Suche Umfragetool, wo Benutzer nur ein mal und dann auch noch anonym abstimmen können

[Dissy]

Hey liebe Nerds,

ich bin die üblichen Verdächtigen schon durchgegangen, aber nirgends steht explizit, dass sie das können.

Es geht um simple Auswahlmöglichkeiten, wo aber sichergestellt werden muss, dass keiner zwei mal voten kann. Aber sie müssen beim Voten trotzdem anonym bleiben! Und die Kombi finde ich nicht.

Habt ihr da einen tollen Tipp für mich? Kostenlos natürlich bevorzugt. Sind eine NGO (gemeinnütziger Verein).

Danke euch schon mal

 

[YMiD]

Vielleicht so etwas wie https://www.strawpoll.me/

Dort kann man pro IP nur eine Stimme abgeben.

 

[Rickmer]

Anonym gegenüber dir oder gegenüber dem Tool?

Anonym gegenüber dem Tool und gleichzeitig verhindern, dass jemand zweimal abstimmt, ist technisch nicht umsetzbar.

 

[Merle]

Prinzipbedingt ist das schwer... Wenn jemand zur einmaligen Abstimmung autorisiert sein muss (sonst könnte ja jeder abstimmen - auch mehrfach) muss das Tool ja irgendeine ID ausspucken. Ob das im Link ist oder sonst wie. Und dadurch kann mindestens der Betreiber erkennen, wer was gestimmt hat.
Sollen die anderen Leute es nicht sehen oder ist es rechtlich kritisch wenn das zugeordnet werden kann?

 

[Dissy]

Es geht um Abstimmungen von Vereinsmitgliedern und da darf nicht nachvollzogen werden können, wer sich für was entschieden hat. Gegenüber dem Tool muss es also nicht anonym sein, sondern nur den Personen gegenüber, die das Tool benutzen (auch ich als Moderator/Admin darf das nicht erfahren).

Strawpoll mit dem IP-basierten finde ich schon mal nicht schlecht. Ansonsten habe ich jetzt noch SoScisurvey.de gefunden, aber würde ungerne 70 € bezahlen müssen, weil ich das einen Abend lang für ~10 verschiedene Umfragen verwende.

 

[zazie]

Diese Software scheint deine Anforderungen zu erfüllen. Statt Kandidatennamen setzt du Antwortstichwörter bzw. -vorgaben ein. Lass dich vom Link nicht irritieren, sowohl Seite als auch Tool gibt's auch deutsch.

 

[Madman1209]

Hi,

Anonym gegenüber dem Tool und gleichzeitig verhindern, dass jemand zweimal abstimmt, ist technisch nicht umsetzbar.

das würde ich so nicht unterschreiben. Man kann z.B. recht einfach aus Benutzerdaten eine Prüfsumme berechnen und mit dieser Chiffre arbeiten. Ein Nutzer kann so nur einmal mit den Benutzerdaten arbeiten, im Tool ist aber nur die nicht zurückrechenbare Chiffre vorhanden und somit bist du sowohl gegenüber dem Tool anonym als auch nur einmalig zur Abstimmung zugelassen.

Betrug verhindert das natürlich nicht, aber den verhinderst du auch nicht-anonymisiert kaum.

LimeSurvey kann ich empfehlen. Hier wird mit einmaligen Tokens gearbeitet, das geht genauso. Damit hast du sowohl sichergestellt, dass jeder nur einmal abstimmen kann (da der Token nur einmal genutzt werden kann) und die Daten sind nicht an Benutzerdaten geknüpft.

The default is "No". If you choose "Yes", then your survey is set to anonymize responses - there will be no way to connect answers and participants. Even the admin will not be able to link response data and participant data.

VG,
Mad

 

[Rickmer]

das würde ich so nicht unterschreiben. Man kann z.B. recht einfach aus Benutzerdaten eine Prüfsumme berechnen und mit dieser Chiffre arbeiten. Ein Nutzer kann so nur einmal mit den Benutzerdaten arbeiten, im Tool ist aber nur die nicht zurückrechenbare Chiffre vorhanden und somit bist du sowohl gegenüber dem Tool anonym als auch nur einmalig zur Abstimmung zugelassen.

Kommt halt auch drauf an, wie 'anonym' gemeint ist.

Es muss halt irgendein Fingerprint oder eine Prüfsumme oder sonstwas gespeichert werden, mit dem man identifizieren kann, dass jemand schon abgestimmt hat.

