E-Voting: Es wird garantiert gehackt

Nr. 27 –

Der Bund treibt das E-Voting voran. Gleichzeitig formiert sich Widerstand. Es lohnt sich, den GegnerInnen zuzuhören.

Screenshots: «Minecraft»; Montage: WOZ

E-Voting ist sicher. E-Voting ist modern. Deshalb braucht die Schweiz möglichst bald ein Gesetz, das erlaubt, flächendeckend ein digitales Abstimmungs- und Wahlsystem einzuführen. Das war die Botschaft, die Bundeskanzler Walter Thurnherr vergangene Woche an einer Pressekonferenz in Bern verkündete.

Mit dabei war auch Barbara Schüpbach, Staatsschreiberin von Basel-Stadt. Sie sagte, mit E-Voting gebe es keine ungültigen Stimmen mehr und es liesse sich Geld sparen.

Heute haben acht Kantone bereits ein E-Voting-System im Einsatz (AG, BS, BE, FR, GE, LU, NE, SG). Bei einigen können es nur die AuslandschweizerInnen nutzen, bei anderen wie dem Kanton St. Gallen soll es bald in allen Gemeinden zur Verfügung stehen. Vier weitere Kantone sind daran, E-Voting einzuführen (GL, GR, TG, VD).

Doch es gibt Opposition. Mitte Juni wurde die Website stop-evoting.ch aufgeschaltet. Darauf wird eine Volksinitiative zur Debatte gestellt, die die elektronische Stimmabgabe verbieten will. Getragen wird die vorgeschlagene Initiative unter anderem vom Luzerner SVP-Nationalrat und Internetunternehmer Franz Grüter. Massgeblich betreut wird die Website von Hernani Marques vom Chaos Computer Club Schweiz, einem Linken.

Als Mitte Juni das St. Galler Kantonsparlament über die definitive Einführung von E-Voting debattierte, war die SVP geschlossen dagegen, die Linke fast geschlossen dafür. Die Disputlinie verläuft nicht nach dem Rechts-links-Muster. Vielmehr sind die arglosen DigitalmodernistInnen dafür – die Cracks hingegen, die wissen, wie man Programme schreibt und Computer hackt, rufen laut: «Stopp!»

Voll mit Sicherheitslücken

René Droz gehört zu den Cracks. Lange bevor es das Internet gab, baute er schon Computernetzwerke. Über eine Stunde erklärt er, was mit dem E-Voting schiefläuft. Am Schluss sagt er nüchtern: «Zusammengefasst: Es ist eine staatspolitische Dummheit von historischer Dimension, was die da machen.»

Mitte der neunziger Jahre heuerte das Militärdepartement den Elektroingenieur an. Er baute dort die Sicherheitsüberwachung des ersten internen Computernetzes auf. In den letzten Jahren war er für die Cyberabwehr des gesamten Netzes des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) zuständig. Der Mann hat Ahnung. Seit drei Jahren ist er nun pensioniert. In diesem März hat er seine Website noevoting.ch lanciert.

Um die Kritik zu verstehen, muss man kurz die Technik erklären. Aktuell gibt es zwei Systeme, die im Testbetrieb sind: CH-Vote, das der Kanton Genf zusammen mit der Post entwickelt hat, und Scytl, das einer spanischen Firma gehört.

Beide funktionieren ähnlich. Man kann damit direkt vom privaten Computer oder vom privaten Smartphone aus abstimmen. Das Wahl- und Stimmgeheimnis soll immer gewährleistet sein. Und da beginnen die Probleme.

Stimmt man herkömmlich ab, hat man den Stimmausweis aus Papier, der zusammen mit den Abstimmungszetteln abgegeben wird. Damit lässt sich belegen, dass die abstimmende Person auch abstimmen darf. Die Abstimmungszettel stecken in einem separaten Couvert, wodurch niemand mitbekommt, wer wie stimmt. Die Zettel werden erst später getrennt ausgezählt. Bei einem umstrittenen Ergebnis sind die Zettel immer noch da, und es kann jederzeit nachgezählt werden. Dieses System ist für alle leicht nachvollziehbar und überprüfbar.

