News

Online-Abstimmung der SPD erlaubt Registrierung mit Fantasieangaben

(Foto: nitpicker / Shutterstock)

Es ist ohne Weiteres möglich, sich mit frei erfundenen Daten für das E-Voting-System der SPD zu registrieren, und das gleich mehrfach. Ob bei der Wahl der SPD-Vorsitzenden ein belastbares Ergebnis herauskommt, wird deshalb immer zweifelhafter.

Die Wahl der SPD-Vorsitzenden ist in vollem Gange und erstmals können die Parteimitglieder auch online abstimmen. Doch Abstimmungsverfahren und die eingesetzte Technik werden von Experten kritisiert. Heute stellte sich heraus, dass diese Kritik zumindest in Teilen berechtig ist. Einigen Twitter-Usern gelang es, sich mit Fantasieangaben für eine Teilnahme an der Abstimmung zu registrieren, das Ergebnis des Registriervorganges zeigten sie als Screenshot.

Wie wir selbst nachvollziehen konnten, sind dazu keinerlei Hacker-Tricks nötig. Für die Registrierung genügt es, eine beliebige achtstellige Zahl als Mitgliedsnummer, ein zufälliges Geburtsdatum und irgendeine E-Mail-Adresse anzugeben, an die anstandslos ein Bestätigungslink gesendet wird. Wer auf diesen Link klickt, bekommt die Meldung „Vielen Dank für Deine Registrierung zur Online-Abstimmung.“

Weil allen, die sich nicht bis zum 19. September registriert haben, Briefwahlunterlagen per Post zugeschickt werden, ist anzunehmen, dass diese Fake-Registrierungen bei der laufenden Abstimmung nicht mehr berücksichtig werden. Trotzdem ist es verwirrend, dass die Website zur Registrierung weiterhin online ist und auch noch funktioniert. Es ist davon auszugehen, dass Mitglieder, die sich nach dem Stichtag registriert haben, nicht mehr bei der laufenden Abstimmung, aber bei der vermutlich demnächst folgenden Stichwahl teilnehmen können.

Natürlich dürfte die SPD die eingegangen Registrierungen mit der Mitgliederdatenbank abgleichen und dafür sorgen, dass nur gültige Kombinationen aus Mitgliedsnummer und Geburtsdatum zur Abstimmung zugelassen werden. Problematisch ist jedoch, dass es ohne Weiteres möglich ist, sich mehrmals mit denselben Daten anzumelden. Wurde eine Kombination aus Mitgliedsnummer und Geburtsdatum bereits verwendet, erfolgt keinerlei Fehlermeldung.

Das bedeutet, dass Mitglieder keine Chance haben, zu bemerken, dass sich bereits jemand anderes mit ihren Daten für die Abstimmung registriert hat. Und solche Daten sind sehr einfach zu beschaffen. Zum Beispiel in dem man einfach in der SPD-Zentrale anruft und nach der Mitgliedsnummer fragt, wie die SPD auf ihrer Website vergesslichen Mitgliedern empfiehlt.

Screenshot: SPD

(Screenshot: SPD)

Wie die SPD sicherstellen will, dass in einem solchem Fall am Ende die richtige Person abstimmt, ist unklar. Ebenfalls scheint die SPD keine Vorkehrungen dafür getroffen zu haben, dass eine Person sich beim Eingeben der Daten vertippt und sich versehentlich nicht oder als eine andere Person registriert.

Da sich die Website zur Registrierung beliebig oft mit gleichen oder unterschiedlichen Daten wiederholen lässt, wäre außerdem denkbar, einen Bot zu schreiben, der die Datenbank mit sehr großen Mengen an Unsinnsdaten vollschreibt. Weil auf diese Weise zufällig auch gültige Mitgliederdaten eingetragen werden könnten, wäre eine so sabotierte Registrierungsdatenbank kaum noch sauber zu bereinigen.

Es wird schwer für die SPD, einwandfrei zu belegen, dass es nicht schon vor dem 19. September zu Fake-Registrierungen kam und dass niemand Unbefugtes abgestimmt hat und zugleich niemand Befugtes von der Abstimmung abgehalten wurde. Das beschädigt das Vertrauen in das Ergebnis dieser Urabstimmung, da sich nach Angaben der Parteizeitung „Vorwärts“ 180.000 der rund 426.000 SPD-Mitglieder für die Online-Abstimmung haben registrieren lassen.

Mit entsprechenden Fragen wandten wir uns an die Pressestelle der SPD, die uns telefonisch keine Auskunft erteilen konnte. Daher stellten wir unsere Fragen erneut per E-Mail und werden die Stellungnahme der Partei an dieser Stelle veröffentlichen.

Update:

Zwischenzeitlich ging bei uns ein schriftliches Statement ein, das wir hier in voller Länge wiedergeben möchten:

Grundlage dafür, wer bei der Mitgliederbefragung abstimmen darf, ist die Mitgliederdatenbank und eine aktive Mitgliedschaft am 16. September 2019. Zu diesem Zeitpunkt aktive Mitglieder, die sich bis zum 19. September für die Online-Abstimmung registriert haben, können online abstimmen. Alle anderen bekommen automatisch die Unterlagen per Brief zugesendet. Da die Möglichkeit einer zweiten Abstimmung bzw. einer Stichwahl zwischen den beiden erstplatzierten Teams besteht, können sich unsere Mitglieder bereits jetzt ausschließlich für die zweite Online-Abstimmung registrieren.

Um Missbrauch bei der Registrierung zur Online-Abstimmung über das Online-Formular auszuschließen, nutzen wir das sogenannte Double-Opt-In (DOI)-Verfahren. Es ist ein zweistufiges Verfahren, bei dem nach der Einwilligung im ersten Schritt durch Aktivieren eines Bestätigungslinks im zweiten Schritt eine weitere Bestätigung zu erfolgen hat. Hierdurch verhindern wir, dass bei einer Anmeldung missbräuchlich beliebige Kontaktdaten eingegeben werden.

Die von Ihnen erwähnte Meldung zur Registrierung erscheint automatisch und ist kein Beleg für einen gültigen Registrierungsvorgang. Aus Gründen der Datensicherheit erfolgt auch bei falschen Mitgliedsnummern kein Feedback, das diese nicht existieren. Der Erhalt der Bestätigungs-E-Mail bedeutet also nicht, dass man automatisch für die Online-Abstimmung registriert ist und daran teilnehmen kann.

Eine erfolgreiche Registrierung erfolgt nur dann, wenn Mitgliedsnummer und Geburtsdatum bei einem aktiven Mitglied übereinstimmen. Erst dann wird in unserer Datenbank beim jeweiligen Mitglied vermerkt, dass eine Einwilligung zur Online-Abstimmung vorliegt.

In einem anschließend telefonisch geführten Hintergrundgespräch legt die Pressestelle Wert auf die Feststellung, dass beim Double-Opt-In-Verfahren der zweite Aktivierungslink nicht an die E-Mail-Adresse gesendet wird, die bei der Registrierung angegeben wurde, sondern an diejenige, die in der SPD-Mitgliederdatenbank hinterlegt ist, was die skizzierten Angriffe stark erschwere.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung