Es braucht einen Neustart für das E-Voting

Präziser hätte der Steilpass nicht sein können: Am 12. März um 9 Uhr 13 berichtete die Agentur Keystone-SDA, die Bundeskanzlei habe grünes Licht für die Initiative für ein E-Voting-Moratorium gegeben. Die Unterschriftensammlung für das Volksbegehren, das die elektronische Stimmabgabe für mindestens fünf Jahre verbieten will, kann starten. «Kritischer Fehler beim Quellcode des Post-E-Voting-Systems entdeckt», meldete die Nachrichtenagentur exakt 50 Minuten später. Ein direkter Zusammenhang zwischen den beiden Meldungen besteht nicht. Doch sie machen deutlich, dass in Sachen E-Voting einiges schiefläuft.

Die Friktionen sind darauf zurückzuführen, dass Bremser und Turbos am Werk sind. Auf der einen Seite agieren IT-affine Politiker, Computerspezialisten und Sicherheitsexperten, die das Vorhaben lieber heute als morgen stoppen würden. Auf der anderen Seite stehen Bundeskanzlei und Pionierkantone, für die das Abstimmen per Mausklick ein Schwerpunkt beim E-Government ist. Sie wollen E-Voting neben dem klassischen Gang zur Urne und der brieflichen Stimmabgabe im Gesetz als ordentliches Abstimmungsverfahren verankern. Das ist nur möglich, wenn ein System mit universeller Verifizierbarkeit zur Verfügung steht. Dank dieser haben die Stimmenden und die Wahlbehörden jederzeit die volle Kontrolle über die abgegebenen Stimmen und können Manipulationen zweifelsfrei erkennen.

Unbemerkte Manipulation möglich

Einziger Anbieter eines Systems, das sämtliche Anforderungen erfüllt, ist gemäss eigenen Aussagen die Schweizerische Post. Die kryptologischen Komponenten für die Plattform hat die spanische Firma Scytl programmiert. Diese Software wird seit dem 25. Februar von Hackern und IT-Spezialisten auf Schwachstellen abgeklopft. Bei diesen Intrusionstests wurde die eingangs erwähnte, gravierende Sicherheitslücke entdeckt. Im ohnehin aufgeheizten politischen Klima schlug die Nachricht ein wie eine Bombe. Die Schwachstelle im Quellcode erlaubt es zwar nicht, dass externe Angreifer in das System eindringen können. Nur ein Insider mit Zugriff auf das System könnte sie ausnutzen. Doch der Fehler ist gravierend, weil er grundsätzlich unbemerkte Manipulationen am Stimm- oder Wahlresultat erlaubt.

Dem immer wieder beschworenen Grundsatz «Sicherheit vor Tempo» muss nun Nachachtung verschafft werden.

Für das Initiativkomitee ist damit die Glaubwürdigkeit der Plattform der Post endgültig zerstört. «Zur Rettung des Vertrauens in die direkte Demokratie» müssten Bundesrat und Kantonsregierungen nun sofort die Notbremse ziehen, fordern die Kritiker. In Basel-Stadt, Freiburg, Neuenburg und Thurgau, die ein anderes, weniger weit entwickeltes System der Post einsetzen, dürfe bei den kantonalen Volksabstimmungen vom 19. Mai kein E-Voting mehr angeboten werden.

Besteht die Gefahr, dass kantonale Urnengänge von Unbekannten manipuliert werden, ohne dass dies die Verantwortlichen bemerken? So dramatisch ist die Situation nicht. Bereits heute müssen die Kantone für E-Voting eine Bewilligung der Bundeskanzlei einholen. Diese verlangt, dass das Stimmgeheimnis gewahrt wird und dass die individuelle Verifizierbarkeit gegeben ist. Die letztere Forderung bedeutet, dass das System dem Stimmenden bestätigt, dass seine Stimme korrekt registriert wurde, normalerweise mittels eines Codes. Seit 2004 haben über 200 erfolgreiche Versuche stattgefunden.

