1.Onvoldoende kwaliteit in open source software

Voor het stemmen via internet werd het Rijnland Internet Election System of kortweg RIES geschreven. De bedoeling was om dit uiteindelijk open-sourcesoftware te maken om daarmee te zorgen voor kwalitatief goede software.

Echter toen de programmatuur uiteindelijk bij de Stichting Wij Vertrouwen Stemcomputers Niet kwam, bleek het een parade van beveiligingslekken. Zo was het mogelijk SQL-injecties en XSS-aanvallen uit te voeren.

Ook was een oordeel van Fox-IT vernietigend over de mogelijkheid om valse stemcodes te genereren en het stemgeheim te kraken. Daarbij keek het onderzoek alleen naar de applicatie en niet naar de technische omgeving er omheen.

Dat het systeem beroerd was bleek al voor publicatie van het rapport, want toen werd het door Staatssecretaris Tineke Huizinga naar de digitale vuilnisbelt gestuurd.

2. Achterhalen stemmen verkiezingen Tweede Kamer

Het RIES is ingezet bij de laatste Tweede Kamer-verkiezingen en gebruikt door zo'n 20.000 kiezers. Zoals uit het onderzoek van Fox-IT bleek, is het mogelijk dat de politieke voorkeuren van die Nederlanders in het bezit van kwaadwillenden zijn.

In een eerdere reactie lieten de Waterschappen al weten geen aanwijzingen te hebben dat er daadwerkelijk misbruik is gemaakt van het systeem, maar in een digitale wereld is zoiets natuurlijk nooit zeker.

3. Waarschuwingen van gerenommeerde cryptografen negeren

De Waterschappen hebben in aanloop naar de rechtszaak van 3 november aangegeven zich geen zorgen te maken over het stemgeheim en de zaak "dan ook met vertrouwen tegemoet te zien". Als een van de verweren geven ze aan dat de resultaten in een bestand worden bewaard dat beschermd is met een 1024-bit RSA-versleuteling.

Ron Rivest, de R uit diezelfde RSA-versleuteling, is er heel stellig over dat die bescherming onvoldoende voor het bewaren van verkiezingsuitslagen, omdat de bescherming dan tot ongeveer 2010 is gewaarborgd. Het gebruik van 3072-bits versleuteling zou de bescherming tot tenminste 2030 moeten oprekken. De website keylength legt dit soort zaken aan de hand van geldende standaarden uit.

Onderzoekers aan de Universiteit van Eindhoven verwachten dat ook dat het ontcijferen van beter beschermde berichten snel kan gebeuren, zodra er kwantumcomputers zijn. Andere cryptografische experts bevestigen dat. Echter kan het nog wel tien jaar duren voordat die beschikbaar zijn.

4. Het gebruik van unieke codes op stembiljetten

De Waterschapsverkiezingen vinden niet plaats in het stemhokje, maar gaan via de post. Voor het stemmen per post bestaat in Nederland een beproefd systeem door een stembiljet in een enveloppe te doen en in de volgende enveloppe het bewijs te doen dat iemand mag stemmen. Door in twee rondes de post te verwerken, is het stemgeheim gewaarborgd.

De Waterschappen hebben die beveiliging ongedaan gemaakt door op het stembiljet een unieke code te drukken. Hierdoor is iedereen in theorie identificeerbaar. Volgens de stichting Wij Vertrouwen Stemcomputers Niet is dat tegen de grondwet en daarom stapten zij naar de rechter.

De Waterschappen in een reactie erkent dat het in theorie wel mogelijk is dat het stemgeheim wordt doorbroken, maar zegt dat "slechts enkele medewerkers, verspreid over verschillende partijen, de beschikking over een deel van de informatie." Voor misbruik moeten medewerkers samenspannen.

5. Problemen worden uitvergroot door invoering partijensysteem

De problemen met het stemmen via internet zorgen ervoor dat er alsnog op papier wordt gestemd. De briefjes waren al omstreden, maar door een verandering in het systeem wordt de kritiek van de actiegroep alleen maar luider.

Bij de vorige verkiezingen werd op personen gestemd en nu op politieke partijen. De tegenstanders vrezen nu dat door die verandering het mogelijk is de politieke kleur van kiezers te achterhalen en daardoor vinden ze de situatie ernstiger geworden.

Als komende maand de verkiezingen door kunnen gaan dan is de situatie compleet anders dan bij de vorige verkiezingen. Daardoor is ook in beveiligingstermen het risicoprofiel veranderd. Ondertussen blijft het systeem hetzelfde.

Webwereld vroeg ook een reactie op de vijf punten aan de Waterschappen, maar die wilden niet inhoudelijk reageren. "Wij hebben alle vertrouwen in het systeem voor het stemmen en we kijken dan ook vol vertrouwen naar de rechtszaak. Daar houden we het eventjes bij", aldus een woordvoerster.