Abstimmen und Wählen via Internet setzen voraus, dass Stimmbürger und Wähler den verwendeten E-Voting-Systemen vertrauen. Nur Abstimmungs- und Wahlergebnisse, denen Stimmbürger und Wähler vertrauen, geniessen jene Legitimation, die für eine funktionierende Demokratie notwendig ist. Das wichtigste Mittel zur Bildung von Vertrauen ist Transparenz, denn nur sie ermöglicht eine unabhängige und damit glaubwürdige Überprüfung der Sicherheit von E-Voting.
Transparenz im E-Voting: Beispiel «Washington D.C.»
Dank solcher Transparenz konnten beispielsweise Wissenschaftler die zahlreichen Sicherheitslücken bei einem E-Voting-Versuch in der amerikanischen Hauptstadt Washington D.C. aufdecken. Heise Online fasste die entsprechende englischsprachige Publikation «Attacking the Washington, D.C. Internet Voting System» (PDF) wie folgt zusammen (mit Hervorhebungen durch mich):
«Forschern […] ist es […] gelungen, die Sicherheitsfunktionen eines Pilotprojekts für ein Online-Wahlverfahren der US-Hauptstadt Washington innerhalb kürzester Zeit größtenteils auszuhebeln. ‹Binnen 48 Stunden nach dem Aufschalten des Systems hatten wir fast die vollständige Kontrolle über den Wahlserver›, schreiben die Wissenschaftler in einem jetzt veröffentlichten Aufsatz […]. ‹Wir konnten erfolgreich jede Stimmabgaben ändern und fast jede der geheimen Wahlurnen offenlegen.› Entdeckt worden sei der Hack erst nach knapp zwei Geschäftstagen und auch das vermutlich nur, weil die Eindringlinge bewusst eine deutlich sichtbare Spur hinterlassen hätten.
Die Macher des kommunalen E-Voting-Systems, mit dem im Ausland lebende Wahlberechtigte ihre Stimme über eine Website abgeben sollten, luden Sicherheitsexperten 2010 zu Tests ein. […] Als vorbildhaft loben die Wissenschaftler die Transparenz des Systems. Seine Architektur habe aber grundlegende Sicherheitsschwächen aufgewiesen und gängigen Hackerangriffen wie einer ‹Shell Injection› nicht standgehalten.
Die Wissenschaftler ziehen die Schlussfolgerung, dass sichere Online-Wahlsysteme generell schwierig zu konstruieren seien. Ein kleiner Konfigurations- oder Implementierungsfehler unterwandere die Legitimität des gesamten Wahlprozesses. Selbst wenn keine zentralen Server als besondere Angriffspunkte verwendet würden, ergäben sich zahlreiche Angriffspunkte. Um E-Voting sicher zu machen, müssten noch fundamentale Fortschritte im Security-Bereich gemacht werden.»
Bundeskanzlei: Vertrauen in E-Voting durch Transparenz
Schweizer E-Voting bislang ohne Transparenz, aber …
In der Schweiz mangelt es beim E-Voting (beziehungsweise Vote électronique) bislang noch weitgehend an Transparenz, so dass die Frage der tatsächlichen Sicherheit der eingesetzten Systeme offen bleiben muss. Erfreulich ist aber, dass die E-Voting-Verantwortlichen bei der Schweizerischen Bundeskanzlei die Bedeutung von Transparenz für Vertrauen in E-Voting erkannt haben, wie wir kürzlich anlässlich eines Gespräches in der Bundesstadt Bern feststellen durften.
Das Gespräch fand Ende Januar 2012 statt und resultierte aus der Schlichtung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), nachdem uns der eigentlich gewünschte direkte Zugang zu amtlichen E-Voting-Dokumenten durch die Bundeskanzlei verweigert worden war. In Bern anwesend waren Anina Weber (Projektleiterin «Vote électronique») und Oliver Spycher (Teilprojekt «Sicherheit», siehe jeweils «Projektorganisation» innerhalb der Bundeskanzlei). Auf Seiten des Vereins «DirekteDemokratie.com» wurde ich von Florian Mauchle mit seiner IT-Fachkompetenz begleitet.
