Demokratische Entscheide werden in der Schweiz traditionsgemäss breit akzeptiert. Das Vertrauen in die Verfahren ist gross und Resultate sind nachvollziehbar. Aber mit der elektronischen Stimmabgabe wird die Schweizer Demokratie zum Spielfeld für Manipulationen und Hackerangriffe.
Ein Blick zurück
Grundsätzlich war E-Voting als technische Modernisierung angedacht, eine Option, um die Demokratie unmittelbarer, dynamischer und intensiver zu gestalten. Politikerinnen, Behörden und Firmen versuchen uns deshalb das elektronische Abstimmen schmackhaft zu machen. Scheinbar sei E-Voting schneller, günstiger, mobiler und besser. Es wird behauptet, mit E-Voting steige die Stimmbeteiligung, JungbürgerInnen werden besser mobilisiert. Dank toller Technik werden Bevölkerungs-Gruppen wie Sehbehinderte oder Auslandschweizerinnen besser einbezogen. Deshalb hat E-Voting sogar heute noch viele Anhänger.
Der Bund hat vor rund 20 Jahren ein Projekt gestartet, unsere Schweizer Demokratie um diesen dritten, elektronischen Stimmkanal zu erweitern. Seither wurden gesetzliche Grundlagen erarbeitet, Testbetriebe bewilligt, Systeme geprüft und die Anforderungen verschärft. 2015 gab es den ersten grossen Rückschlag: Das E-Voting-System von neun Kantonen wurde eingestampft, weil eine Lücke beim Schutz der Stimmgeheimnisses entdeckt wurde. 2018 schaltete auch der Kanton Genf sein System CHvote ab. Damit verblieb nur noch ein System der Post, das vom spanischen Anbieter Scytl S.A. entwickelt wurde, der auch noch in US-amerikanischer Hand ist. Dieses E-Voting System ist also in etwa so schweizerisch, wie wenn man auf chinesische Schoggi ein Schweizer Wappen kleben würde.
Der Post-demokratische GAU
Die Post nutzte diese Chance aufs Monopol und musste gemäss gesetzlichen Vorgaben den Quellcode offenlegen. Ein sogenannter Intrusionstest sollte Anfang 2019 die Sicherheit des Post-Scytl-Systems bestätigen. Die abstrusen Rahmenbedingungen dazu stiessen aber auf Ablehnung: Nur mittels Registrierung wurde sehr restriktiv Zugang zum Source-Code gewährt. Entdeckte Fehler durften nicht öffentlich publiziert werden. Alle klassischen Manipulations-Möglichkeiten wurden explizit verboten. Bekannte Hacker und Security-Firmen kanzelten diesen Intrusionstest deshalb als reinen PR-Gag ab und nahmen gar nicht erst teil. Eine Farce… bis zum Tag, als der Code als Kopie im Internet auftauchte. Expertinnen konnten sich nun ohne Registrierung Einblick verschaffen. Sofort gab es Meldungen über schlechte Code-Qualität und mangelhafte Kryptografie. Kurz darauf waren komplette Anleitungen vorhanden, die Fehler und Manipulationsmöglichkeiten dokumentierten.
Als Erkenntnis bleibt: E-Voting funktioniert (noch) nicht
Eine besonders schwerwiegende Sicherheitslücke war Scytl und der Post scheinbar seit 2017 bekannt. Diese wurde aber nie behoben und danach auch bei Audits durch die KPMG oder von verantwortlichen Behörden nie entdeckt. Alle beteiligten Instanzen hatten massiv versagt. Als Erkenntnis bleibt: E-Voting funktioniert (noch) nicht, auch wenn behauptet wird, die perfekte Software werde in Kürze fertiggestellt. Wir warten also weiter und werden noch viele Sicherheitslücken erleben.
Eine technisch-demokratische Rundumschau
Unter dem Begriff E-Voting wird heute primär die Form der Mausklick-Demokratie beschrieben: Durch Anwendungen auf privaten Computern, Tablets oder Smartphones sollen die Bürgerinnen ihre Stimme abgeben. Dazu sind mehrere Probleme zu lösen. Knackpunkt Stimmgeheimnis: Im Bundesgesetz über die politischen Rechte steht: Das Stimmgeheimnis ist zu wahren. Zum einen soll also jede Stimme anonym abgegeben werden können und zum anderen ist keine Behörde oder Person befugt, ein Stimmverhalten zu ermitteln. Das ist auch der grosse Unterschied zum E-Banking, welches gerne als Vergleich herangezogen wird. Aber: Die Bank darf und muss den Kontostand wissen. Im Gegensatz dazu soll beim E-Voting jeder Bürger frei von Zwang entscheiden und ohne Konsequenzen auch für unpopuläre Anliegen einstehen können, sozusagen als Grundvoraussetzung für freie und faire Entscheide. Beim E-Voting ist das Stimmgeheimnis jedoch ein komplexes Problem: Hackerinnen zeigten 2018 auf, wie das Abstimmungsverhalten an Computern problemlos überwacht oder manipuliert werden kann. Und 2019 zeigten Doktoranden der ETH Zürich auf, wie elektronischer Stimmenhandel im grossen Stil möglich ist und E-Votes über eine Börse den Meistbietenden verkauft werden können.
Knackpunkt Vertrauen in Prozesse und Resultate: Papierwahlverfahren sind einfach und transparent: Stimmrechtsausweise werden getrennt von den Stimmzetteln eingereicht, Urnen werden in breit abgestützten Gremien gemeinsam geöffnet, ebenso die Stimmen gezählt, und es gibt viele und sehr simple Kontrollmechanismen, die allgemein verständlich sind.
Manipulationen in einzelnen Stimmlokalen können mittels statistischer Verfahren relativ einfach erkannt werden, und um eine Wahl massgeblich zu fälschen, müssten viele Personen in zahlreichen Stimmlokalen gemeinsam manipulieren. Beim E-Voting wäre das viel einfacher, es könnte sogar nur eine Einzelperson erfolgreich eine Abstimmung fälschen.
Auch die Anwendung und Kontrolle ist für die Stimmbürgerin viel komplizierter: Die Stimmrechte und Antwortmöglichkeiten werden als Codes generiert. Speziell vertrauenswürdige und abgesicherte Druckereien müssen diese Codes mit Sicherheitsmerkmalen oder Rubbelfeldern auf die Abstimmungsunterlagen aufbringen. Der Stimmbürger muss zahlreiche solcher Codes korrekt abtippen und eventuell noch mit Prüfcodes abgleichen. Ein einfaches Abstimmungs-Ja-Nein führt somit locker zu 20–30 Buchstaben-Zahlen-Kombinationen. Die E-Voting-Server speichern und bewerten danach das Ganze, sogenannt «universell und individuell verifizierbar». Und irgendein Resultat erscheint auf einem Bildschirm.
Die verwendete Mathematik für die Kryptografie füllt ein ganzes Studium, hinzu kommt, dass diese Mathematik auch noch in Computeralgorithmen übertragen werden muss. Diese Fähigkeiten werden die wenigsten mitbringen, wenn es überhaupt jemanden gibt, der so ein System in seiner Gänze überblicken und verstehen kann. Darüber hinaus bleiben auch noch das Internet und die Geräte der Endnutzer als grosser Unsicherheitsfaktor.
Knackpunkte Hardware & Software: Diese Elemente können grundsätzlich als unsicher angesehen werden. Jedes elektronische Gerät bekommt heutzutage regelmässig Updates, meistens Fehlerkorrekturen. Konstruktionsfehler gibt es immer, auch beim Programmieren. Der Kern der E-Voting Applikation der Post besteht aus über 275’000 Zeilen Code. Dazu kommen Code-Bibliotheken, Compiler, Betriebssysteme, Gerätetreiber, Hardware und viele weitere Geräte. Selbst Mikroprozessoren haben kritische Fehler, welche nie mehr repariert werden können (siehe Spectre / Meltdown).
Somit sind alle eingesetzten Komponenten beim E-Voting potentiellen Sicherheitslücken ausgesetzt: Vom Kernsystem über die Druckerei, zum privaten Computer bis zum Stimmausschuss. Jeder Schwachpunkt kann genutzt werden, um Stimmen zu sammeln, zu überwachen oder zu manipulieren, teilweise frei skalierbar über zehntausende Stimmen mit nur einem Klick – von einer einzelnen Person. Jede Infrastruktur ist ein beliebtes Ziel von Hackern. Im Januar 2020 wurden tausende Firmen und Gemeindeverwaltungen teilweise lahmgelegt, weil Angriffstools für die stark verbreitete Citrix-Software im Umlauf waren. Damit hätten Hackerinnen problemlos Stimmrechte oder Stimmresultate manipulieren können. Eine grössere Gefahr geht von kriminellen Organisationen oder Geheimdiensten aus: Backdoors in Geräten gehören heute zum Standard: So werden die weit verbreiteten Cisco-Router immer wieder mit Spionage-Lücken der amerikanischen Geheimdienste versehen. Und kürzlich wurde bekannt, dass der Schweizer Chiffriergeräte-Hersteller Crypto AG vor Jahrzehnten von Geheimdiensten aufgekauft wurde, die ihre Geräte systematisch mit Überwachungsmöglichkeiten ausrüsteten. Andere Staaten können ein grosses Interesse haben, wie Abstimmungen in der Schweiz ausgehen, z.B. bei Kampfflugzeugen mit Milliarden-Kosten. Das macht unser E-Voting zu einem interessanten Ziel.
E-Voting bettelt geradezu darum, ausgebeutet zu werden
Gemäss den Snowden-Enthüllungen schrieb die NSA in einem Strategiepapier schon vor Jahren: «activities such as … e-voting … beg to be mined», also in etwa: «E-Voting bettelt geradezu darum, ausgebeutet zu werden». E-Voting ist also nicht sicher, auch wenn Kryptografie-Expertinnen rein theoretisch sichere Lösungen entworfen haben. Es scheitert an der Umsetzung, und eine akzeptable Balance zwischen Sicherheit, Benutzerfreundlichkeit und Kosten ist nicht herzustellen.
Abwiegeln, verharmlosen, ignorieren
Obwohl die Anforderungen an sichere und nachvollziehbare Abstimmungen und Wahlen relativ klar sind, erleben wir seit Jahren eine Art der Kommunikation durch Systembetreiber und Behörden, die unserer Demokratie nicht würdig ist. Dazu einige Beispiele: Als im Jahr 2015 Joël Boissard vom Westschweizer Fernsehen aufzeigte, wie er mit E-Voting zweimal abstimmen konnte, wurde er verklagt und verurteilt, obwohl er den Fehler umgehend der Staatskanzlei gemeldet hatte. Als der Entscheid gefällt wurde, dass das erste E-Voting System Consortium wegen der Gefährdung des Stimmgeheimnisses nicht mehr verwendet werden durfte, war die Begründung klar und nachvollziehbar. Doch anstatt einer kritischen Betrachtung und Debatte durch Kantone und Medien kam der Aufschrei «Bundesrat lehnt Einsatz von E-Voting bei Nationalratswahlen ab» und die Kantone nannten den Beschluss einen «deutlichen Rückschlag».
Als 2018 Hacker des Chaos Computer Club im Schweizer Fernsehen eine Manipulationsmöglichkeit aufzeigten, mit der Wählerinnen auf eine gefälschte E-Voting-Website umgeleitet wurden, klagte die Staatskanzlei Genf gegen die Urheber wegen Verstosses gegen das Wappenschutzgesetz.
Allen Vorfällen gemein war jeweils die Reaktion von Herstellern, Behörden und andere Verantwortlichen: Abwiegeln, verharmlosen, ignorieren und teilweise den Rechtsweg beschreiten, um die Überbringer der schlechten Botschaft mundtot zu machen.
Als dann im Frühjahr 2019 mehrere äusserst gravierende Sicherheitslücken im Post-Scytl-System gefunden wurden, driftete die Kommunikation der Verantwortlichen ins Absurde ab: Zuerst wurden die externen Sicherheitsexperten diskreditiert, danach die Fehler kleingeredet. Und als der Bund die Bewilligung entzog, hiess es lapidar: «Die Post setzt ihr E-Voting-System befristet aus.» Gleichzeitig begann die Post mit der nächsten PR-Offensive und versprach den Kantonen innert wenigen Monaten ein neues System aufzubauen, was schlicht unmöglich, unglaubwürdig und unseriös war. Unterdessen spricht die Post vom Jahr 2021 für die nächste Version. Die Behörden kommunizieren immer noch, dass bereits hunderte E-Voting-Versuche stattgefunden haben, erfolgreich und fehlerfrei, obwohl ein essentieller Fehler im Post-System bereits seit 2016 vorhanden war!
Seit Beginn des E-Voting Testbetriebs heisst es immer wieder, Sicherheit komme vor Tempo. Doch die warnenden Stimmen, zahlreichen Fehler und Rückschläge hielten den Bundesrat nicht davon ab, im Jahr 2019 eine Vernehmlassung zu starten, um den E-Voting-Testbetrieb in den ordentlichen Betrieb zu überführen. Dieses ignorante Vorgehen zeigt, dass E-Voting und insbesondere die Abläufe und vor allem die beteiligten Gruppen bis heute nicht vertrauenswürdig genug sind für elektronische Abstimmungen.
Glücklicherweise wurde im Frühling 2019 eine Volksinitiative für ein E-Voting-Moratorium lanciert. Der damit aufgebaute politische Druck konnte zumindest den Fahrplan des Bundesrates bremsen. Dennoch bleibt diese Initiative essentiell, um zumindest vorläufig eine sichere und vertrauenswürdige Demokratie beizubehalten. Dazu gehört unter anderem, dass sich die Stimmberechtigten ohne besondere Sachkenntnis davon überzeugen können, dass ein Abstimmungs-System sicher ist und ihr Vertrauen verdient.
Obwohl sich die Technik, Kryptografie und sogar die digitale Kompetenz laufend weiterentwickeln, ist E-Voting je länger desto weniger betriebsbereit. Wer damit spielen will, soll es tun, doch bitte nicht mit unserer Demokratie und zu diesem hohen Preis. Denn was die Behörden und insbesondere die kommerziellen Hersteller heute machen ist keine Demokratie, sondern teures Entertainment.