Warum Transparenz beim E-Voting so wichtig ist

Um auf Akzeptanz zu stossen, dürfen E-Voting Systeme keine undurchsichtige «black boxes» sein. Unser Gastautor zeigt auf, welche Massnahmen vom Bund für die Transparenz von Schweizer E-Voting Systemen gefordert werden. Transparenz macht das elektronische Abstimmen nachvollziehbarer und fördert das Vertrauen in diesen neuen Stimmkanal.

Jede Demokratie braucht ein Wahlsystem, mit dem sie die Meinung der Wählenden ausloten kann. Ein erfolgreiches Wahlsystem muss nicht nur feststellen, wer gewonnen hat, sondern auch die Verlierer davon überzeugen, dass sie verloren haben. Bei knappen Wahlergebnissen ist dies besonders wichtig. Nur wenn alle nachvollziehen können, wie das Resultat zustande gekommen ist, wirkt es auch überzeugend. Dazu muss das System möglichst transparent sein.

Wenn die Stimmen nicht geheim sind, ist es einfach Transparenz herzustellen. Man denke da zum Beispiel an die Landsgemeinden. Elektronische Systeme können aber auch transparent sein. So wird im Schweizer Parlament schon lange per Knopfdruck abgestimmt. Eine elektronische Tafel zeigt mittels roter und grüner Punkte, wer ja oder nein abgestimmt hat. So können alle Stimmenden überprüfen, dass Ihre Stimme richtig übermittelt und angezeigt wurde. Es wäre sogar möglich, die einzelnen Stimmen zu zählen und das Resultat zu prüfen. Auch wenn nicht alle Parlamentarierinnen und Parlamentarier jedes Mal verifizieren ob die Tafel richtig funktioniert, schafft diese Transparenz Vertrauen in die Anlage. Und dies auch, wenn die Wählenden nichts von Informatik verstehen.

Wenn das Stimmgeheimnis geschützt werden muss, wird es mit der Transparenz schwieriger. Geheime Wahlen werden typischerweise mit anonymen Wahlzetteln und einer Urne durchgeführt. Weil nicht alle Wählenden die Urne beobachten können, muss man sich auf vertrauenswürdige Personen stützen, um die Urne zu bewachen und auszuzählen. Wenn die Wählenden diesen Personen trauen, sind sie vom Resultat überzeugt. Bestehen Zweifel am Resultat, kann man die Urne ein zweites Mal auszählen, eventuell sogar durch andere Personen. Interessanterweise muss in Frankreich die Urne im wahrsten Sinn zwingend transparent sein.

E-Voting Transparenz in der Schweiz

Bei E-Voting Systemen ist die Transparenz notwendiger, weil die Systeme komplexer sind. In der Schweiz werden im Gesetz zur elektronischen Stimmabgabe, in den Verordnungen der Bundeskanzlei und im Planungsinstrument des Bundesrats  mehrere Massnahmen zu Transparenz gefordert.

  • Zum einen müssen der Quellcode und die Betriebsdokumentation der Systeme offengelegt werden. So können alle sehen, wie das System gebaut ist und auch nach eventuellen Fehlern suchen. Es ist kaum vorstellbar, dass heute ein elektronisches System ohne Offenlegung des Codes auf eine breite Akzeptanz stossen würde.
  • Zusätzlich zur Offenlegung des Codes, sollen öffentliche Intrusionstests mit allen eingesetzten Systemen durchgeführt werden. Die Systeme werden zuvor schon von akkreditierten Spezialisten geprüft und zertifiziert. Die Resultate werden publiziert. Zusätzlich erhält auch die Öffentlichkeit die Gelegenheit, die Systeme zu testen. Wer also nicht überzeugt ist, dass ein zertifiziertes System sicher ist, kann selber versuchen Schwachstellen aufzudecken.
  • Ein anderes wichtiges Instrument zur Transparenz ist die Verifizierbarkeit der Systeme. Diese liefern Beweise zum richtigen Ablauf der Abstimmung. Man muss ihnen also nicht blind vertrauen. Als individuelle Verifizierbarkeit bezeichnet man ein Verfahren, das den Wählenden beweist, dass ihre Stimmen korrekt registriert worden sind. In der Schweiz werden dafür Verifizierungscodes eingesetzt, zum Beispiel vierstellige Zahlen. Wenn das Wahlsystem eine verschlüsselte Stimme erhält, kann es den Code daraus berechnen ohne die Stimme entschlüsseln zu müssen; sie bleibt also geheim. Der Wahlserver schickt den Code den Wählenden zurück. Diese können in ihrem persönlichen Stimmmaterial nachschauen, ob der Code der abgegebenen Stimme entspricht. Die Aufschlüsselung von Stimme zu Code existiert nur auf dem persönlichen Stimmmaterial der Wählenden. Der Schlüssel zum berechnen des Codes nur auf dem Wahlserver. Erscheint auf dem Bildschirm der gleiche Code wie im Stimmmaterial, ist bewiesen, dass die Stimme unverändert beim Server registriert wurde.
  • Mit universeller Verifizierbarkeit bezeichnet man das Generieren von Beweisen die aussagen, dass das Resultat korrekt ist. Bei jedem Bearbeitungsschritt der Stimmen auf dem Wahlserver, werden mathematische Beweise generiert. Diese Beweise erfüllen den gleichen Zweck wie Wahlzettel. Sie ermöglichen das Nachzählen der Stimmen. Spezifisch werden folgende Beweise geliefert:
  1. jede Stimme stammt von einem gültigen Wahlausweis
  2. jede Stimme, dessen Abgabe dem Wähler mit einem Code bestätigt wurde, ist in der Urne enthalten
  3. die Stimmen wurden anonymisiert, ohne deren Inhalt zu verändern
  4. die anonymisierten Stimmen wurden korrekt entschlüsselt

