Welche Fehler bei Brief- und elektronischer Wahl passieren

Die briefliche Stimmabgabe etablierte sich vor gut dreissig Jahren in der Schweiz in mehr und mehr Kantonen. Es war schwer vorstellbar, dass sich ein fremdes Land in eine Schweizer Volksabstimmung einmischen könnte. Die neutrale Schweiz besass ein besonderes Renommee, das sie vor so einem Zugriff schützte. Und auch das Unterfangen selbst hätte eine breit angelegte Verschwörung bedungen, was als wenig praktikabel galt.

Mittlerweile arbeitet die Schweiz aber auf die flächendeckende Einführung eines zusätzlichen elektronischen Stimmkanals hin und auch zwischenstaatliche Einmischungen erscheinen nicht mehr länger ausgeschlossen. Tatsächlich monieren die Kritiker, dass E-Voting Systeme sich nicht vor ausländischen Geheimdiensten schützen lassen, ja dass die entsprechenden Systeme schon bei Ihrem Aufbau mit Malware infiziert, durch staatliche Stellen unterwandert und deshalb komplett ferngesteuert seien. Dies sei umso gravierender, da die elektronische Stimmabgabe mit zentralen IT Systemen arbeite und Angriffe aus diesem Grund besonders leicht skalieren würden. Kurz gesagt: Ein Angreifer braucht nur in einen einzigen Computer erfolgreich einzudringen und er kann Resultate einer Wahl beliebig manipulieren: Aus 65% Nein werden 54% Ja und niemand bemerkt den Schwindel.

Dem gegenüber erscheinen die traditionellen Stimmkanäle, die Wahl an der Urne und die briefliche Stimmabgabe, als robuster und quasi manipulationssicher. Diese Eigenschaften werden vor allen an der manuellen, dezentralen Auszählung der Stimm- und Wahlzettel durch vertrauenswürdige, lokale Stimmzähler und Stimmzählerinnen festgemacht.

Aber ist dem wirklich so? Ist E-Voting zentralisiert und unsicher und ist die briefliche Stimmabgabe dezentral und sicher vor Manipulation? Ich glaube diese vermeintlichen Gewissheiten stehen auf unsicheren Füssen. Sie sollten im Rahmen einer umfassenden Diskussion hinterfragt werden.

Gute analoge Welt?

Tatsächlich beruhen unsere Vorstellungen der traditionellen Stimmkanäle auf Erinnerungen an eine analoge Welt in der Computer noch keinen Platz hatten: Die Wahlregister wurden auf Karteikarten geführt und sie wurden per Briefpost an die Staatskanzlei geschickt. Eine mittelständische Schweizer Druckerei druckte die Wahlzettel. Staatliche Beamte der PTT sortierten die Briefumschläge und verteilten sie anschliessend. Nach dem Ausfüllen der Stimmzettel durch die Stimmbürger stempelte sie der Posthalter auf der Poststelle von Hand und sie gelangten ohne die Gemeinde jemals zu verlassen, also ohne Umweg über ein digitalisiertes Briefsortierzentrum, direkt in die Hände des Gemeindekanzlisten, wenn der Briefträger die Post persönlich auf der Gemeindeverwaltung vorbeibrachte. Der Beamte nahm die Umschläge entgegen und warf sie in die mit einem Bleisiegel verschlossene Wahlurne. Am Wahlsonntag zählten Stimmzähler und Stimmzählerinnen die Stimmen von Hand und übermittelten das Ergebnis darauf fernmündlich an die Staatskanzlei; gefolgt vom amtlich beglaubigten Ergebnis auf dem Briefweg.

Es würde sich lohnen, die einzelnen Schritte einer Papierwahl in der modernen Welt Schritt für Schritt nachzuzeichnen und zu überprüfen, welche zentralen und welche dezentralen Komponenten dieses System heute ausmachen. Wie robust ist dieser Prozess im Lichte eines potentiellen staatlichen Angriffes wirklich? Meines Wissens hat sich diese Mühe noch niemand gemacht und uns fehlt ein entsprechender Überblick. Auch mir fehlt in diesem Artikel der Platz hierzu. Aber überlegen wir es uns wenigstens für das Beispiel der Auszählung von Listenwahlen.

