Categories
Wissenswertes

Wie sicher sind Online-Votings? Ein Erklärungsversuch.

Codierung in Form eines Totenkopfes

Die folgenden Fragen hören wir fast täglich:

„Kann man bei Abstimmungen von Pinpoll betrügen?“

„Wie stellt ihr sicher, dass man nur einmal abstimmen kann?“

„Bei meiner Abstimmung hat eine Antwort innerhalb kurzer Zeit viele Stimmen bekommen – wie kann das sein?“

Die kurze Antwort darauf: Ein sicheres, anonymes Online-Voting ist ein Paradebeispiel für ein Oxymoron – „sicher“ und „anonym“ schließen sich per Definition aus.

In den Schlagzeilen

Wir werden nicht selten damit konfrontiert, dass Menschen in sozialen Medien zur Manipulation der Online-Votings unserer Kunden aufrufen. Nicht etwa, um das Ergebnis zu ihren Gunsten zu beeinflussen, sondern vielmehr um zu beweisen, dass anonyme Online-Votings nicht geeignet sind, um ein repräsentatives Meinungsbild zu ermitteln. Manche stellen sogar Programme bereit, die eine Manipulation erleichtern sollen. Unseren Kollegen von Opinary wurde gar ein eigener Artikel gewidmet.

Leute, es hat nie jemand behauptet, dass es sich um ein repräsentatives Voting handelt. Die Menschen lieben es einfach ihre Meinung abzugeben und zu sehen, was andere denken. Jedes Ergebnis sollte dabei kritisch hinterfragt werden und gut ist.

Dann gibt es wiederum diejenigen, die mit technischem Halbwissen versuchen uns zu erklären, wie schlecht unsere Betrugsprävention programmiert wurde. „Warum erlaubt ihr nicht einfach nur eine Stimme pro IP-Adresse?“. Ähm, nein, so läuft das einfach nicht in Zeiten von Großraumbüros und kostenlosen VPNs. Dieser Personenkreis schickt uns auch gerne Videos, die zeigen, wie sie minutenlang die IP-Adresse wechseln, die Cookies im Browser löschen und eine weitere Stimme abgeben. Das amüsiert uns in vielerlei Hinsicht. Habt ihr nichts anderes zu tun? Und glaubt ihr wirklich, dass jede Stimme zählt, nur weil dies in eurem Browser so dargestellt wird?

Und dann mischt sich ein weiterer Personenkreis hinzu: die „mündigen und selbstbestimmten Bürger“. Das Ergebnis jeder Abstimmung, vor allem wenn es um Corona, Impfen oder Einschränkungen der „persönlichen Freiheit“ geht, wird angezweifelt. Das geht sogar soweit, dass unsere Mitarbeiter angerufen und beschimpft werden. Es wird gedroht, mit „Beweisen“ zur BILD zu gehen, wenn wir nicht endlich unsere Arbeit machen. Stimmt, wir könnten die Stimmabgabe ja eigentlich auf einmal pro IP-Adresse beschränken 😉

Somit kommen wir auch schon zum Kern des Problems: Diese drei Personenkreise würden sich auch dann beschweren, wenn wir mit allen technisch möglichen Mitteln versuchen würden, eine Manipulation zu unterbinden. Warum? Weil dies nur durch ein massives Aufweichen des Datenschutzes möglich wäre.

Datenschutz vs. Betrugsprävention

Es gibt einen guten Grund, warum bei öffentlichen Wahlen eine Pflicht zur persönlichen Legitimation herrscht: Nur wenn ich weiß, wer seine Stimme bereits abgeben hat, kann ich eine erneute Stimmabgabe dieser Person verhindern. Bei unseren Votings herrscht hingegen keine „Ausweispflicht“. Wir müssen daher andere Wege finden, damit wir uns merken, wer bereits abgestimmt hat. Dieses Gedächtnis kann etwa durch Setzen eines Cookies simuliert werden. Auch der Datenschutz wird dabei eingehalten, sofern der Nutzer dem Setzen des Cookies, das in diesem Falle technisch erforderlich ist und nicht zum Tracking dient, zustimmt. Nun ist es aber ein Leichtes, ein Cookie wieder zu löschen, um erneut abstimmen zu können. Ab diesem Moment stellt sich dann allerdings die Frage, wer nun der Bösewicht ist: der Anbieter einer datenschutzkonformen Voting-Lösung oder der Teilnehmer, der vorsätzlich manipuliert?

Fingerprinting

Damit es gar nicht erst zur Manipulation kommt, hatten wir bis vor einigen Monaten die Technik des Fingerprintings im Einsatz. Dabei wurde ein „Fingerabdruck“ verschlüsselt in unserer Datenbank gespeichert, der für jeden Browser einzigartig ist. Natürlich kann auch dieser maschinell immer wieder neu generiert werden, das erfordert allerdings schon deutlich mehr technisches Wissen als jenes, das zum Löschen eines Cookies notwendig ist.

Diese Methode hatte allerdings einen gravierenden Nachteil: Firefox bzw. deren Dienstleister Disconnect hat Pinpoll blockiert, da wir Fingerprinting nutzen und man angenommen hatte, dass dies zum Tracking erfolgt, obwohl es rein der Betrugsprävention dienen sollte. Wir wurden mit Beschwerden überschüttet, sowohl von Kunden als auch von Teilnehmern, da eine Stimmabgabe in Firefox nicht mehr möglich war. Und daran erkennt man schon das Dilemma: einerseits will man am Voting teilnehmen, andererseits aber anonym bleiben. Wir haben uns nach langem Hin und Her dazu entschieden, auf Fingerprinting im Sinne des Datenschutzes zu verzichten, die Anonymität der Teilnehmer somit zu wahren und eine Teilnahme in Firefox grundsätzlich zu ermöglichen. Es dürfen nicht 99,99 % der Menschen mit Maßnahmen „bestraft“ werden, die zum Bekämpfen der verbleibenden 0,01 % dienen.

