Nr. 28/2019 vom 11.07.2019

Ein Drama in drei Akten

Die Sicherheitsskandale ums elektronische Abstimmen liessen sich nicht mehr übertünchen. Nun legt der Bundesrat E-Voting vorerst auf Eis. Chronologie eines zwanzigjährigen Irrlaufs.

Von Florian Wüstholz

Aus den Pionierzeiten (in mehrfacher Hinsicht): 2005 konnte im Kanton Zürich erstmals via Handy abgestimmt werden. Foto: Walter Bieri, Keystone

Am 27. Juni liess der Bundesrat die Bombe platzen. Die Einführung von E-Voting als drittem offiziellem Stimmkanal wird bis auf Weiteres verschoben. Damit droht dem ambitionierten Digitalisierungsprojekt «Vote électronique» nach fast zwanzig Jahren das Aus. Ein Blick zurück zeigt, dass E-Voting trotz innerer und äusserer Widerstände und Probleme stoisch vorangetrieben wurde.

I. Die «Pionierphase» (2000–2008)

Um die Jahrtausendwende ist das Internet ein grosses Experimentierfeld. Google ist ein kleines Start-up, Facebook noch nicht erfunden, und Apple setzt mit iPod und iTunes gerade zur Revolution in der Musikindustrie an. Auch die Schweiz will die Optionen des Internets erkunden und startet im Jahr 2000 das Projekt «Vote électronique»: Vor allem BürgerInnen im Ausland sollen in Zukunft übers Internet abstimmen können. Doch E-Voting soll allen offenstehen – obwohl die Kombination Urne und Briefwahl reibungslos funktioniert.

2002: Zwei Jahre nach dem Startschuss veröffentlicht der Bundesrat einen ersten Bericht. Eine Auslegeordnung unter dem Titel «Chancen, Risiken und Machbarkeit elektronischer Ausübung politischer Rechte» stellt fest, dass «die Schweiz auf dem Gebiet der elektronischen Demokratie eine Vorreiterrolle im internationalen Bereich wahrnehmen» könne. Der Bundesrat sieht im E-Voting die Chance, Elemente der direkten Demokratie zu erleichtern und zu fördern. Gleichzeitig hütet er sich davor, das Ganze als von oben verordnete Übung zu verkaufen. Nur wenn die StimmbürgerInnen wirklich an Bord seien, sei eine Einführung sinnvoll.

2004: E-Voting betritt erstmals offiziell die politische Bühne. In einer Handvoll Gemeinden im Kanton Genf können im September und im November rund 60 000 Stimmberechtigte erstmals elektronisch übers Internet abstimmen. Etwa zehn Prozent machen davon Gebrauch. Zum Einsatz kommt ein System des Kantons, das in Zusammenarbeit mit in Genf angesiedelten Privatunternehmen – unter anderem Hewlett Packard Schweiz, Wisekey und Blue-infinity – entwickelt wurde.

2005: Auch in den Kantonen Neuenburg und Zürich finden erste Versuche statt. Damit stehen die drei Pionierkantone und -systeme fest. Während in Zürich ein eigenes System entwickelt wird, arbeitet Neuenburg mit privaten Anbietern zusammen – darunter die spanische Firma Scytl, die für die Verschlüsselung zuständig ist.

2006: Der zweite Bericht des Bundesrats zieht Bilanz über die Pilotprojekte und «schlägt eine schrittweise und risikobewusste Einführung» vor. Man habe sich «in vorsichtigem Tempo» an die Thematik herangetastet, und es bestehe weder Anlass für einen Abbruch noch zu einem «überhasteten Ausbau».

In diesen Jahren gleisen andere europäische Länder ebenfalls eigene Versuche auf – auch mit Wahlmaschinen, die in Wahllokalen zum Einsatz kommen. Damit gaben 2005 in Deutschland insgesamt zwei Millionen Menschen ihre Stimme ab. Auch in Irland finden kleinere Versuche statt. Derweil experimentiert Frankreich seit 2003 in sehr kleinem Rahmen mit E-Voting – ebenfalls mit der Absicht, Stimmberechtigte im Ausland besser miteinzubeziehen. Und im späteren «Vorzeigeland» Estland wird seit 2005 ein flächendeckender Einsatz vorbereitet.

Doch 2006 zeigen sich auch die ersten Risse in der heilen Digitalwelt. Sie läuten das Ende von Wahlmaschinen ein. Denn in den Niederlanden, wo seit 1987 solche Computer zum Einsatz kommen, zeigen Hacker am Fernsehen, wie sich diese in wenigen Minuten manipulieren lassen, ohne dass dies von den Wählerinnen und Wahlbeobachtern bemerkt werde.