Digitale Hilfsmittel erleichtern Auszählen

Das Auszählen von Wahlzetteln, namentlich solchen die panaschiert und kumuliert wurden, ist ein aufwändiges und fehleranfälliges Unterfangen. Um diese Fehler zu vermeiden verwenden Schweizer Gemeinden oftmals nützliche kleine Programme, die es erlauben, die Listen oder die fünfstelligen Kandidatennummern abzutippen und die Software spuckt dann das amtliche Ergebnis für eine Gemeinde aus. Die Zeitersparnis ist enorm und ich bin sicher, dass auch Zählfehler damit seltener werden.

Allein, diese digitalen Hilfsmittel sind nicht sicherheitstechnisch zertifiziert und sie sind wohl auch nicht im Hinblick auf staatliche Angreifer hin programmiert worden. Das ist aber noch nicht per se eine Schwäche, denn die Schweiz ist ein föderales Land, Wahlen und Abstimmungen laufen unter der Hoheit der Kantone, diese delegieren die Auszählung in der Regel an die Gemeinden und diese Dezentralisierung garantiert einen hohen Schutz vor Angriffen. Es gilt also das oben eingeführte Argument des Schutzes durch Dezentralisierung.

Leider müssen wir aber annehmen, dass zahlreiche Gemeinden dieselbe Software verwenden, dass sie auf denselben Windows-PCs läuft, dass sie alle mit dem Internet verbunden sind, die Benutzer täglich auf ähnlichen Internet-Seiten surfen und damit denselben Wasserloch-Angriffen (Drive-By Downloads) ausgesetzt sind. Und ferner dürften die Informatik-Budgets der meisten Schweizer Gemeinden kaum ausreichen, um fremden staatlichen Akteuren Paroli zu bieten, selbst wenn wir vom fehlenden Know-How im Bereich der Cybersecurity absehen.

Sicherheit dank dezentraler Struktur

Dazu kommt, dass fortschrittliche Kantone Online-Dienste an bieten, auf denen die Stimmzähler die einzelnen Stimmzettel online erfassen können und das zentrale System errechnet dann die Stimmen für die einzelnen Gemeinden des Kantons. Ich nehme an, eine Übermittlung der Resultate der Gemeinde an die Staatskanzlei erübrigt sich damit. Aber sicherheitstechnisch habe ich Vorbehalte gegenüber solchen Lösungen.

Das alles bedeutet, dass die vermeintliche dezentrale Auszählung der Wahlzettel in der Schweiz deutlich zentrale, digitale Komponenten aufweist. Diese Systemteile wurden nie offiziell flächendeckend eingeführt, aber auch nie aktiv verhindert oder doch zumindest einer sicherheitstechnischen Kontrolle unterworfen wurde. Es macht nämlich einen grossen Unterschied, ob ich hunderte von Wahlkommissionen in eine Verschwörung einbeziehen muss, oder dasselbe Ziel erreichen kann, wenn ich mich in die Entwicklung einer einzigen Softwarefirma einschalten kann.

Es liesse sich leicht zeigen, dass die meisten anderen Schritte der brieflichen Stimmabgabe ähnlich zentralisierte Systembestandteile aufweisen und damit ähnliche Manipulationsmöglichkeiten zulassen. Die Vorstellung, dass die traditionellen Stimmkanäle dank der dezentralen Auszählung manipulationssicher sei, greift also zu kurz. Dazu kommt das lange unterschätzte Problem der ungültigen Stimmen die bei Wahlen oft im zweistelligen Prozentbereich liegen was nüchtern betrachtet ein grosses Fragezeichen hinter die Resultate setzt. Auch haben mehrere Kantone eingeräumt, dass Gemeinden regelmässig fehlerhafte Zahlen liefern, was namentlich dann auffällt, wenn Ja- und Nein-Stimmen bei einer Abstimmung vertauscht werden. Weniger schreiende Fehler dürften aber unerkannt bleiben, wenn die Resultate nicht mathematisch plausibilisiert werden. Das wiederum ist in einigen Kantonen etabliert aber durchaus uneinheitlich und nicht fleckendeckend. Beim E-Voting ist die Situation anders, da diese Fehler vom System ausgeschlossen werden können.