… Notwendigkeit von Vertrauen durch Transparenz erkannt
Oliver Spycher ist unter anderem Mitglied der «E-Voting Group» an der Berner Fachhochschule und publiziert regelmässig über E-Voting-Sicherheit. Ende 2011 beispielsweise veröffentlichte er in der Zeitschrift «digma» gemeinsam mit zwei anderen Autoren den lesenswerten Artikel «Vertrauensbildung bei Internetwahlen» (PDF). Der Artikel stellt eine hervorragende Zusammenfassung all jener Massnahmen dar, die zur Vertrauensbildung bei E-Voting eingesetzt werden können. Nachfolgend als Beispiele die Massnahmen «Transparenz» und «Sicherheitsevaluierung» (mit Hervorhebungen durch mich):
«[Transparenz] bildet das Schlüsselelement bei der Bildung von Vertrauen. Nur eine breit ausgelegte Informationspolitik erlaubt der Wählerschaft, das verwendete System zu verstehen oder es sich von unabhängigen Experten erklären zu lassen. […]
In der Vergangenheit war die verfügbare Information zu den meisten Internetwahlsystemen (im Folgenden nur kurz als Systeme bezeichnet) eher rar und beschränkte sich auf einzelne Systemaspekte. Dies liegt einerseits daran, dass private Unternehmen an der Entwicklung der Internetwahlsysteme beteiligt sind und ihr Produkt vor der Konkurrenz schützen wollen. Anderseits birgt Transparenz das Risiko, dass Wähler, die eigentlich dem System blind vertrauen würden, erst als Folge der öffentlichen Diskussion anfangen, Zweifel zu hegen. […]»
«Da viele Wähler die Sicherheitstechniken hinter den elektronischen Wahlsystemen nicht im Detail verstehen und prüfen können, ist eine weitere vertrauensbildende Massnahme die Evaluation des Internetwahlsystems und der technischen und organisatorischen Umgebung, in der es eingesetzt wird. Dabei sollte diese Evaluation nicht durch interne Experten und eigene Kriterien und Methoden erfolgen, sondern nach internationalen Standards […].
Standardisierte Verfahren haben den Vorteil, dass transparent ist, welche Teile des Systems nach welchen Anforderungen unter welchen Annahmen in welcher Tiefe geprüft werden.
[…]
Alle international anerkannten standardisierten Evaluationen sind sehr aufwändig und teuer. Entsprechend viel Zeit muss hierfür eingeplant werden. Ausserdem bezieht sich ein Zertifikat nur auf eine Version der Software. Nach jeder noch so kleinen Änderung müsste die gesamte aufwändige Evaluation wiederholt werden.
Viele Internetwahlprojekte wurden internen Evaluationen durch Experten unterzogen. Dabei ist für Aussenstehende leider nicht ersichtlich, was jeweils tatsächlich geprüft wurde. […]»
Im offen geführten Gespräch hatten Florian Mauchle und ich Gelegenheit, zahlreiche Fragen rund um E-Voting mit den beiden Vertretern der Bundeskanzlei zu diskutieren. Kein Gegenstand der Diskussion war die Frage, ob E-Voting für die Schweiz notwendig und sinnvoll ist, denn die Bundeskanzlei ist an ihren politischen Auftrag zur (schrittweisen) Einführung von E-Voting gebunden.
Im Ergebnis halten wir das Bekenntnis der Bundeskanzlei zu (mehr) Transparenz im Schweizer E-Voting für glaubwürdig. Die Umsetzung muss in erster Linie in den Kantonen erfolgen, die weiterhin für Abstimmungen und Wahlen zuständig sind. Der Bund kann die notwendige Transparenz durch entsprechende Vorgaben im Sinn von Mindeststandards fordern. Die federführende Bundeskanzlei kann sich dabei auch auf einen Bericht der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) stützen, der kurz nach unserem Gespräch veröffentlicht wurde.
OSZE: Forderung nach mehr Transparenz im Schweizer E-Voting
In diesem OSZE-Bericht (englischsprachig, PDF) zu den Eidgenössischen Wahlen im Herbst 2011 fordern die Wahlbeobachter der OSZE unter anderem mehr Transparenz und unabhängige Überprüfungen beim E-Voting in der Schweiz (mit Hervorhebungen durch mich):
«[…] The careful, limited, and step-by-step manner in which Switzerland is introducing and testing internet voting is a good practice, both to ensure the integrity of the systems used and build public confidence in the process. In general, the OSCE/ODIHR EAM found the internet voting trials to work reliably and enjoy wide public trust. Nevertheless, there appear to be some weaknesses in the systems, including both legal and technical issues. […] Mandatory end-to-end tests of all internet voting systems should be held before each election to ensure compliance with legislation, guarantee system security and accuracy, and to protect the secrecy of the vote. A detailed list of criteria should be developed as the basis for testing. The results of these tests should be made public.
