Gestern hat der zweitletzte Anbieter von E-Voting das Handtuch geworfen. Grund dafür sei nicht die Sicherheit, sondern das Geld (das für die Sicherheit benötigt wird). Eine Debatte über das Vertrauen in einen Grundpfeiler der Demokratie bleibt jedoch weiterhin aus.
Seit dem Jahr 2000 experimentieren Bund und Kantone am Vote électronique herum, dem Wählen und Abstimmen auf elektronischem Weg. Mit dem dritten (und bis anhin letzten) Bericht des Bundesrates zum E-Voting hatten die KritikerInnen bereits Mitte 2013 Recht erhalten. Der Bericht stützte sich auf die Studie zu verifizierbaren Vote électronique-Systemen der Berner Fachhochschule und misst die Anforderungen an die Verifizierbarkeit von zukünftigen Wahlsystemen neu an drei entscheidenden Fragen:
- Wurde die Stimme gemäss Absicht abgegeben («cast-as-intended»)?
- Wurde die Stimme im Sinn ihrer Abgabe abgelegt («recorded-as-cast»)?
- Wurde die Stimme im Sinn ihrer Ablage gezählt («counted-as-recorded»)?
Nach dem «Consortium» gibt nun auch Genf die Umsetzung auf
Die nachfolgend eingesetzten Systeme der sogenannten zweiten Generation wurden dahingehend erweitert, dass die Anforderung auf die erste Frage nach der «verifizierbaren Absicht» erfüllt ist. Damit wird das «Problem der unsicheren Plattform» (der potentiell unsicheren Computer der Stimmenden) adressiert. Eine solche Erweiterung war relativ einfach zu realisieren.
Die vom Bundesrat verlangte universelle (vollständige) Verifizierbarkeit wird jedoch erst erreicht, wenn auch die beiden anderen Fragen beantwortet werden können. Eine solche Verifizierbarkeit lässt sich aber nicht einfach hinzufügen. Sie erfordert eine komplett eigene Systemarchitektur: Komplexe Verfahren garantieren gleichzeitig das Stimmgeheimnis und schliessen die Mehrfachabgabe einer Stimme und die Manipulation des Systems (auch durch den Betreiber selbst) aus.
Umgesetzt und erfolgreich im Einsatz sind entsprechende Konzepte bis anhin in keinem einzigen Land. Unklar ist auch, inwieweit sich mit zukünftigen Methoden der Kryptoanalyse das Stimmgeheimnis vergangener Urnengänge nicht doch aufheben lässt.
Es hat dann bis 2015 gedauert, bis die Kantonte des «Consortiums Vote électronique» (AG, FR, GL, GR, SG, SH, SO, TG, ZH), die Anforderungen aus dem Bericht verstanden haben. Das Consortium wurde dann aber Knall auf Fall aufgelöst.
In der Zwischenzeit wurden der Kanton Genf und die Post nicht müde, ihrer beiden übrig gebliebenen Systeme zu bejubeln und KritikerInnen mundtot zu machen. Beide können aber bis heute weder die universelle Verifizierbarkeit gewährleisten noch ist der vom Bundesrat geforderte Sourcecode öffentlich.
Gestern hat sich nun wiederholt, was bereits 2015 passiert ist: Der Kanton Genf hat – weil er mehr als 2 Millionen Franken in die Überholung seines Systems und die Verbesserung der Sicherheit hätte investieren müssen – den Stecker gezogen.
Übrig bleibt das vom spanischen Hersteller Scytl stammende und von der Post vertriebene System.
Grundproblem bleibt mit «verifizierbaren» Systemen bestehen
(Direkt-)Demokratische Entscheidungen haben eine sehr hohe Akzeptanz, weil sich grosse Teile der Bevölkerung an der Entscheidung beteiligen können und das Entscheidungsverfahren nachvollziehbar ist. Diese beiden Elemente zusammen garantieren, dass kontroverse und sehr knappe Entscheidungen auch von den VerliererInnen akzeptiert werden können. Abstimmungen dürfen daher nicht auf einem Verfahren beruhen, das nur wenige ExpertInnen verstehen. So hat das deutsche Bundesverfassungsgericht 2009 die weitere Verwendung von Wahlcomputern verboten. Das Gericht kam zum Schluss, dass «der Wähler ohne nähere computertechnische Kenntnisse selbst nachvollziehen können muss, ob seine abgegebene Stimme als Grundlage für die Auszählung oder jedenfalls als Grundlage einer späteren Nachzählung unverfälscht erfasst worden ist».
Nun sind aber die Abläufe beim E-Voting nochmals deutlich komplexer als die Verwendung von Wahlcomputern. Vollständig verifizierbare E-Voting-Systeme bedingen umfangreiche technische und organisatorische Massnahmen. Die Verifikation setzt insbesondere weitreichendes Fachwissen – speziell auch bei den abstimmenden Personen – voraus. Dabei geht es nicht im Detail darum, die eingesetzten kryptografischen Verfahren zu verstehen. Ein Verständnis davon zu haben, wie die Resultatermittlung fälschungssicher zustande kommt, ist für die Verifikation und Anerkennung des Resultats jedoch wichtig.
Die technische Umsetzung des Entscheidungsverfahrens muss für alle BürgerInnen jedoch verständlich bleiben, sonst ist das Verfahren nicht mehr demokratisch.
Wenn nicht ein Verzicht, so wäre ein Marschhalt nun dringend angebracht.