Am sichersten von der Perspektive 'Mehrfachstimmen verhindern' ist, wenn allen Usern die abstimmen sollen ein Token zugeschickt wird, weil einen oben genannte Mechanismen kann man mühelos überwinden.
Das Token zuschicken muss dann auch erstmal mit der Anforderung 'anonym' übereinstimmen, weil selbst wenn absichtlich nicht abgespeichert wird wer welches Token erhalten hat muss der Administrator für alle User eine email (o.Ä.) abschicken können.

 

[Madman1209]

Hi,

richtig, aber genau dafür ist ja z.B. mit einer Prüfsumme oder einem Token gesorgt. Anonym bedeutet, dass eine Person oder eine Gruppe nicht identifiziert werden kann. Genau das erreichst du damit, da gibt es nicht viel Spielraum für "wie ist das gemeint".

Ich kann nach der Eingabe der Daten keinerlei Rückschlüsse ziehen, mit der ich die Person identifizieren kann. In diesem Fall kann ich die eingegebenen Daten nicht einmal einem Token oder der Prüfsumme zuordnen.

mit dem man identifizieren kann, dass jemand schon abgestimmt hat.

nein. Du indentifizierst damit niemanden, auch nicht "jemand". Lediglich der Token hat bereits abgestimmt. Eine Identifizierung findet damit nicht statt.

Das Token zuschicken muss dann auch erstmal mit der Anforderung 'anonym' übereinstimmen, weil selbst wenn absichtlich nicht abgespeichert wird wer welches Token erhalten hat muss der Administrator für alle User eine email (o.Ä.) abschicken können.

randomisierte Token Zuteilung, das ist nun wirklich kein Kunststück... im Zweifel verschickt man einen Link zu einer Seite, wo einfach der Reihe nach die Tokens beansprucht werden können. Dann hat man nicht einmal etwas auf dem Mailserver. Auch da kann man sicherstellen, dass pro User nur ein Token beansprucht werden kann. Das geht selbstverständlich auch anonymisiert.

Die Frage ist, ob er Aufwand hier wirklich betrieben werden muss. Oder ob man einfach jedem im Verein ein Token per Losverfahren zukommen lässt und fertig.

VG,
Mad

 

[Piktogramm]

Hi,



das würde ich so nicht unterschreiben. Man kann z.B. recht einfach aus Benutzerdaten eine Prüfsumme berechnen und mit dieser Chiffre arbeiten. Ein Nutzer kann so nur einmal mit den Benutzerdaten arbeiten, im Tool ist aber nur die nicht zurückrechenbare Chiffre vorhanden und somit bist du sowohl gegenüber dem Tool anonym als auch nur einmalig zur Abstimmung zugelassen.[...]

Grundsätzlich falsch!
Wenn Chiffren aus den Daten der Mitglieder erzeugt werden, kann jeder der die Daten ebenfalls hat auf den Daten genauso die Chiffren erzeugen, abgleichen und den Datensatz so vollständig de anonymisieren.

@Dissy
Herzlichen Glückwunsch, du findest gerade heraus, wieso das Bundesverfassungsgericht Onlinewahlen und Wahlcomputer in Deutschland quasi verboten hat. Das Feststellen von Wahlberechtigung, das verhindern von doppelter Stimmabgabe bei Einhaltung der Geheimhaltung und Nachvollziehbarkeit ist einfach nicht möglich!

 

[Madman1209]

Hi,

nein, absolut nicht grundsätzlich falsch. Es gibt keinen Bezug von Abstimmungsdaten zur Chiffre. Du kannst die Abstimmungsdaten nicht de-anonymisieren. Hatte ich oben extra erwähnt. Es gibt einmal die Legitimation abstimmen zu dürfen. Dann gibt es die technische Vorkehrung, das nur einmal tun zu können. Und davon völlig losgelöst gibt es die Daten, die du abgestimmt hast. Die besitzen keinerlei Bezug zueinander.

Selbstverständlich ist die Einhaltung der Geheimhaltung und Nachvollziehbarkeit machbar. Was denkst du, wo deine Briefwahldaten am Ende landen? Auf einem Steinbrett eingeritzt?

VG,
Mad

 

[Piktogramm]

randomisierte Token Zuteilung, das ist nun wirklich kein Kunststück... im Zweifel verschickt man einen Link zu einer Seite, wo einfach der Reihe nach die Tokens beansprucht werden können. Dann hat man nicht einmal etwas auf dem Mailserver. Auch da kann man sicherstellen, dass pro User nur ein Token beansprucht werden kann. Das geht selbstverständlich auch anonymisiert.

