Die Separation of Duty ist ein wichtiges Prinzip, um Vertrauen in die Online-Wahl herzustellen

Separation of Duty ist ein wichtiges Prinzip, um Vertrauen in die Online-Wahl herzustellen. Worum es dabei geht, wie POLYAS das Prinzip anwendet und was das Ganze mit der Gewaltenteilung zu tun hat, erfahren Sie in diesem Blogbeitrag.

Wie lässt sich sicherstellen, dass Informationen oder Verantwortlichkeiten nicht missbraucht werden? Am besten, indem man gar nicht über sie verfügt. So simpel diese Logik klingt, so wichtig ist sie beim Thema Online-Wahl, um Vertrauen in das System herzustellen. Wird die Verantwortlichkeit etwa für das Registrieren, Durchführen und Auszählen digitaler Wahlen und Abstimmungen auf mehrere Akteure verteilt, hat es eine angreifende Partei äußerst schwer, die Wahl unbemerkt zu manipulieren, weil sie in alle drei Systeme eindringen müsste. Gleichzeitig könnte auch keine der verantwortlichen Parteien das Wahlergebnis auf eigene Faust fälschen.

Ursprung in der Wirtschaft

Wissenschaftler:innen, die sich mit sicheren Online-Wahlen beschäftigen, sprechen von Segregation bzw. Separation of Duty, was auf Deutsch mit Funktionstrennung übersetzt werden kann. Seltener findet man auch die Wendung Division of Trust. Das Prinzip Separation of Duty stammt ursprünglich aus jenem Bereich der Betriebswirtschaftslehre, die sich mit der Organisation von Unternehmen beschäftigt. Trennt man Verantwortlichkeiten auf, so die Annahme, findet man nicht nur leichter Fehler, sondern kann auch verhindern, dass eine einzelne Person ihre Position zu eigenen Gunsten ausnutzt.

Eine ganz einfach Anwendung der Separation of Duty ist das Vier-Augen-Prinzip, bei dem immer mindestens zwei Personen in einen Prozess eingebunden sein müssen. Bei Gehaltszahlungen sollte beispielsweise eine Person für die Umsetzung der Zahlung zuständig sein, die Autorisierung aber müsste durch eine andere erfolgen. Das Gleiche gilt beispielsweise für die Einkaufsabteilung eines Kaufhauses: Die Person, die die Waren kauft, sollte sich diesen Kauf durch eine zweite Person freigeben lassen müssen, um Betrug zu vermeiden.

Es geht also um eine organisatorische Trennung mehrerer Parteien innerhalb eines Prozesses. Übrigens ist die Separation of Duty nicht mit dem Konzept der Shared Responsibility zu verwechseln, also einer geteilten Verantwortung. Diese findet bei Cloud-Dienstleistern Anwendung, die Daten anderer Unternehmen hosten. Während der Anbieter für die Sicherheit der Server sorgt, verantwortet ihr Kunde die Sicherheit der eigenen Kundendaten. Bei der Separation of Duty wird die Verantwortung hingegen nicht geteilt, sondern komplett getrennt.

Demokratie: Separation of Duty im 18. Jahrhundert

Konstitution-USA

Die Gewaltenteilung findet sich in demokratischen Verfassungen weltweit

Eigentlich ist das Prinzip der getrennten Funktionen nichts Neues, sondern elementarer Bestandteil der Demokratie. Denn auch hier geht es schließlich darum, Machtkonzentration zu vermeiden. Die während der Aufklärung im 18. Jahrhundert entwickelte Idee der Gewaltenteilung bzw. -trennung hat genau das zum Ziel und ist Grundlage der Demokratien weltweit. Getrennt werden sollen Gesetzgebung (Legislative), Gesetzesausübung (Exekutive) und Gerichtsbarkeit (Judikative).

In Deutschland ist die Trennung von gesetzgebendem Parlament (Bundestag) und ausführender Bundesregierung zwar de facto nicht gegeben, doch die Rolle der Kontrolle der Regierung fällt der ebenfalls im Parlament vertreten Opposition zu. Das Bundesverfassungsgericht wiederum ist unabhängig und kann Gesetzesvorhaben der Regierung stoppen oder Nachbesserungen verlangen. Auch im Wahllokal gibt es eine Separation of Duty: Hier sind es die Wahlhelfer:innen, die sich gegenseitig kontrollieren. Außerdem darf auch jede wahlberechtigte Person der Auszählung der Stimmzettel beiwohnen.

Übertragung in die IT-Welt

In der IT-Welt findet die Separation of Duty zum Beispiel bei der Rechtevergabe einer Software statt. Der:die Administrator:in vergibt unterschiedliche Rechte und Rollen innerhalb einer Anwendung, damit nicht jeder auf alle Daten Zugriff hat. Die Administrator:innen können sich gegenseitig kontrollieren. POLYAS hat für den Online-Wahlmanager, mit dem Online-Wahlen, Live Votings oder Nominierungen erstellt werden, ebenfalls ein Rollenkonzept entwickelt.

Doch wie findet die Separation of Duty in der Welt von Online-Wahlen Anwendung? Gleich mehrere Schritte kommen hier in Frage:

  • Registrierung der Wahlberechtigten
  • Versand der Zugangsdaten
  • Identitätsprüfung
  • Durchführung der Wahl
  • Auszählung des Wahlergebnisses
  • Überprüfung (Verifikation) der Online-Wahl

So setzt POLYAS die Separation of Duty um

POLYAS wendet die Separation of Duty bei der neuesten Wahlsoftware, dem Core 3.0 Verifiable, bereits in verschiedenen Bereichen an. Das beginnt schon bei der Registrierung und der Erzeugung der Zugangsdaten: Die Passwörter, mit denen sich die Wahlberechtigten zur Stimmabgabe anmelden, können vom Wahlveranstalter mithilfe eines Open-Source-Tools zur Passwortgenerierung unabhängig von POLYAS generiert und auch verschickt werden. POLYAS kennt die extern generierten Passwörter nicht in Klarform sondern nur die gehashten (verschlüsselten) Passwörter. Über den Abgleich der Daten wird sichergestellt, dass die sich anmeldende Person tatsächlich wahlberechtigt ist.

Individuelle Verifikation mit POLYAS

Bei der individuellen Verifikation überprüfen die Wahlberechtigten ihren Stimmzettel selbst.

Auch bei der Überprüfung der Wahl kann schon heute auf die Separation of Duty zurückgegriffen werden. Bei der individuellen Verifikation überprüfen die Wahlberechtigten per QR-Code und Smartphone selbst, ob ihre Stimme korrekt in die Urne eingegangen ist. Die Web-App, die sie dabei nutzen, kann ebenfalls extern gehostet werden. Und bei Überprüfung des gesamten Wahlvorgangs – der universellen Verifikation – kann das Tool, mit dem die von POLYAS unabhängigen Auditor:innen die Überprüfung vornehmen, ebenfalls von einer dritten Partei gehostet und sogar programmiert werden.

Mehr zum Thema Verifikation der Online-Wahl lesen Sie in diesem Blogbeitrag >