II. Die Konsolidierungsphase (2009–2015)

2009: Zürich holt sieben weitere Kantone an Bord und gründet ein Konsortium, das fortan das gleiche System entwickeln und testen will. Doch in Deutschland fällt ein historischer Entscheid: Das Verfassungsgericht urteilt, dass die bisher verwendeten Wahlcomputer nicht mit dem Grundgesetz vereinbar seien. Sie verletzten die Öffentlichkeit der Wahl, weil bei «der Verwendung rechnergesteuerter Wahlgeräte weder eine wirksame Kontrolle der Wahlhandlung noch eine zuverlässige Nachprüfbarkeit des Wahlergebnisses gewährleistet» sei. Damit legt das Gericht die Messlatte für Transparenz: Im Grundsatz müssen die digitalen Verfahren von allen verstanden werden. Doch das Verfassungsgericht glaubt, dass das weder durch «eine Beteiligung der interessierten Öffentlichkeit» noch durch «eine Veröffentlichung von Prüfberichten oder Konstruktionsmerkmalen» erreicht werden könne. Bis Ende Jahr haben Deutschland, Irland und die Niederlande ihre Versuche eingestellt.

2010: Obwohl auch das Schweizer E-Voting für die breite Öffentlichkeit kaum verständlich ist, finden bereits in zwölf Kantonen Versuche statt. Dabei kommen die drei Systeme des Kantons Genf, des neu gegründeten Konsortiums und des Kantons Neuenburg zum Einsatz.

2011: E-Voting kommt zum ersten Mal bei Nationalratswahlen in vier Kantonen zum Zug. Gleichzeitig bringt der Bundesrat mit einer Roadmap und der Gründung eines Steuerungsausschusses das gesamtpolitische Projekt auf Kurs. Dort sitzen VertreterInnen des Bundes und der Kantone. Auch Norwegen versucht sich mit E-Voting – wie Neuenburg setzt es auf die Entwicklungsfirma Scytl. In Estland scheint alles rund zu laufen: Beim zweiten grossen Einsatz von E-Voting stimmen 15,4 Prozent übers Internet ab.

2013: Im dritten Bericht des Bundesrats äussern sich die Kantone positiv zu den bisherigen Versuchen. Doch es zeigt sich: Die Systeme entsprechen nicht den «international anerkannten vorbildlichen Praktiken». Insbesondere könne die richtige Übermittlung, Speicherung und Auszählung der Stimmen nicht unabhängig überprüft werden. Trotzdem schlägt der Bundesrat die schrittweise Ausdehnung unter dem Motto «Sicherheit vor Tempo» vor. Um den erkannten Problemen gerecht zu werden, fordert er die sogenannte Verifizierbarkeit: Unter Wahrung des Stimmgeheimnisses müssten Fehler im Abstimmungsverlauf aufgrund von Softwarefehlern oder Manipulation erkannt werden. Diese Notwendigkeit zeigt sich bei den Parlamentswahlen in Norwegen, wo etwa 0,75 Prozent der Wählenden sowohl übers Internet als auch physisch abstimmen konnten. Ein Fehler in der von Scytl entwickelten Kryptografie wird für die Unstimmigkeiten verantwortlich gemacht.

2014: Die Risse werden grösser. Im Juni stellt die norwegische Regierung E-Voting ein. Offiziell, weil es nicht verantwortlich sei, weiterhin Geld ins System zu investieren. Gut möglich, dass die gefundenen Sicherheitsmängel den Ausschlag gaben. Derweil scheint in Estland heile Welt zu sein: 31,3 Prozent der Stimmberechtigten nehmen via Internet an der Europawahl teil. Doch die Zahl täuscht über eine breit abgesicherte Kritik hinweg: Bereits 2005 wehrte sich der damalige Präsident Arnold Rüütel erfolglos bis vor dem obersten Gerichtshof gegen die Einführung von E-Voting. Im Mai 2014 löst der Bericht von internationalen SicherheitsexpertInnen eine Kontroverse aus: Es sei möglich, Stimmen zu ändern und anschliessend die Spuren zu verwischen. Doch die Regierung wischt den Sicherheitsbericht als rein politischer Natur vom Tisch.

2015: Erster grosser Knall – am 21. September löst sich das Konsortium rund um den Pionierkanton Zürich auf. Das System erhielt Mitte August von der Bundeskanzlei keine Zulassung, weil eine Lücke beim Schutz des Stimmgeheimnisses entdeckt worden war. Doch das Konsortium will die Schuld von sich schieben: Die Lücke sei «rein theoretischer Natur», und die Nachbesserung würde «erhebliche Kosten» verursachen. Eine bedenkliche Begründung, zumal das Vertrauen in Abstimmungen auch durch theoretische Angriffe untergraben wird. Zeitgleich positioniert sich die Post und spannt neu mit Neuenburg zusammen – die genaue Motivation für den Einstieg bleibt nebulös. Anja Wyden Guelpa, damalige Genfer Staatskanzlerin, äussert die Vermutung, die Post habe «ihre Absicht klar manifestiert, mit den Volksrechten Geld zu verdienen». Für sie sind Abstimmungen und Wahlen «eine Frage der nationalen Souveränität».

