Bundeslade – Bundeskiste

Gestern gab es im „Dicken Engel“ eine Disskussion zum Thema Bundeskiste (Bundeslade)

Vorab: Wer nicht weiß, was die Bundeskiste ist, eine kurze Zusammenfassung:

Das Problem:
In unserer Mitgliederdatenbank sind mehr als 30.000 Datensätze. Jedoch können wir nicht feststellen, ob all diese Datensätze unserer Satzung genügen.
Die Satzung schreibt vor, dass nur natürliche Personen ab 16 Jahren mit einer deutschen Staatsangehörigkeit oder wohnhaft in Deutschland Mitglied sein können.
Die aufnehmenden Gliederungen können das bei der Bearbeitung der Mitgliedsanträge nicht feststellen – erst recht nicht bei Online-Mitgliedsanträgen.
Auch die Bezahlung des Mitgliedsbeitrags ist für die Feststellung oben genannter Merkmale kein hinreichender Fakt.

Wir können also davon ausgehen, dass ein gewisser Prozentsatz an Daten sogenannte Sockenpuppen sind – sprich, hinter dem Mitgliedsdatensatz steht keine natürliche Person.
Ist natürlich die Frage, warum man so etwas machen sollte: Naja, wir verwenden zur innerparteilichen Meinungsbildung Onlinetools, für die jedes Mitglied einen Account bekommt.

Jetzt könnte ich mir für den Preis von je 12 Euro (verringerter Beitrag) weitere Accounts in den Meinungsbildungswerkzeugen kaufen und so mein Stimmgewicht erhöhen. Schon mit 20 Accounts könnte ich die eine oder andere LiquidFeedback-Initiative kippen oder durchwinken. In den via Limesurvey durchgeführten Umfragen ist die Beteiligungsrate wesentlich höher – ich müsste also wesentlich mehr Stimmen „kaufen“ um eine Abstimmung in eine Richtung zu manipulieren.

Die Lösung:
Die „Erfinder“ der #bundeslade schlagen die Einführung eines Systems vor, mit dessen Hilfe die Mitgliederdatensätze verifiziert werden sollen, um die Sockenpuppen aufzudecken. Ich will mich aber nicht in den technischen Details verlieren, daher nur ganz kurz: Das zu schaffende System beinhaltet Hash-Werte über Vor- und Nachname, Geburtsdatum sowie ggf. bei Doppelungen auch der Anschrift.

Will sich ein Pirat verifizieren lassen, geht er zu einen „Verifizierungspiraten“ und legt seinen Ausweis odgl. vor. Der Verifizierungspirat gibt die Daten in eine Onlinemaske ein und das System bildet wieder einen Hashwert über die eingegebenen Daten. Dann wird geprüft, ob es diesen Hash auch in der Bundeskiste gibt. Wenn ja: Glückwunsch, der Pirat ist verifiziert. Wenn nein: Dann muss der Pirat zu seiner Mitgliederverwaltung gehen um zu schauen, was faul ist.

Wer sich für die Details interessiert, schaut bitte in die Anträge:
https://lqfb.piratenpartei.de/lf/initiative/show/3909.html
https://lqfb.piratenpartei.de/lf/initiative/show/3911.html

Die Bundeskiste ist damit ein erster Schritt hin zu einer ständigen (Online-) Mitgliederversammlung (die ich nicht ablehne) – die Antragsteller wollen sicher gehen, dass nur Piraten laut Satzung (siehe oben) daran teilnehmen können.

Hier ist schon der erste Fehler, den die Antragsteller machen: Online-Meinungsbildungstools können eben nur der Meinungsbildung dienen. Nicht mehr und nicht weniger. Durch diese Tools werden Tendenzen sichtbar und sie geben wertvolle Informationen zurück an Vorstände und Mandatsträger. Harte Entscheidungen über Programm, Satzung und Vorstände können aber nur real, physisch gefällt werden. Zum Thema Wahlcomputer und Minderheitenschutz wurde schon viel geschrieben – das spare ich mir an dieser Stelle.

Nun zu den beiden Anträgen, die der Bundesvorstand voreilig angenommen hat. Wir müssen zwei Aspekte trennen, die Idee und die vorgeschlagene technische Realisierung:

Die technische Umsetzung:
Die Bundeskiste kann nichts, was mit der aktuellen Mitgliederverwaltung nicht auch abgedeckt werden kann.
Die Bundeskiste muss den gleichen Sicherheitsanforderungen gerecht werden wie die Mitgliederverwaltung!
Warum? Gehashte Daten über einen überschaubaren Zeichenraum liegen de facto im Klartext vor. Die Anzahl der Kombinationen aus Namen, Vornamen, Geburtsdaten und Adressen ist überschaubar. Mit der uns aktuell zur Verfügung stehenden Rechenleistung können relativ schnell Kollisionen hervorgerufen und somit Rückschlüsse auf die Echtdaten gezogen werden. Der verwendete Hashalgorithmus spielt dabei auch keine Rolle.
Wer mehr dazu wissen will: http://de.wikipedia.org/wiki/Geburtstagsparadoxon#Bedeutung_in_der_Kryptographie und hier http://de.wikipedia.org/wiki/Geburtstagsangriff#Geburtstagsangriff