Benutzen also die Gegner des E-Votings eine harmlose Sicherheitslücke, um Stimmung zu machen gegen das ungeliebte Abstimmen per Mausklick? Das ist keineswegs so. Vielmehr legen sie den Finger auf einen wunden Punkt. So könnte der 12. März 2019 zu einem Wendepunkt in der politischen Diskussion werden. Von der Öffentlichkeit weitgehend unbemerkt, ist die Landesregierung in Sachen E-Voting vorsichtiger geworden.

Bundeskanzlei reagiert scharf

In der Fragestunde des Nationalrats vom 18. März erklärte Bundeskanzler Walter Thurnherr, der Bundesrat beurteile den festgestellten Mangel als erheblich. «Die Sicherheitsanforderungen der Verordnung über die Bundeskanzlei sind damit nicht erfüllt», hielt der bisher standfeste Promotor von E-Voting in bis dahin nie gehörter Klarheit fest. Nach Abschluss der Intrusionstests werde der Bundesrat eine Standortbestimmung vornehmen und prüfen, was die Sicherheitslücke im Zusammenhang mit der Zertifizierung und den bestehenden Systemen genau heisse. Mit anderen Worten: Es gilt Nulltoleranz gegenüber der Post.

Eine solche rigide Haltung ist vonnöten, denn dass es zu dieser Panne kommen konnte, ist unverzeihlich. Die Berner Fachhochschule hatte den Fehler im Quellcode bereits vor zwei Jahren entdeckt und der Post gemeldet. Die Firma Scytl habe die Korrektur jedoch nicht vollständig umgesetzt, entschuldigte sich die Post nonchalant. Vor dem Beginn der Tests hatte Denis Morel, Leiter E-Voting bei der Schweizerischen Post, noch selbstbewusst erklärt, die Tests würden ihm keine schlaflosen Nächte bereiten. Vielleicht wird Morel inzwischen von Albträumen geplagt. Zumal kurz vor Ende der Intrusionstests eine weitere Schwachstelle entdeckt wurde. Aufgrund dieser Lücke könnten Stimmen zu ungültigen verändert werden, ohne dass dies durch die mathematischen Prüfmechanismen entdeckt werden würde.

Die breite Bevölkerung nimmt E-Voting bis anhin in erster Linie als Schlagabtausch unter IT-Experten wahr. Doch E-Voting geht alle an.

Nicht nur beim Bund schrillen inzwischen die Alarmglocken. Auch bei den Kantonen schwindet die Begeisterung für eine rasche Einführung der digitalen Urne. Das ist insofern von Bedeutung, als doch die Kantone für die Durchführung und Auszählung der Urnengänge verantwortlich sind – auch für jene des Bundes. Zu den engagiertesten Verfechterinnen von E-Voting gehörte bis anhin die Schweizerische Staatsschreiberkonferenz. Deshalb lässt es aufhorchen, wenn mit Barbara Schüpbach die Präsidentin dieses Gremiums erklärt: «Es stellt sich die Frage, ob jetzt der richtige Zeitpunkt ist, den Versuchsbetrieb zu beenden und in den ordentlichen Betrieb überzugehen.»

In diesem Sinn äusserte sich die Staatsschreiberin des Kantons Basel-Stadt vergangene Woche an einer Veranstaltung der Neuen Helvetischen Gesellschaft. Noch Ende November hatte Schüpbach erklärt, Basel halte an seinen Plänen fest, dass E-Voting bis im Jahr 2020 für alle Stimmbürger möglich sein soll. Damals war bekanntgeworden, dass der Kanton Genf das von ihm entwickelte System CHVote im Februar 2020 abstellen wird. Dies, weil sich kein anderer Kanton an den Entwicklungskosten für das System der zweiten Generation beteiligen will.

