Frage an Rainer Spiering von Christian W. bezüglich Verkehr
Hallo Herr Spiering,
der Skandal um die Sicherheitslücken der Software "PC-Wahl" hat die Probleme aufgezeigt, die entstehen, wenn Software, die von öffentlicher Hand eingesetzt und finanziert wird, nicht quelloffen und überprüfbar ist. Die Initiative Public Money - Public Code setzt sich dafür ein, jede öffentlich finanzierte Software quelloffen und damit für alle einsehbar zu machen. Dadurch ist gewährleistet, dass Sicherheitsprobleme frühzeitig erkannt werden, die Funktion von allen Bürgern überprüft werden kann und dass Erweiterungen und Verbesserungen an der Software allen zugute kommt. Wie stehen Sie zu dieser Initiative?
Mit freundlichen Grüßen
Sehr geehrter Herr W.,
vielen Dank für Ihre Anfrage.
Mit dem Wort "Skandal" gehe ich persönlich sparsamer um.
Grundsätzlich ist gegen die Nutzung des Programms "PC-Wahl" nichts einzuwenden. PC-Wahl gehört zu den wenigen Programmen auf dem Markt und erleichtert den Verantwortlichen die komplexe Organisation der Stimmenübermittlung. Dabei müssen diverse Gesetze, Verordnungen und Vorgaben korrekt umgesetzt und viele organisatorische Probleme gelöst werden. Dies gelingt dem Programm, unbestritten.
Gleichwohl scheint die Programmarchitektur in den letzten Jahrzehnten nicht groß verändert worden zu sein, dass halte ich für einen nicht haltbaren Zustand. Schließlich können sich für Angreifer dadurch Lücken und Sicherheitsmängel eröffnen.
Es muss aber auch ganz klar gesagt werden, dass dadurch keine Wahl gefährdet oder manipuliert werden kann!
Die Stimmenauszählung verläuft manuell. Die Übermittlung der Auszählergebnisse erfolgt -teilweise- über das Programm PC-Wahl.
Im schlimmsten Falle könnte daher die elektronische Übertragung der Stimmen manipuliert werden, was den Wahlhelferinnen und Wahlhelfern, sowie den Wahlleiterinnen und Wahlleitern aber auffallen würde.
Opensourcecodes sind sicherlich eine Möglichkeit der Kontrolle. Allerdings auch eine Möglichkeit für Angriffe.
Die Initiative Public Money - Public Code denkt sicherlich im Rahmen des responsible disclosure. Also der verantwortungsvollen Offenlegung, bei der Sicherheitslücken zunächst dem Hersteller mitgeteilt werden, damit dieser Zeit bekommt, sie zu beheben und erst danach die Öffentlichkeit informiert wird.
Das wäre sicherlich ein gangbarer Weg.
Die Frage ist, ob alle so verantwortungsvoll handeln.
Mit freundlichen Grüßen
Rainer Spiering, MdB