E-Banking wenden wir schon lange an. Warum tun wir uns mit dem E-Voting so schwer?

E-Voting (engl. für „electronic voting“, also elektronische Wahlen/elektronisches Abstimmen) steht für Wahlmethoden, bei denen Stimmen auf elektronischem Weg erfasst und/oder gezählt werden.

Ende 2018 hatte der Chaos Computer Club Schweiz (CCC-CH) das Genfer E-Voting-System untersucht und gezeigt, dass Anwender auf eine gefälschte E-Voting-Internetseite umgeleitet werden können; kurze Zeit später beerdigte der Kanton Genf sein E-Voting-Projekt. Auch das Produkt der Post, das in den Kantonen Basel-Stadt, Freiburg, Neuenburg und Thurgau zum Einsatz kam, kam Anfang 2019 unter Beschuss, weil Sarah Jamie Lewis kritische Mängel im Programmcode aufzeigte. Andere Projekte gibt es in der Schweiz nicht.

Das Scheitern der beiden einzigen Projekte hinterliess beim E-Voting in der Schweiz denn auch einen ziemlichen Scherbenhaufen. Nun wurde soeben die Unterschriftensammlung für ein E-Voting-Moratorium, das von namhaften Informatikern gefordert wird, abgebrochen – der Verein der Auslandschweizer jubelt, der Chaos Computer Club stöhnt. Demgegenüber kündigte die Post an, ihr Projekt wieder starten zu wollen. Auch hier: Die einen sind empört darüber, dass man ein totes Pferd immer noch reiten will, die anderen sind erleichtert, dass sich in diesem Bereich endlich etwas tut. Aber warum diese grossen Bedenken gegenüber E-Voting, wenn doch E-Banking unterdessen relativ sicher ist? Was spricht denn eigentlich für, was gegen E-Voting? Im Folgenden einige Pros und Contras.

Die Unterschiede zwischen E-Banking und E-Voting

Die Bundeskanzlei wie auch andere Stellen betonen oft, E-Voting sei mit E-Banking vergleichbar. Das stimmt jedoch nur sehr bedingt. Beim E-Banking bleibt die Identität des Kunden bis zum Abschluss der Geldüberweisung mit dieser verknüpft. Ob eine Geldüberweisung erfolgreich war, kann der Kunde zudem schon wenig später anhand seines Kontostands überprüfen. Manipulationen am E-Banking können so relativ rasch erkannt werden.

Anders sieht es beim E-Voting aus: Nach der Prüfung des Stimmrechtsausweises wird dieser von den Stimmzetteln getrennt, damit die Stimme anonym wird. Es soll später nie mehr möglich sein herauszufinden, wer wie abgestimmt hat. Die zuerst vorhandene Verknüpfung zwischen Stimme und Wähler muss also so aufgehoben werden, dass sie nicht wiederherstellbar ist. Die Stimmbürgerin hat zudem beim E-Voting keine direkte Möglichkeit herauszufinden, ob ihre Stimme korrekt in das Abstimmungsresultat eingeflossen ist. Trotzdem muss der Nachweis möglich sein, dass eine Stimme von der Erfassung auf dem privaten Computer bis zur Auszählung nie manipuliert wurde.

Der Weg der elektronischen Stimme von der Erfassung bis zur Auszählung ist lang und mit vielen Gefahren verbunden. Es beginnt mit dem Computer des Einzelnen, der Schadsoftware enthalten kann, welche die Stimme manipuliert oder ausspioniert. Man rechnet damit, dass sehr viele private Computer und Router Schadsoftware haben oder dass die Benutzernamen und Passwörter gestohlen wurden, ohne dass die Besitzer es bemerkten (im Moment werden im Darknet 15 Milliarden Benutzernamen mit den zugehörigen Passwörtern zum Verkauf angeboten).

Die nächste Hürde ist der Aufruf der Internetseite mit dem E-Voting. Diese Internetseite kann gefälscht werden, wie es der CCC-CH in Genf aufgezeigt hat, und diese gefälschte Seite kann die Stimme dann manipulieren und weiterleiten. Leider haben auch heute noch viele Internetseiten der öffentlichen Verwaltung keinen Schutz (DNSSEC) gegen Fälschungen. Nachdem der Stimmbürger seine Stimme auf der E-Voting-Seite abgegeben hat, wird sie verschlüsselt übertragen. Allerdings ist nicht jede Verschlüsselung sicher, zudem akzeptieren viele Internetseiten der öffentlichen Verwaltung auch unsichere Verschlüsselungen, die gehackt werden können.

