Beiträge

Schwachstellen im E-Voting-System der Post entdeckt

Der in den letzten Wochen durchgeführte, öffentliche Intrusionstest des E-Voting-Systems der Schweizerischen Post hat in Fachkreisen und der Öffentlichkeit ein grosses Interesse geweckt, insbesondere als die Entdeckung schwerwiegender Schwachstellen bekannt wurde. Diese Vorfälle zeigen, wie wichtig Zusammenarbeit und Transparenz bei der Einführung von E-Voting sind.

Mitte Februar hat die Schweizerische Post die Spezifikation und den Quelltext ihres E-Voting-Systems veröffentlicht. Dies geschah im Vorfeld des Intrusionstest, der grosse mediale Aufmerksamkeit auf sich zog. Die nun bekannt gewordenen schwerwiegenden Schwachstellen sind aber bereits in der Spezifikation des Systems ersichtlich; der Quelltext und der Intrusionstest spielen dabei eine untergeordnete Rolle. Die Spezifikation ist der eigentliche Bauplan des Systems. Sie beschreibt, aus welchen Komponenten das System aufgebaut ist und wie diese zusammenarbeiten. Wenn dieser Bauplan einen Fehler aufweist, so handelt es sich um ein grundlegendes Problem.

Universelle Verifizierbarkeit fehlt

Die entdeckten Schwachstellen sind deshalb schwerwiegend, weil sie zeigen, dass die sogenannte universelle Verifizierbarkeit des Postsystems nicht gegeben ist. Die universelle Verifizierbarkeit ist die zentrale Sicherheitsanforderung, welche die Bundeskanzlei an alle neuen E-Voting-Systeme stellt, welche für politische Wahlen in der Schweiz eingesetzt werden sollen. Sie erlaubt unabhängigen Stellen, nach einer Wahl oder Abstimmung das Resultat anhand der angefallenen Daten zu überprüfen. Diese Verifizierung kann mit dem Nachzählen der Stimmen bei papierbasierten Wahlsystemen verglichen werden. Damit wird verhindert, dass irgendjemand das Resultat einer Wahl oder Abstimmung unbemerkt manipulieren kann.

Die Bundeskanzlei hat Ende 2013 eine erste Verordnung über den Einsatz von E-Voting Systemen für politische Wahlen in der Schweiz erlassen, in welcher zum ersten Mal die universelle Verifizierbarkeit gefordert wurde. Zudem wurde ein Prozess für die Zertifizierung von E-Voting-Systemen definiert, mit welcher die universelle Verifizierbarkeit nachgewiesen werden muss. Dieser Zertifizierungsprozess entsprach dem damaligen Wissensstand.

Ende 2018 konnte die Wissenschaft aber aufzeigen, dass der Nachweis der Verifizierbarkeit eines E-Voting-Systems allein nicht genügt, sondern dass die einzelnen Verifizierungsschritte konkret als Teil der Spezifikation definiert werden müssen. Denn erst so können unabhängige Expertengruppen die Verifizierung auf ihre Vollständigkeit überprüfen. Ungeachtet dieser neuen Erkenntnisse wurde der Zertifizierungsprozess des Postsystems auf den aktuellen gesetzlichen Grundlagen durchgeführt. So war es überhaupt möglich, dass ein nicht universell verifizierbares System den Zertifizierungsprozess erfolgreich durchlaufen konnte.

Fazit der BFH-Forschenden

All dies zeigt, wie wichtig bei der Entwicklung von E-Voting-Systemen und der Definition der zugehörigen Prozesse eine enge Zusammenarbeit der politischen Institutionen, der Hersteller und der Wissenschaft ist. Zudem muss im Sinne grösstmöglicher Transparenz auch die Öffentlichkeit frühzeitig miteinbezogen werden. Dazu gehört eine offene Diskussion der Vertrauensannahmen, auf welchen die universelle Verifizierbarkeit basiert. Die Nicht-Manipulierbarkeit einer Wahl oder Abstimmung ist beispielsweise nur garantiert, wenn bestimmte Komponenten des Systems von unabhängigen Organisationen betrieben werden, damit keine die alleinige Kontrolle über das System erhält. Eine andere wichtige Annahme ist die Vertrauenswürdigkeit der Druckerei, welche die Wahlunterlagen druckt und damit zu Beginn einer Wahl oder Abstimmung eine kritische Rolle spielt. Aus Sicht der E-Voting-Gruppe der BFH ist es wichtig, dass alle Annahmen hinterfragt werden, um bewusst entscheiden zu können, ob das Restrisiko, das sie bergen, für unsere Demokratie tragbar ist.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Die angebliche Sicherheitslücke im Genfer E-Voting – eine Kritik an der TV-Berichterstattung

Am 2. November behauptete das Schweizer Fernsehen in mehreren News-Sendungen, das Genfer E-Voting-System sei geknackt worden. Dabei recherchierte das Fernsehen unsorgfältig und berücksichtigte die Warnungen von zwei Schweizer Hochschulprofessoren nicht. Es beherzigte auch die Stellungnahme des Kantons Genf nicht gebührend und erlaubte einem Vertreter des Chaos Computer Clubs, offensichtliche Falschaussagen über die SRF Kanäle zu verbreiten. Unser Autor zeigt die Versäumnisse der Medienschaffenden auf und stellt die Ereignisse in ihren Kontext.