III. Die Zuspitzungsphase (2016–2019)

Nach dem Ausstieg des Konsortiums bleiben das System von Genf und das privat entwickelte von Post und Scytl, das 2016 zum ersten Mal zum Einsatz kommt. Neu ist die sogenannte individuelle Verifizierbarkeit: Stimmende können überprüfen, ob ihre Stimme korrekt im System gespeichert wurde. Dieser Punkt ist zentral, weil die gesetzlichen Bedingungen das verlangen werden.

2017: Jetzt will es der Bundesrat wissen. An der Sitzung vom 5. April beschliesst er, die Versuchsphase zu beenden. Gemeinsam mit den Kantonen soll eine Rechtsgrundlage für E-Voting geschaffen werden. Derweil zertifiziert die Prüfstelle KPMG, dass das System der Post den Anforderungen der geltenden Verordnung zur elektronischen Stimmabgabe genügt. Ein Irrtum, wie sich herausstellen wird.

In der Schweiz steht die Ampel auf Grün, doch im Ausland nimmt die Skepsis zu. Finnland, ebenfalls mit Scytl unterwegs, bremst E-Voting frühzeitig. Eine Arbeitsgruppe des Justizministeriums kommt zum Schluss, dass die Risiken überwiegen. Technisch gesehen bereiten vor allem die Verifizierung und das Wahlgeheimnis Schwierigkeiten. Das grösste Risiko sieht die Gruppe jedoch in der Möglichkeit eines «Verlusts des öffentlichen Vertrauens». Auch Frankreich begräbt E-Voting – vor den Parlamentswahlen im Juni stellt die Regierung die Versuche ein. Es gebe ein «extrem hohes Risiko» von Cyberangriffen.

2018: In der Schweiz bleibt man unbeeindruckt. Die «Expertengruppe elektronische Stimmabgabe» schreibt im Abschlussbericht, dass die Schweiz bereit für E-Voting sei. Dabei bezieht sie sich auch auf das Zertifizierungsverfahren, das dank «besonders tiefgreifender Prüfung durch Experten» eine «hohe Glaubwürdigkeit» geniesse.

Ende Jahr zeigt ein Hacker des Chaos Computer Club, wie sich das Genfer System überlisten lässt. Stimmende können problemlos auf eine identisch aussehende, aber falsche Seite geleitet werden. Kurze Zeit später verkündet der Kanton, dass das System nicht weiterentwickelt werden soll und Anfang 2020 zum letzten Mal zum Einsatz kommt. Mit dem Hack soll das nichts zu tun haben. Stattdessen verweist man auf die Entwicklungskosten, die durch die Anforderungen der geplanten Gesetzesrevision nötig würden. Damit bleibt das System der Post die einzige Alternative.

2019: Drei Entwicklungen dominieren das erste Halbjahr. Erstens ein öffentlicher Intrusionstest, der das System der Post auf Herz und Nieren prüfen soll. Trotz Kritik am Vorgehen werden dabei kritische Lücken aufgedeckt, die auch der Zertifizierungsstelle nicht aufgefallen sind. Zudem zeigt sich, dass der Code nicht den gängigen Standards für externe Prüfung und Transparenz entspricht – ein Déjà-vu. Als Konsequenz stoppt die Post vorerst weitere Versuche und will über die Bücher gehen – wenig später kündigt sie an, das bisher verwendete System nicht weiter zu verwenden und erst 2020 den Betrieb mit einer neuen Version wieder aufzunehmen. Zweitens entsteht im Kontext der laufenden Vernehmlassung zum Gesetzesentwurf endlich eine breitere Debatte über die Gefahren und den potenziellen Nutzen von E-Voting. Dabei zeigt sich, dass in einigen Kantonalparlamenten und auch in Wirtschaftsverbänden mittlerweile grosse Skepsis herrscht. Drittens lanciert ein politisch breites Komitee eine Volksinitiative, die ein Moratorium für E-Voting verlangt.

Ende Juni geht es Schlag auf Schlag. Der Kanton Genf legt sein System überraschend per sofort still. Das geht auch am Bundesrat nicht vorbei. Er legt die flächendeckende Einführung und Gesetzesrevision vorerst auf Eis – trotzdem soll es in einem «modernisierten» Testbetrieb weitergehen. Doch eigentlich ist nach zwanzig Jahren voller Experimente, Probleme, Sicherheitslücken, internationalem Widerstand und Fragezeichen klar: E-Voting ist unnötig und unsicher.

Dieser Artikel wurde ermöglicht durch den Recherchierfonds des Fördervereins ProWOZ. Dieser Fonds unterstützt Recherchen und Reportagen, die die finanziellen Möglichkeiten der WOZ übersteigen. Er speist sich aus Spenden der WOZ-LeserInnen.

Unterstützen Sie den ProWOZ

Wenn Ihnen der unabhängige und kritische Journalismus der WOZ etwas wert ist, können Sie uns gerne spontan finanziell unterstützen:

Überweisung

PC-Konto 87-39737-0
BIC POFICHBEXXX
IBAN CH04 0900 0000 8703 9737 0
Verwendungszweck Spende woz.ch