Zur Sicherheit von schweizerischen E-Votingsystemen

Zusammen mit der Grossratsfraktion der Grünen um Kathrin Fricker konnten wir dem Regierungsrat des Kantons Aargau einige Fragen zum E-Votingsystem stellen. Die Antwort ist stellenweise etwas ernüchternd – aber eigentlich auch nicht weiter überraschend.

Die für mich wichtigste Frage bezieht sich auf die Gewährleistung der Integrität des Systems:

Gemäss dem Bericht des Bundes über die Pilotprojekte zum Vote électronique, scheint eine zentrale Frage nicht geklärt resp. ungenügend dokumentiert:

Wie können Missbräuche durch Manipulation der zentralen Wahlsoftware (z. B. durch den Hersteller, Betreiber oder «Hacker») erkannt, resp. wie soll die korrekte Erfassung aller Stimmen gewährleistet werden?

Im vom Kanton Aargau verwendeten Zürcher System werden Stimmen auf eine virtuelle Gemeinde abgegeben und mit dem Abstimmungsresultat (für diese) verglichen. Für eine Person/Organisation, welche die zentralen Server manipulieren kann, dürfte es jedoch ein Leichtes sein, per Software diese Testgemeinde zu erkennen (Namen, Gemeinde mit den ersten Stimmen, Gemeinde mit den wenigsten Stimmen etc.) und daraufhin diese Stimmen korrekt wiederzugeben – und somit einen korrekt funktionierenden Eindruck vorzutäuschen.

Der Bericht über die Pilotprojekte hält fest, dass «auch bei der brieflichen Stimmabgabe oder der Stimmabgabe im Urnenlokal letztlich die individuelle Überprüfbarkeit und Nachvollziehbarkeit nicht gegeben» ist. Bei der elektronischen Stimmabgabe, bei welcher Stimmenzählerinnen und/oder das Wahlbüro den kompletten Ablauf jedoch nicht überwachen können, ist dies u. E. die einzige Möglichkeit, die Integrität der Software zu gewährleisten.

Es gibt mathematische Modelle, die eine geheime Wahl und die individuelle Nachvollziehbarkeit der Stimme gewährleisten. Jedoch sind die darauf basierenden Wahlverfahren für Laien nicht einfach zu verstehen. Bis dieses gegeben ist, dürfen, gemäss Urteil des Bundesverfassungsgerichts, Wahlcomputer in Deutschland nicht mehr verwendet werden. (Dabei handelt es sich um Computer in den Wahllokalen. Die technischen Fragestellungen sind in dieser Hinsicht jedoch die gleichen.)

Per kantonalem Gesetz darf die Stimmabgabe auf elektronischem Weg nur ermöglicht werden, sofern die zur Erfassung aller Stimmen sowie die zur Wahrung des Stimmgeheimnisses und zur Verhinderung von Missbräuchen erforderlichen Bedingungen erfüllt sind.

Die Antwort des Regierungsrates:

Ungewöhnliche Vorkommnisse werden elektronisch erfasst und ausgewertet. Zudem verfügt das System über einen Alarmierungsmechanismus. Bei einer Abstimmung wird zudem über das Führen einer «virtuellen Gemeinde» die elektronische Stimmabgabe in einer hohen zweistelligen Zahl durch Mitarbeitende des Auslandschweizerstimmregisters und des Auslandschweizerwahlbüros vorgenommen, protokolliert und unmittelbar nach der Urnenöffnung ausgewertet. Nur wenn das ausgewiesene Ergebnis der virtuellen Gemeinde nachgeprüft und fehlerfrei ist, kann auch die Urnenöffnung und Resultatermittlung für die eidgenössische Abstimmung durchgeführt werden.

Die Frage zur Sicherheit (Integrität) bleibt somit weitgehend unbeantwortet. Dass ein IPS (Intrusion Prevention System) im Einsatz ist (Aufzeichnen von und Alarmieren bei «ungewöhnlichen» Vorgängen), ist doch zu hoffen. Und die Sache mit der Testgemeinde hatten wir ja schon. Festhalten lässt sich, dass gegen «Hacker» ein gewisser Schutz besteht. Gegen «interne» Angreifer (Betreiber, Hersteller) jedoch nicht. (Was in der Natur des gewählten Systems liegt.)

Eine spannende Frage könnte man sich auch noch stellen: Welche Länder betreiben (noch) ähnliche Projekte? Gemäss Wikipedia scheint es gerade mal noch Estland zu sein. Und in den USA: «Ein im Rahmen des Experiments mit der Überprüfung der Sicherheit des Systems beauftragtes Expertenteam riet jedoch dringend dazu, das Projekt zu stoppen, und kam in seiner Analyse zu dem Fazit, dass eine sichere Internetwahl unter gegebenen Bedingungen derzeit unmöglich sei.»