Offenbar fahren Vertreter des Schweizer Chaos Computer Clubs CCC eine Kampagne gegen die Pläne, E-Voting in der Schweiz flächendeckend einzuführen. In zahlreichen Zeitungen erschienen im Laufe des Jahres negative Artikel zum Zustand der beiden hiesigen, etablierten E-Systeme. Während die Printmedien inzwischen differenzierter berichten, spitzte das SRF am 2. November den negativen Befund sogar zu.

Inszenierter Angriff unter Laborbedingungen

Volker Birk vom CCC demonstrierte in der Hauptausgabe der Tagesschau vom 2. November einen Angriff unter Laborbedingungen. Der vorgestellte Angriff erlaubt es unter Umständen, ein einzelnes Opfer beim erstmaligen Aufruf des Genfer E-Voting-Systems auf eine präparierte Seite umzuleiten. Das Opfer hat gute Möglichkeiten, diese Umleitung zu verhindern. Der Angriff funktioniert nämlich nicht, wenn das Opfer die URL vollständig abtippt, die URL nach dem Aufruf nochmals überprüft oder das Sicherheitszertifikat kontrolliert, was in der Anleitung ausdrücklich empfohlen wird.

Abbildung 1: Der gefälschte Server ist an der URL leicht zu erkennen (Quelle: SRF)

Auf das briefliche Abstimmen übertragen, hat die Angreifer einen eigenen präparierten Briefkasten an einem öffentlichen Ort platziert. Sie warten nun die gesamte dreissigtägige Stimmperiode lang darauf, die einzelnen StimmbürgerInnen zu diesem falschen Briefkasten umzuleiten: Die StimmbürgerInnen sollen die ausgefüllten Stimmunterlagen in den gefälschten Briefkasten einwerfen. Sofern das Opfer angesichts der Umleitung zu einem gefälschten Briefkasten keinen Verdacht schöpft, erhält der Angreifer so Zugriff auf das Stimmmaterial. Er kann dann das Stimmgeheimnis des Opfers brechen.

Es ist nicht auszuschliessen, dass ein einzelnes Opfer auf diesen Angriff hereinfallen würde. Es ist auch denkbar, dass fünf, zehn, fünfzig oder gar hundert StimmbürgerInnen parallel angegriffen würden und sich von einem gefälschten Briefkasten übertölpeln lassen könnten. Aber je grösser die Zahl, desto wahrscheinlicher wird es, dass jemand Verdacht schöpft – zumal es nur bei Opfern funktioniert, die zum ersten Mal online abstimmen. Alle anderen würden den gefälschten Briefkasten aufgrund einer Sicherheitswarnung sofort erkennen.

Das alles ändert nichts daran, dass der Angriff technisch funktioniert. Und auch wenn der Angriff nicht skalieren wird, ohne bemerkt zu werden, so könnten die Gegenmassnahmen durch den Kanton Genf doch noch etwas optimiert werden. Dies wird in diesem Artikel erläutert.

Steigerung der Fehlinterpretation

Die gravierenden Fehler in der Berichterstattung passierten während der Recherche und bei der Interpretation im Fernsehstudio: Die Interpretation war unpräzise und schoss über das Ziel hinaus.

1. Im Newsflash

In einem am frühen Abend des 2. Novembers publizierten Newsclips suggeriert das Fernsehen bereits die Möglichkeit zur Manipulation der Abstimmung: “Eine Auslandschweizerin […] will beim eidgenössischen Urnengang vom 25. November elektronisch abstimmen. Dafür benutzt sie das E-Voting-System des Kantons Genf, der dies anderen Kantonen zur Verfügung stellt. Sobald sie die Adresse evote-ch.ch/lu in ihren Webbrowser eingegeben hat, wird sie auf eine gefälschte Seite umgeleitet. Eine Seite, die Hacker präpariert haben – um an die Stimmabsichten der Frau zu gelangen, oder noch schlimmer: um ihre Stimme zu manipulieren.” Aber manipuliert wurde einzig der Aufruf des Browsers. Von der Möglichkeit, die Stimme zu manipulieren, kann keine Rede sein, denn das verhindern weitere Sicherheitsmassnahmen. Diese Unterscheidung macht der Beitrag erst weiter unten im Text. Dort gelingt auch eine Einordnung des Angriffes und ein separater Kasten erklärt den LeserInnen, wie sie sich schützen können.**

2. In der Tagesschau

In der Hauptausgabe der Tagesschau des 2. Novembers nahm der Sprecher die Idee der Manipulation auf und leitete wie folgt ein: “Hacker konnten bei einem Test ein grosses System manipulieren”. Und dann weiter “Zu den Recherchen von SRF, dass es Hackern gelungen ist, das Genfer E-Voting-System zu manipulieren…”Während der Newsclip also noch behauptete, es bestehe die Möglichkeit, eine einzelne Stimme zu manipulieren, wurde daraus in der Tagesschau eine Manipulation des Gesamtsystems.