Wenn die Beweise stimmen, können keine Stimmen gelöscht, verändert oder vor der Anonymisierung entschlüsselt worden sein. Das Resultat ist also korrekt und das Stimmgeheimnis wurde bewahrt.

Es braucht also kein blindes Vertrauen in das Wahlsystem. Jedermann, der weiss wie die Beweise gerechnet werden oder eine vertrauenswürdige Software dazu hat, kann nachrechnen ob alles korrekt zugegangen ist. Die Verordnung sieht vor, dass die Beweise von einer Gruppe von Auditoren überprüft werden.

Damit die Beweise nicht verloren gehen oder verändert werden können, werden sie von vier unabhängigen und verschieden aufgebauten Kontrollkomponenten berechnet, versiegelt und gespeichert. Solange nur eine Komponente korrekt funktioniert, können keine Beweise verloren gehen oder manipuliert werden. Der Quellcode und die angewendeten Schutzmassnahmen gehören zum Umfang der Informationen, die publiziert werden.

Transparenz als Risikominimierung

Die Akzeptanz von E-Voting ist nicht selbstverständlich. Transparenz erhöht das Vertrauen in die Systeme und mindert so das Risiko der Ablehnung dieses Stimmkanals auf der politischen Ebene. Auf der technischen Ebene reduziert die Transparenz das Risiko, dass technische Schwächen nicht oder nicht kritisch genug erkannt werden. Die Schweiz hat keine durchsichtigen Urnen. Dafür setzt sie beim E-Voting auf möglichst viel Transparenz.

AUTOR/AUTORIN: Philippe Oechslin

Philippe Oechslin ist Unternehmer und Dozent an der Ecole polytechnique fédérale de Lausanne EPFL.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

