E-Voting : Vertrauen ist keine Technikfrage

Nr.  25 –

Der Bund unternimmt einen neuen Anlauf bei der elektronischen Stimmabgabe. Transparenz und unabhängige Hackingversuche sollen für die Sicherheit des Verfahrens sorgen. Für die Post als Anbieterin geht es um alles. Die GegnerInnen sind wenig begeistert.

Geht es nach der Bundeskanzlei, soll in der Schweiz auch vom WC aus abgestimmt werden dürfen. Jahrelang wurde an unterschiedlichen E-Voting-Systemen getüftelt, um eine Stimmabgabe übers Internet zu ermöglichen. Vor zwei Jahren jedoch war der Traum fast ausgeträumt. Kurz bevor das E-Voting in den geregelten Betrieb hätte übergehen sollen, zog der Bundesrat den Stecker: In der Software der Post wurden gravierende Sicherheitslücken entdeckt; das Vertrauen in die Technik war dahin. Und der Kanton Genf gab seine eigene Software kurzerhand auf – zu gross waren die Investitionshürden für die Weiterentwicklung, zu unsicher, ob es jemals wirklich klappen würde. Nach zwanzig Jahren und rund 300 Versuchen in fünfzehn Kantonen stimmte das viel zitierte Motto «Sicherheit statt Tempo» für einmal (siehe WOZ Nr. 28/2019 ).

Doch verschwunden ist das Thema E-Voting damit nicht. Und so liefen im Hintergrund bereits Vorbereitungen für einen neuen Anlauf. Die Post kaufte im Mai 2020 in letzter Sekunde den Quellcode der vor dem Konkurs stehenden spanischen Entwicklungsfirma Scytl; zeitgleich arbeitete die Bundeskanzlei eine neue Verordnung aus, die der Bundesrat Ende April in die Vernehmlassung schickte.

Einladung an HackerInnen

Damit will der Bundesrat eine «neue, stabile Grundlage für den E-Voting-Versuchsbetrieb» schaffen. Nach den Pannen der letzten Jahre (etwa in Genf, Neuenburg und Zürich, siehe WOZ Nr. 28/2019 ) soll in den Kantonen bald wieder elektronisch abgestimmt werden dürfen. Eine Volksinitiative, die solchen Versuchen einen Riegel vorschieben wollte, scheiterte an den pandemiebedingt erschwerten Bedingungen für die Unterschriftensammlung. Mit der Vorlage will nun der Bundesrat das verlorene Vertrauen wiederherstellen. So dürfen pro Kanton zunächst nur dreissig Prozent ihre Stimme elektronisch abgeben – schweizweit höchstens zehn Prozent. Und die Bundeskanzlei macht striktere Vorgaben: Es dürfen nur noch Systeme mit vollständiger Verifizierbarkeit genutzt werden – diese soll garantieren, dass Manipulationen festgestellt werden können.

Die Kantone müssen zudem «die Funktionsweise und die Sicherheitseigenschaften des Systems» sowie «die wesentlichen betrieblichen Abläufe» veröffentlichen. Der Quellcode muss also offengelegt werden – ein wichtiger Schritt, der eine unabhängige Prüfung ermöglicht. Ohne diese Transparenz wären im alten System die Sicherheitslücken gar nicht entdeckt worden. Um Anreize zu schaffen, wird zudem ein sogenanntes Bug-Bounty-Programm vorgeschrieben. Damit sollen HackerInnen motiviert werden, das System auf Herz und Nieren zu prüfen. Das Entdecken von Fehlern, «die einen Bezug zur Sicherheit haben», muss per Gesetz «angemessen finanziell entgolten» werden. Eine solche Vorgabe gab es in der Schweiz noch nie. Eine Garantie für fehlerfreie Software ist das freilich nicht. IT-Systeme befinden sich in ständigem Wandel und müssen laufend angepasst werden. Die Geschichte des E-Votings liefert gleich selber ein Beispiel: 2017 prüfte die Zertifizierungsstelle KPMG das System der Post und gab grünes Licht – zwei Jahre später wurden klaffende Lücken entdeckt.