Falls die Stimme wohlbehalten und unverändert im E-Voting-System ankommt, wird die Identität des Stimmenden geprüft. Diese kann aber gefälscht werden, was auch tatsächlich immer wieder vorkommt.

Wenn alle Hindernisse überwunden sind und alles gut gegangen ist, beginnt die Auszählung im E-Voting-System. Wenn nun allerdings ein Hacker den Auszählungsmechanismus unter Kontrolle hat, hat er die Meinungsbildung eines ganzen Landes unter Kontrolle. Denn wie soll das E-Voting-System erkennen, ob eine Technikerin oder eine Hackerin sich für Wartungsarbeiten am System angemeldet hat? Ganz zum Schluss, wenn alles ausgezählt ist, könnte eine Wahlbeschwerde eintreffen. Wie beweist das E-Voting-System, dass keine Stimme manipuliert wurde? Es lauern also viele Gefahren. Hier setzt denn auch die Kritik am E-Voting an.

Die Kritik am E-Voting

Alle sind sich einig darin, dass Informatiksysteme nie ganz sicher sind. Jedes System kann manipuliert werden, die Frage ist nur, wie gross der Aufwand ist. Kann ein E-Voting-System so sicher gestaltet werden, dass der Manipulationsaufwand auch für staatlich unterstützte Organisationen unverhältnismässig gross ist? Die E-Voting-Gegner sagen Nein, die Befürworter meinen Ja. Die Befürworter sind der Meinung, dass alle oben genannten Herausforderungen gelöst werden können, auch wenn heute noch nicht überall überzeugende Lösungen vorhanden sind. Sie verweisen zudem darauf, dass auch bei der Abstimmung auf Papier Manipulationen vorkommen würden, wie der Fall im Kanton Thurgau zeigt.

Die Gegner betonen, dass im Fall von Manipulationen das Schadenspotential beim E-Voting viel grösser ist. Sie argumentieren zudem mit den gehackten IT-Systemen: In der Regel werden Manipulationen an einem IT-System erst dann erkannt, wenn abgeflossene Daten im Darknet auftauchen. Beim E-Voting-System fehlen Möglichkeiten, Manipulationen rasch und sicher zu erkennen, weil gar kein Datenabfluss stattfindet.

Der zweite Kritikpunkt betrifft die Anonymisierung der Stimmen: Da gelöschte Daten mit entsprechendem Aufwand fast immer wieder hergestellt werden können, gestaltet sich auch die Anonymisierung der Stimmen sehr aufwendig.

Meine Meinung

Es ist in meinen Augen möglich, ein E-Voting-System so zu bauen, dass der Manipulationsaufwand unverhältnismässig gross ist. Wir haben dazu in der Schweiz genügend kreative und hervorragende InformatikerInnen. Estland zeigt, dass es geht. Das E-Voting setzt aber ein breites Umdenken im Bereich der Sicherheit voraus:

• Es braucht eine Offenlegung des Quellcodes und Offenheit gegenüber Kritik. Die Corona-App des Bundes erfährt gerade dank dieser Offenheit viel Vertrauen. Bei den Promotoren des E-Voting war jedoch von einer solchen Offenheit bisher nicht viel zu spüren.
• Die Bürgerinnen und Bürger haben heute den Anspruch, mit veralteter und unsicherer Software auf öffentliche digitale Dienstleistungen zugreifen zu können. Das wird in Zukunft und insbesondere für das E-Voting nicht mehr möglich sein.
• Das heutige durchschnittliche Sicherheitsniveau der Internetauftritte der öffentlichen Verwaltung und der Unternehmen genügt für E-Voting bei weitem nicht. Die Internetauftritte haben oft kein DNSSEC umgesetzt und akzeptieren unsichere Verschlüsselungen. Das müsste sich dramatisch ändern.

Werden diese Punkte angegangen und entsprechende Massnahmen ergriffen, spricht meines Erachtens nichts gegen E-Voting.

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).