E‑Voting? Muss (noch) nicht sein

Abstimmen und Wählen per Maus­klick soll die Demo­kratie auf den Stand des 2019 heben und besten­falls auch grad noch die Wahl­be­tei­li­gung erhöhen. Doch kann das E‑Voting über­haupt das halten, was es verspricht? Und wie sicher und sinn­voll ist die Verla­ge­rung des poli­ti­schen Souve­räns ins Netz über­haupt? Eine kriti­sche Annäherung. 
CC by Wikimedia.
(Symbolbild: Wikimedia)

Alle drei Monate kommt ein grosser, grauer Brief. Meist liegt er dann einige Wochen auf dem Küchen­tisch rum. Dann, kurz vor dem Abstim­mungs­wo­chen­ende, wird er mühsam hervor­ge­kramt, die farbigen Zettel werden ausge­füllt — und kurz vor der Brief­ka­sten­lee­rung wird das Couvert noch einge­worfen. Geschafft, Bürger­pflicht erfüllt.

Ist das nicht alles viel zu kompli­ziert? Schliess­lich können bereits heute die Steu­er­erklä­rung online ausge­füllt, Arzt­be­suche per Video­te­le­fonie abge­wickelt und die eigene Iden­tität online nach­ge­wiesen werden. Warum also nicht auch per Internet abstimmen? Diese Idee ist nicht neu. Sie heisst E‑Voting. Doch entgegen der sonstigen Digi­ta­li­sie­rungs­eu­phorie ist E‑Voting stark umstritten.

Klingt nach einer guten Idee

Beim E‑Voting soll das Internet als dritter Weg zur Stimm­ab­gabe einge­führt werden, neben der Brief­wahl und dem persön­li­chen Urnen­gang. Der Bund führt bereits seit 2004 Expe­ri­mente in verschie­denen Kantonen durch. Zurzeit laufen in zehn Kantonen solche Versuche. Wobei in fünf dieser Kantone das elek­tro­ni­sche Abstimmen Auslandschweizer*innen vorbe­halten ist.

Das Angebot wird rege genutzt. Bei den letzten Abstim­mungen vom 10. Februar 2019 konnten in diesen zehn Kantonen 120’000 Inland- und 100’000 Auslandschweizer*innen ihre Stimme elek­tro­nisch abgeben. Etwas weniger als 20 % machten vom E‑Voting Gebrauch und machten damit unge­fähr die Hälfte der einge­gan­genen Stimmen der insge­samt 220’000 Schweizer*innen aus. Die hohe Nach­frage nach E‑Voting bestä­tigt auch eine Befra­gung des Bundes von 2019. Laut dieser wünschen sich 68 % der Schweizer*innen die Einfüh­rung. Des Weiteren gaben 47 % der Befragten an, dass sie mit E‑Voting häufiger an Abstim­mungen und Wahlen teil­nehmen würden. Neben einer erhöhten Stimm­be­tei­li­gung soll durch E‑Voting die Barrie­re­frei­heit an Abstim­mungen gewähr­lei­stet werden. So soll es durch E‑Voting Menschen mit Behin­de­rung ermög­licht werden, autonom an Wahlen und Abstim­mungen teil­zu­nehmen. Und als Zücker­chen kommt hinzu: Die noto­risch aufwän­dige direkte Demo­kratie der Schweiz soll durch die Digi­ta­li­sie­rung effi­zi­enter und günstiger werden.

