Alle drei Monate kommt ein grosser, grauer Brief. Meist liegt er dann einige Wochen auf dem Küchentisch rum. Dann, kurz vor dem Abstimmungswochenende, wird er mühsam hervorgekramt, die farbigen Zettel werden ausgefüllt — und kurz vor der Briefkastenleerung wird das Couvert noch eingeworfen. Geschafft, Bürgerpflicht erfüllt.
Ist das nicht alles viel zu kompliziert? Schliesslich können bereits heute die Steuererklärung online ausgefüllt, Arztbesuche per Videotelefonie abgewickelt und die eigene Identität online nachgewiesen werden. Warum also nicht auch per Internet abstimmen? Diese Idee ist nicht neu. Sie heisst E‑Voting. Doch entgegen der sonstigen Digitalisierungseuphorie ist E‑Voting stark umstritten.
Klingt nach einer guten Idee
Beim E‑Voting soll das Internet als dritter Weg zur Stimmabgabe eingeführt werden, neben der Briefwahl und dem persönlichen Urnengang. Der Bund führt bereits seit 2004 Experimente in verschiedenen Kantonen durch. Zurzeit laufen in zehn Kantonen solche Versuche. Wobei in fünf dieser Kantone das elektronische Abstimmen Auslandschweizer*innen vorbehalten ist.
Das Angebot wird rege genutzt. Bei den letzten Abstimmungen vom 10. Februar 2019 konnten in diesen zehn Kantonen 120’000 Inland- und 100’000 Auslandschweizer*innen ihre Stimme elektronisch abgeben. Etwas weniger als 20 % machten vom E‑Voting Gebrauch und machten damit ungefähr die Hälfte der eingegangenen Stimmen der insgesamt 220’000 Schweizer*innen aus. Die hohe Nachfrage nach E‑Voting bestätigt auch eine Befragung des Bundes von 2019. Laut dieser wünschen sich 68 % der Schweizer*innen die Einführung. Des Weiteren gaben 47 % der Befragten an, dass sie mit E‑Voting häufiger an Abstimmungen und Wahlen teilnehmen würden. Neben einer erhöhten Stimmbeteiligung soll durch E‑Voting die Barrierefreiheit an Abstimmungen gewährleistet werden. So soll es durch E‑Voting Menschen mit Behinderung ermöglicht werden, autonom an Wahlen und Abstimmungen teilzunehmen. Und als Zückerchen kommt hinzu: Die notorisch aufwändige direkte Demokratie der Schweiz soll durch die Digitalisierung effizienter und günstiger werden.
Trotzdem wurde im Januar eine Volksinitiative für ein E‑Voting-Moratorium lanciert. Sie verlangt, dass die Einführung der elektronischen Stimmabgabe um mindestens fünf Jahre verzögert wird. Weiter möchte die Initiative hohe Hürden für die Einführung eines E‑Voting-Systems nach Ablauf dieser Frist setzen. Die Kritiker*innen, welche die Initiative lanciert haben, monieren einerseits, dass die Auswertungen der bisherigen Testbetriebe der Annahme widersprechen würden, E‑Voting führe zu einer erhöhten Stimmbeteiligung. Zu dieser Erkenntnis kommt auch der Bericht des Bundesrates zu Vote électronique 2013. Der Widerstand ergibt sich aber vor allem wegen Sicherheitsbedenken. Zu Recht, wie die Geschichten der beiden E‑Voting-Systeme zeigen, die heute in der Schweiz im Einsatz sind.
Der Kanton Genf scheitert...
Bereits 2001 startet der Kanton Genf ein Projekt zur Einführung eines E‑Voting-Systems. Unter dem Namen „CHVote“ kommt die Plattform zwei Jahre später ein erstes Mal zum Einsatz. Eine Pionierarbeit und Erfolgsgeschichte, die national und international Wellen schlägt. In der Schweiz wird CHVote mittlerweile in fünf weiteren Kantonen eingesetzt.