Manipulatoren nutzen jede Schwachstelle

Manipulationen von Wahlen, namentlich von ein paar Dutzend Stimmzetteln, kommen in der Schweiz immer wieder vor. Allein der Umfang der aufgedeckten Fälle ist gering und die Folgen sind vom politischen System akzeptiert. Ich glaube auch nicht, dass grosse Manipulationen in der Schweiz bereits passiert sind. Aber technisch und vom Ablauf her betrachtet ist es bei der Briefwahl und selbst der Abstimmung an der Urne denkbar und wir sollten uns dessen bewusst sein, wenn wir über die vermeintlichen Schwächen von E-Voting sprechen.

Gemeinhin pflegen Angreifer die Zielsysteme dort anzugreifen wo ein Angriff am einfachsten und vielversprechendsten erscheint. Die Wahl des Stimmkanals, der angegriffen wird, scheint dabei nebensächlich: Ein Angreifer wird sich nicht auf E-Voting einlassen, wenn es einfacher ist, die Briefwahl zu manipulieren oder die Stimmenden über Social Media in ihrer Entscheidung zu beeinflussen (was international gemäss dem zurzeit laufenden Diskurs bereits der Fall zu sein scheint).

Ziel der E-Voting Verteidigungsmassnahmen muss es deshalb sein, die initialen Kosten für einen Angriff so weit in die Höhe zu treiben, dass sie einem Angreifer als zu teuer und zu aufwändig erscheinen. Die Schweizerische Bundeskanzlei nimmt dazu aktiven Einfluss auf die Architektur und die implementierten Sicherheitsmassnahmen der beiden verbleibenden Schweizer Systemanbieter. Im Fall des dritten, inzwischen ausgestiegenen Anbieters, einem Konsortium von mehreren Kantonen scheute sie auch nicht davor zurück, auf architektonische Schwächen des Systems hinzuweisen. Der Entwickler der Software zog sich darauf zurück und das Konsortium brach auseinander. Das heisst, die Bundeskanzlei nimmt sehr aktiv Einfluss auf die Implementation des elektronischen Stimmkanals, während sie bei den beiden etablierten Stimmkanälen kein entsprechendes Mandat besitzt und die Sicherheit allein in den Händen der Kantone und Gemeinden liegt.

Individuelle Verifizierbarkeit

Als sehr wichtige E-Voting Sicherheitsmassnahme gilt die individuelle Verifizierbarkeit. Damit kann ein Stimmbürger oder eine Stimmbürgerin überprüfen, ob die eigene Stimme tatsächlich übermittelt und korrekt in der Wahlurne abgelegt wurde. Diese Überprüfung geschieht mit Hilfe von individuellen Zahlencodes, die auf den gedruckten Stimm- und Wahlunterlagen angebracht sind. Stimmen die Zahlencodes mit der Antwort des E-Voting Servers überein, dann besteht Gewissheit, dass die Stimme korrekt angekommen und registriert worden ist. Dies ist mithin eine Bestätigung, welche die elektronische Stimmabgabe auf eine höhere Sicherheitsstufe hebt, als es die briefliche Stimmabgabe besitzt, wo wir nie sicher sein können, dass die Stimme nicht zwischen Briefkasten und Wahlurne verloren ging oder gestohlen wurde.
Kritiker werden einwenden, dass immer nur eine Minderheit diese Überprüfung vornehmen werde. Das greift aber zu kurz. Denn statistisch gesehen braucht es nur eine sehr kleine Gruppe von Stimmbürgern und Stimmbürgerinnen, die bei einem Prüfsummenfehler Alarm schlagen und eine Manipulation wird auffliegen.