Trotzdem wurde im Januar eine Volks­in­itia­tive für ein E‑Vo­ting-Mora­to­rium lanciert. Sie verlangt, dass die Einfüh­rung der elek­tro­ni­schen Stimm­ab­gabe um minde­stens fünf Jahre verzö­gert wird. Weiter möchte die Initia­tive hohe Hürden für die Einfüh­rung eines E‑Vo­ting-Systems nach Ablauf dieser Frist setzen. Die Kritiker*innen, welche die Initia­tive lanciert haben, monieren einer­seits, dass die Auswer­tungen der bishe­rigen Test­be­triebe der Annahme wider­spre­chen würden, E‑Voting führe zu einer erhöhten Stimm­be­tei­li­gung. Zu dieser Erkenntnis kommt auch der Bericht des Bundes­rates zu Vote élec­tro­nique 2013. Der Wider­stand ergibt sich aber vor allem wegen Sicher­heits­be­denken. Zu Recht, wie die Geschichten der beiden E‑Vo­ting-Systeme zeigen, die heute in der Schweiz im Einsatz sind.

Der Kanton Genf scheitert...

Bereits 2001 startet der Kanton Genf ein Projekt zur Einfüh­rung eines E‑Vo­ting-Systems. Unter dem Namen „CHVote“ kommt die Platt­form zwei Jahre später ein erstes Mal zum Einsatz. Eine Pionier­ar­beit und Erfolgs­ge­schichte, die national und inter­na­tional Wellen schlägt. In der Schweiz wird CHVote mitt­ler­weile in fünf weiteren Kantonen eingesetzt.

Laut dem Kanton Genf sei die Platt­form zugäng­li­cher, benut­zer­freund­li­cher und sicherer als die persön­liche Wahl an der Urne und die Brief­wahl. Dank CHVote könne das Stimm­ge­heimnis voll­ständig gewahrt werden. Dieser Aussage wider­spre­chen jedoch die Erkennt­nisse des Hacker­space Rapperswil. Der Verein versteht sich als offener Raum für Technologie-Enthusiast*innen und Wissenschaftler*innen. Er veröf­fent­lichte im Sommer 2018 einen Proto­typen, bei dem über eine böswil­lige Browser-Erwei­te­rung die Stimmen der Wähler*innen ausge­lesen werden können, sodass ein Angreifer Daten darüber sammeln, wer welche Stimme abgibt und so Persön­lich­keits­pro­file erstellen könnte. Diese könnten dann in kommenden Abstim­mungen für gezielte Propa­ganda verwendet werden. Wie wert­voll solche Infor­ma­tionen sind, zeigt der Markt­wert von Daten­kraken wie Google, Face­book & Co.

Im November zeigte der Chaos Computer Club Schweiz (CCC-CH), wie Benutzer*innen auf eine Phis­hing-Webseite umge­leitet werden können. Phis­hing-Webseiten sind gefälschte Seiten, auf welchen Krimi­nelle die Iden­ti­täten ahnungs­loser User stehlen können. Am Beispiel des Kanton Genf konnten Mitglieder des CCC-CH zeigen, dass sie auch so die Stimmen von Wähler*innen auslesen konnten. Wie reagierte der Kanton Genf auf diese Meldungen? Die Sicher­heits­lücken seien seit längerem bekannt. Die Verant­wor­tung liege aber bei den Benutzer*innen. Denn wie in der offi­zi­ellen Anlei­tung zum E‑Voting steht, muss eine Wählerin nur eine 40-stel­lige Zeichen­kette im Browser mit der auf dem offi­zi­ellen Stimm­ma­te­rial verglei­chen, um fest­zu­stellen, ob sie ihre Daten nur mit dem Kanton oder einem Hacker teilt. Wie oft das gemacht wird, und ob die meisten Bürger*innen über­haupt in der Lage sind, diese Prüf­zahl zu finden — sie ist ziem­lich gut versteckt -, wurde bisher nicht erhoben.

Diese Zahl zeigt, ob die Stimme sicher ist. CC by Screenshot.
Diese Zahl zeigt, ob die Stimme sicher ist. (Foto: Screenshot)

Trotz dieses scheinbar uner­schüt­ter­li­chen Vertrauens des Kantons in sein System, folgte noch im selben Monat die Meldung über das Ende von CHVote. Das System wird nicht mehr weiter­ent­wickelt. Der Betrieb soll bis 2020 einge­stellt werden. Es fehle das Geld, so die offi­zi­elle Begründung.