3. In der Sendung 10vor10

Auch 10vor10 machte es nicht besser. Hier sprach man von einem klaffenden Loch und dass es gelungen sei, das E-Voting-System zu knacken: Die Begriffe “klaffendes Loch”, “knacken” und “manipulieren” in Bezug auf das E-Voting-System des Kantons Genf lassen ein massives Sicherheitsproblem vermuten. Und für die Masse des Fernsehpublikums ist kaum ein anderer Schluss möglich, als dass Resultate von Abstimmungen manipuliert werden könnten. Dies ist aber nicht der Fall. Denn wie oben erläutert, würde das flächendeckende Umleiten den StimmbürgerInnen sehr schnell auffallen.

Ferner scheitert die Manipulation der Stimmen an persönlichen Prüfcodes, die man gemäss Benutzerführung während des Abstimmens auf dem E-Voting-System überprüfen soll. Es ist durchaus denkbar, dass einzelne Stimmbürger und Stimmbürgerinnen diesen Schritt unterlassen. Aber die Aufforderung, den Code zu kontrollieren, wird vom E-Voting-System sehr deutlich gemacht. Man muss sich also mit Absicht an dieser Aufforderung vorbeiklicken und früher oder später wird jemand der expliziten Aufforderung nachkommen. Der oder die Erste, die hier einen Fehler entdecken und melden, würden sofort eine weitreichende Untersuchung auslösen und die Wahlkommission käme zum Zuge. Der Fehler könnte natürlich auch darin bestehen, dass ein Angreifer diese Aufforderung verschwinden lässt. Das ist für einen Angreifer technisch gut machbar. Aber hier wiederholt sich das Muster: Ein einzelnes Opfer wird eventuell keinen Verdacht schöpfen, aber der Angriff skaliert nicht, da dann unweigerlich jemand darauf aufmerksam wird und Alarm schlagen wird. Dieser Prozess liefe dann identisch ab, wie es bei Manipulationen von Stimmen beim brieflichen Abstimmen und Wählen üblich ist: Es wird eine formelle Untersuchung eingeleitet und die Wahl gegebenenfalls für ungültig erklärt.*

Fehler bei der Recherche

Wie konnte es zu dieser Fehlleistung durch die FernsehjournalistInnen kommen? Wenden wir uns zunächst der Recherche zu. Hier wurde der Angriff nicht selbst durchgespielt, sondern man liess sich den ersten Teil des Angriffs, die Umleitung, durch die Vertreter des Chaos Computer Clubs demonstrieren. Da Zeit natürlich knapp ist, ist dieses Vorgehen verständlich. Tatsächlich wurden aber die einfach überprüfbaren Behauptungen von Birk nicht kontrolliert, sondern unhinterfragt übernommen und im Wortlaut ausgestrahlt. So etwa die Behauptung, der Kanton Genf habe gar keine Massnahmen zur Abwehr des Angriffes unternommen. Das ist nachweislich falsch. Hätten die Medienschaffenden diese Behauptung selbst zum Beispiel mit Hilfe der bei Sicherheitsforschern beliebten Shodan Datenbank überprüft, wäre ihnen sofort aufgefallen, dass das Genfer E-Voting-System während der Wahlperiode den sogenannten HSTS-Standard unterstützt, der genau diesen gezeigten Angriff erschwert. Und auch die vom Fernsehen auf der Webseite publizierte Stellungnahme der Genfer Staatskanzlei weist darauf hin, dass der Kanton sehr wohl Massnahmen ergriffen hat.

Auch dies veranlasste die JournalistInnen nicht dazu, über die Bücher zu gehen. Das ist nicht die einzige Fehlleistung. Im oben verlinkten Beitrag erklärt Birk den Angriff: “Die Idee ist folgende: Der Wähler möchte sich mit dem Server des Kantons Genf verbinden. Und wir leiten ihn um auf den Server des Angreifers, ohne dass der Wähler eine Möglichkeit hat, das zu bemerken.” Die gefälschte URL ist dann aber wenige Sekunden später gut im Bild zu erkennen (Abbildung 1) und auch der Unterschied in der Darstellung des Sicherheitszertifikats sticht ins Auge. Birk bestätigt darin, dass man den erfolgreichen Angriff an der URL sehe. Der offensichtliche Widerspruch zwischen der behaupteten Unmöglichkeit der Unterscheidung und dem Hinweis auf den sichtbaren Unterschied wurde von den Journalisten nicht erkannt, nicht thematisiert und auch nicht aufgelöst. Das heisst, die falsche Behauptung von Volker Birk wurde kommentarlos verbreitet.