Bei der digitalen Abstimmung wird das schwierig. Ein wesentliches Problem ist laut Droz, dass mit privaten Computern und Handys abgestimmt wird, die Tausende von Sicherheitslücken aufweisen.

Droz skizziert, wie ein heimlicher Angriff ablaufen könnte: Man erhält per Post eine Reihe von Sicherheitscodes. Dann geht man auf die Seite e-voting.ch und meldet sich mit einem der Codes an. Danach wird man durchs Abstimmungsmenü geführt und gibt zu jeder Vorlage «Ja» oder «Nein» ein, was jeweils einzeln mit einem Code zu verifizieren ist. Am Ende muss man nochmals einen Code eingeben, der bestätigen soll, dass man vorher alle Codes korrekt eingegeben hat. Das nennt sich «individuell verifizieren» – damit sollen alle Abstimmenden direkt überprüfen können, dass das System ihre Stimmen wirklich registriert hat.

Ist nun ein Computer gehackt, wird man anders geführt, als es eigentlich sein sollte – das merkt man aber nicht, wenn man den komplexen Ablauf nicht auswendig kennt. «Wenn ich der Hacker wäre», erklärt Droz, «würde ich schauen: Hat der Abstimmende beispielsweise bei der dritten Frage Ja gestimmt, wie ich es haben möchte? Wenn dem so ist, lasse ich es laufen. Wenn aber ein Nein eingegeben wird, manipuliere ich das Programm so, dass zum Beispiel der nächste Schritt übersprungen wird. Der Abstimmende könnte dies bei der individuellen Verifikation merken. Doch da sorge ich als Hacker dafür, dass auf dem Bildschirm angezeigt wird: ‹Alles verifiziert, bitte bestätigen.›» Korrekterweise müsste jedoch nochmals ein Code abgefragt und überprüft werden. Neun von zehn NutzerInnen würden das aber nicht merken, schätzt Droz.

Schnelle Hacker, lahme Abwehr

Somit wäre ihre Stimme entweder manipuliert oder gar nicht abgegeben. Die meisten Leute sind ungeduldig und glauben dem System, sobald es signalisiert, alles sei okay. «Der eine, der merkt, dass etwas nicht stimmt», fährt Droz fort, «ruft vielleicht die Hotline an – vielleicht aber auch nicht, dann ist seine Stimme weg. Wenn er wirklich anruft, wird man ihm sagen, er solle an die Urne gehen, um abzustimmen. Einige wenige werden das dann noch machen.»

Es gebe noch andere Varianten, mit Schadsoftware die Abstimmung zu beeinflussen. Droz kennt sich damit aus, schliesslich hat er beim VBS jahrelang nach solcher Schadsoftware gesucht. Wenn sie gut gemacht sei, lasse sie sich nur schwer finden, sagt er: «Das ist das Schlimmste – weil man es lang nicht merkt und nie weiss, wie lange sie schon aktiv war.»

Seine Prognose: Die Möglichkeiten der HackerInnen nehmen viel schneller zu als die Möglichkeiten der Abwehr. Denn bei jeder neuen Funktion, die auf einem Gerät installiert wird, gibt es wieder neue Schwachstellen. Die SicherheitsexpertInnen müssen sich um alle Schwachstellen kümmern – HackerInnen brauchen nur eine einzige, um einzudringen.

Droz könnte sich grundsätzlich E-Voting vorstellen. Wichtig wäre dabei, dass alle zum Abstimmen ein ausreichend gesichertes Gerät bekämen. Damit sollte man nichts anderes tun können als eben abstimmen. Das liesse sich relativ sicher programmieren. «Machbar ist es, nur wird das teuer», sagt Droz.