Als technisch sehr aufwändig erweist sich die Umsetzung der nächsten Sicherheitsanforderung, der universellen Verifizierbarkeit. Dabei verlangt die schweizerische Bundeskanzlei von den Systemanbietern, dass sie jeden Schritt der elektronischen Stimmabgabe und der Auszählung von mehreren unabhängigen Systemkomponenten kontrollieren und protokollieren lassen. Ein erfolgreicher Angriff bedingt es demnach, dass nicht nur die E-Voting Server, sondern dass gleichzeitig auch die Kontrollkomponenten übernommen werden. Dieser parallele Angriff muss dabei so präzise koordiniert werden, dass er gleichzeitig passiert und komplett unerkannt bleibt. Diese Anforderung erhöht die Schranke für einen Angreifer stark. Wie schwierig ein Angriff tatsächlich wird, hängt aber massgeblich davon ab, wie unabhängig und wie heterogen die Kontrollkomponenten ausgestaltet werden. Hier würde es sich meines Erachtens anbieten, genau hinzusehen, Transparenz einzufordern und konstruktiv mitzudiskutieren.

Diese Transparenz ist auch im Sinne der Bundeskanzlei. Mit der angestrebten Etablierung des E-Votings als equivalenten dritten Stimmkanal fordert sie die Offenlegung des Quellcodes der Wahlsoftware. Ferner haben sich die beiden Systemanbieter dazu verpflichtet, öffentliche Intrusion Tests durchzuführen. Die genauen Parameter sind noch nicht bekannt, aber beide Massnahmen haben das Ziel, das Vertrauen in den elektronischen Stimmkanal zu fördern. Dieses Vertrauen kann aber nur wachsen, wenn Experten sich wirklich die Zeit nehmen und nach Lücken im Quellcode und in den etablierten Systemen suchen. Bekanntlich ist Sicherheit kein Zustand, sondern ein Prozess und dieser Prozess will von einer kritischen Öffentlichkeit aktiv begleitet werden.

Zusammenfassend lässt sich sagen, dass der Aufbau eines sicheren E-Voting Systems sehr hohe Anforderungen stellt. Die Bundeskanzlei legt die sicherheitstechnische Latte für E-Voting zu Recht sehr hoch und die beiden Schweizer Systemanbieter leisten aus meiner Sicht sehr gute Arbeit den Anforderungen gerecht zu werden. Ob es reicht, das Parlament und das Stimmvolk von der Qualität dieser Arbeit zu überzeugen, wird sich aber erst noch weisen müssen.


ModSecurity

Neben den kryptographischen Stimmprotokollen mit der im Text beschriebenen Verifizierbarkeit kommen beim E-Voting zahlreiche weitere Sicherheitssysteme zum Einsatz. Dabei verfolgen die Systemanbieter einen „Security in Depth” Ansatz, der die Systeme durch mehrere Sicherheitsschichten vor Angriffen schützt. Als einer der ersten Sicherheitsschichten setzen die beiden Schweizer Systemanbieter, der Kanton Genf und die Schweizerische Post, auf die Open Source Web Application Firewall ModSecurity. Sie ist in beiden Fällen mit den Sicherheitsregeln des OWASP ModSecurity Core Rule Set Projekts bestückt.


Literatur

Folini, Christian; Morel, Denis: E-Voting in der Schweiz – Herausforderungen und Schutzprinzipen In: Bartsch, Michael; Frey, Stefanie (Hrsg.): Cybersecurity Best Practices Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden, Wiesbaden 2018.

Creative Commons Licence

AUTHOR: Christian Folini

Dr. Christian Folini ist Sicherheitsingenieur bei der schweizerischen Post, Autor der zweiten Auflage des ModSecurity Handbooks, Vizepräsident des eidgenössischen Public-Private-Partnership "Swiss Cyber Experts", Programmleiter der "Swiss Cyber Storm" Konferenz und Mitherausgeber des Apache Benchmarks des Center for Internet Security.

Create PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert