{"id":258,"date":"2020-09-22T11:35:26","date_gmt":"2020-09-22T09:35:26","guid":{"rendered":"https:\/\/pinpoll-magazine-linux.azurewebsites.net\/?p=258"},"modified":"2023-09-12T15:22:47","modified_gmt":"2023-09-12T13:22:47","slug":"about-the-security-of-online-votings-an-attempt-to-explain","status":"publish","type":"post","link":"https:\/\/pinpoll-magazine-linux.azurewebsites.net\/de\/about-the-security-of-online-votings-an-attempt-to-explain\/","title":{"rendered":"Wie sicher sind Online-Votings? Ein Erkl\u00e4rungsversuch."},"content":{"rendered":"\n

Die folgenden Fragen h\u00f6ren wir fast t\u00e4glich:<\/p>\n\n\n\n

\n

\u201eKann man bei Abstimmungen von Pinpoll betr\u00fcgen?\u201c<\/em><\/p>\n<\/blockquote>\n\n\n\n

\n

\u201eWie stellt ihr sicher, dass man nur einmal abstimmen kann?\u201c<\/em><\/p>\n<\/blockquote>\n\n\n\n

\n

\u201eBei meiner Abstimmung hat eine Antwort innerhalb kurzer Zeit viele Stimmen bekommen \u2013 wie kann das sein?\u201c<\/em><\/p>\n<\/blockquote>\n\n\n\n

Die kurze Antwort darauf: Ein sicheres, anonymes Online-Voting ist ein Paradebeispiel f\u00fcr ein Oxymoron<\/a> \u2013 \u201esicher\u201c und \u201eanonym\u201c schlie\u00dfen sich per Definition aus.<\/p>\n\n\n\n

In den Schlagzeilen<\/h3>\n\n\n\n

Wir werden nicht selten damit konfrontiert, dass Menschen in sozialen Medien zur Manipulation der Online-Votings unserer Kunden aufrufen<\/a>. Nicht etwa, um das Ergebnis zu ihren Gunsten zu beeinflussen, sondern vielmehr um zu beweisen, dass anonyme Online-Votings nicht geeignet sind, um ein repr\u00e4sentatives Meinungsbild zu ermitteln. Manche stellen sogar Programme<\/a> bereit, die eine Manipulation erleichtern sollen. Unseren Kollegen von Opinary wurde gar ein eigener Artikel<\/a> gewidmet.<\/p>\n\n\n\n

Leute, es hat nie jemand behauptet, dass es sich um ein repr\u00e4sentatives Voting handelt. Die Menschen lieben es einfach ihre Meinung abzugeben und zu sehen, was andere denken. Jedes Ergebnis sollte dabei kritisch hinterfragt werden und gut ist.<\/p>\n\n\n\n

Dann gibt es wiederum diejenigen, die mit technischem Halbwissen versuchen uns zu erkl\u00e4ren, wie schlecht unsere Betrugspr\u00e4vention programmiert wurde. \u201eWarum erlaubt ihr nicht einfach nur eine Stimme pro IP-Adresse?\u201c. \u00c4hm, nein, so l\u00e4uft das einfach nicht in Zeiten von Gro\u00dfraumb\u00fcros und kostenlosen VPNs. Dieser Personenkreis schickt uns auch gerne Videos, die zeigen, wie sie minutenlang die IP-Adresse wechseln, die Cookies im Browser l\u00f6schen und eine weitere Stimme abgeben. Das am\u00fcsiert uns in vielerlei Hinsicht. Habt ihr nichts anderes zu tun? Und glaubt ihr wirklich, dass jede Stimme z\u00e4hlt, nur weil dies in eurem Browser so dargestellt wird?<\/p>\n\n\n\n

Und dann mischt sich ein weiterer Personenkreis hinzu: die \u201em\u00fcndigen und selbstbestimmten B\u00fcrger\u201c. Das Ergebnis jeder Abstimmung, vor allem wenn es um Corona, Impfen oder Einschr\u00e4nkungen der \u201epers\u00f6nlichen Freiheit\u201c geht, wird angezweifelt. Das geht sogar soweit, dass unsere Mitarbeiter angerufen und beschimpft werden. Es wird gedroht, mit \u201eBeweisen\u201c zur BILD zu gehen, wenn wir nicht endlich unsere Arbeit machen. Stimmt, wir k\u00f6nnten die Stimmabgabe ja eigentlich auf einmal pro IP-Adresse beschr\u00e4nken \ud83d\ude09<\/p>\n\n\n\n