Sicherheit vor Tempo

Der Zeitpunkt für einen Neustart in Sachen E-Voting ist gekommen. Bis Ende April läuft die Vernehmlassung zu der Vorlage, mit der es gesetzlich verankert werden soll. Die bisherigen Versuche basieren auf einer blossen Verordnung. Angesichts der aufgedeckten Mängel ist zu erwarten, dass ein Grossteil der angefragten Kantone, Parteien und Organisationen ebenfalls vorsichtiger geworden sind. Das ist auch richtig so. Dem immer wieder beschworenen Grundsatz «Sicherheit vor Tempo» muss nun Nachachtung verschafft werden. Es geht um einen Grundpfeiler der Demokratie. Es würde einen enormen Schaden für das Vertrauen der Stimmbürger bedeuten, wenn nur schon der Verdacht aufkäme, dass eine Abstimmung durch die Manipulation von elektronischen Stimmen beeinflusst wurde.

Ein Neustart könnte auch den Initianten des Moratoriums entgegenkommen. Unter ihnen befinden sich Experten, die zwar Sicherheitsbedenken haben, denen aber gleichzeitig nicht wohl ist bei dem Gedanken, faktisch ein Technologieverbot in der Verfassung zu verankern. Zur Entspannung könnte beitragen, wenn Befürworter und Gegner gemeinsam und ohne Zeitdruck die Bedingungen festlegen, unter denen E-Voting zum etablierten Stimmkanal werden kann. Eine Bedingung könnte sein, dass keine ausländischen Firmen ein solches System programmieren dürfen. Vertrauensbildend könnte wirken, wenn das Genfer System nicht vorschnell abgeschrieben, sondern doch weiterentwickelt würde. Kantone und Bundeskanzlei sollten eine entsprechende Lösung prüfen und im Zuge dieses Prozesses aufzeigen, was E-Voting die Schweiz letztlich kosten würde.

Ein Marschhalt und die damit gewonnene Zeit ermöglichen ausserdem eine Diskussion, die bisher angesichts der aufgeregten Debatte um technische Details vernachlässigt wurde. Die breite Bevölkerung nimmt E-Voting bis anhin in erster Linie als Schlagabtausch unter IT-Experten wahr. Doch E-Voting geht alle an. Es gilt, den Stimmbürgern zu erklären, warum sich die Prozesse in der Demokratie schweizerischer Prägung verändern müssen. So wurde bisher kaum thematisiert, welchen Einfluss die Einführung eines dritten Stimmkanals auf den Ausgang von Abstimmungen und Wahlen hätte.

Die Entwicklung in Estland macht deutlich, dass solche Überlegungen durchaus relevant sind. E-Voting gehört in jenem Land zum Standard für alle Bürgerinnen und Bürger. Bei den nationalen Wahlen Anfang März wurde das Angebot stark genutzt, gab doch bereits rund die Hälfte der Wählenden ihre Stimme elektronisch ab. Wie Analysen zeigten, mobilisierten die Parteien die E-Wähler unterschiedlich. Am besten schaffte dies die im technologieaffinen jüngeren Milieu und in der urbanen Mittelschicht verankerte bürgerliche Reformpartei. Die Zentristen hingegen, die das E-Voting lange abgelehnt hatten, konnten ihre Wählerschaft kaum über die elektronischen Kanäle erreichen. Wer E-Voting haben will, muss sich bewusst sein, dass dieses die Demokratie auch in der Schweiz verändern wird.

Der Quellcode des E-Voting-Systems ist problematisch, und das hat nicht nur mit Sicherheit zu tun

E-Voting ist umstritten – nun sind im System der Post gravierende kryptografische Fehler aufgetaucht. Und Experten sehen im Quellcode des Schweizer Systems noch ganz andere Probleme.

Marie-José Kolly (Text) / Christian Kleeb (Teaserbild) 12.03.2019

Kommentar

Beim E-Voting darf es keine Kompromisse in Sachen Sicherheit geben

Der Bund will die E-Voting-Systeme einem Stresstest unterziehen. Er muss dafür garantieren können, dass niemand Abstimmungen und Wahlen manipulieren kann.

Erich Aschwanden 17.02.2018