Laut dem Kanton Genf sei die Plattform zugänglicher, benutzerfreundlicher und sicherer als die persönliche Wahl an der Urne und die Briefwahl. Dank CHVote könne das Stimmgeheimnis vollständig gewahrt werden. Dieser Aussage widersprechen jedoch die Erkenntnisse des Hackerspace Rapperswil. Der Verein versteht sich als offener Raum für Technologie-Enthusiast*innen und Wissenschaftler*innen. Er veröffentlichte im Sommer 2018 einen Prototypen, bei dem über eine böswillige Browser-Erweiterung die Stimmen der Wähler*innen ausgelesen werden können, sodass ein Angreifer Daten darüber sammeln, wer welche Stimme abgibt und so Persönlichkeitsprofile erstellen könnte. Diese könnten dann in kommenden Abstimmungen für gezielte Propaganda verwendet werden. Wie wertvoll solche Informationen sind, zeigt der Marktwert von Datenkraken wie Google, Facebook & Co.
Im November zeigte der Chaos Computer Club Schweiz (CCC-CH), wie Benutzer*innen auf eine Phishing-Webseite umgeleitet werden können. Phishing-Webseiten sind gefälschte Seiten, auf welchen Kriminelle die Identitäten ahnungsloser User stehlen können. Am Beispiel des Kanton Genf konnten Mitglieder des CCC-CH zeigen, dass sie auch so die Stimmen von Wähler*innen auslesen konnten. Wie reagierte der Kanton Genf auf diese Meldungen? Die Sicherheitslücken seien seit längerem bekannt. Die Verantwortung liege aber bei den Benutzer*innen. Denn wie in der offiziellen Anleitung zum E‑Voting steht, muss eine Wählerin nur eine 40-stellige Zeichenkette im Browser mit der auf dem offiziellen Stimmmaterial vergleichen, um festzustellen, ob sie ihre Daten nur mit dem Kanton oder einem Hacker teilt. Wie oft das gemacht wird, und ob die meisten Bürger*innen überhaupt in der Lage sind, diese Prüfzahl zu finden — sie ist ziemlich gut versteckt -, wurde bisher nicht erhoben.
Trotz dieses scheinbar unerschütterlichen Vertrauens des Kantons in sein System, folgte noch im selben Monat die Meldung über das Ende von CHVote. Das System wird nicht mehr weiterentwickelt. Der Betrieb soll bis 2020 eingestellt werden. Es fehle das Geld, so die offizielle Begründung.
... und die Post auch
Das Ende von CHVote ist aber noch nicht das Ende vom E‑Voting in der Schweiz. Denn es gibt ein zweites System. Aktuell wird dieses von vier Kantonen im Testbetrieb eingesetzt. Entwickelt wird es von der Post in Zusammenarbeit mit Scytl, dem spanischen Anbieter für E‑Voting-Lösungen. Die Firma hat ihre Software bereits in über 20 Länder verkauft. Die Demokratie scheint also in guten Händen zu sein.
Um aber ganz sicherzugehen, ordneten der Bund und die Kantone einen sogenannten öffentlichen Intrusionstest an. Dazu veröffentlichte die Post am 7. Februar 2019 den Quellcode des Systems. Während eines Monats hatte die Öffentlichkeit die Möglichkeit, Schwachstellen ausfindig zu machen — und zu melden. Wer einen Weg fände, unbemerkt Stimmen zu manipulieren, sollte dafür mit bis zu 50’000 Franken belohnt werden.
Die Tests wurden am 24. März beendet, ohne dass die Post diese Summe auszahlen musste. Auf den ersten Blick scheint das Ergebnis des Tests positiv. Laut Post sind 173 Meldungen eingegangen. Davon wurden nur 16 von der Post als tatsächliche Fehler anerkannt. Und bei diesen 16 Meldungen handle es sich nicht einmal um richtige Fehler, sondern nur um kleine Unschönheiten ohne erhebliche Risiken. Dennoch verkünden die Bundeskanzlei und die Post am selben Tag, dass das E‑Voting-System für die kommenden Abstimmungen aus Sicherheitsgründen nicht zu Verfügung stehen werde.
