Die Demokratie wird einem privaten Unternehmen anvertraut – und weitere Missverständnisse 04.02.2019
Die Post begrüsst die vertiefende Berichterstattung und die gesellschaftliche Debatte rund um E-Voting und möchte ihre Perspektive teilen, indem sie zu wiederkehrenden Missverständnissen Stellung nimmt.
In der politischen Auseinandersetzung kommt der freien Meinungsäusserung ein hoher Stellenwert zu. Gleichzeitig sind immer auch Fakten gefragt, um eine sachliche Diskussion zu ermöglichen. Seitdem sich der Kanton Genf entschieden hat, sein E-Voting-Angebot aufzugeben, liegt der Fokus der kritischen Stimmen in Politik, traditionellen Medien und Social Media auf dem System der Post und ihrem spanischen Technologiepartner Scytl.
Die Post ist sich ihrer Verantwortung, ein transparenter Anbieter zu sein von Anfang bewusst, und freut sich deshalb über das öffentliche Interesse an Ihrem E-Voting-System und die dadurch sich ergebende Möglichkeit, sich zum Thema E-Voting als glaubwürdiger und kompetenter Gesprächspartner zu äussern. Die Post ergreift die Initiative, um ein paar in den Debatten immer wieder gehörte Missverständnisse zu klären.
Missverständnis 1:
Mit dem E-Voting-System der Post wird die Demokratie einem privaten Unternehmen anvertraut
Die Post ist zu 100 % im Besitz der Eidgenossenschaft. Die Kombination von demokratischer Kontrolle und wirtschaftlicher Eigenständigkeit ist ein Vorteil – gerade wenn es um die Entwicklung von digitalen Dienstleistungen von Behörden geht.
Die bundesrechtlichen Anforderungen an E-Voting Systeme sind derart ausgestaltet, dass die ultimative Kontrolle letztlich beim Kanton liegt, der das System einsetzt. Transparenzmassnahmen sind auf allen Ebenen verankert. Das System der Post wahrt die Souveränität der Kantone. Sämtliche Prozessschritte (Urnenvorbereitung, Entschlüsselung, Auszählung etc.) werden durch den jeweiligen Kanton durchgeführt. Die Post transportiert nur die Stimmen, ohne eine Möglichkeit zu haben, sie zu lesen oder zu entschlüsseln.
Für die kryptographischen Kernkomponenten arbeitet die Post mit Scytl zusammen, einem Spin-off der Universität Barcelona. Die Partnerschaft mit Scytl wurde nach einer sorgfältigen Marktanalyse geschlossen. Scytl lieferte vor der Zusammenarbeit mit der Schweizerischen Post bereits seit 2005 die technologischen Grundlagen für das E-Voting-System im Kanton Neuenburg. Scytl ist Weltmarktführer im Bereich des sicheren Online-Votings und verfügt über rund 20 Jahre Erfahrung in dem Gebiet.
Missverständnis 2:
In Australien wurde eine Verschlüsselung der E-Voting-Technologie gehackt, die die Post auch einsetzt
Es stimmt, dass 2015 in Australien bei einem E-Voting-System eine Schwachstelle durch zwei Forscher aufgezeigt wurde. In diesem System, das im Teilstaat New South Wales im Einsatz war, war auch Technologie von Scytl im Einsatz. Die Schwachstelle hatte aber nichts mit der Kryptographie oder Verschlüsselung von Scytl zu tun, sondern mit einer anderen Komponente (Piwik Software; eine Open-Source-Webanalytik-Plattform). Das E-Voting-System der Post setzt diese Komponente nicht ein.
Eine Beschreibung des Falls ist diesem Artikel zu entnehmen. Es handelte sich um eine Art nicht-skalierbares Man-in-the-middle-Szenario. Dieser Fall ist weltweit bekannt und wurde an der internationalen E-Voting-Konferenz E-Vote-ID 2015 von Vertretern aus New South Wales vorgestellt und das Problem sowie die Lösung erklärt. New South Wales setzte nach einer Ausschreibung 2018 erneut auf den Technologielieferanten Scytl (Link).
Der Fall zeigt auf, dass sich beim E-Voting die Sicherheit nicht auf eine eingesetzte (Teil-)Technologie reduzieren lässt. Massgeblich ist das Gesamtsystem mit all seinen technologischen, organisatorischen, betrieblichen und menschlichen Faktoren.
Missverständnis 3:
Die Post ist intransparent und legt den Quellcode nicht offen
Die bundesrechtlichen Vorgaben verlangen ein sehr hohes Mass an Transparenz. Dies wird bereits durch eine vollständige Quellcode-Analyse durch unabhängige Experten im Rahmen der Zertifizierung sichergestellt. Gegenüber Bund und Kantonen besteht bereits hohe Transparenz.
Gegenüber der Öffentlichkeit sind ebenfalls zahlreiche Transparenzmassnahmen bereits umgesetzt und eine Reihe von weiteren sind vorgesehen: Unter www.post.ch/evoting hat die Post seit 2017 verschiedene Dokumentationen zum System publiziert (unter «Transparenz und Publikationen»).
