Wahlomaten manipulieren?

Vor Kurzem sprach ich mit einer Bekannten kurz über die Sicherheitsprobleme von Wahlcomputern in den USA. Darauf hin äußerte sie Bedenken über die, in Deutschland recht bekannten, Wahlomat-Apps. Daher möchte ich es einmal kurz durchspielen: Sollte man eine Wahl manipulieren wollen, für die es eine Wahlomat-App oder Website gibt, wie würde man vorgehen können und was für einen Schaden könnte man anrichten?

Vorwissen: Wie funktionieren Wahlomaten?

Einem werden nacheinander verschiedene Meinungen/Fragestellungen vorgelegt, zu denen man einen Grad von persönlicher Zustimmung oder Ablehnung angeben kann. Danach wird eine Auflistung von Partein/Kandidat:innen mitsammt präsentiert, absteigend sortiert nach Übereinstimmung in den Antworten. Meist(Immer?) kann man sich auch detailliert die Antworten der einzelnen Parteien/Kandidat:innen und ihre Begründungen dazu angucken.

Wie werden Wahlomaten veranstaltet?

Meist kommen die Wahlomaten von öffentlich finanzierten Akteuren, z.B. von der Bundeszentrale für politische Bildung. Diese formulieren n verschiedene Fragestellungen, die die aktuell relevanten gesellschaftlichen Debatten wiederspiegeln sollen. Die Parteien/Kandidat:innen bekommen diesen Fragekatalog vorgelegt und können antworten und Begründungen liefern. Mit diesen Antworten wird die App/Website gefüttert und bietet sie dann, wie oben beschrieben, den Bürger:innen an.

Was könnte ein Ziel der Manipulation sein?

• Wähler:innen für die eigene Partei/Kandidatur gewinnen
• Wähler:innen davon Abhalten, für eine andere Partei/Kandidatur zu stimmen

Angenommen, man könnte alles manipulieren, was wäre möglich?

• Im Vorhinein auf den Frageprozess einwirken und Fragen manipulieren, Gegner:innen an der Teilnahme der Befragung hindern / Teilnahme verzögern.
• Fragen falsch beantworten / Lügen.
• Fragen nur selektiv anbieten: Unangenehme Fragen umgehen, Leichte Fragen hervorheben
• Fragen, die der eigenen Agenda nützen, hinzufügen
• Text von Fragen umschreiben: Suggestiv werden
• Eigene Antworten an das jeweilige Abstimmungsverhalten anpassen
• Antworten von anderen Parteien/Kandidaturen manipulieren / unten verstecken / entfernen
• Balkendiagramme unecht verzerren
• Zustimmungswert manipulieren und ein anderes Ergebnis vorschlagen
• Manipulierten Wahlomat selektiv Bürger:innen anbieten, die die Manipulation nicht bemerken

Angriffsvektoren

• Aktoren im Datenentstehungsprozess haben
• Eigenen Klon der App/Website herausgeben, vlt sogar als offiziellen branden.
• Installation/Websiten-Aufruf abfangen und manipulierte Version ausliefern.
• Gezielte Werbung für die App/Website schalten/machen.

Was kann man tun, um diesen Problemen zu entgegnen?

• Ausspielungsweg der App/Website schützen: 2FA bei Entwickleraccounts aktivieren, etc. Datensatz statisch in die App einkompilieren um Laufzeitangriffe (z.B. bei Abfrage der Fragen vom Server) zu Verhindern
• Transparenz der Daten: Von der Auswahl der Fragen, über die Befragung der Parteien bis zum Datensatz der den Nutzer:innen ausgeliefert wird, sollte alles transparent und öffentlich (einsehbar) geschehen.
• OpenSource der App/Website, am besten mit Reproducible Builds, so dass geprüft werden kann, ob eine App/Website manipuliert wurde.
• Darauf hinweisen, ob/wie Aussagen in den Antwortsbegründungen auf Richtigkeit überprüft wurden, bzw. dass diese frei von den Parteien gestaltet wurden.
• Darauf hinweisen, dass das Ergebnis auf den freiwilligen Aussagen der Parteien und nicht zwingend auf der Wahrheit oder Sicherheit der Umsetzung der Wahlversprechen beruhen.
• Vergleichbarkeit der Ergebnisse in der UI erleichtern: Leichten visuellen Abgleich zwischen zwei Apps ermöglichen. Eine Manipulation der Antworten sollte auffallen. Da hilft eine deterministisch generierte Auflistung, eine zufällige Darstellung aus fairnessgründen erschwert dies.