Somit kommen wir auch schon zum Kern des Problems: Diese drei Personenkreise w\u00fcrden sich auch dann beschweren, wenn wir mit allen technisch m\u00f6glichen Mitteln versuchen w\u00fcrden, eine Manipulation zu unterbinden. Warum? Weil dies nur durch ein massives Aufweichen des Datenschutzes m\u00f6glich w\u00e4re.<\/p>\n\n\n\n

Datenschutz vs. Betrugspr\u00e4vention<\/h3>\n\n\n\n

Es gibt einen guten Grund, warum bei \u00f6ffentlichen Wahlen eine Pflicht zur pers\u00f6nlichen Legitimation herrscht: Nur wenn ich wei\u00df, wer seine Stimme bereits abgeben hat, kann ich eine erneute Stimmabgabe dieser Person verhindern. Bei unseren Votings herrscht hingegen keine \u201eAusweispflicht\u201c. Wir m\u00fcssen daher andere Wege finden, damit wir uns merken, wer bereits abgestimmt hat. Dieses Ged\u00e4chtnis kann etwa durch Setzen eines Cookies simuliert werden. Auch der Datenschutz wird dabei eingehalten, sofern der Nutzer dem Setzen des Cookies, das in diesem Falle technisch erforderlich ist und nicht zum Tracking dient, zustimmt. Nun ist es aber ein Leichtes, ein Cookie wieder zu l\u00f6schen, um erneut abstimmen zu k\u00f6nnen. Ab diesem Moment stellt sich dann allerdings die Frage, wer nun der B\u00f6sewicht ist: der Anbieter einer datenschutzkonformen Voting-L\u00f6sung oder der Teilnehmer, der vors\u00e4tzlich manipuliert?<\/p>\n\n\n\n

Fingerprinting<\/h3>\n\n\n\n

Damit es gar nicht erst zur Manipulation kommt, hatten wir bis vor einigen Monaten die Technik des Fingerprintings im Einsatz. Dabei wurde ein \u201eFingerabdruck\u201c verschl\u00fcsselt in unserer Datenbank gespeichert, der f\u00fcr jeden Browser einzigartig ist. Nat\u00fcrlich kann auch dieser maschinell immer wieder neu generiert werden, das erfordert allerdings schon deutlich mehr technisches Wissen als jenes, das zum L\u00f6schen eines Cookies notwendig ist.<\/p>\n\n\n\n

Diese Methode hatte allerdings einen gravierenden Nachteil: Firefox bzw. deren Dienstleister Disconnect<\/a> hat Pinpoll blockiert, da wir Fingerprinting nutzen und man angenommen hatte, dass dies zum Tracking erfolgt, obwohl es rein der Betrugspr\u00e4vention dienen sollte. Wir wurden mit Beschwerden \u00fcbersch\u00fcttet, sowohl von Kunden als auch von Teilnehmern, da eine Stimmabgabe in Firefox nicht mehr m\u00f6glich war. Und daran erkennt man schon das Dilemma: einerseits will man am Voting teilnehmen, andererseits aber anonym bleiben. Wir haben uns nach langem Hin und Her dazu entschieden, auf Fingerprinting im Sinne des Datenschutzes zu verzichten, die Anonymit\u00e4t der Teilnehmer somit zu wahren und eine Teilnahme in Firefox grunds\u00e4tzlich zu erm\u00f6glichen. Es d\u00fcrfen nicht 99,99 % der Menschen mit Ma\u00dfnahmen \u201ebestraft\u201c werden, die zum Bek\u00e4mpfen der verbleibenden 0,01 % dienen.<\/p>\n\n\n\n

Fazit<\/h3>\n\n\n\n

Letztendlich hat sich folgende Situation ergeben: Aktivieren unsere Kunden keine zus\u00e4tzlichen Mechanismen (siehe n\u00e4chsten Abschnitt), dann bekommt jene Antwort die meisten Stimmen, deren Anh\u00e4nger sich die M\u00fche machen, so oft wie m\u00f6glich abzustimmen. Das kostet Zeit und zeugt daher irgendwie auch von einer \u201est\u00e4rkeren\u201c Unterst\u00fctzung f\u00fcr eine bestimmte Antwort.<\/p>\n\n\n\n