Nachgefragt via Twitter

Auf Twitter auf diese Fehlaussage hingewiesen, reagierte Volker Birk so:

Abbildung 2: Chatverlauf, Quelle: Twitter

Volker Birk findet, die gefälschte URL sei für Stimmbürger unauffällig  und meint, die Umleitung an sich sei ja nicht verdächtig und antwortete auf Nachfrage mit einem Meme aus der Muppet-Show.

Tatsächlich wäre es möglich, dass zahlreiche unbedarfte Wähler die Umleitung und das Sicherheitszertifikat ignorieren. Aber sobald eines der beiden auch nur einem einzigen Wähler beim Befolgen der Anleitung auffällt, wird er dies dem Kanton mit hoher Wahrscheinlichkeit melden und eine Untersuchung des Betruges würde eingeleitet.

Aussagen zweier Experten verkürzt

Diese beiden Falschaussagen zum Fehlen von Schutzmassnahmen und zur Unmöglichkeit, den Betrug zu erkennen, hätten den Fernsehredakteuren auffallen und die gesamte Stossrichtung des Berichts in Frage stellen müssen. Denn es mangelte auch nicht an Warnungen, den Befund vorsichtig zu interpretieren.

Neben der Genfer Staatskanzlei befragten die Journalisten in der Sendung auch Professor Eric Dubuis von der Berner Fachhochschule: Er bestätigte, dass der gezeigte Laborangriff technisch funktioniert, weist aber darauf hin, dass die Prüfcodes einer Manipulation der Stimme des Opfers einen Riegel schieben. Dass Dubuis auch darauf hinwies, dass der Angriff nicht flächendeckend skaliere und deshalb nicht überbewertet werden sollte, fand in der Sendung keinen Platz.

Abbildung 3: Prof. Eric Dubuis der Berner Fachhochschule: der Angriff skaliere nicht in die Breite (Quelle: Twitter)

Auch ein zweiter Fachhochschuldozent, Professor Peter Heinzmann von der Hochschule für Technik Rapperswil, wurde von den JournalistInnen befragt. Seine schriftliche Antwort liegt der Redaktion vor und weist ebenfalls darauf hin, dass es in der Fläche nicht funktionieren könne sowie die behauptete Manipulationsmöglichkeit nicht unter Beweis gestellt worden sei. Diese Warnungen schlug das Fernsehteam aber in den Wind und übernahm die Formulierungen derE-Voting-Kritiker des CCC. Darüber hinaus interpretierte es den erfolgreichen Laborangriff schwerwiegender als der CCC selbst. So wurde die Staatskanzlei des Kantons Genf in ausgesprochen schlechtem Licht dargestellt.

Fazit

Weshalb hier das Genfer E-Voting in seiner Gesamtheit als unsicher und manipulierbar präsentiert wurde, erschliesst sich mir nicht. Vermutlich war die Story “CCC-Hacker machen Beamte lächerlich” so knackig, dass man sie beim SRF nicht mehr aufgeben wollte.

Die NZZ reagierte rasch aber zurückhaltend auf die Enthüllungen des Fernsehens. Weitere Zeitungen brachten kleinere Meldungen. Sie blieben aber weit hinter den vollmundigen Anschuldigungen des Fernsehens zurück. Daher man darf annehmen, dass die Zeitungsredaktionen die Fehler erkannten, oder den vehementen E-Voting-Kritikern des CCC nicht mehr jede Behauptung abnehmen.

Damit ist der Sachverhalt an sich geklärt. Tatsächlich gibt es aber weitere Unstimmigkeiten in den Beiträgen, denn auch technisch ist nicht alles so einfach, wie es im Fernsehen gezeigt wurde. Und dann wären da noch die Optimierungen, von denen das E-Voting-System profitieren könnte. Diese Punkte werden hier detailliert besprochen.


Updates

Wir haben den mit * markierten Abschnitt über die Prüfcodes nach einem Hinweis unseres Lesers Danilo B. präzisiert.

Wir haben den mit ** markierten Satz über den Newsflash nach Massgabe des Autors präzisiert.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Digitale Demokratie braucht die Blockchain

Vertrauen ist ein hohes Gut in der Demokratie. Doch wie steht es darum in Zeiten der Digitalisierung? Wie die Blockchain die elektronische Stimmabgabe legitimiert und sicher macht, zeigten Forschende der BFH. Zusammen mit Fachleuten diskutierten sie die Herausforderungen der Demokratie im digitalen Zeitalter am ausgebuchten Anlass Treffpunkt BFH am 13. September.

Dr. Ingrid Kissling, Direktorin des Departements Wirtschaft der BFH und Gastgeberin des Anlasses im Impact Hub eröffnete den Abend. Prof. Dr. Reinhard Riedl, Leiter des BFH-Zentrums Digital Society startete die Diskussion mit der Frage, ob die Sozialen Medien etc. bald mehr Einfluss hätten als die klassischen politischen Parteien. Kursierende Fake News und Microtargeting beeinflussten schon heute die Meinungsbildung.