[…]
In order to meet legal requirements and to ensure the integrity of internet voting systems, an independent body should be established to certify all systems, including through independent, third-party testing. Clear, written, and testable standards on certification should be developed and regularly reviewed and updated as the basis for the independent body’s work, covering such issues as security, transparency, reliability, ease of use, and protection of the secrecy of the vote. […] In line with international good practice, it is recommended that evaluations of internet voting be carried out by an independent body and that the reports are made public.
[…]
To maintain the high public confidence in internet voting, further efforts should be made to exchange good practice amongst cantons, explain technical and operational elements, and ensure appropriate safeguards for transparency and accountability. The Federal Chancellery, possibly through the internet voting task force, could take a leading role in communicating information to political parties, civil society, and the general public. […]»
Kanton Zürich: Überraschende Transparenz bezüglich E-Voting
Unser gewünschter Zugang zu amtlichen E-Voting-Dokumenten im letzten Jahr scheiterte unter anderem am Widerstand des Kantons Zürich. Umso überraschender war für uns, dass solche Dokumente vom Kanton Zürich in der Zwischenzeit im Evaluationsbericht zur «E-Voting Testphase im Kanton Zürich 2008-2011» (PDF) teilweise doch noch veröffentlicht wurden. So finden sich im Bericht beispielsweise viele Angaben zur Systemarchitektur sowie zu Sicherheitsfragen und -problemen. Ebenfalls im Bericht zu finden sind die bislang vertraulichen Verträge zwischen Kanton Zürich und Schweizerischer Eidgenossenschaft sowie zwischen dem Kanton Zürich und den anderen schweizerischen Kantonen, die das zürcherische E-Voting-System verwenden («Consortium»). Wer sich für E-Voting in der Schweiz interessiert, sollte sich den Kantonalzürcher Bericht als Pflichtlektüre vormerken.
Fazit: Genügt Transparenz für sicheres E-Voting?
Sichere Systeme für E-Voting sind aus heutiger Sicht sehr anspruchsvoll zu entwickeln und zu betreiben, denn kleinste Fehler führen zu Sicherheitslücken, die das Vertrauen in E-Voting grundlegend und dauerhaft zerstören können. Insofern ist fraglich, ob sicheres (oder zumindest ausreichend sicheres) E-Voting überhaupt möglich ist. Ohne entsprechende Transparenz kann die E-Voting-Sicherheit in der Schweiz nicht beurteilt werden, doch die zahlreichen bekannten Sicherheitsprobleme bei E-Voting im Ausland mahnen zur Vorsicht. Auch in der Schweiz kam es bereits zu Problemen, kürzlich im Kanton Luzern beispielsweise konnte eine Person ihre Stimme zwei Mal abgeben:
«[…] Eine stimmberechtigte Person aus dem Kanton Luzern konnte unbeabsichtigt ihre Stimme zweimal abgeben. Dies wurde vom Genfer Monitoringssystem sofort erkannt und professionell behoben. Das Stimmgeheimnis wurde dabei nicht verletzt. Der Zwischenfall hat keine Auswirkungen auf das Resultat der Abstimmung.»
In der Schweiz wird erst mehr Transparenz, insbesondere durch unabhängige Beurteilungen, diesbezüglich Klarheit bringen. Für die Befürworter und Verantwortlichen von E-Voting in der Schweiz – Erstere finden sich vor allem bei der Auslandschweizer-Organisation (ASO) – ist zu hoffen, dass die entsprechenden Ergebnisse positiv ausfallen werden. Sie müssten sich ansonsten fragen lassen, wieso sie E-Voting mit all seinen bekannten Risiken förderten, obwohl mit dem brieflichen Abstimmen und Wählen bereits eine bewährte Alternative für Urnen-Abstimmung und -Wahl zur Verfügung steht, deren Sicherheit wesentlich einfacher zu gewährleisten ist als beim E-Voting. Im politischen Spektrum fordert zumindest die Schweizer Piratenpartei einen Verzicht auf E-Voting, da damit die Demokratie in der Schweiz gefährdet werde.
