Warum E-Voting zum Stresstest für die Demokratie werden könnte

Es ist eine zwanzigjährige LeidensgeschichteExterner Link. Die Schweiz, das Land mit den weltweit meisten Abstimmungen, versucht seit zwei Dekaden krampfhaft, einen digitalen Stimmkanal einzuführen.

Nun wird seit langem erstmals wieder E-Voting für eine eidgenössische Wahl zugelassen. Die Kantone Basel-Stadt, St. Gallen und ThurgauExterner Link dürfen bis 2025 mit dem digitalen Stimmkanal experimentierenExterner Link. Doch die Begeisterung dafür hält sich stark in Grenzen. Der abtretende Bundeskanzler Walter Thurnherr, der das Dossier jahrelang vorangetrieben hatte, erwähnte das Thema in einem kürzlich erschienenen InterviewExterner Link mit keinem einzigen Wort.

Das hat seine Gründe: Denn die Geschichte ist begleitet von Pleiten, Pech und Pannen – und ihr Happy End ist ebenso vorläufig wie trügerisch.

Die bisherige Geschichte geht so: Die Bundeskanzlei – zuständig für Abstimmungen und Wahlen – liess 2003 das Bundesgesetz über die politischen RechteExterner Link revidieren. Damit wollte sie E-Voting-Experimente ermöglichen. Der Impuls für das Wählen via Internet ging (und geht bis heute) stark von den Auslandschweizerinnen aus, aber auch von den Behinderten­verbänden.

2005 startete der Kanton Neuenburg erste Tests mit dem E-Voting-System der Post, deren Softwarelieferant die umstrittene spanische Firma Scytl warExterner Link. Und auch ein Konsortium von acht KantonenExterner Link – darunter Aargau und Graubünden – experimentierte mit E-Voting, allerdings mit einem anderen System der Firma UnisysExterner Link.

2015 folgte der erste Rückschlag: Die Bundeskanzlei liess das System des Konsortiums durchfallenExterner Link. Grund: Es hatte Lücken, aufgrund deren das Stimmgeheimnis nicht gewährleistet werden konnte.

Die Probleme des Monopolisten

Bundeskanzler Walter Thurnherr, der zum E-Voting-Turbo avanciert war, zog danach die Zügel bezüglich IT-Sicherheit an. Weil er wusste, dass anders kaum gegen den Widerstand der digitalen Zivilgesellschaft und von IT-kompetenten Politiker:innen anzukommen ist. Denn: E-Voting birgt massive konzeptionelle und technische Risiken.

• Die konzeptionellen Risiken: Nur wenige Personen sind imstande, die komplexen E-Voting-Systeme zu verstehen und Manipulationen aufzudecken. Die Bürgerin muss darauf vertrauen, dass ihre digitale Stimme nicht manipuliert wird, etwa von einer Mitarbeiterin des Kantons.

• Die technischen Risiken: Die Stimmabgabe erfolgt beim digitalen Wählen und Abstimmen in einem Browser, der mit dem offenen Internet verbunden und damit angreifbar ist. Ein Hack des E-Voting-Systems betrifft nicht nur eine einzige Wahl­stimme, sondern potenziell Hunderttausende. Aufgrund des fehlenden Papiers kann keine Nach- oder Neuauszählung der Stimmen stattfinden.

Die Bundeskanzlei verpflichtete deshalb die Anbieter – neben der Offenlegung des Quell­codes – zur Durchführung von sogenannten Bug-Bounty-Programmen (Programme, bei denen jede Meldung von Softwarefehlern und Sicherheitslücken belohnt wird) und Penetrationstests (legale Versuche, ein System von aussen zu hacken).

Mehr

“E-Voting reicht nicht aus”

Dieser Inhalt wurde am veröffentlicht 17. Aug. 2023 Auf ihren Kongress in St. Gallen hin präsentiert die Swisscommunity eine Forderung.

Mehr “E-Voting reicht nicht aus”

2019 nahm sich ein weiterer Anbieter aus Kostengründen aus dem Rennen: der Kanton Genf mit seinem selbst entwickelten Open-Source-System.