Wahlrecht ist (auch bei Vereinen) nicht übertragbar. Entsprechend muss sichergestellt werden, dass Token nur in die Hände von Wahlberechtigten kommen und nur von diesen auch genutzt werden. Eine Identifizierung ist also zwingend notwendig. Bei einem digitalem System, ist dann aber vom Wähler nicht mehr nachvollziehbar, ob das Zuteilen des Tokens und die Identifizierung gekoppelt werden.
Damit ist das Prinzip der Nachvollziehbarkeit verletzt und da nicht sichergestellt ist, dass es keine anonymisieren gibt auch das Wahlgeheimnis.

 

[Madman1209]

Hi,

das kann man ja auch sicherstellen. Es geht ja bei der Identifizerung vor allem darum, was, wann und wen ich identifiziere! Spätestens bei der Abstimmung ist eben keine Identifizierung mehr möglich.

Bei einem digitalem System, ist dann aber vom Wähler nicht mehr nachvollziehbar, ob das Zuteilen des Tokens und die Identifizierung gekoppelt werden.

Dafür gibt es Open Source und Audits. Selbstverständlich muss ich mich darauf verlassen, was da rauskommt. Aber es spielt keine Rolle, ob ich als Wähler das verstehen und nachvollziehen kann.

Ist doch bei analogen System absolut identisch. Ich muss meiner Gemeinde / Stadt vertrauen wenn ich Briefwahlunterlagen haben möchte.

Entsprechend muss sichergestellt werden, dass Token nur in die Hände von Wahlberechtigten kommen und nur von diesen auch genutzt werden.

das stellst du wie genau bei Briefwahlunterlagen sicher, dass ich da nicht meinen Nachbarn einfach meine ausfüllen lasse?

Nochmal das Beispiel: Briefwahl. Nichts anderes. Exakt das selbe. Erst beantrage ich die Briefwahl, dabei wird meine Legitimation festgestellt. Dann erhalte ich die Daten, einmalig und muss wenn ich nochmal welche möchte (Verlust) mit Problemen rechnen. Und dann gebe ich meine Stimme ab. Ohne Rückschlüsse, dass ich das gewesen bin.

VG,
Mad

 

[Piktogramm]

Selbstverständlich ist die Einhaltung der Geheimhaltung und Nachvollziehbarkeit machbar. Was denkst du, wo deine Briefwahldaten am Ende landen? Auf einem Steinbrett eingeritzt?

Modus beim Auszählen von Briefwahl:
Brief wird geöffnet, Unterlagen auf Vollständigkeit und Richtigkeit kontrolliert, Stimmzettel wird ohne vorherige Sichtung(!) in Wahlurne gegeben.
Wahlurne wird im Anschluss ausgeleert und gezählt. Es erfolgte eine Anonymisierung über die Wahlurne.

Prozess ist für jeden Wahlberechtigten nachvollziehbar, Prozess ist durch durch alle Anwesenden kontrollierbar.
Nachvollziehbarkeit und Kontrollierbarkeit für alle(!) Wahlberechtigte erfüllen digitale Wahlmittel in der Regel nicht.

 

[Madman1209]

Hi,

exakt. Und genau das ist der Prozess, den ich hier schon mehrfach beschreibe und der natürlich auch bei einer digitalen Abstimmung möglich ist!

Nachvollziehbarkeit und Kontrollierbarkeit für alle(!) Wahlberechtigte erfüllen digitale Wahlmittel in der Regel nicht.

dann wurden falsche Werkzeuge verwendet, ganz einfach. Mit einem Audit sollte das selbst für einen Laien nachvollziehbar sein, wenn man es denn unbedingt erklärt haben möchte. Ein Problem ist das nicht. Aufwand vielleicht.

Wobei ich immer noch nicht sehe wo bei der Briefwahl alle(!) einsehen können, dass es ohne vorherige Sichtung(!) eingeworfen wurde. Ich habe das bisher nie gesehen bei meinen Briefwahlen.

VG,
Mad

 

[Piktogramm]

Dafür gibt es Open Source und Audits. Selbstverständlich muss ich mich darauf verlassen, was da rauskommt. Aber es spielt keine Rolle, ob ich als Wähler das verstehen und nachvollziehen kann.

Das Bundesverfassungsgericht ist da dezent anderer Meinung:
https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2009/bvg09-019.html

Die Nachvollziehbarkeit ist essentiell.