Naive Kantone

Der Knackpunkt ist: Die Sicherheit obliegt dem Bund – deshalb sagen die Kantone entspannt, sie bräuchten sich nicht mit Sicherheitsfragen zu beschäftigen. Am Ende sind die Systeme eingeführt, ohne dass über die Sicherheitsfragen diskutiert wurde.

Was passiert, wenn die Bevölkerung wegen des E-Votings den Abstimmungsergebnissen nicht mehr traut? Um das Vertrauen zu untergraben, reicht es, wenn der Anschein entsteht, das System sei manipuliert worden.

René Droz zieht ein Papier hervor, auf dem er die Fragen aufgelistet hat, die ihn umtreiben: «Was tun, wenn man nicht merkt, dass manipuliert wurde? Wer stellt es fest? Wie zuverlässig sind diese Feststellungen? Bis zu welchem Punkt sagen wir, dass es nicht entscheidend war, und ab wann wiederholen wir eine Abstimmung? Wie oft wiederholen wir solche Wiederholungsübungen?» Es sei offensichtlich, dass die Behörden versuchen würden, Manipulationen herunterzuspielen, wenn sie denn mal eintreten sollten, sagt er. Und dass es zu Manipulationen kommen wird, ist für ihn nur eine Frage der Zeit. Die Abstimmungen und Wahlen seien das Kernstück unserer Demokratie. Mit dem E-Voting drohe ein irreparabler Schaden.

Hernani Marques vom Chaos Computer Club teilt René Droz’ Analyse vollumfänglich. Er sagt, es sei geplant, im September ein Komitee für eine Stop-E-Voting-Initiative zu gründen, Anfang 2019 möchte man mit der Unterschriftensammlung beginnen.

Selbst wenn es gut läuft, wird die Abstimmung frühestens in drei Jahren stattfinden. Bis dahin dürften diverse Kantone das E-Voting definitiv eingeführt haben. Warum so viel riskieren, wenn das jetzige System zufriedenstellend funktioniert? Nur um vermeintlich modern zu sein?

Nachtrag vom 20. September 2018 : E-Voting-Initiative

Die geplante Volksinitiative, die Wählen und Abstimmen via Internet vorläufig verbieten will, steht kurz vor dem Start. Der Initiativtext wurde kürzlich bei der Bundeskanzlei zur Überprüfung eingereicht. Das Volksbegehren trägt den Titel «Für eine sichere und vertrauenswürdige Demokratie».

Neu soll es in der Verfassung heissen: «Die Verwendung elektronischer Verfahren zur Stimmabgabe ist verboten.» In den Übergangsbestimmungen steht, dass mit der Initiative «sämtliche Bestimmungen über elektronische Verfahren zur Stimmabgabe des kantonalen und des Bundesrechts aufgehoben» würden. Das bedeutet, dass sämtliche kantonalen E-Voting-Experimente von St. Gallen bis nach Genf gestoppt werden müssten. Die Übergangsbestimmungen sagen aber auch, dass die Bundesversammlung das Verbot fünf Jahre nach Inkrafttreten der Initiative wieder aufheben kann, «wenn gewährleistet ist, dass die wesentlichen Schritte der elektronischen Stimmabgabe einschliesslich der Ermittlung der Ergebnisse ohne besondere Sachkenntnis und zuverlässig von den Bürgerinnen und Bürgern öffentlich überprüft werden können». Es geht also nicht um ein rigoroses Verbot, sondern darum, sich Zeit für eine solide Debatte zu schaffen.

Der Initiativtext wurde massgeblich von Rechtsanwalt Martin Steiger verfasst, der auf digitale Fragen spezialisiert ist. Hinter der Initiative stehen Leute vom Chaos Computer Club, von der Piratenpartei sowie PolitikerInnen von rechts bis links. Das definitive Initiativkomitee wird zurzeit zusammengestellt. Sobald die Bundeskanzlei den Text abgesegnet hat – was einige Wochen dauern kann –, wird mit der Unterschriftensammlung begonnen.

Susan Boos