Es verblieb nur noch die Post, die von da an ein E-Voting-Monopol hatte. Doch auch die von ihr eingesetzte Software war nicht sicher, wie Recherchen der Republik zeigtenExterner Link. Der australische Bundesstaat New South Wales hatte 2015 dieselbe Software wie die Post eingesetzt – und Security-Forscher hatten eine gravierende Lücke im System entdeckt: Die Verschlüsselungen im Browser funktionierten nicht korrekt.

Auch in der Schweiz scheiterte Scytl, der Technologiepartner der Post, 2019 am Reality­check: Die kanadische Security-Forscherin Sarah Jamie Lewis und ihr Team fanden während der Testphase zwei empfindliche Sicherheitslücken. Ihr Verdikt war vernichtendExterner Link: «Die Protokolle sind meiner Meinung nach mit fehlendem Verständnis der Kryptografie implementiert worden, kombiniert mit schlampiger Programmierung.»

Die Post zog darauf ihr System zurück.

Und die Politik drückte den Reset-Knopf.

2020 nahm das Parlament einen zweiten Anlauf und arbeitete neue Rechtsgrundlagen für einen weiteren E-Voting-VersuchsbetriebExterner Link aus. Nur noch unabhängig geprüfte und vollständig verifizierbare Systeme sollen zugelassen werden.

Das bedeutet: Sowohl die wählenden Bürger:innen als auch die vom Kanton mandatierten Prüfer:innen müssen feststellen können, ob die im Internet abgegebene Stimme korrekt in der digitalen Urne eingetroffen ist. E-Voting ist ausserdem nur für maximal 30 ProzentExterner Link der Stimmberechtigten zugelassen. Die Kantone schielen dabei vor allem auf die Ausland­schweizer:innen.

Die Post hat in der Zwischenzeit ihre Hausaufgaben gemacht. Sie kaufte den Quellcode ihres Lieferanten Scytl, entwickelte ihn weiter und bestand bisher alle Sicherheitstests. Die Post verfügt nun über ein permanentes Bug-Bounty-Programm, 2022 nahmen 3400 PersonenExterner Link daran teil. Die Bundeskanzlei war zufrieden: «Ein Eindringen in die Infrastruktur oder in die elektronische Urne ist nicht gelungen.» Im Juni 2023 haben 4239 Stimmberechtigte in Basel-Stadt, St. Gallen und ThurgauExterner Link elektronisch abgestimmt. Die Post scheint den grossen Check des Bundes bestanden zu haben.

Das aktuelle E-Voting-System erweist sich also vorerst als robustExterner Link. Nun können 65’000 Stimmberechtigte (1,2% des Elektorats)Externer Link bis 2025 via Internet wählen und abstimmen. Ende gut, alles gut?

So einfach ist es leider nicht.

Mehr

Die politische Partizipation der Fünften Schweiz, eine gemeinsame Verantwortung

Dieser Inhalt wurde am veröffentlicht 18. Aug. 2023 Wie kann die politische Partizipation der Auslandschweizerinnen und Auslandschweizer gestärkt werden? Die Lösungsansätze gehen auseinander.

Mehr Die politische Partizipation der Fünften Schweiz, eine gemeinsame Verantwortung

Verantwortung an Bürger abgeschoben

Die BundeskanzleiExterner Link sowie die KantoneExterner Link legten im Sommer 2023 umfassende Risiko­beurteilungen vor, die von den Medien kaum beachtet wurden.

Der Techjournalismus-Blog «dnip.ch» aber analysierte die BerichteExterner Link – und kam zum Schluss: Trotz aller technischer Fortschritte existiert immer noch eine Vielzahl von Risiken. Sie werden von Bund und Kantonen einfach entweder mit Massnahmen bewältigt (mehr Transparenz, mehr Dokumentation) – oder kleingeredet.