Post gibt sich vorbildlich

Das System der Post steht weiterhin im Zentrum, denn sie ist die einzige verbliebene Anbieterin von E-Voting. Gemäss Mediensprecher Oliver Flüeler will die Post eine Lösung «aus der Schweiz für die Schweiz» entwickeln. Dafür hat sie in Neuenburg ein «E-Voting-Kompetenzzentrum» aufgebaut, wo der von Scytl übernommene Quellcode neu geschrieben und weiterentwickelt wird. Das geschehe jedoch nicht «im stillen Kämmerlein», so Flüeler, sondern unter Einbezug von «weltweiten Expertinnen und Experten mit Hackversuchen». Die Post hat offenbar aus den Pannen gelernt und will nun also intensiv mit der IT-Community zusammenarbeiten. Für Flüeler hat sich die Systemoffenlegung «als wirksame Methode bewährt, um Schwachstellen rasch zu finden und zu beheben». In den letzten Wochen veröffentlichte die Post verschiedene Komponenten der Software und hofft auf Feedback von HackerInnen – wobei dies «keine einmalige Massnahme» sei. «Es braucht einen dauerhaften Austausch mit weltweit Interessierten und Sachverständigen», sagt Flüeler. Das vom Bundesrat vorgesehene Bug-Bounty-Programm startet bei der Post voraussichtlich Ende Sommer und soll – wie es die Verordnung fordert – dauerhaft laufen. Doch wie viel Geld nimmt die Post dafür in die Hand? In Hackingkreisen wurde nach dem öffentlichen Intrusionstest von 2019 (siehe WOZ Nr. 7/2019 ) kritisiert, dass zu wenige Fehlerentdeckungen bezahlt wurden und die dafür ausgezahlten Beträge zu gering waren. «Details zur Abgeltung sind zurzeit noch nicht entschieden», sagt Flüeler.

Ob sich die Investitionen für die Post lohnen, wird sich zeigen. Sie sucht verzweifelt nach neuen Geschäftsfeldern. Viele Kantone sind offenbar immer noch an E-Voting interessiert. Auf der Website der Post sind Neuenburg, Freiburg, Thurgau, Basel-Stadt und Glarus als Partnerkantone aufgeführt. Über die Modalitäten der Partnerschaften gibt Flüeler keine Auskunft – auch nicht darüber, wie viel die Kantone für die Nutzung der Software zahlen sollen. «Dazu müssen Sie uns als Systementwicklerin, dem Bund und den Kantonen noch etwas Zeit geben», sagt Flüeler – und betont, dass die Nachfrage nach einem elektronischen Stimmkanal weiter ungebremst sei: «In zehn Jahren wird eine digitale Abstimmungs- und Wahlplattform wohl selbstverständlich sein.»

Die Post rechnet fest damit, dass sich ihre Investitionen langfristig auszahlen. Wie viel bereits investiert wurde und was die Entwicklung jährlich kostet, verrät Flüeler nicht. Doch die Post würde «E-Voting nicht anbieten, wenn es nicht wirtschaftlich entwickelt und betrieben werden könnte». Und falls es in der Schweiz doch nicht klappen sollte? In der Vergangenheit hatten auch Finnland und Norwegen mit dem System von Scytl Versuche unternommen. Will die Post ihre Lösung auch im Ausland anbieten? Flüeler winkt ab. Man möchte den Kantonen ein System «für die Schweiz mit all ihren Besonderheiten» anbieten.

Lange Zeit gab es mit dem System des Kantons Genf eine Alternative zur Post. Doch die Weiterentwicklung war zu teuer – nun wird am System «auf sehr kleiner Flamme» an der Berner Fachhochschule (BFH) unter dem Namen OpenCHVote weitergearbeitet. Das erklärt Eric Dubuis, Mitglied der E-Voting-Gruppe der BFH. OpenCHVote ist radikal quelloffen und soll «punkto Offenheit und Qualität von Spezifikationen und Quellcode eine Messlatte definieren», sagt Dubuis. «Open Source ist eine das Vertrauen fördernde Massnahme. Es scheint, dass nun auch die Post diesen Weg einschlägt.»