Der Grund: Ein Tag nach Abschluss der Intrusionstests veröffentlicht eine Forschergruppe um die kanadische Sicherheitsexpertin Sarah Jamie Lewis eine schwerwiegende Sicherheitslücke. Dabei handelt es sich um einen Fehler bei der sogenannten individuellen Verifizierbarkeit — dem Prinzip also, wonach ein Wähler die Möglichkeit haben muss sicherzustellen, dass die Stimme korrekt vom System registriert wurde. Ist dies nicht gewährleistet, könnten Stimmen unbemerkt manipuliert werden. Diese Lücke im Speziellen erlaubt es, Stimmen so zu verändern, dass sie vom System als ungültig betrachtet werden und so das Wahlergebnis massgeblich zu beeinflussen. Das System sofort zu stoppen, scheint angebracht. Denn nicht nur die Version, die für die Intrusionstests veröffentlicht wurde, ist betroffen. Auch die, die aktuell bei den Kantonen im Einsatz ist, enthält diese Sicherheitslücke. Die Post weiss aber zu beruhigen: Es gebe bisher keine Hinweise auf die Ausnutzung dieser Schwachstelle.
Ähnlich gelassen reagierte man, als dieselbe Forschergruppe einige Wochen zuvor einen anderen Fehler meldete. Dieser Fehler betrifft die universelle Verifizierbarkeit. Diese soll garantieren, dass die Behörden bei der Auszählung feststellen können, ob Stimmen manipuliert wurden. Um die Lücke auszunutzen, muss eine von zwei Vorbedingungen erfüllt sein. Die Angreifer*innen brauchen entweder Zugriff auf den Computer des Wählers (zum Beispiel durch eine Browser-Erweiterung wie im Genf-Fall) oder ein Insider muss bestimmte Einstellungen im System anpassen.
Ist eine der beiden Vorbedingungen erfüllt, kann das Wahlergebnis beliebig verändert werden, ohne dass irgendeine Spur von Manipulation zurückbleibt.
Finanziell belohnt wurde dieser Befund nicht. Auch in den Statistiken der Post taucht er nicht auf. Das ist gewollt, denn in den Teilnahmebedingungen für den Intrusionstest wurden solche Fehler mit externen Bedingungen explizit ausgeklammert. Die Post nahm dennoch Stellung: Der Fehler sei seit 2017 bekannt. Man habe ihn damals aber anscheinend nicht richtig behoben. Die Version, die bei den Kantonen im Einsatz ist, sei aber nicht betroffen. Nicht etwa, weil die Fehler dort behoben sind, nein: Diese Version enthalte erst gar keine Mechanismen, um die universelle Verifizierbarkeit zu garantieren. Es bleibt also zu hoffen, dass dieser Fehler dieses Mal richtig behoben wird. Ansonsten müssen die Stimmbürger*innen darauf vertrauen, dass die meisten Computer frei von Schadsoftware sind — oder dass sich Hacker*innen in Zukunft an die Teilnahmebedingungen der Post halten.
But what about Briefwahl
Es ergibt sich ein dunkles Bild der Geschichte von E‑Voting. Weder der Kanton Genf, der fast 20 Jahre in die Entwicklung von CHVote investierte, noch die Post und Scytl — immerhin der grösste Anbieter für E‑Voting-Lösungen weltweit — haben es bisher geschafft, ein sicheres System anzubieten. Weder können sie die individuelle oder universelle Verifizierbarkeit garantieren, noch das Stimmgeheimnis waren — alles Punkte, die fundamental sind für das Vertrauen in eine Demokratie.