Wie realistisch sind solche Angriffe? Wie hoch ist das Risiko?

Hier wird es sehr spekulativ.

• Manipulation in der Entstehung der Fragen: Je mehr Leute der eigenen Meinung oder Politikrichtung dort beteiligt sind, desto mehr könnten sie Einfluss nehmen. Große, direkte Manipulationen sind dort allerdings nicht zu erwarten, da diese sehr prominent sind und wahrscheinlich sehr auf möglichst neutrale Formulierung geachtet wird. Kleinere Einflussnahmen auf die Themenauswahl im Rahmen normaler Diskussionen würden aber wahrscheinlich nicht auffallen. Risiko also proportional zur Intensivität der Einflussnahme.
• Angriff auf die offizielle App/Website: Mittleres bis hohes Grundrisiko entdeckt zu werden, zusätzlich, mit der Auffälligkeit der Manipulation steigende, Wahrscheinlichkeit, dass diese bei einer Suche nach der Ursache entdeckt wird, schnell behoben, wenn einmal gefunden. Wahrscheinlich “großer” Skandal, wenn aufgeflogen, mit einem großen Medienecho sollten die meisten ihr Vertrauen in die App verlieren oder sie noch mal machen.
• Eigene App herausbringen: Kein “Entdeckungsrisiko”, solange die App als inoffizielle Variante markiert ist, auc Manipulationen zugunsten der eigenen Marke wären ok, weil erwartbar, damit aber relativ nutzlos.
• Manipulation und Weiterverbreitung als offizielle Variante: Hohes Risiko, würde wahrscheinlich durch Medienecho wieder deutlich mehr Stimmen kosten als dadurch gewonnen wären. Der Schaden bliebe wahrscheinlich relativ gleich, das Risiko aufzufliegen hängt von Auffälligkeit der Änderungen ab. Dark Patterns (strategische Sortierung/Darstellung) während der Fragen-Beantwortung wahrscheinlich unauffälliger, da meist eher das Ergebnis als der Frage-Prozess mit anderen Personen verglichen wird. Dort dann hohes Entdeckungsrisiko.

Voreiliges Fazit

Zwar sind die unentschlossenen Wähler:innen, die Gruppe die ein Wahlomaten besonders anspricht, eine wichtige Zielgruppe für Kampagnen, das Risiko entdeckt zu werden ist aber weiterhin recht hoch, wenn man die offizielle Version kapert und damit den “Beweis” an eine potentiell risige Gruppe, u.a. den politischen Gegner, der die Fragen und Antworten auch noch einmal prüft, ausliefert. Auch ein gezielteres Ausliefern an kleinere Zielgruppen ist, sollte es auffallen, riskanter. Die Manipulation müsste also “bestenfalls” nur bei der ersten Nutzung, die wahrscheinlich oft ohne Zeugen erfolgt, geschehen und danach deaktiviert werden, um erneuten Überprüfungen zu entgehen. Ein hoher Aufwand für eine App, die letztendlich nur politische Positionen zu einer Reihe verschiedener Themen zusammenfasst und nicht direkt eine Wahl entscheidet. Der politische Schaden bei einer Entdeckung wäre wahrscheinlich riesig (kein Mensch wird gerne betrogen) und damit ein zu großes Risiko für Parteien selbst. Für Trolle zumindest ein mittelmäßig attraktives Ziel um Verwirrung und Misstrauen in der Wahlzeit zu streuen.

Also: Durch Trolle wahrscheinlicher als durch Parteien für sich selbst. Insgesammt wenig lohnend, da Risiko schnell steigend mit Grad der Manipulation und nach einer Entdeckung (vor der Wahl) ist die Manipulation wahrscheinlich wirkungslos.