... und die Post auch

Das Ende von CHVote ist aber noch nicht das Ende vom E‑Voting in der Schweiz. Denn es gibt ein zweites System. Aktuell wird dieses von vier Kantonen im Test­be­trieb einge­setzt. Entwickelt wird es von der Post in Zusam­men­ar­beit mit Scytl, dem spani­schen Anbieter für E‑Vo­ting-Lösungen. Die Firma hat ihre Soft­ware bereits in über 20 Länder verkauft. Die Demo­kratie scheint also in guten Händen zu sein.

Um aber ganz sicher­zu­gehen, ordneten der Bund und die Kantone einen soge­nannten öffent­li­chen Intru­si­ons­test an. Dazu veröf­fent­lichte die Post am 7. Februar 2019 den Quell­code des Systems. Während eines Monats hatte die Öffent­lich­keit die Möglich­keit, Schwach­stellen ausfindig zu machen — und zu melden. Wer einen Weg fände, unbe­merkt Stimmen zu mani­pu­lieren, sollte dafür mit bis zu 50’000 Franken belohnt werden.

Die Tests wurden am 24. März beendet, ohne dass die Post diese Summe auszahlen musste. Auf den ersten Blick scheint das Ergebnis des Tests positiv. Laut Post sind 173 Meldungen einge­gangen. Davon wurden nur 16 von der Post als tatsäch­liche Fehler aner­kannt. Und bei diesen 16 Meldungen handle es sich nicht einmal um rich­tige Fehler, sondern nur um kleine Unschön­heiten ohne erheb­liche Risiken. Dennoch verkünden die Bundes­kanzlei und die Post am selben Tag, dass das E‑Vo­ting-System für die kommenden Abstim­mungen aus Sicher­heits­gründen nicht zu Verfü­gung stehen werde.

Der Grund: Ein Tag nach Abschluss der Intru­si­ons­tests veröf­fent­licht eine Forscher­gruppe um die kana­di­sche Sicher­heits­expertin Sarah Jamie Lewis eine schwer­wie­gende Sicher­heits­lücke. Dabei handelt es sich um einen Fehler bei der soge­nannten indi­vi­du­ellen Veri­fi­zier­bar­keit — dem Prinzip also, wonach ein Wähler die Möglich­keit haben muss sicher­zu­stellen, dass die Stimme korrekt vom System regi­striert wurde. Ist dies nicht gewähr­lei­stet, könnten Stimmen unbe­merkt mani­pu­liert werden. Diese Lücke im Spezi­ellen erlaubt es, Stimmen so zu verän­dern, dass sie vom System als ungültig betrachtet werden und so das Wahl­er­gebnis mass­geb­lich zu beein­flussen. Das System sofort zu stoppen, scheint ange­bracht. Denn nicht nur die Version, die für die Intru­si­ons­tests veröf­fent­licht wurde, ist betroffen. Auch die, die aktuell bei den Kantonen im Einsatz ist, enthält diese Sicher­heits­lücke. Die Post weiss aber zu beru­higen: Es gebe bisher keine Hinweise auf die Ausnut­zung dieser Schwachstelle.

Ähnlich gelassen reagierte man, als dieselbe Forscher­gruppe einige Wochen zuvor einen anderen Fehler meldete. Dieser Fehler betrifft die univer­selle Veri­fi­zier­bar­keit. Diese soll garan­tieren, dass die Behörden bei der Auszäh­lung fest­stellen können, ob Stimmen mani­pu­liert wurden. Um die Lücke auszu­nutzen, muss eine von zwei Vorbe­din­gungen erfüllt sein. Die Angreifer*innen brau­chen entweder Zugriff auf den Computer des Wählers (zum Beispiel durch eine Browser-Erwei­te­rung wie im Genf-Fall) oder ein Insider muss bestimmte Einstel­lungen im System anpassen.