Fazit

Letztendlich hat sich folgende Situation ergeben: Aktivieren unsere Kunden keine zusätzlichen Mechanismen (siehe nächsten Abschnitt), dann bekommt jene Antwort die meisten Stimmen, deren Anhänger sich die Mühe machen, so oft wie möglich abzustimmen. Das kostet Zeit und zeugt daher irgendwie auch von einer „stärkeren“ Unterstützung für eine bestimmte Antwort.

Derselbe Effekt tritt im Übrigen auch dann ein, wenn eine große Fangemeinde für eine bestimmte Antwort die Werbetrommel rührt. Es entscheidet dann nicht die „beste“ Option das Rennen für sich, sondern die Anzahl der Stimmen. Für Awards & Co. empfehlen wir daher immer, das Endergebnis aus Publikums- und Jury-Voting zu kombinieren, gewichtet nach Priorität.

Sechs Vorschläge zur Absicherung

Um Online-Votings trotz hoher Anforderungen an den Datenschutz der Teilnehmer möglichst sicher und fair abzuwickeln – vor allem, wenn es auch etwas zu gewinnen gibt – bieten wir unseren Kunden mehrere Möglichkeiten mit unterschiedlicher Wirkung und Preisgestaltung an:

  1. SMS-Bestätigung
    Damit eine Stimme zählt, muss diese mittels Pin-Code bestätigt werden, der per SMS zugestellt wird.

    + höchster Schutz gegen manuellen Betrug sowie gegen Bots
    ~ erfordert eine Aktivierung unserer SMS-Bestätigung im Dashboard.
    – verursacht zusätzliche Kosten

  2. Geofencing
    Damit eine Stimme zählt, muss die Stimmabgabe innerhalb eines bestimmten Landes erfolgen. Die Liste der erlaubten Länder wird vom Kunden bekanntgegeben, z.B. nur DE + AT + CH.

    + günstig
    ~ mittlerer Schutz gegen manuellen Betrug sowie gegen Bots

  3. Google reCaptcha v2/v3
    Damit die Stimme gezählt wird, muss bei reCaptcha v2 ein Bildrätsel gelöst werden. Bei reCaptcha v3 erfolgt die Bot-Erkennung im Hintergrund ohne Zutun des Nutzers (z.B. auf Basis von Mausbewegungen etc.).

    ~ mittlerer Schutz, nur gegen Bots
    – schlechteres Nutzererlebnis bei reCaptcha v2
    – erfordert Regelung des Datenschutzes mit Drittanbieter (Google)

  4. IP-Throttling
    Innerhalb eines bestimmten Zeitraums erlauben wir nur eine bestimmte Anzahl von Stimmen pro IP-Adresse (also doch 😉 ).

    + standardmäßig aktiv
    ~ mittlerer Schutz gegen manuellen Betrug sowie gegen Bots

  5. Auswertung im Nachhinein
    Das aktuelle Ergebnis wird zunächst ausgeblendet und die E-Mail-Adresse des Teilnehmers abgefragt. Stimmen zählen nur, wenn eine gültige E-Mail-Adresse genannt wurde. Das Ergebnis wird nach Auswertung der E-Mail-Adressen bekanntgegeben.

    + hoher Schutz
    + geringe Kosten
    – höherer Aufwand für den Kunden

  6. Shuffle von Fragen und Antworten
    Bots sind darauf trainiert wiederholt denselben Befehl auszuführen. Wenn die Fragen und Antworten jedoch bei jedem Aufruf immer wieder neu durchgemischt werden, erschwert es die Manipulation von spezifischen Antwortmöglichkeiten, zumindest für Klick-Bots und Menschen, die manuell immer wieder abstimmen möchten.

    + hoher Schutz gegen Klick-Bots
    ~ mittlerer Schutz gegen Manipulation durch Menschen
    – geringer Schutz gegen API-Bots

    Dafür ist nur ein kleiner Zusatz im Code notwendig:
    • Quiz: <div data-pinpoll-id=“xxxxxx“ data-mode=“quiz“ random-questions=“true“ random-answers=“true“></div>
    • Abstimmung: (mit mehr als 1 Frage und mehr als 2 Antworten) <div data-pinpoll-id=“xxxxxx“ data-mode=“poll“ random-answers random-questions></div>

Diese Mechanismen können natürlich beliebig kombiniert werden, wodurch das Schutzniveau auf Kosten des Nutzererlebnisses steigt.

Am Ende eines Votings führen wir auf Wunsch auch gerne ein umfangreiches Audit durch, um Muster zu erkennen, die auf einen Betrug schließen lassen. Ungültige Stimmen können somit im Nachhinein bereinigt werden. Diese Möglichkeit der Korrektur sollte allen Teilnehmern aber tunlichst vorab kommuniziert werden. Generell empfehlen wir die Kommunikation von Nutzungsbedingungen für Votings.

Unser Kunde Falstaff macht dies bei folgendem Voting perfekt: https://www.falstaff.com/at/news/voting-stimmen-sie-jetzt-fuer-ihr-liebstes-ausflugs-und-panoramalokal-in-oesterreich-ab