Ein mögliches Risiko könnte zum Beispiel eine Situation darstellen, in der die Resultate der Papierstimmen massiv von denen der digitalen Stimmen abweichen. Denn das könnte das Vertrauen in den elektronischen Stimmkanal mindern. Die Kantone scheinen dieses Szenario als unwahrscheinlich einzuschätzen. Denn: Bisher sei dieses Phänomen noch nie aufgetreten.

Aber wird etwas auch in Zukunft nicht passieren, nur weil es noch nie eingetreten ist?

Die Bundeskanzlei wälzt den Grossteil der Verantwortung für korrektes digitales Abstimmen auf die Bürgerinnen ab. Diese müssen nicht nur anhand der Codes genau überprüfen, ob ihre Stimme korrekt übermittelt wurde, sondern darüber hinaus einige IT-Skills mitbringen: Wähler:innen müssen anhand von Webserver-Zertifikaten erkennen, ob sie mit dem richtigen E-Voting-Server verbunden sind, über virenfreie digitale Endgeräte verfügen und neue Software-Updates laden (wie einfach ein Angriff hierbei passieren kann, demonstrierte soeben der Informatiker Andreas KusterExterner Link).

Und sie dürfen auf keine Desinformationskampagnen von ausländischen Hacker:innen reinfallen, niemals verdächtige Browser-Erweiterungen installieren und schon gar nicht auf dubiose Links klicken. Und sollte ein:e Bürger:in selber Unstimmigkeiten bemerken, muss er von sich aus aktiv werden und sich bei der zuständigen Stelle des Kantons meldenExterner Link.

Liest man all die Anforderungen durch, kommt man zum Schluss: Am besten würde der Staat die Schweizer Stimmbevölkerung einen einwöchigen Cyberkurs absolvieren lassen.

Die beste Sicherheitsmassnahme ist daher die bereits angesprochene verbindliche Vorgabe der Verordnung, dass nur ein beschränkter Teil der WählerschaftExterner Link für E-Voting zugelassen werden darf. Salopp gesagt: Sollte bei der Post etwas schiefgehen, kommt es auf die verlorenen Stimmen nicht allzu sehr an.

Doch auch das ist zu kurz gedacht: Zuweilen können wenige hundert Stimmen den Ausschlag gebenExterner Link. Der Blog «dnip.ch» nennt sinngemäss unter anderem folgende zentrale Fragen, die für politischen Sprengstoff sorgen könnten: Wie gross ist die Hürde bei einer Manipulation elektronisch abgegebener Stimmen, um eine Abstimmung zu wiederholen? Und was machen die Behörden, wenn die Verlierer:innen die Resultate wegen des E-Votings anzweifeln?

Müdigkeitserscheinungen bei kritischen Geistern

Die Wiederzulassung des E-Votings könnte zum Stresstest der Demokratie werden. Denn das Timing ist schlecht:

Erstens gibt es seit der Corona-Pandemie eine laute politikverdrossene und staatsskeptische Minderheit, die sich eine digitale Öffentlichkeit auf Messenger-Apps wie Telegram aufgebaut hat. Sie könnte E-Voting-Ergebnisse systematisch anzweifeln und damit – sollte einmal ein schwerer Fehler gefunden werden – eine Demokratie-Krise auslösen.

Zweitens wird die Schweiz zurzeit von einer Cyberattacke nach der anderen eingeholt. Fairerweise muss man sagen, dass es sich bei vielen der staatlichen IT-Desaster um Altlasten aus den 2000er- und frühen 2010er-Jahren handelt, etwa beim Beschaffungsskandal rund um die Firma XplainExterner Link oder beim mittlerweile vom Netz genommenen elektronischen Impf­büchlein Meineimpfungen.chExterner Link. Trotzdem mindert jede negative Schlagzeile das Vertrauen in staatliche Digitalprojekte.

Mehr

16’600 Kilometer vom Nationalrat entfernt – aber Kandidat

Dieser Inhalt wurde am veröffentlicht 15. Sep. 2023 Von der Schriftstellerin in Berlin bis zum Diplomaten in Australien. 43 Auslandschweizer:innen kandidieren für den Nationalrat. Ein Überblick.