Ist eine der beiden Vorbe­din­gungen erfüllt, kann das Wahl­er­gebnis beliebig verän­dert werden, ohne dass irgend­eine Spur von Mani­pu­la­tion zurückbleibt.

Finan­ziell belohnt wurde dieser Befund nicht. Auch in den Stati­stiken der Post taucht er nicht auf. Das ist gewollt, denn in den Teil­nah­me­be­din­gungen für den Intru­si­ons­test wurden solche Fehler mit externen Bedin­gungen explizit ausge­klam­mert. Die Post nahm dennoch Stel­lung: Der Fehler sei seit 2017 bekannt. Man habe ihn damals aber anschei­nend nicht richtig behoben. Die Version, die bei den Kantonen im Einsatz ist, sei aber nicht betroffen. Nicht etwa, weil die Fehler dort behoben sind, nein: Diese Version enthalte erst gar keine Mecha­nismen, um die univer­selle Veri­fi­zier­bar­keit zu garan­tieren. Es bleibt also zu hoffen, dass dieser Fehler dieses Mal richtig behoben wird. Anson­sten müssen die Stimmbürger*innen darauf vertrauen, dass die meisten Computer frei von Schad­soft­ware sind — oder dass sich Hacker*innen in Zukunft an die Teil­nah­me­be­din­gungen der Post halten.

But what about Brief­wahl

Es ergibt sich ein dunkles Bild der Geschichte von E‑Voting. Weder der Kanton Genf, der fast 20 Jahre in die Entwick­lung von CHVote inve­stierte, noch die Post und Scytl — immerhin der grösste Anbieter für  E‑Vo­ting-Lösungen welt­weit — haben es bisher geschafft, ein sicheres System anzu­bieten. Weder können sie die indi­vi­du­elle oder univer­selle Veri­fi­zier­bar­keit garan­tieren, noch das Stimm­ge­heimnis waren — alles Punkte, die funda­mental sind für das Vertrauen in eine Demokratie.

Das haben mitt­ler­weile auch manche Befürworter*innen des E‑Votings einge­sehen. Ihr Argu­ment lautet nun: Wir haben in der Schweiz ja schon die Brief­wahl. Da ist die indi­vi­du­elle Veri­fi­zier­bar­keit auch nicht garan­tiert. Das stimmt: Habe ich meinen Stimm­zettel einmal abge­geben, so kann ich nicht mehr nach­voll­ziehen, ob er richtig ausge­wertet wurde. Und dieses Argu­ment kann man auch auf die univer­selle Veri­fi­zier­bar­keit anwenden: Wahlhelfer*innen lassen sich bestechen, bedrohen, besei­tigen. Wahlen lassen sich auch ohne E‑Voting mani­pu­lieren, das hat die Geschichte gezeigt.

Der Unter­schied liegt aber in der Trag­weite der Mani­pu­la­tion. Bei einer Brief- oder Urnen­wahl sind eine Unmenge an Personen invol­viert. Jede hat ihre Schwach­stelle, aber jede hat ihre eigene. Eine Stim­men­zäh­lerin freut sich viel­leicht über ein neues Auto, aber sie ist nur für eine kleine Anzahl Stimm­zettel in einer einzigen Gemeinde verant­wort­lich. Es ist nicht prak­ti­kabel, alle verschie­denen Schwach­stellen bei Abstim­mungen ausfindig zu machen und auszu­nutzen, ohne das jemand davon erfährt. Bei einem E‑Vo­ting-System reicht hingegen eine einzige Schwach­stelle, um eine ganze Wahl zu kompri­mieren. Das Vertrauen in unser Stimm- und Wahl­sy­stem wäre durch E‑Voting also nicht mehr nur abhängig vom Vertrauen in Mitbürger*innen, etwa die Stimmenzähler*innen, sondern auch in diese IT-Systeme.

