Die Risiken des E-Votings muss das Volk abschätzen

Eine parlamentarische Motion sieht vor, dass E-Voting-Systeme einem öffentlichen Penetrationstest mit Bug Bounty unterzogen werden. Es ist aber ein Trugschluss, dass man damit die System-Sicherheit beweisen kann. Wichtiger ist eine realistische, transparente und ehrliche Risikoabwägung, meint der Cyberspezialist Stefan Friedli.

Wenn in kommenden Jahren eine kontroverse Abstimmungsvorlage, zum Beispiel ein EU-Beitritt, vors Volk kommt, wären Sie als Stimmbürger bereit, diese Entscheidung auf elektronischem Wege zu treffen?

Die Schweiz trifft im Rahmen ihrer direkten Demokratie regelmässig Entscheidungen massiver Tragweite. Dass die Digitalisierung dieses Prozesses nicht nur auf Gegenliebe stösst, ist daher durchaus nachvollziehbar. Die bisherigen Bemühungen der Befürworter, die Kritiker zu besänftigen und die Unentschlossenen zu überzeugen sind ebenso verständlich, schiessen aber am Ziel vorbei.

Ein gutes Beispiel dafür ist eine parlamentarische Motion von Ende September, die vorsieht, dass die in der Schweiz eingesetzten E-Voting Systeme einem öffentlichen Penetrationstest unterzogen werden. In einer simulierten, aber realistischen Umgebung, sollen über zwei Abstimmungen hinweg “Hacker” herausgefordert werden, die Möglichkeit einer Manipulation nachzuweisen. Wer das schafft, dem winken 250’000 Schweizer Franken aus einem Pool von insgesamt einer Million Schweizer Franken. Wenn keine Schwachstellen gefunden werden, dann führt diese “vertrauensbildende Massnahme”, wie sie die Initiative nennt, zum Nachweis, dass E-Voting sicher ist.

Diese Idee ist an sich nicht schlecht: Solche öffentlichen Herausforderungen und auch strukturierte, dauerhaft betriebene Programme zum Melden von Schwachstellen im Austausch für öffentliche Anerkennung und einen Finderlohn findet man unter dem Begriff “Bug Bounty” tatsächlich auch im Unternehmensumfeld. Dort dienen sie als Ergänzung zu bereits sehr umfangreichen internen Tests, Analysen und Risikoabschätzungen.

Der Trugschluss liegt in der Annahme, dass das Ausbleiben von Schwachstellen-Meldungen im Rahmen dieses Prozesses automatisch beweist, dass die Lösung sicher ist. Und gerade diese Annahme eines binären Zustandes, sicher oder unsicher, ist im Hinblick auf die Tragweite einer möglichen Manipulation einer Abstimmung inakzeptabel.

So ist der Vorschlag aus dem Parlament letzten Endes gut gemeint, aber doch eben mehr eine “vertrauensbildende Massnahme” zur Überzeugung der Unentschlossenen als ein wirklicher Schritt zu sicherem E-Voting. Statt eines vermeintlichen Beweises, gilt es dem Schweizer Stimmvolk eine realistische, transparente und ehrliche Risikoabschätzung vorzulegen: Wie hoch ist das Risiko, dass das einzusetzende System trotz aller Bemühungen, trotz aller Investitionen durch Dritte manipuliert werden kann? Wie hoch ist die Wahrscheinlichkeit, dass ein optimal aufgestelltes Wahlbeobachtungs-System diese Manipulation entdecken könnte? Was wären die Auswirkungen einer solchen Manipulation? Und wenn der Fall eintreten würde, wie würde das Krisenkonzept aussehen, um die direkte Demokratie in diesem Krisenszenario zu wahren? Und die Bringschuld zur Information würde damit nicht enden: Vor jeder Abstimmung müsste der Bund transparent über das Risiko einer Wahlmanipulation im digitalen Bereich informieren und im Zweifelsfall akzeptieren, dass das Volk diese Risiken in gewissen kritischen Vorlagen – wie eben ein EU-Beitritt – eben nicht tragen kann oder will.

Die Geschichte der Informationssicherheit lehrt uns, dass jedes System – ungeachtet der Bestrebungen seines Betreibers – verwundbar ist. Natürlich gibt der Bund strenge Sicherheitsvorgaben vor, die auch regelmässig überprüft werden. Absolute Sicherheit ist aber eine Utopie, die auch ein E-Voting nicht zur Realität vermögen werden lassen mag. Die Entscheidung für oder gegen E-Voting hängt davon ab, ob und inwiefern gut informierte Bürgerinnen und Bürger bereit sind, die damit verbundenen Risiken zu tragen um dadurch in den Genuss der versprochenen Vorteile so eines Systems zu kommen.

Es liegt nun an den Befürwortern, hier mit Fakten sowie konkreten Zugeständnissen an die Transparenz langfristig die Grundlage für Vertrauen in ein System zu schaffen und nicht nur Überzeugungsarbeit zur Einführung zu leisten.

Stefan Friedli identifiziert seit über einem Jahrzehnt beruflich Schwachstellen in Produkten und Infrastruktur von Fortune Global 500 Firmen und einer Vielzahl Schweizer Unternehmen. Er ist Mitbesitzer der Zürcher scip AG, die auf Dienstleistungen der Cybersicherheit spezialisiert ist.