Der Bundesrat hat im Dezember ein Vernehmlassungsverfahren zur Änderung des Bundesgesetzes über die politischen Rechte eröffnet. Dieses will die elektronische Stimmabgabe in den ordentlichen Betrieb überführen. Die Digitale Gesellschaft war eingeladen, sich zu äussern: Wir fordern, auf die vorgeschlagene Revision zu verzichten.
Vorbemerkung
Seit bald zwanzig Jahren erproben Bund und Kantone das E-Voting. Während dieser Zeit hat der Bundesrat drei umfangreiche Berichte zu Chancen, Risiken und Machbarkeit verfasst. Zudem liess er 2012 von der Berner Fachhochschule ein Konzept für ein verifizierbares E-Voting-System erstellen. 2015 mussten die Kantone des «Consortiums Vote électronique» sich schliesslich eingestehen, die Anforderungen nicht erfüllen zu können und lösten das Consortium abrupt auf.
Ende 2018 haben sich die Ereignisse wiederholt: Der Kanton Genf hat – weil er mehr als zwei Millionen Franken in die Überholung seines Systems und die Verbesserung der Sicherheit hätte investieren müssen – überraschend den Stecker gezogen. Übrig blieb ein letztes, vom spanischen Hersteller Scytl stammendes und von der Post vertriebenes System.
Anfangs Februar 2019 hat die Post den Source Code für die neuste Version ihres Systems, das für 100% des Elektorats zugelassen werden sollte, unter den Bedingungen eines Non-Disclosure Agreements (NDA) zugänglich gemacht. Am 25. Februar 2019 startete sie dann einen Public Intrusion Test. Auch hier ging es in der Folge schnell:
- Kurz nach der «Veröffentlichung» des Source Codes wurde er geleakt; und somit ohne der Bedingungen des NDA der interessierten Öffentlichkeit zugänglich gemacht.
- Am 12. März veröffentlichten die drei unabhängigen SicherheitsforscherInnen Sarah Jamie Lewis, Olivier Pereira und Vanessa Teague einen Wissenschaftsartikel zu einer gravierenden Sicherheitslücke. Diese betraf das Herzstück der neuen Entwicklung: die sogenannte universelle Verifizierbarkeit. Die Sicherheitslücke war Scytl und der Post seit 2017 bekannt. Dennoch wurde sie weder behoben noch wurde diese Unterlassung durch die Post bemerkt. Auch die KPMG, welche das System auditiert hat, scheint den Fehler nicht entdeckt zu haben. Alle beteiligten Instanzen haben versagt.
- Sarah Jamie Lewis und ihre Forscherkollegen haben aufgrund der restriktiven Bedingungen darauf verzichtet, am offiziellen «Hacking-Wettbewerb» der Post teilzunehmen. Hätten sie dies getan, wäre der Fehler wohl nie so detailliert veröffentlicht, resp. bekannt geworden. Am 25. März veröffentlichten sie eine weitere gravierende Sicherheitslücke. Dieses Mal betraf es auch das bereits im Betrieb befindliche System: die sogenannte individuelle Verifizierbarkeit wurde kryptografisch gebrochen.
- Vier Tage später vermeldet die Post, dass das E-Voting-System vorläufig gestoppt wird.
Keine Sicherheit
Die beiden schwerwiegenden Fehler, die im System der Post und Scytl gefunden wurden, zeigen exemplarisch, dass das Konzept der vollständigen Verifikation von elektronischen Abstimmungen gescheitert ist. Mathematisch lässt sich dieses wohl beschreiben und lösen. Tatsächlich hätte der erste Fehler jedoch dazu geführt, dass ein mathematischer Beweis die korrekte Auszählung bestätigt hätte, obwohl eine Manipulation möglich gewesen wäre. Auch in Zukunft lässt sich nicht ausschliessen, dass ein ähnlicher Fehler – bösartig oder unabsichtlich – im System vorhanden ist.
Manipulationen können natürlich auch in konventionellen Wahl- und Abstimmungsverfahren vorkommen. Aufgrund der dezentralisierten, kleinteiligen Organisation sind diese aber weniger anfällig. Eine solche Manipulation führt zu einem deutlich höheren Entdeckungsrisiko für AngreiferInnen, weil eine solche nur mit sehr vielen Absprachen überhaupt möglich wird. Manipulationen im E-Voting-System sind im Vergleich dazu viel einfacher auf den gesamten Wahlkörper (Kanton) skalierbar.
Kein Vertrauen
(Direkt-)Demokratische Entscheidungen haben eine sehr hohe Akzeptanz, weil sich grosse Teile der Bevölkerung an der Entscheidung beteiligen können und das Entscheidungsverfahren nachvollziehbar ist. Diese beiden Elemente zusammen garantieren, dass kontroverse und sehr knappe Entscheidungen auch von den VerliererInnen akzeptiert werden.
Abstimmungen dürfen daher nicht auf einem Verfahren beruhen, das nur wenige ExpertInnen verstehen. Mit dieser Begründung hat das deutsche Bundesverfassungsgericht 2009 die weitere Verwendung von Wahlcomputern verboten. Das Gericht kam zum Schluss, dass «der Wähler ohne nähere computertechnische Kenntnisse selbst nachvollziehen können muss, ob seine abgegebene Stimme als Grundlage für die Auszählung oder jedenfalls als Grundlage einer späteren Nachzählung unverfälscht erfasst worden ist».
Nun sind aber die Abläufe beim E-Voting nochmals deutlich komplexer als die Verwendung von Wahlcomputern. Die technische Umsetzung des Entscheidungsverfahrens muss für alle BürgerInnen verständlich bleiben, sonst ist das Verfahren nicht mehr demokratisch.
Schlussfolgerung
Wir fordern, auf die vorliegende Revision zu verzichten.
Wir fordern zusätzlich, dass das E-Voting per sofort gestoppt wird. Es soll erst wieder eingeführt werden, wenn die bewährten Anforderungen an die handschriftliche Stimmabgabe erfüllt sind. Dazu gehört unter anderem, dass sich die Stimmberechtigten ohne besondere Sachkenntnis davon überzeugen können, dass ein E-Voting-System sicher ist und ihr Vertrauen verdient.
Weitere Anmerkungen
Indem wir auf allgemeine Anmerkungen oder auf Anmerkungen zu einzelnen Regelungen verzichten, ist damit ausdrücklich keine Zustimmung durch die Digitale Gesellschaft zu solchen Regelungen verbunden.
Insbesondere lehnen wir Art. 8b Abs. 3 VE-BPR ab. Wenn schon müsste die Nachvollziehbarkeit für die Stimmberechtigten (analog und in Ergänzung zu Art. 8b Abs. 1) ohne besondere Sachkenntnis und unter Wahrung des Stimmgeheimnisses verlangt sein. Eine Kontrolle durch ExpertInnen ist nicht ausreichend.
In Art. 8c muss festgeschrieben sein, dass der Quellcode unter einer anerkannten Free/Libre-Open-Source-Software-Lizenz freigegeben werden muss, und zusammen mit der Dokumentation eine Inbetriebnahme der Software ermöglicht.