Das haben mittlerweile auch manche Befürworter*innen des E‑Votings eingesehen. Ihr Argument lautet nun: Wir haben in der Schweiz ja schon die Briefwahl. Da ist die individuelle Verifizierbarkeit auch nicht garantiert. Das stimmt: Habe ich meinen Stimmzettel einmal abgegeben, so kann ich nicht mehr nachvollziehen, ob er richtig ausgewertet wurde. Und dieses Argument kann man auch auf die universelle Verifizierbarkeit anwenden: Wahlhelfer*innen lassen sich bestechen, bedrohen, beseitigen. Wahlen lassen sich auch ohne E‑Voting manipulieren, das hat die Geschichte gezeigt.
Der Unterschied liegt aber in der Tragweite der Manipulation. Bei einer Brief- oder Urnenwahl sind eine Unmenge an Personen involviert. Jede hat ihre Schwachstelle, aber jede hat ihre eigene. Eine Stimmenzählerin freut sich vielleicht über ein neues Auto, aber sie ist nur für eine kleine Anzahl Stimmzettel in einer einzigen Gemeinde verantwortlich. Es ist nicht praktikabel, alle verschiedenen Schwachstellen bei Abstimmungen ausfindig zu machen und auszunutzen, ohne das jemand davon erfährt. Bei einem E‑Voting-System reicht hingegen eine einzige Schwachstelle, um eine ganze Wahl zu komprimieren. Das Vertrauen in unser Stimm- und Wahlsystem wäre durch E‑Voting also nicht mehr nur abhängig vom Vertrauen in Mitbürger*innen, etwa die Stimmenzähler*innen, sondern auch in diese IT-Systeme.
Dieses Vertrauen haben die Systeme — und auch deren Hersteller — nicht verdient, wie die E‑Voting-Debakel der Post und dem Kanton Genf deutlich zeigen. Werden Fehler gefunden, wird beschwichtigt. Schwachstellen, die lange bekannt sind, werden nicht behoben. Bestimmte Angriffsvektoren, wie die Sicherheit von persönlichen Computern, werden bewusst ausser Acht gelassen. Dabei handelt es sich beim Kanton Genf um einen der Pioniere und bei Scytl um den grössten Anbieter im Bereich E‑Voting. Vielleicht haben diese Probleme also ihre Ursache nicht nur in der Unfähigkeit der Hersteller, sondern liegen in der Natur der Sache. E‑Voting stellt die Hersteller vor Probleme, die schlicht nicht lösbar sind.
Das ist dann auch das Hauptargument der Gegner*innen eines E‑Voting-Moratoriums: Ein vollständig sicheres und nachvollziehbares System sei gar nicht machbar. Mit den hohen Anforderungen, die in der Initiative formuliert sind, würde die Einführung von E‑Voting in der Schweiz unnötig verzögert oder gar verunmöglicht. Das mag tatsächlich zutreffen. Doch geht es um das Stimmgeheimnis und das Vertrauen in Abstimmungen, ist der gemächliche Weg vielleicht der sinnvollste. Dann halt auch bei der nächsten Abstimmung wieder per Post. Jemand muss ja noch Briefe schicken.
Journalismus kostet
Die Produktion dieses Artikels nahm 8 Stunden in Anspruch. Um alle Kosten zu decken, müssten wir mit diesem Artikel CHF 676 einnehmen.
Als Leser*in von das Lamm konsumierst du unsere Texte, Bilder und Videos gratis. Und das wird auch immer so bleiben. Denn: mit Paywall keine Demokratie. Das bedeutet aber nicht, dass die Produktion unserer Inhalte gratis ist. Die trockene Rechnung sieht so aus:
Wir haben einen Lohndeckel bei CHF 22. Die gewerkschaftliche Empfehlung wäre CHF 35 pro Stunde.
CHF 280 → 35 CHF/h für Lohn der Schreibenden, Redigat, Korrektorat (Produktion)
CHF 136 → 17 CHF/h für Fixkosten (Raum- & Servermiete, Programme usw.)
CHF 260 pro Artikel → Backoffice, Kommunikation, IT, Bildredaktion, Marketing usw.
Weitere Informationen zu unseren Finanzen findest du hier.
Löse direkt über den Twint-Button ein Soli-Abo für CHF 60 im Jahr!
