multilevel-Dropdown funktioniert auf Touchscreens ohne JS.
Natürlich sollte jede ordentlich programmierte Website auch ohne JS laufen, das hat aber im seltensten Fall mit Inkonsistenz und Browser-Abhängigkeit zu tun, sondern mehr mit SEO, Barrierefreiheit, …

Danke, m.gruber, mit der Bitlänge waren meine Gedanken tatsächlich bei der Kryptographie und nicht bei Passwörtern. Einwand stattgegeben und danke. Also, was ist denn die empfohlenen PWD-Länge und Zeichenmenge, um einen Brute Force auf der STF Seite zu verhindern?
Nein, es gibt kein Klartext https-Protokoll, aber es gibt Klartext https (URL) Seitenaufrufe:
https://secureserver/script?mypassword=klartext
Du verstehst, was ich meine?
Ich hatte mich nie gegen JS ausgesprochen, sondern gegen die pseude-redundante Zweigleisigkeit von Sicherheitsüberprüfungen. Wenn Pèrvasion meldet, dass ihm das System keinen Fehler meldete, und Christoph argumentiert, dass wahrscheinlich das System (also das serverseitige Script) den Fehler erkannt hat, aber halt nur das clientseitige Javascript den User im Dunkeln gelassen hat, dann verstehst Du wohl, was ich meine: so programmiert man nicht! Wo immer es versucht wird, kommt es früher oder später zu Inkonsistenzen. Automatisch generierte JS schließen viele Fehlerquellen aus und vor allem beschränken sie sich meist auf Grundfunktionalität der JS-Syntax. Gegen so etwas will ich nicht poltern.

Heute geht leider gar nicht, muss für meinen Arbeitgeber beim Firmenlauf in Neumarkt die Ehre retten. leider.

Ich habe jetzt auch meine Wahlkarte erhalten.

Aus zwei Gründen kann ich sowohl das “Referendum” selbst als auch das Ergebnis nicht ernst nehmen:
1) Die Art und Weise der Fragestellung beeinflusst den Wähler, eine gewisse Antwort zu wählen. Das ist eine klassische Suggestivfrage.
2) Was soll der Blödsinn mit dem Gewinnspiel? Die Wähler sollen aus eigener Motivation zu einer Abstimmung gehen, aber die Wähler durch Sachgewinne an die Urne zu locken geht für mich gar nicht.

Natürlich ist die Fragestellung suggestiv!
Die STF hat auch nie verheimlicht, dass es sich um ein von ihrer Partei initiiertes Referendum handelt.

Blödes Gewinnspiel oder nicht – man muss da nicht mitmachen.

Stopp! Wenn man das Ergebnis ernst nehmen will, dann soll man das Referendum zumindest halbwegs professionell durchführen.
Übrig bleibt von dieser Aktion dann nur mehr ein plumpes Wahlkampfmanöver. Oder glaubt jemand tatsächlich, dass es Zufall ist, dass dieses “Referendum” kurz vor den Landtagswahlen stattfindet?

Nein! Es geht nicht darum, ob man am Gewinnspiel teilnimmt oder nicht, sondern darum, ob man durch solche Tricks versucht, Leute zum wählen zu bewegen, die ansonsten nicht gewählt hätten.
Solche Methoden kenne ich eigentlich nur aus autoritären oder totalitären Staat, wie z. B. Russland. Siehe http://www.russlandonline.ru/ruspec0003/morenews.php?iditem=664

Ich betone nochmals: die Südtiroler Freiheit kann tun und lassen was sie will. Wenn man das Ergebnis aber ernst nehmen will, dann soll das “Referendum” auch dementsprechend durchgeführt werden also ohne Suggestivfragen und Gewinnspiele.

Erstmal muss ich sagen, dass ich grad unabsichtlich statt einer negativen eine positive Bewertung zu phoenixblob’ s Kommentar abgegeben hab. Zweitens finde ich, dass das Referendum sehr wohl ernst zu nehmen ist, weil man hier in Südtirol das erste Mal die Möglichkeit hat, in einer freien Wahl (auch wenn keine Offizielle, denn die ist ja noch nicht gestattet) kundzutun, ob man für oder gegen die Ausübung des Selbstbestimmungsrechtes ist. Das alleine ist schon Grund genug, die Promotoren zu loben, egal ob es nun eine Partei, Vereinigung oder was auch immer ist.

Eine Partei loben, die durch verschiedene Tricks versucht, eine Abstimmung in ihrem Sinne zu beeinflussen? Nein, danke!

Mir ist das Instrument der direkten Demokratie zu wichtig, um es für solche Spielereien zu missbrauchen.

Das ist Wasser auf die Mühlen der SVP, um das im Jänner 2014 stattfindende Referendum zum Landesgesetz zur Direkten Demokratie zu torpedieren.

Leave a Reply

Your email address will not be published. Required fields are marked *