Online-Abstimmung der SPD erlaubt Registrierung mit Fantasieangaben
Die Wahl der SPD-Vorsitzenden ist in vollem Gange und erstmals können die Parteimitglieder auch online abstimmen. Doch Abstimmungsverfahren und die eingesetzte Technik werden von Experten kritisiert. Heute stellte sich heraus, dass diese Kritik zumindest in Teilen berechtig ist. Einigen Twitter-Usern gelang es, sich mit Fantasieangaben für eine Teilnahme an der Abstimmung zu registrieren, das Ergebnis des Registriervorganges zeigten sie als Screenshot.
Wie wir selbst nachvollziehen konnten, sind dazu keinerlei Hacker-Tricks nötig. Für die Registrierung genügt es, eine beliebige achtstellige Zahl als Mitgliedsnummer, ein zufälliges Geburtsdatum und irgendeine E-Mail-Adresse anzugeben, an die anstandslos ein Bestätigungslink gesendet wird. Wer auf diesen Link klickt, bekommt die Meldung „Vielen Dank für Deine Registrierung zur Online-Abstimmung.“
Weil allen, die sich nicht bis zum 19. September registriert haben, Briefwahlunterlagen per Post zugeschickt werden, ist anzunehmen, dass diese Fake-Registrierungen bei der laufenden Abstimmung nicht mehr berücksichtig werden. Trotzdem ist es verwirrend, dass die Website zur Registrierung weiterhin online ist und auch noch funktioniert. Es ist davon auszugehen, dass Mitglieder, die sich nach dem Stichtag registriert haben, nicht mehr bei der laufenden Abstimmung, aber bei der vermutlich demnächst folgenden Stichwahl teilnehmen können.
Natürlich dürfte die SPD die eingegangen Registrierungen mit der Mitgliederdatenbank abgleichen und dafür sorgen, dass nur gültige Kombinationen aus Mitgliedsnummer und Geburtsdatum zur Abstimmung zugelassen werden. Problematisch ist jedoch, dass es ohne Weiteres möglich ist, sich mehrmals mit denselben Daten anzumelden. Wurde eine Kombination aus Mitgliedsnummer und Geburtsdatum bereits verwendet, erfolgt keinerlei Fehlermeldung.
Das bedeutet, dass Mitglieder keine Chance haben, zu bemerken, dass sich bereits jemand anderes mit ihren Daten für die Abstimmung registriert hat. Und solche Daten sind sehr einfach zu beschaffen. Zum Beispiel in dem man einfach in der SPD-Zentrale anruft und nach der Mitgliedsnummer fragt, wie die SPD auf ihrer Website vergesslichen Mitgliedern empfiehlt.
Wie die SPD sicherstellen will, dass in einem solchem Fall am Ende die richtige Person abstimmt, ist unklar. Ebenfalls scheint die SPD keine Vorkehrungen dafür getroffen zu haben, dass eine Person sich beim Eingeben der Daten vertippt und sich versehentlich nicht oder als eine andere Person registriert.
Da sich die Website zur Registrierung beliebig oft mit gleichen oder unterschiedlichen Daten wiederholen lässt, wäre außerdem denkbar, einen Bot zu schreiben, der die Datenbank mit sehr großen Mengen an Unsinnsdaten vollschreibt. Weil auf diese Weise zufällig auch gültige Mitgliederdaten eingetragen werden könnten, wäre eine so sabotierte Registrierungsdatenbank kaum noch sauber zu bereinigen.
Es wird schwer für die SPD, einwandfrei zu belegen, dass es nicht schon vor dem 19. September zu Fake-Registrierungen kam und dass niemand Unbefugtes abgestimmt hat und zugleich niemand Befugtes von der Abstimmung abgehalten wurde. Das beschädigt das Vertrauen in das Ergebnis dieser Urabstimmung, da sich nach Angaben der Parteizeitung „Vorwärts“ 180.000 der rund 426.000 SPD-Mitglieder für die Online-Abstimmung haben registrieren lassen.
Mit entsprechenden Fragen wandten wir uns an die Pressestelle der SPD, die uns telefonisch keine Auskunft erteilen konnte. Daher stellten wir unsere Fragen erneut per E-Mail und werden die Stellungnahme der Partei an dieser Stelle veröffentlichen.
Update:
Zwischenzeitlich ging bei uns ein schriftliches Statement ein, das wir hier in voller Länge wiedergeben möchten:
Grundlage dafür, wer bei der Mitgliederbefragung abstimmen darf, ist die Mitgliederdatenbank und eine aktive Mitgliedschaft am 16. September 2019. Zu diesem Zeitpunkt aktive Mitglieder, die sich bis zum 19. September für die Online-Abstimmung registriert haben, können online abstimmen. Alle anderen bekommen automatisch die Unterlagen per Brief zugesendet. Da die Möglichkeit einer zweiten Abstimmung bzw. einer Stichwahl zwischen den beiden erstplatzierten Teams besteht, können sich unsere Mitglieder bereits jetzt ausschließlich für die zweite Online-Abstimmung registrieren.
Um Missbrauch bei der Registrierung zur Online-Abstimmung über das Online-Formular auszuschließen, nutzen wir das sogenannte Double-Opt-In (DOI)-Verfahren. Es ist ein zweistufiges Verfahren, bei dem nach der Einwilligung im ersten Schritt durch Aktivieren eines Bestätigungslinks im zweiten Schritt eine weitere Bestätigung zu erfolgen hat. Hierdurch verhindern wir, dass bei einer Anmeldung missbräuchlich beliebige Kontaktdaten eingegeben werden.
Die von Ihnen erwähnte Meldung zur Registrierung erscheint automatisch und ist kein Beleg für einen gültigen Registrierungsvorgang. Aus Gründen der Datensicherheit erfolgt auch bei falschen Mitgliedsnummern kein Feedback, das diese nicht existieren. Der Erhalt der Bestätigungs-E-Mail bedeutet also nicht, dass man automatisch für die Online-Abstimmung registriert ist und daran teilnehmen kann.
Eine erfolgreiche Registrierung erfolgt nur dann, wenn Mitgliedsnummer und Geburtsdatum bei einem aktiven Mitglied übereinstimmen. Erst dann wird in unserer Datenbank beim jeweiligen Mitglied vermerkt, dass eine Einwilligung zur Online-Abstimmung vorliegt.
In einem anschließend telefonisch geführten Hintergrundgespräch legt die Pressestelle Wert auf die Feststellung, dass beim Double-Opt-In-Verfahren der zweite Aktivierungslink nicht an die E-Mail-Adresse gesendet wird, die bei der Registrierung angegeben wurde, sondern an diejenige, die in der SPD-Mitgliederdatenbank hinterlegt ist, was die skizzierten Angriffe stark erschwere.