Dieses Vertrauen haben die Systeme — und auch deren Hersteller — nicht verdient, wie die E‑Vo­ting-Debakel der Post und dem Kanton Genf deut­lich zeigen. Werden Fehler gefunden, wird beschwich­tigt. Schwach­stellen, die lange bekannt sind, werden nicht behoben. Bestimmte Angriffs­vek­toren, wie die Sicher­heit von persön­li­chen Compu­tern, werden bewusst ausser Acht gelassen. Dabei handelt es sich beim Kanton Genf um einen der Pioniere und bei Scytl um den grössten Anbieter im Bereich E‑Voting. Viel­leicht haben diese Probleme also ihre Ursache nicht nur in der Unfä­hig­keit der Hersteller, sondern liegen in der Natur der Sache. E‑Voting stellt die Hersteller vor Probleme, die schlicht nicht lösbar sind.

Das ist dann auch das Haupt­ar­gu­ment der Gegner*innen eines E‑Vo­ting-Mora­to­riums: Ein voll­ständig sicheres und nach­voll­zieh­bares System sei gar nicht machbar. Mit den hohen Anfor­de­rungen, die in der Initia­tive formu­liert sind, würde die Einfüh­rung von E‑Voting in der Schweiz unnötig verzö­gert oder gar verun­mög­licht. Das mag tatsäch­lich zutreffen. Doch geht es um das Stimm­ge­heimnis und das Vertrauen in Abstim­mungen, ist der gemäch­liche Weg viel­leicht der sinn­vollste. Dann halt auch bei der näch­sten Abstim­mung wieder per Post. Jemand muss ja noch Briefe schicken.

 


Jour­na­lismus kostet

Die Produk­tion dieses Arti­kels nahm 8 Stunden in Anspruch. Um alle Kosten zu decken, müssten wir mit diesem Artikel CHF 676 einnehmen.

Als Leser*in von das Lamm konsu­mierst du unsere Texte, Bilder und Videos gratis. Und das wird auch immer so bleiben. Denn: mit Paywall keine Demo­kratie. Das bedeutet aber nicht, dass die Produk­tion unserer Inhalte gratis ist. Die trockene Rech­nung sieht so aus:

Soli­da­ri­sches Abo

Nur durch Abos erhalten wir finan­zi­elle Sicher­heit. Mit deinem Soli-Abo ab 60 CHF im Jahr oder 5 CHF im Monat unter­stützt du uns nach­haltig und machst Jour­na­lismus demo­kra­tisch zugäng­lich. Wer kann, darf auch gerne einen höheren Beitrag zahlen.

Ihr unter­stützt mit eurem Abo das, was ihr ohnehin von uns erhaltet: sorg­fältig recher­chierte Infor­ma­tionen, kritisch aufbe­reitet. So haltet ihr unser Magazin am Leben und stellt sicher, dass alle Menschen – unab­hängig von ihren finan­zi­ellen Ressourcen – Zugang zu fundiertem Jour­na­lismus abseits von schnellen News und Click­bait erhalten.

In der kriselnden Medi­en­welt ist es ohnehin fast unmög­lich, schwarze Zahlen zu schreiben. Da das Lamm unkom­mer­ziell ausge­richtet ist, keine Werbung schaltet und für alle frei zugäng­lich bleiben will, sind wir um so mehr auf eure soli­da­ri­schen Abos ange­wiesen. Unser Lohn ist unmit­telbar an eure Abos und Spenden geknüpft. Je weniger Abos, desto weniger Lohn haben wir – und somit weniger Ressourcen für das, was wir tun: Kriti­schen Jour­na­lismus für alle.

Ähnliche Artikel

Fick den Genderstern!

Die SVP betreibt mit der Genderstern-Initiative rechten Kulturkampf und will dem sogenannten ‚Woke-Wahnsinn‘ den Garaus machen. Sie können das Sonderzeichen gerne haben – vorausgesetzt, genderqueere Personen können ein sicheres Leben führen.