Letzte Woche wurde bekannt, dass der erneute Test des E-Voting-Systems der Schweizer Post bestanden wurde. Für den "Public Intrusion Test" hatte die Post Musterstimmrechtsausweise zur Verfügung gestellt. Damit konnten Hacker:innen auf dem Abstimmungsportal den Prozess der Stimmabgabe durchexerzieren. Die Angreifer haben laut Aussagen der Post rund 60.000 Angriffe auf die Beta-Version ihres neuen E-Voting-Systems gefahren. Sie trafen dabei auf die Infrastruktur, deren Einsatz künftig in den Kantonen geplant ist. Nur eine mit niedrigem Risiko eingestufte Lücke ohne Sicherheitsrelevanz sei offengelegt worden. Alle Details dazu könnt ihr bei Heise nachlesen.
Die Digitale Gesellschaft Schweiz befasst sich bereits seit vielen Jahren mit diesem Dossier; wir berichteten vor einem Jahr darüber. Was fast alle Berichte über diesen erneuten Test ausblenden, ist die Frage nach der grundsätzlichen Legitimation und Machbarkeit von elektronischen Wahlen. Die Vorteile für Wähler und Wählerinnen liegen auf der Hand: Der Prozess ist bequemer und verhilft vielen Auslandsbürgern überhaupt zur Teilnahme an Wahlen. Dennoch lohnt es sich, die Grundlagen zu hinterfragen.
Beginnen wir ganz von vorne. Bei einer Wahl geht es darum, eine Entscheidung zwischen verschiedenen Optionen zu treffen. Bürger:in A entscheidet zwischen den Optionen X, Y und Z. Dabei gelten folgende Regeln:
- Die Wahl muss anonym erfolgen: Es darf nicht ersichtlich sein, wer was gewählt hat.
- Der Wahlprozess muss für die Wählende und durch die Öffentlichkeit in jedem Schritt nachvollziehbar sein.
- Das Wahlergebnis muss nachträglich überprüfbar sein, um Fehler zu erkennen und korrigieren zu können.
Ich bin kein Spezialist für Wahlprozesse; was ich hier schreibe, entspringt meinem gesunden Menschenverstand.
- Die Wahl muss nicht zwingend dezentral durchgeführt werden. Eine dezentrale Wahl erschwert jedoch die Möglichkeit einer massenhaften Wahlfälschung erheblich.
- Die Wahl muss nicht zwingend manuell (ohne elektronische Hilfsmittel) durchgeführt werden. Eine manuelle Wahl erleichtert jedoch die Nachvollziehbarkeit des Prozesses erheblich.
Mein Halbwissen möchte ich gerne mit einem Urteil des Deutschen Bundesverfassungsgerichts festigen:
Ich möchte auf die oben genannten drei Punkte näher eingehen.
Anonymität
Selbst bei einer herkömmlichen manuellen Wahl mit Stift und Stimmzettel halte ich die Anonymität nicht für zwingend erreichbar. In der Schweiz wird der Stimmzettel (im eigenen Umschlag) zusammen mit dem Stimmrechtsausweis (in eigenem Umschlag) beim Wahlbüro (Gemeinde) eingereicht. Somit muss man dem Wahlbüro vertrauen, dass kein Zusammenhang zwischen der Person (Stimmrechtsausweis) und der Wahl (Stimmzettel) hergestellt wird. Dieses Vertrauen wird einigermassen dadurch hergestellt, dass die Wahl dezentral erfolgt (geringeres Risiko für Massenfälschung) und durch Wahlhelfer:innen aus der Zivilgesellschaft, die am Prozess teilnehmen.
Bei einem E-Voting (unter aktuellen Umständen im Internet) kann die Anonymität nicht gewährleistet werden, weil es eine Verbindung zwischen der IP-Adresse und der getroffenen Wahl gibt. Das könnte man über Techniken wie Tor, Proxies, Snowflake, usw. hinbekommen, scheitert aber letztlich an der Authentifizierung. Es muss die Gültigkeit der Stimmabgabe nachgewiesen werden, womit im Wahlbüro wieder ein Zusammenhang zwischen Stimmabgabe, Wahlberechtigung und wählender Person hergestellt werden kann. Bei diesem Punkt bin ich mir nicht ganz sicher. Macht aber nichts, weil die Anonymisierungstechniken nicht von 100 % der Wahlberechtigten beherrscht werden.