3 Kommentare
  1. René Droz
    René Droz sagte:

    Recht haben Sie! Die Transparenz bei E-Voting ist wirklich das Entscheidende. Sie beschrieben die Anforderungen des Bundes an E-Voting und an den Prozess, der dazu führt, dass diese Anforderungen erfüllt werden können. Alles soweit richtig.
    Nur wird hier ein ganz wesentlicher Punkt vergessen: Der Prozess wird von mehreren elektronischen Maschinen ausgeführt, die keiner so ganz richtig versteht.
    Zunächst mal den eigenen Homecomputer oder das Handy: Die meisten Leute werden die komplizierten Codeüberprüfungen nicht verstehen, wenn sie sie nicht direkt am Bildschirm nachvollziehen können. D.h. wenn der Dialog sagt, es sei alles in Ordnung, so wird sich vielleicht höchstens jeder Hundertste wundern, dass es nicht ganz so abgelaufen ist, wie er geglaubt hat, dass es sein müsste. Eine Stimme kann durch einen Cyberangriff oder eine manipulierte App entweder verfälscht werden und der Bürger kann sie nicht kontrollieren, weil der Code nicht angezeigt wird oder der Code wird angezeigt und die Stimme aber nicht abgeschickt. Das könnte der User – gemäss Prozess – zwar auch merken, was aber wenn der Computer sagt, es sei alles in Ordnung? Gemäss BK-Interview muss der Bürger selbst wissen, ob er seinem Computer vertrauen kann. Das werden aber die meisten in so einem Fall nicht können!
    Eine Auszählung von solch manipulierten Stimmen führt zwangsläufig zu einem falschen Resultat, auch wenn der eine oder andere merkt, dass etwas schiefgelaufen ist. Der Zentrale Auswertungscomputer kann so etwas gar nicht bemerken. Die universelle Verifizierbarkeit ist von der aktiven Ausübung der individuellen Verifizierbarkeit abhängig. Ohne zweites kein ersteres!
    Und nun der Auswertungscomputer: Wenn der den Stimmenpool auszählt, wer sagt, dass hier alles mit rechten Dingen zugeht? Natürlich man kann das mit mehreren Computern machen und dann nachsehen, ob es Unterschiede gibt. Was aber, wenn diese Computer alle den gleichen Wurm haben, weil sie Teile vom gleichen Hersteller haben oder einen, der von einem Insider-„Experten“ eingeführt wurde? Glauben Sie, dass bei jeder Abstimmung neue, unabhängige Experten die ganzen Betriebsbedingungen immer wieder akribisch im Detail überprüfen? Daher: Nicht zu vergleichen mit den Stimmenzählern im Parlament, denen würde ich schon vertrauen!
    Und was passiert, wenn einzelne Leute tatsächlich reklamieren, weil diese Codeüberprüfung nicht gestimmt hat? Dann gibt es gemäss BK eine „Untersuchung“. Was glauben Sie, wird dabei herauskommen? Meine Wette: „Wir haben nicht genügend Evidenz, dass das Resultat entscheidend manipuliert ist“.
    Wie wird das wohl das Vertrauen in die Demokratie beeinflussen? Wo bleibt also die Transparenz?

    Antworten
  2. Philippe Oechslin
    Philippe Oechslin sagte:

    Mit Ihrem Kommentar sprechen Sie zwei Probleme an:

    Zum einen, dass die Verifizierungscodes nichts nützen, wenn man die Wählenden
    überreden kann, diese nicht zu kontrollieren. Es genügt aber, wenn eine kleine
    Minderheit der Wählenden sich an die offiziellen Anweisungen halten, damit der
    Schwindel auffliegt. Entweder kann also der Angriff nur sehr wenige Stimmen
    manipulieren, oder er wird entdeckt. Beides ist für einen Angreifer nicht
    interessant. Das Risiko ist klein und existiert in ähnlicher Art auch bei den
    anderen Wahlkanälen.

    Zum zweiten sprechen Sie an, dass die vier zentralen Computer
    (Kontroll-Komponenten) alle den gleichen Wurm haben könnten. Gemäss der
    Verordnung über die elektronische Stimmabgabe, müssen diese Computer mindestens
    verschiedene Betriebssysteme haben, logisch und physisch voneinander isoliert
    sein und von vier verschiedenen Teams kontrolliert und überwacht werden. Klar
    kann man sich auch da einen allmächtigen Angreifer vorstellen, der unbemerkt
    einen Wurm in die Computer schleust, der dann auch noch unbemerkt das Resultat
    und die mathematischen Beweise fälscht. Die Wahrscheinlichkeit ist aber extrem
    klein. Die Transparenz, um an das Thema des Artikels wieder anzuknüpfen,
    betrifft auch die Sicherheitsmassnahmen. Diese werden dokumentiert und
    offengelegt. Somit kann man mit konkreten Argumenten über die Risiken
    diskutieren und braucht die Sicherheit nicht pauschal zu beurteilen.

    Antworten
  3. René Droz
    René Droz sagte:

    Sie schreiben, dass der Angriff gegen die Wählenden entdeckt werde, wenn eine genügende Anzahl manipuliert würde. Ja, stimmt! Aber nicht in seinem Ausmass, d.h. man kann die Anzahl der so manipulierten Stimmen nicht feststellen, und zwar auch nicht einmal ungefähr. Der Schwindel „fliegt also nicht einfach auf“, man kann höchstens ehrlicherweise sagen: „Ja, es wurde manipuliert, aber wir wissen nicht, in welchem Umfang“. Was erwarten Sie nun, dass jetzt passiert oder passieren sollte? Wer soll das entscheiden? Jemand anders als das Stimmvolk? Damit sind wir wieder bei den angekündigten „Untersuchungsergebnissen“ der Bundeskanzlei, die gemäss meiner Wette herauskommen werden. Und da glauben Sie, dass das Vertrauen in die Demokratie nicht entscheidend beeinträchtigt werde?

    Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.