Prof. Dr. A. Ladner, Dr. Ingrid Kissling, Vicenza Trivigniano

Obwohl das E-Voting von vielen heiss ersehnt wird, sind doch manche kritischen Fragen noch offen. BFH-Prof. Dr. Eric Dubuis vom TI Biel ging der Frage nach, ob die Blockchain-Technologie diese Probleme lösen könnte. Er zeigte anhand der gängigsten Eigenschaften eines E-Voting-Systems, dass dem nicht so sei.

Dr. Daniel Schwarz von Smartvote erläuterte die Möglichkeiten, welche eine Verbindung von Smartvote mit E-Voting darstellt. Er hinterfragte, wie anwenderfreundlich die Bedienung des E-Voting sei sowie gewisse Einbussen der Dienstqualität, wie früherer Urnenschluss.

Vincenza Trivigno, Staatsschreiberin des Kantons Argau, unterstrich in ihrem Referat die Wichtigkeit des Vertrauens der Wählerinnen und Wähler in die E-Voting-Systeme. Zudem forderte sie, dass Manipulationen zwingend zu entdecken seien, falls sie dann stattfinden.

Prof. Dr. Andreas Ladner vom Hochschulinstitut für öffentliche Verwaltung der Universität Lausanne (IDHEAP) verwies in seinem Referat, dass das traditionelle Wählen oder Abstimmen auch mit Unsicherheit versehen sei. “Man zähle halt einfach nach, bis es stimmt.” Er verstehe nicht, wieso man in der Schweiz so viel Zeit brauche, um E-Voting-Systeme flächendeckend einzuführen. Vicenza Trivigno klärte ihn auf: “Sicherheit geht vor Tempo.”

In der anschliessenden Podiumsdiskussion, an welcher sich das Publikum beteiligte, wurde rege diskutiert, wie man E-Voting und andere E-basierte Prozesse zu gestalten habe, damit E-Demokratie voll funktioniere.

Die Präsentationen des Abends finden sie hier: Vortag BFH Vortragsreihe Impact Hub Def._

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Alignement sur les bonnes pratiques: l’exemple de la publication du code source

La sécurité est au cœur de la discussion sur le VE. Le projet suisse de vote par internet a beaucoup évolué dans ce domaine et continue de le faire. La dernière modification de l’Ordonnance de la Chancellerie fédérale sur le vote électronique (OVotE) exige la publication du code source du logiciel de vérifiabilité complète. [1] L’accès au code d’un des éléments clé de la sécurité du système permet au public, respectivement, de s’assurer de sa qualité et de contribuer à l’améliorer. Cette sécurité par la transparence marque un nouveau jalon dans le développement du vote électronique en ligne assorti des bonnes pratiques.

Évolution des exigences relatives à la sécurité

Le point de départ est le suivant : le vote électronique doit respecter l’ensemble des principes applicables aux votations et élections démocratiques et les exigences qui en découlent. [2] Autre prémisse : la sécurité absolue ne peut être atteinte par aucun canal de vote connu.[3]

Les systèmes de vote par internet du début des années 2000 n’offraient ni transparence ni vérification indépendante (aussi connu sous les termes de « security by obscurity »). À cette première génération a succédé une deuxième : la réglementation fédérale entrée en vigueur le 15 janvier 2014 exige des contrôles et vérifications externes reflétant l’état de la technique.[4] Certification et vérifiabilité complète sont les mots clé.

Une sécurité optimale du vote électronique repose sur trois piliers : des exigences élevées (cf. réglementation fédérale), le contrôle par des organismes indépendants et compétents de la conformité du système aux exigences (certification) et la possibilité de détecter d’éventuels problèmes qui pourraient, malgré tout, survenir pendant le vote ou le dépouillement (vérifiabilité complète). Les vérifications sont effectuées par le votant ou l’électeur (vérifiabilité individuelle) ainsi que par tout organisme disposant de compétences et du matériel nécessaires (vérifiabilité universelle).[5] La certification et la vérifiabilité complète apportent des preuves de conformité du système aux exigences et de l’absence/présence d’éventuels problèmes.

Les exigences juridiques, techniques et administratives applicables au vote électronique ont été affinées, complétées et renforcées au fil du temps, notamment avec l’entrée en vigueur le 15 janvier 2014 des modifications de l’ODP et de l’OVotE. Les exigences continuent d’évoluer pour tenir compte des développements techniques, juridico-politiques et sociétaux ainsi et pour intégrer les bonnes pratiques. Celles-ci sont importantes notamment en matière de sécurité.[6] La récente modification d’OVotE illustre l’introduction, dans la réglementation, d’une bonne pratique de sécurité. Désormais, en plus de la certification et après celle-ci, le code source du logiciel de vérifiabilité complète doit être publié. Les modalités de la publication doivent correspondre aux bonnes pratiques en la matière afin que le public intéressé puisse effectivement accéder au code source et ait le temps nécessaire pour l’analyser et réagir. La modification d’OVotE pose un nouveau jalon en matière de sécurité et de transparence. Elle marque l’aboutissement d’un long chemin parcouru depuis le début du vote électronique.