Die Post bereitet zurzeit die Offenlegung des Quellcodes sowie weiteren Transparenzdokumenten vor. Dies geschieht gemäss den Anforderungen des Bundes. Damit ermöglicht sie IT-Experten, das System auf Schwachstellen zu prüfen. Sie wird ebenfalls ihr System einem öffentlichen Intrusionstest unterziehen.
Auch Scytl steht vollständig hinter dieser Transparenzstrategie. Eine Offenlegung bedeutet aber nicht, dass es sich um frei nutzbare Software handelt (Open Source). Auch nicht frei nutzbare Software kann offengelegt werden (Open Code).
Missverständnis 4:
E-Voting war in Norwegen ein Debakel
Norwegen hatte 2011 und 2013 E-Voting getestet. Nach einem Regierungswechsel entschied Norwegen 2014, E-Voting nicht weiterzuführen. Der Grund lag aber nicht in der Qualität und Sicherheit der Kryptographie. Es wurde politisch argumentiert, dass es wichtig sei, dass Wähler an einem gesicherten Ort im Wahllokal abstimmen und nicht von zu Hause aus. In der Schweiz wurde ein Wechsel der Stimmabgabekultur mit der Einführung der Briefwahl bereits vor Jahrzehnten vollzogen. Im Grossen und Ganzen wurde in Norwegen für die E-Voting-Versuche ein positives Fazit gezogen.
Dem norwegischen System lag ebenfalls eine Technologie von Scytl zugrunde. Der Quellcode wurde offengelegt. Es ist korrekt, dass die Berner Fachhochschule den norwegischen Quellcode analysierte und eine Schwachstelle in der Kryptographie fand. Diese Schwachstelle wurde durch Scytl umgehend korrigiert. Scytl und Norwegen kommunizierten dies transparent.
Das norwegische System ist nicht 1-1 auf die Schweiz übertragbar. Die Schwachstelle hatte mit der Eigenschaft des Systems zu tun, dass man als Wähler mehrmals seine Stimme abgeben kann und nur die letzte Abgabe zählt effektiv. Norwegen hatte sich für dieses Prinzip entschieden, um die Gefahr zu bekämpfen, dass Wähler in einem privaten Umfeld genötigt werden, eine bestimmte Partei zu wählen. In der Schweiz wurde entschieden, dass die erste Stimmabgabe die endgültige sein soll ohne Möglichkeit, sie zu überschreiben.
Wie in Norwegen wird es für Experten möglich sein, den Quellcode zu analysieren und auf mögliche Schwachstellen hin zu prüfen. Die Post legt den Quellcode in Kürze offen.
Missverständnis 5:
IT-Experten sind gegen E-Voting
Es gibt weltweit eine grosse wissenschaftliche Szene, die seit 30 Jahren an Technologien und Kryptographie forscht, um Online-Wahlen gegen Manipulationen abzusichern. Auch in der Schweiz gibt es Institute an der ETH, EPFL und der Berner Fachhochschule, die sich intensiv mit dem Thema befassen. Jährlich findet eine internationale Konferenz für elektronisches Wählen und Abstimmen statt (www.e-vote-id.org).
Für Abstimmungen und Wahlen gibt es zahlreiche elektronische Systeme mit unterschiedlichen Funktionen und Sicherheitslevel. So gibt es Wahlcomputer in Wahllokalen, Systeme zum Auswerten von einzelnen Stimmzetteln, zur Erfassung und Übermittlung von traditionellen Stimmzetteln und auch fortschrittliche Systeme für die vollständige digitalisierte Stimmabgabe über das Internet.
Der Oberbegriff E-Voting wird für alle solchen Systeme genutzt. Nicht überall, wo sich Expertinnen und Experten zu E-Voting äussern, sind Systeme gemeint, die mit dem in der Schweiz eingesetzten E-Voting vergleichbar sind.
Häufig wird Kritik an Online Voting mit Hinblick auf die Situation in den USA geäussert. Die Schweizer Verhältnisse mit offiziellen Wahlregistern, etablierter Briefwahl und direkter Demokratie bieten eine andere Ausgangslage für die Sicherheit und das Potenzial von E-Voting.
Expertinnen und Experten sind in der Regel neugierig sowie offen für neue Erkenntnisse und überzeugende sachliche Argumente und ziehen sich nicht in Glaubenspositionen zurück.
Missverständnis 6:
E-Voting wird zentralistisch und undemokratisch eingeführt
Das ist falsch. Im föderalen Schweizer System liegt die Hoheit über die Durchführung von Abstimmungen und Wahlen bei den Kantonen. Die Kantone entscheiden daher, ob sie E-Voting einführen möchten oder nicht. Diese Entscheidung wird in der Regel vom kantonalen Parlament getroffen und unterliegt dem fakultativen Referendum. Es gibt auch Kantone, die sich auf diesem demokratischen Weg entschieden haben, auf E-Voting zu verzichten. Der Bund gibt die Sicherheitsanforderungen an E-Voting-Systeme vor und bewilligt deren Einsatz. Dafür müssen die Kantone ein Gesuch einreichen, wenn sie E-Voting einsetzen möchten.