Ist doch bei analogen System absolut identisch. Ich muss meiner Gemeinde / Stadt vertrauen wenn ich Briefwahlunterlagen haben möchte.

das stellst du wie genau bei Briefwahlunterlagen sicher, dass ich da nicht meinen Nachbarn einfach meine ausfüllen lasse?

Nochmal das Beispiel: Briefwahl. Nichts anderes. Exakt das selbe. Erst beantrage ich die Briefwahl, dabei wird meine Legitimation festgestellt. Dann erhalte ich die Daten, einmalig und muss wenn ich nochmal welche möchte (Verlust) mit Problemen rechnen. Und dann gebe ich meine Stimme ab. Ohne Rückschlüsse, dass ich das gewesen bin.

Auch dazu gab es Urteile vom Bundesverfassungsgericht. Wobei grundlegend festgestellt wurde, dass Briefwahl zulässig ist. U.a. auch weil der systematische Betrug recht aufwendig ist.
Im Gegensatz zu digitalen Systemen, bei denen das digitale System in der Regel unter Kontrolle Einzelner ist.

FOSS und Audits bringen gar nix an der Stelle. Bei jedem etwas komplexerem Stück Software+Hardware sind Audits immer nur eine Detailaufnahme und keine vollständige Prüfung. So erkennt man die zwielichtigen Gestalten in der Branche, dass sie allumfassende Aussagen treffen.

Ergänzung (29. Juni 2021)

dann wurden falsche Werkzeuge verwendet, ganz einfach. Mit einem Audit sollte das selbst für einen Laien nachvollziehbar sein, wenn man es denn unbedingt erklärt haben möchte. Ein Problem ist das nicht. Aufwand vielleicht.

Ich bin in der Branche, ich verstehe teils die Details der Audits der Kollegen zwei Tische weiter nicht. Geschweige denn, dass irgend ein Normalbürger auch nur ansatzweise etwas versteht wenn die Abteilung der Fachidioten erklären will, was dir tun..

Das ist kein Nachvollziehen sondern blindes Vertrauen.
Ganz abgesehen davon, jenseits von 8bit µControllern und Software die in 256kByte Flash passt sind erschöpfende Audits fast unmöglich. Auf modernen ARM oder x86 CPUs mit Security Enclave und Microcode Blobs würde Niemand der etwas von seinem Job versteht sagen, dass Manipulation nicht möglich ist.

 

[Madman1209]

Hi,

das mag sein, das Bundesverfassungsgericht sollte aber vielleicht einfach mal schauen, ob sich seit 2005 (!) nicht vielleicht ein bisschen was getan hat in der Technik...

So erkennt man die zwielichtigen Gestalten in der Branche, dass sie allumfassende Aussagen treffen.

falls das auf mich gemünzt sein sollte stelle ich dem einfach mal deine allumfassende Aussage

Grundsätzlich falsch!

gegenüber und füge dem nichts weiter hinzu.

Auf modernen ARM oder x86 CPUs mit Security Enclave und Microcode Blobs würde Niemand der etwas von seinem Job versteht sagen, dass Manipulation nicht möglich ist.

tut auch niemand, "Unmöglich" hatte ich nirgends geschrieben. "Unmöglich" ist es aber eben bei der Briefwahl und selbst bei der Urnenwahl auch nicht. "Hinreichend aufwändig um unter realistischer Betrachtung als sicher zu gelten" wäre der richtige Terminus. Aber ich verstehe scheinbar ja auch mein Job nicht...

Erstens geht es hier nicht um die Bundestags- sondern eine Vereinswahl. Zweitens hat sich seit 2005 ein wenig die technische Grundlage verändert und sich dadurch völlig neue Mittel und Wege ergeben. Drittens gibt es selbstverständlich Möglichkeiten, digitale Abstimmungen vollumfänglich zu anonymisieren. Und viertens werden FOSS und Audits sogar bei Geheimhaltungsthemen auch höchster Ebene genutzt und da hat niemand auch nur im Ansatz ein Problem damit.

Mehr braucht man zu diesem Thema nicht mehr sagen, ich zumindest nicht.

VG,
Mad

 

[Piktogramm]

Hi,

das mag sein, das Bundesverfassungsgericht sollte aber vielleicht einfach mal schauen, ob sich seit 2005 (!) nicht vielleicht ein bisschen was getan hat in der Technik...