Évolution des exigences relatives à la transparence

Une étude juridique[7] mandatée par la Chancellerie d’État genevoise recommandait en 2001 de prévoir l’accès le plus large possible d’experts aux sources même du système. Non seulement d’experts de l’État ou du fournisseur mais d’experts des partis politiques et des milieux scientifiques indépendants.

Cependant, les systèmes de première génération, n’étaient pas soumis à l’exigence de divulguer le code source ou la documentation relative à la sécurité.[8] Le contrôle des exigences de sécurité relevait de la compétence des autorités électorales. Les rapports d’audits externes n’étaient pas rendus publics. Certains acteurs privilégiés avaient accès à ces informations, notamment les autorités fédérales dans le cadre de la procédure d’autorisation et les commissions électorales dans les cantons où elles existaient, notamment à Genève et Neuchâtel. Les partis politiques représentés dans ces commissions avaient ainsi accès aux documents. Ceci est considéré comme étant une bonne pratique.[9] Une forme de « contrôle par les pairs » était assurée par les groupes fédéraux d’accompagnement des projets composés de spécialistes du vote électronique d’autres cantons.

La question de la transparence s’est posée dans le premier arrêt sur le vote électronique du Tribunal fédéral (arrêt du 23 mars 2006, 1P.29/2006) opposant un particulier à la Chancellerie d’État du canton de Genève et à son fournisseur privé au sujet du droit d’accès au code source et à la documentation du vote électronique. De manière générale le TF a considéré que le droit d’accès aux informations sur le système n’est pas absolu mais peut être limité par des motifs ayant trait à la sécurité de l’État, au respect des secrets des affaires ou à la nécessité de ne pas avantager les concurrents. En disant cela, le TF a tenu compte de l’accès privilégié dont disposaient les partis politiques représentés dans la commission électorale (considérant 2.6). Le TF a pris note de la décision cantonale d’autoriser l’accès au code source et de considérer la clause de non divulgation (NDA, Non Disclosure Agreement) comme disproportionnée, sauf pour ce qui concerne la clause d’interdiction de diffusion de copie. Seul l’accès de l’électeur au code source – entendu comme la possibilité de consulter une version imprimée (papier) du code dans les locaux de la Chancellerie – était alors envisagé. Il faut avouer que la publication en ligne du code source n’était pas à l’ordre du jour.

La cour cantonale et le TF, tout en reconnaissant « l’intérêt du citoyen à s’assurer lui-même de la fiabilité du système de vote », considéraient, visiblement, que la consultation sur place du code source imprimé était une mesure suffisante pour protéger cet intérêt. En ce qui concerne les rapports d’audits, le TF et la cour cantonale se sont montrés encore plus restrictifs en estimant que « la nature même du système (de vote électronique) commande … que certains renseignements demeurent inconnus du public ». Cette approche différenciée autorisant l’accès (restreint) au code source mais interdisant l’accès aux rapports d’audits, est difficile à comprendre, si l’on tient compte de l’importance de ces deux types de documents pour la sécurité et la fiabilité du système.

Une modification plus récente (2016) prévoit que le Conseil d’État prend les mesures nécessaires afin de rendre public le code source des applications permettant de faire fonctionner le vote électronique et en fixe les conditions, l’étendue et les modalités pratiques (art. 60 B LEDP).

La réflexion s’est poursuivie, poussée également par les demandes d’accès. En 2009 une modification de la loi cantonale genevoise sur l’exercice des droits politiques (LEDP, rs/GE A5 05) posait le principe de la publication des rapports d’audits (art. 60 C al. 3 LEDP). La première publication s’est faite en 2012. Une modification plus récente (2016) prévoit que le Conseil d’État prend les mesures nécessaires afin de rendre public le code source des applications permettant de faire fonctionner le vote électronique et en fixe les conditions, l’étendue et les modalités pratiques (art. 60 B LEDP). Un rapport présenté au Grand Conseil résume les enjeux de la publication du code source.[10] Il est intéressant de relever que cette modification de la LEDP a été approuvée à l’unanimité sans aucune abstention. La première publication du code de CHVote s’est faite fin 2016 sur la plateforme Github.[11]

Au niveau international, l’ancienne Recommandation du Conseil de l’Europe sur le vote électronique,[12] en vigueur entre 2004 et 2017, préconisait la publication d’informations permettant de comprendre le fonctionnement du système sans préciser lesquelles.[13] Les lignes directrices sur la transparence qui complétaient l’ancienne recommandation, stipulaient que les observateurs nationaux et internationaux devaient avoir accès à toute la documentation pertinente (para. 6) et que le code source devait faire partie des éléments que les autorités devaient contrôler (para. 12). Le souci prioritaire était (et reste toujours, dans beaucoup de pays) d’assurer que les autorités électorales aient accès et puissent contrôler les logiciels fournis par des privés.