Mehr 16’600 Kilometer vom Nationalrat entfernt – aber Kandidat

Drittens birgt auch das Versagen privater Systeme Gefahren fürs E-Voting: So sind die Post­adressen von 425’000 Auslandschweizerinnen im Darknet auffindbar, weil eine Druckerei des Medienkonzerns CH Media von der Ransomware-Gruppe Play gehackt worden warExterner Link. Es wäre für Hackergruppen ein Leichtes, diese Adressen herunterzuladen, anzuschreiben und sie damit auf eine manipulierte E-Voting-Seite ihres Kantons zu locken.

Und viertens lässt die Wachsamkeit nach. Nach zwanzig Jahren Debatte lassen sich Ermüdungserscheinungen in der hiesigen Informatiker:innen-Szene beobachten. Das «Swiss IT Magazine» kritisierte zu RechtExterner Link, dass sich Schweizer IT-Verbände bei der Vernehmlassung zur Revision der E-Voting-VerordnungExterner Link kaum mit den technischen Anhängen auseinander­gesetzt hatten. Inputs zu Schwachstellen kamen stattdessen von ethischen Hackern aus der ganzen Welt. Die Begleitung von E-Voting braucht jedoch permanente Aufmerksamkeit, denn die Gefahrenlage im Netz verändert sich stets.

Ein Grundsatzentscheid sollte her

Die lange Geschichte des E-Votings hat aber auch ihr Gutes. In all den Jahren ist ein neues politisches Bewusstsein rund um Softwareentwicklungen der öffentlichen Hand entstanden. Öffentliche Sicherheitsprüfungen und Transparenz beim Quellcode werden beim Bund immer mehr zum State of the Art. Und zum Vorbild für weitere Projekte wie die Swiss-Covid-App.

Es wäre wünschenswert, würden diese Standards auf alle IT-relevanten Bereiche des Wählens ausgeweitet, etwa auch auf Systeme zur Ermittlung von Wahlresultaten (die die Zuteilung der Sitze an die Parteien berechnen). Doch Wahlen sind Sache der Kantone. Und diese haben die Hoheit über ihre IT-Systeme. 2020 deckte die Republik Sicherheits­lücken in Software zur Ermittlung von WahlergebnissenExterner Link auf, die in der Folge behoben wurden. Die Kantone verlangen jedoch keine öffentlichen Sicherheitstests wie beim E-Voting, was insbesondere die Piraten­partei kritisiert.

Die Prioritätenliste der Schweizer Bundespolitik in Sachen Digitalisierung ist für langjährige Beobachter:inneb schwer nachvollziehbar. Weshalb wird mit E-Voting ausgerechnet die risikoreichste Form der Digitalisierung forciert, von der namhafte Cybersecurity-Expert:innen aus aller Welt immer wieder abratenExterner Link?

Die Schweiz hätte die vergangenen zwanzig Jahre dazu nutzen können, Demokratie-Innovationen zu fördern, mit denen Städte, Kantone und Zivilgesellschaft bereits Pilotprojekte durchführen: für ein partizipatives Budget (Luzern, Lausanne)Externer Link, digitale Unterschriftensammlungen (SchaffhausenExterner Link) oder ein digitales Vernehmlassungstool («DemokratisExterner Link») etwa.

Es wäre gut, könnte die Schweizer Stimmbevölkerung bald einen Grundsatzentscheid zum E-Voting fällen. Bisher haben Befürworter:innen die Legitimität von E-Voting mit Umfrage­werten begründet. Eine breite Allianz hatte 2020 einen erfolglosen VersuchExterner Link unternommen, mit einer Volksinitiative ein Moratorium von E-Voting zu erreichen. Dennoch würde ein neuer Versuch Klarheit über den Volkswillen schaffen. Und damit endlich auch eine landesweite Debatte über alle Aspekte wie Sicherheit und politische Teilhabe ermöglichen, wie sie vor zwei Jahren bei der E-ID-Abstimmung geführt wurdeExterner Link.

Transparenzhinweis: Die Autorin ist Mit-Herausgeberin von dnip.ch.

Dieser Artikel erschien erstmals bei republik.chExterner Link.