An der Problematik hat sich nichts geändert seitdem die (theoretischen) Grundlagen der Informationstechnologie formuliert wurden. Also vor meiner Geburt und wahrscheinlich sogar deiner..
Auch wenn du anscheinend nicht mehr magst, aber es wäre schon interessant, was sich da so fundamental geändert haben sollte.

Abgesehen davon, dass es auf der DefCon und vergleichbaren Veranstaltung mittlerweile Freizeitsport geworden ist, Wahlcomputer zu hacken (weil vergleichsweise simpel)
https://defcon.org/images/defcon-25/DEF CON 25 voting village report.pdf
https://www.youtube.com/results?search_query=def+con+voting+village

falls das auf mich gemünzt sein sollte stelle ich dem einfach mal deine allumfassende Aussage

Beweisführung läuft anders. Man kann beweisen, dass Etwas ist, aber nicht dass Etwas nicht ist. Übertragen kann nachgewiesen werden, dass es Lücken/unerwünschte Funktionen gibt. Jedoch kann man das Nichtvorhandensein entsprechender Fehler nicht allgemeingültig widerlegen. Es kann nur nachgewiesen werden, dass ausführlich danach gesucht wurde.

tut auch niemand, "Unmöglich" hatte ich nirgends geschrieben. "Unmöglich" ist es aber eben bei der Briefwahl und selbst bei der Urnenwahl auch nicht. "Hinreichend aufwändig um unter realistischer Betrachtung als sicher zu gelten" wäre der richtige Terminus. Aber ich verstehe scheinbar ja auch mein Job nicht...

Keine Ahnung was dein Job ist..
Die analoge Wahl ist durch jeden Wähler nachvollziehbar(!) und durch Anwesenheit in der Regel kontrollierbar(!). Diese Grundsätze werden bei digitalen Mitteln grundlegend verletzt. Siehe Urteil vom BVerfG. Zudem ein systematischer, landesweiter Betrug durch diese Prinzipien recht schwer ist. Im Gegensatz zu digitalem Einsatz, wo kritische Punkte des Verfahrens unter der Kontrolle sehr weniger Personen liegt.

Erstens geht es hier nicht um die Bundestags- sondern eine Vereinswahl.

Wahlgrundsätze gelten in der Regel für alle Wahlen, für die Gesetze Wahlen vorsehen, ohne dass sich explizit auf die Wahlgrundsätze bezogen wird. Da zählt in der Regel der Grundsatz, dass nicht zählt was der Gesetzgeber geschrieben hat, sondern was er beabsichtigt hat. Da unterstellen Gerichte in aller Regel, dass wenn der Gesetzgeber "Wahlen" schreibt grundsätzlich demokratische Wahlen im Sinne des (Bundes-)Wahlrechts vorsieht.

Drittens gibt es selbstverständlich Möglichkeiten, digitale Abstimmungen vollumfänglich zu anonymisieren.

Wenn du da Wege kennst, die vor Gericht und Gutachtern bestand haben kannst du dir eine Goldene Nase verdienen. Also leg bitte los!
Im Zweifelsfall ist es gut für die Branche, jedes Gutachten spült Geld in die Kassen

Und viertens werden FOSS und Audits sogar bei Geheimhaltungsthemen auch höchster Ebene genutzt und da hat niemand auch nur im Ansatz ein Problem damit.

Die haben in der Regel auch völlig andere Ansprüche als das Wahlrecht und BVerfG formulieren. Selbst die DSGVO ändert daran wenig, die schreibt bewusst vor, dass an vielen Stellen eine Pseudoanonymisierung reicht, eben weil eine echte Anonymisierung unter Beibehaltung von Nutzwert der Daten nahezu unmöglich ist.

 

[cumulonimbus8]

Hach, wie süß…

Fall A - ein Benutzer ruft ein offenes Portal auf. Dann kann er abstimmen so oft wie er will (IP ist Unfug!)
Fall B - es muss eine ID geben, der Benutzer ist eingeladen worden (besagte Vereinsmitglieder) mit einem Link samt ID (oder Token).

Im Fall B kann ein Programm das nicht beeinflussbar ist n Tokens erzugen [m.E. nach einer zufälligen Liste entnehmen und verteilen] und diese zufällig auf die n anzuschreibenden Mitglieder versenden. Die Umfragesoftware kennt die Liste um gültige Anmeldungen zu erkennen, aber nirgends ist hinterlegt wie es verteilt wurde [RAM-Disk etwa].

Anderes sehe ich nicht, aus gewissen Gründen heraus.

CN8