Derselbe Effekt tritt im \u00dcbrigen auch dann ein, wenn eine gro\u00dfe Fangemeinde f\u00fcr eine bestimmte Antwort die Werbetrommel r\u00fchrt. Es entscheidet dann nicht die \u201ebeste\u201c Option das Rennen f\u00fcr sich, sondern die Anzahl der Stimmen. F\u00fcr Awards & Co. empfehlen wir daher immer, das Endergebnis aus Publikums- und Jury-Voting zu kombinieren, gewichtet nach Priorit\u00e4t.<\/p>\n\n\n\n

Sechs Vorschl\u00e4ge zur Absicherung<\/h3>\n\n\n\n

Um Online-Votings trotz hoher Anforderungen an den Datenschutz der Teilnehmer m\u00f6glichst sicher und fair abzuwickeln \u2013 vor allem, wenn es auch etwas zu gewinnen gibt \u2013 bieten wir unseren Kunden mehrere M\u00f6glichkeiten mit unterschiedlicher Wirkung und Preisgestaltung an:<\/p>\n\n\n\n

    \n
  1. SMS-Best\u00e4tigung<\/strong>
    Damit eine Stimme z\u00e4hlt, muss diese mittels Pin-Code best\u00e4tigt werden, der per SMS zugestellt wird.

    + h\u00f6chster Schutz gegen manuellen Betrug sowie gegen Bots
    ~ erfordert eine Aktivierung unserer SMS-Best\u00e4tigung im Dashboard.
    – verursacht zus\u00e4tzliche Kosten

    <\/li>\n\n\n\n
  2. Geofencing<\/strong>
    Damit eine Stimme z\u00e4hlt, muss die Stimmabgabe innerhalb eines bestimmten Landes erfolgen. Die Liste der erlaubten L\u00e4nder wird vom Kunden bekanntgegeben, z.B. nur DE + AT + CH.

    + g\u00fcnstig
    ~ mittlerer Schutz gegen manuellen Betrug sowie gegen Bots

    <\/li>\n\n\n\n
  3. Google reCaptcha v2\/v3<\/strong>
    Damit die Stimme gez\u00e4hlt wird, muss bei reCaptcha v2 ein Bildr\u00e4tsel gel\u00f6st werden. Bei reCaptcha v3 erfolgt die Bot-Erkennung im Hintergrund ohne Zutun des Nutzers (z.B. auf Basis von Mausbewegungen etc.).

    ~ mittlerer Schutz, nur gegen Bots
    – schlechteres Nutzererlebnis bei reCaptcha v2
    – erfordert Regelung des Datenschutzes mit Drittanbieter (Google)

    <\/li>\n\n\n\n
  4. IP-Throttling<\/strong>
    Innerhalb eines bestimmten Zeitraums erlauben wir nur eine bestimmte Anzahl von Stimmen pro IP-Adresse (also doch \ud83d\ude09 ).

    + standardm\u00e4\u00dfig aktiv
    ~ mittlerer Schutz gegen manuellen Betrug sowie gegen Bots

    <\/li>\n\n\n\n
  5. Auswertung im Nachhinein
    <\/strong>Das aktuelle Ergebnis wird zun\u00e4chst ausgeblendet und die E-Mail-Adresse des Teilnehmers abgefragt. Stimmen z\u00e4hlen nur, wenn eine g\u00fcltige E-Mail-Adresse genannt wurde. Das Ergebnis wird nach Auswertung der E-Mail-Adressen bekanntgegeben.

    + hoher Schutz
    + geringe Kosten
    – h\u00f6herer Aufwand f\u00fcr den Kunden

    <\/li>\n\n\n\n
  6. Shuffle von Fragen und Antworten<\/strong>
    Bots sind darauf trainiert wiederholt denselben Befehl auszuf\u00fchren. Wenn die Fragen und Antworten jedoch bei jedem Aufruf immer wieder neu durchgemischt werden, erschwert es die Manipulation von spezifischen Antwortm\u00f6glichkeiten, zumindest f\u00fcr Klick-Bots und Menschen, die manuell immer wieder abstimmen m\u00f6chten.

    + hoher Schutz gegen Klick-Bots
    ~ mittlerer Schutz gegen Manipulation durch Menschen
    – geringer Schutz gegen API-Bots

    Daf\u00fcr ist nur ein kleiner Zusatz im Code notwendig:\n