Le Bureau des institutions démocratiques et des droits de l’homme (BIDDH) de l’Organisation pour la sécurité et coopération en Europe (OSCE) – principal organe international d’observation des élections en Europe – a émis plusieurs recommandations sur les systèmes de vote électronique utilisés notamment en Suisse, Estonie, Norvège ou France, s’appuyant sur les recommandations détaillées du Conseil de l’Europe. S’il n’a pas émis de recommandation spécifique à la Suisse en matière de transparence, il préconise en général que les rapports sur les tests des systèmes soient publiés dans le but d’accroître la transparence et la vérification des processus.[14]

La vraie impulsion internationale en matière de transparence du code source est venue des « pairs ». La publication du code source du système norvégien[15] (établi par un fournisseur privé, la société espagnole SCYTL) a contribué au développement de la transparence du vote par internet. L’Estonie a publié le code source de son système, sur Github en 2013.[16]

La nouvelle Recommandation du Conseil de l’Europe sur les normes relatives au vote électronique (Rec(2017)5) recommande en général aux États de faire preuve de transparence pour tous les aspects du vote électronique (norme 31). La divulgation des composants du système à des fins de vérification et de certification (norme 33) a pour objectif d’assurer, avant tout, le droit d’accès des autorités en charge des élections. Si une publication plus large du code source est prévue, celle-ci devrait se faire bien avant le début de la période électorale.[17]

L’organisation actuelle de la réglementation fédérale du vote électronique, avec sa structure en cascade (LDP, ODP, OVotE et Annexe), permet la mise à jour relativement rapide des prescriptions détaillées (OVotE et annexe) afin de tenir compte notamment des développements techniques et des bonnes pratiques importantes pour la sécurité. La publication du code source du logiciel de vérifiabilité complète relève de la sécurité. Il est admis que les aspects de sécurité du vote électronique doivent être réglementés en détail au niveau fédéral afin d’assurer la mise uniforme des principes constitutionnels. Les cantons, sous l’impulsion notamment des électeurs, font plus, notamment en matière de transparence du code source du système en général. Avec la modification récente d’OVotE, la Confédération, dans le cadre de ses compétences, s’aligne sur les bonnes pratiques cantonales et internationales.

La digitalisation impose un cercle vertueux

L’introduction du vote électronique dans les cantons suisses a été l’occasion de commencer ou de poursuivre un effort de systématisation et de digitalisation des documents et des processus impliqués dans une votation ou élection. L’on pense notamment aux améliorations en termes de qualité des données apportées par l’harmonisation/centralisation des registres des Suisses de l’étranger, ou bien au travail de structuration et de standardisation lors de l’élaboration de normes eCH relatives aux droits politiques. Les résultats de cet effort bénéficient bien entendu à la conduite des élections et des votations en général.

Une fois le vote électronique introduit, la réglementation fédérale exige des efforts continus afin que les systèmes restent conformes à l’état de la technique. En parallèle, les exigences, en tout cas fédérales et notamment de sécurité, évoluent en fonction de développements techniques, politiques etc. et pour s’aligner sur de bonnes pratiques, comme en témoigne l’exemple du code source.

Ces deux aspects illustrent le fait que la digitalisation en général et le vote électronique en particulier sont exigeants envers les autorités, électorales en l’occurrence. L’avantage c’est que cela leur permet d’être en phase avec les développements sociaux et techniques, ce qui contribue de manière générale au développement de la démocratie. Le processus d’apprentissage est continu. La publication du code source est une nouvelle approche de la sécurité du vote électronique (de centralisée et caché elle devient ouverte) en ligne avec les bonnes pratiques actuelles. Elle témoigne de la maturité des projets.


Referenzen

[1] La modification du 30 mai 2018 de l’OVotE (RO 2018 2279) (modification de l’article 7 alinéas 2 et 3 et introduction des articles 7a et 7b) est entrée en vigueur le 1er juillet 2018. L’annexe d’OVotE a également été adaptée à cette date. Lien vers les documents: https://www.bk.admin.ch/bk/fr/home/droits-politiques/groupe-experts-vote-electronique/criteres-pour-les-essais.html (tous les liens internet ont été consultés le 14/082018).

[2] Au niveau fédéral, le vote électronique est régi par des principes constitutionnels, notamment l’article 34.2 Cst. (Cst., RS 100) sur la liberté de vote et légaux. L’article 8a de la loi fédérale sur les droits politiques (LDP, RS 161.1) en est la base légale. Des prescriptions détaillées sur la mise en œuvre des principes se trouvent dans l’ODP, l’OVotE et son annexe.

[3] Le premier rapport du Conseil fédéral sur le vote électronique de 2002 note que « La sécurité permanente et absolue est une illusion » (FF 2002 612, 639).

[4] Le troisième rapport du Conseil fédéral sur le vote électronique du 14 juin 2013, FF 2013 4519, pose les lignes directrices du développement de la deuxième génération. À sa suite, l’Ordonnance fédérale sur les droits politiques (ODP, RS 161.11) a été modifiée et un nouvel instrument, l’Ordonnance de la Chancellerie fédérale sur le vote électronique (OVotE, RS 161.116) a été introduit le 13 décembre 2013 (resp. RO 2013 5365 et RO 2013 5371). En vigueur depuis le 15 janvier 2014.

[5] Vérifiabilité individuelle et vérifiabilité universelle composent la vérifiabilité complète.