Nachvollziehbarkeit
Dieses Kriterium wird von E-Voting Systemen auf keinen Fall erfüllt. Ein gutes Gegenbeispiel sind die altertümlichen Abstimmungsverfahren in wenigen Schweizer Kantonen: die Landsgemeinden. Die Landsgemeinde ist die verfassungsmässige, an einem bestimmten Tag unter freiem Himmel und mit feierlichem Zeremoniell abgehaltene Versammlung der stimmfähigen Einwohner, an der über Sachgeschäfte abgestimmt wird und Behörden gewählt werden.
Landsgemeinde - Kanton Glarus - Schweiz
Klar ist, dass dies Abstimmungsform die Nachvollziehbarkeit in gutem Masse erfüllt, wobei sie bezüglich der Anonymität und der Überprüfbarkeit gar nichts taugt. Dort stehen Wahlberechtigte auf dem Dorfplatz, heben ihre Hand und können abgezählt werden.
Das absolute Gegenteil sind E-Voting Systeme, bei denen von den Wahlberechtigten überhaupt nichts nachvollzogen werden kann. Selbst für Fachleute ist das so gut wie unmöglich, zumindest nicht in nützlicher Zeit. Niemand weiss zum Zeitpunkt der Wahl, welche Prozedur durch das Drücken der Schaltfläche Ja oder Nein tatsächlich ausgelöst wird.
Nachträgliche Überprüfbarkeit
Es gibt häufig Gründe dafür, eine Wahl nachträglich in Zweifel zu ziehen. Es gehört zum demokratischen Prozess, eine nachträgliche Überprüfung einzufordern, falls Zweifel an der ordnungsgemässen Durchführung der Wahl oder Abstimmung bestehen.
Die unter dem Punkt Nachvollziehbarkeit genannten Argument machen das Nachzählen beim E-Voting schwierig. Eine Möglichkeit, die in einigen Ländern angewandt wird, ist der Ausdruck einer Quittung während der Stimmabgabe. Falls die Wahlberechtigte diese Quittung mit nach Hause nimmt, ist eine Nachzählung aus praktischen Gründen kaum möglich. Die bessere Option ist es, die anonyme Quittung im Wahlbüro zu belassen. Dadurch werden jedoch alle Vorteile des elektronischen Stimmverfahrens aufgegeben.
Fazit
Wie gesagt, ich bin kein Fachmann für das E-Voting. Daher möchte ich Bruce Schneier sinngemäss wiedergeben, der beim IT-Security Inside Event Ende September in Zürich auftrat:
E-Voting birgt viele Gefahren. Die Leute könnten betrogen werden. Wir haben in den USA noch nicht mal einen Prozess, um eine gescheiterte oder manipulierte Abstimmung in nützlicher Frist zu wiederholen. Man kann ein E-Voting-System nicht in derselben Weise absichern wie zum Beispiel E-Banking. Der Grund ist einfach: Die Stimmenden müssen anonym bleiben können. Es gibt einen Widerspruch zwischen dem Recht auf geheime Wahlen und der generellen Verifizierbarkeit.
Man wird nie sicher sein können, dass nicht manipuliert wurde. Und ich meine nicht die Manipulation einer einzelnen Stimme, sondern der ganzen Abstimmung. Das wird bei E-Voting immer ein systemisches Problem bleiben. Eine fix fertige Lösung habe ich auch nicht. Aber ein Fax ist sicherer als ein E-Voting-System. Die meisten Leute stimmen immer noch per Brief.
(Paraphrasiert, Sekundärquelle)
Quellen
- https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2009/03/cs20090303_2bvc000307.html
- https://www.digitale-gesellschaft.ch/dossier/e-voting/
- https://www.derstandard.at/story/2000116996783/elektronische-wahlen-sind-selbst-in-zeiten-von-corona-eine-gefaehrliche
- https://www.srf.ch/news/schweiz/elektronische-stimmabgabe-hacker-koennen-e-voting-system-der-post-nicht-knacken
- https://www.inside-it.ch/bruce-schneier-man-wird-nie-sicher-sein%252C-dass-e-voting-nicht-manipuliert-wurde-20221006
Bildnachweis: https://www.gl.ch/landsgemeinde.html/216
Ich sehe den Punkt der Gefahren.
Sehe hier aber auch positive demokratische Entwicklungen. Sehbehinderte, Mobilitätseingeschränkte Personen, etc
haben durch E-Voring die Möglichkeit sich wieder am demokratischen Prozess beteiligen zu können.