Wenn also jemand an die Datenbank mit den Hashwerte gelangt, kann er über kurz oder lang daraus eine Mitgliederliste der Piratenpartei erzeugen.
Daraus schlussfolgernd können wir also genauso gut ein weiteres Feld in der bestehenden Mitgliederverwaltung hinzufügen, um die durchgeführte Validierung eines Mitglieds zu hinterlegen. Zugriff haben dann nur Schatzmeister und Genseks bzw. ihre Beauftragten, die sowieso auf die Daten ihrer Mitglieder zugreifen können. Alternativ kann auch eine Rolle angelegt werden, die nur die relevanten Mitgliederinformationen sehen kann. Diese Rollen können dann die „Verifizierungspiraten“ bekommen um die Genseks zu entlasten. Mit diesem Vorgehen müssen keine Daten die Mitgliederverwaltung in Richtung einer zweiten Datensammelstelle verlassen. Der Anwenderkreis der Validatoren wird zwar eingekreist – aber mit hoher Sicherheit geht auch immer ein bisschen Komfort verloren. Zusätzlich stellt sich die Frage, wie die Zuordnung des Faktes „Hash1 wurde validiert“ wieder zurück in die Mitgliederverwaltung gespielt wird, wenn betroffenes Mitglied zwischenzeitlich umzieht odgl. Dann ergibt sich ein neuer Hash und die Validierung ist nicht vermerkbar. Weiterhin gibt es aktuell keinen Zweck für die Bundeskiste und die Verarbeitung personenbezogener Daten ohne Zweck ist abzulehnen. Auch wenn in Zukunft ein Zweck existieren könnte – z.B. nach Beschluss des BPT für eine ständige Mitgliederversammlung – besteht keine Legitimation für eine vorherige Datenverarbeitung. Die Argumente, die wir bei der VDS oder QuickFreeze usw. anführen, scheinen den Befürwortern der #bundeskiste entfallen zu sein.

Die technische Seite ist das eine Problem. Das ließe sich alles irgendwie auch so lösen und hinbiegen, dass es kein Problem gibt. Das führt mich zum zweiten Teilaspekt:

Das Vorhaben als solches:
So sollen wohl in Vorbereitung verbindlicher Onlineabstimmungen die Mitglieder in „verifiziert“ und „nicht verifiziert“ unterteilt werden, wobei nur erste Zugang zu einem Onlineabstimmungssystem bekommen werden.
Das Abgleichen der Daten soll auf den eh schon stattfindenden Events (Parteitag, Crewtreffen, Stammtisch usw.) stattfinden.

Das schließt schon einmal 2 Gruppen von Piraten von der Verifizierung aus. Die über 350 Auslandspiraten (teilweise in Ostasien usw.) können nicht einfach mal zum Kreisparteitag XYZ vorbeikommen. Gleiches gilt für schwer körperlich Behinderte, die nur einen extrem kleinen Bewegungsradius haben. Die beiden Gruppen von Piraten sind aktuell froh, dass Sie sich aktiv an einer Demokratie durch die Teilnahme an den Meinungsbildungsprozessen der Piratenpartei beteiligen können.

Diese Möglichkeit soll ihnen genommen werden? Piraten 2. Klasse entstehen. Sie bezahlen ihren Mitgliedsbeitrag und spenden sicher auch hin und wieder, aber die Teilnahme an LQFB soll ihnen verwehrt bleiben?

Und dann gibt es noch die Piraten, die eben nicht ihren Ausweis jemanden in die Hand drücken wollen und auch schon jetzt der Verwendung ihrer Daten zum Zweck der Bundeskiste bei Ihrem Vorstand widersprochen haben. Zur Verwaltungskonferenz in Frankfurt sagte da jemand: „Die sollen halt austreten“. Ahh ja. Setzen, 6.

Das Argument, dass es in einigen Untergliederungen schon eine ständige Mitgliederversammlung gibt oder bald geben wird, zieht auch nicht. Dann sollen die Untergliederungen das vorgeschlagene Verfahren lokal anwenden, aber nicht über alle Datensätze der Bundespartei. Damit hätten wir auch ein Testszenario schon realisiert, falls ein Anwendungsfall auf Bundesebene irgendwann bestehen sollte.

Fazit:
Ich habe jetzt meinen Senf dazu geschrieben und ihr erwartet bestimmt auch Lösungsvorschläge (meine Wurst). Könnt ihr haben: #Bundeskiste einstampfen, Idee verwerfen und Online-Meinungsbilder als das werten, was sie sind – nützliche Indizien, aber eben keine verbindlichen Abstimmungen. Dann jucken die Sockenpuppen einfach niemanden. Jetzt hör‘ ich den ersten schon schreien: „Wir wollen aber mit der ständigen Online-Mitgliederversammlung ein Delegiertensystem verhindern“. Schön, dafür schafft ihr ein Privilegiertensystem. Kümmert euch lieber um dezentrale Parteitage, um ein Delegiertensystem zu verhindern. Ach ja, habe ich schon erwähnt, dass wir Wahlcomputer ablehnen?