Der Kanton Genf wollte gar, dass der Bund das eigene System weiterentwickelt. Dafür reichte er 2019 eine Standesinitiative ein. Sie forderte, dass das E-Voting-System «vollständig von der öffentlichen Hand kontrolliert» sein müsse und «eine individuelle und allgemeine Überprüfung des Wahlvorgangs» möglich sein solle. Weder der Stände- noch der Nationalrat gingen auf die Initiative ein. Dass Genf die Entwicklung des eigenen Systems aufgegeben habe, war für Dubuis enttäuschend: «Damit wurde die Chance vertan, ein E-Voting-System zu realisieren, das die Anforderungen der neuen Verordnung ohne Wenn und Aber erfüllen würde.» Mit OpenCHVote könne man kein «echtes» E-Voting anbieten, man arbeite bloss am technischen Kern des Systems. «Ziel dieser Arbeit ist es zu prüfen, ob sich dieser Kern ohne Veränderung für ein echtes E-Voting-System verwenden liesse.»

Ungelöstes Vertrauensproblem

SVP-Nationalrat Franz Grüter bekämpfte E-Voting von Anfang an. Gegenüber der WOZ zeigte sich der ehemalige CEO der IT-Firma green.ch wenig begeistert über die Pläne der Bundeskanzlei. «Sie will offenbar weiter pröbeln», sagt er. Auch der Post stellt er kein gutes Zeugnis aus: «Sie hat bei E-Voting keine speziellen Kompetenzen bewiesen.» Zwar fänden die neuen Versuche näher an den Sicherheitsanforderungen statt. «Aber wir sind nach wie vor weit weg von einer demokratischen Kontrolle der Ergebnisermittlung.»

Grüter spricht damit das zentrale Problem beim E-Voting an: Das System mit seinen kryptografischen Prozessen und digitalen Infrastrukturen müsse so komplex sein, dass Manipulationen unmöglich seien, die korrekte Stimmabgabe überprüfbar sei und das Stimmgeheimnis gewahrt bleibe – eine technisch kaum lösbare Aufgabe. Zugleich muss der Prozess von der Bevölkerung verstanden, überprüft und beobachtet werden können. Das geht bei E-Voting im Gegensatz zur Papierwahl, wo Wahlbeobachtungen und Nachzählungen möglich sind, nicht. «Das Vorhaben wird von uns scharf beobachtet», sagt Grüter. «Wir verlangen absolute Transparenz bei allen Sicherheitsfragen. Solange diese nicht zufriedenstellend geklärt sind, werden wir einen Probebetrieb nur auf ganz kleinem Feuer akzeptieren.»

So bleibt die grundsätzliche Kritik am System bestehen, ob dieses nun von der Post oder der öffentlichen Hand entwickelt wird. Mit E-Voting besteht die Gefahr, dass Wahlen im grossen Stil gefälscht werden, Abstimmungen wiederholt werden müssen und das Stimmrechtsgeheimnis nicht gewahrt werden kann. Darum wehrt sich auch Hernâni Marques vom Chaos Computer Club Schweiz vehement gegen den Neuanlauf: «Wir müssen den Ergebnissen von elektronischen Abstimmungen blind vertrauen. Eine Nachzählung ist nicht möglich. Aber Vertrauen ist kein Problem, das sich technisch lösen lässt.» Auch in einem transparent entwickelten und «hypothetisch sicheren» System bleibe das Vertrauensproblem ungelöst. «Eine gleichzeitig geheime und nachvollziehbare Abstimmung mit E-Voting bleibt eine Quadratur des Kreises.»

Franz Grüter wiederum bereut dennoch nicht, die Initiative für ein E-Voting-Moratorium abgebrochen zu haben. Mit dem damaligen Marschhalt des Bundesrats habe das Komitee «ein wichtiges Teilziel erreicht». Zudem gehe die Neuausrichtung weiter als die Initiative: Während diese einen Stopp von fünf Jahren forderte, rechnet Grüter beim neuen Probebetrieb mit fünfzehn Jahren. Und was, wenn neue kritische Probleme auftauchen? «Ob wir wieder mit einer Volksinitiative kommen, wenn alle Stricke reissen, lassen wir mal offen», orakelt Grüter. Auch ein Referendum sei ja noch möglich. «Auf jeden Fall muss das Volk in dieser Frage das letzte Wort haben.»