[6] Cf. les renvois aux bonnes/meilleures pratiques dans l’Annexe OVotE

[7] Andreas Auer/Nicolas von Arx, «La légitimité des procédures de vote: les défis du e-voting», Genève 2001, https://www.ge.ch/document/10276/telecharger

[8] La sécurité reposait sur les mesures prises par le votant pour protéger son poste privé, sur l’effet dissuasif des dispositions pénales et sur la sécurité offerte par le système lui-même au niveau structurel, fonctionnel et technique. On comptait également sur le caractère complémentaire et non pas exclusif du canal de vote électronique. Cf. par exemple le premier rapport du Conseil fédéral sur le vote électronique de 2002 (FF 2002 612, 632 ss, notamment l’exemple rapporté en p. 640).

[9] Cf. point 5.4.4 du troisième rapport du Conseil fédéral sur le vote électronique.

[10] Rapport de la Commission des droits politiques et du règlement du Grand Conseil chargée d’étudier le projet de loi du Conseil d’État modifiant la loi sur l’exercice des droits politiques (LEDP) (A 5 05) (Accès au code source du vote électronique), déposé le 7 janvier 2016. PL 11701 – A http://ge.ch/grandconseil/data/texte/PL11701A.pdf

[11] https://github.com/republique-et-canton-de-geneve/chvote-1-0

[12] La documentation sur Conseil de l’Europe sur le vote électronique est disponible sur https://www.coe.int/fr/web/electoral-assistance/e-voting

[13] Standards 20 ss. de l’ancienne Recommandation Rec(2004)11 du Comité des Ministres aux États membres sur les normes juridiques, opérationnelles et techniques relatives au vote électronique, adoptée le 30 septembre 2004.

[14] Pour une vue d’ensemble des recommandations internationales pertinentes, voir le troisième rapport du Conseil fédéral sur le vote électronique, notamment le point 1.8.1

[15] https://www.regjeringen.no/en/historical-archive/Stoltenbergs-2nd-Government/Ministry-of-Local-Government-and-Regiona/tema-og-redaksjonelt-innhold/kampanjesider/e-vote-trial/id597658/

[16] https://github.com/vvk-ehk/ivxv

[17] Lignes directrices pour la mise en œuvre des dispositions de la Recommandation Rec(2017)5 sur les normes relatives au vote électronique, no. 31.b

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Die Kantone und das E-Voting

E-Voting verbessert die demokratischen Prozesse, findet unsere Autorin, die Staatsschreiberin des Kantons Basel-Stadt Barbara Schüpbach. Die kantonalen Gesetze regeln, ob in einem Kanton E-Voting als dritter, zusätzlicher Stimmkanal angeboten wird. 

E-Voting, das elektronische Stimmen und Wählen, ist keine neue Entwicklung. Die eidgenössischen Räte beschäftigen sich seit Jahren damit. Bereits im Jahr 2000 hat das Parlament den Bundesrat beauftragt, eine Machbarkeitsstudie durchzuführen und die Vorbereitungen für eine elektronische Stimmabgabe in der Schweiz voranzutreiben.[1] Im Juni 2002 ergänzten die eidgenössischen Räte das Bundesgesetz über die politischen Rechte, wodurch seit 2003 Versuche mit E-Voting erlaubt sind.

Aktuell wird E-Voting in den Kantonen Aargau, Bern, Basel-Stadt, Freiburg, Genf, Luzern, Neuenburg und St. Gallen angeboten. Hier haben bestimmte Gruppen von Stimmbürgerinnen und Stimmbürgern die Möglichkeit, ihre Stimme auch elektronisch abzugeben. Im Kanton Basel-Stadt beispielsweise können die Auslandschweizer Stimmberechtigten seit 2009 elektronisch abstimmen. Rund zwei Drittel der Auslandschweizerinnen und Auslandschweizer nutzen E-Voting. Seit 2016 sind in Basel-Stadt auch Menschen mit einer Behinderung zum E-Voting zugelassen. Glarus, Graubünden und Thurgau sind die nächsten Kantone, die E-Voting als zusätzlichen, dritten Stimmkanal anbieten werden.

Warum mischen sich die Kantone in die Diskussion ein?

Seit einigen Monaten wird die Debatte um E-Voting zunehmend lauter geführt. Dabei dominieren Fragen rund um die E-Voting-Systeme. IT-affine Bundesparlamentarier, IT-Interessierte und Exponenten der europäischen Hackervereinigung CCC sehen im E-Voting eine technologische Gefahr für unsere Demokratie. Die Gegner kritisieren die mangelnde Sicherheit und das Risiko einer Verletzung des Stimmgeheimnisses. Im Zuge dieser Diskussion kündigten sie eine Volksinitiative zum Stopp von E-Voting an.

Eine konstruktiv-kritische Diskussion über E-Voting-Systeme und die technologischen Aspekte ist wichtig und hilfreich, solange sie faktenbasiert verläuft. Sie soll nicht vermischt werden mit der Beeinflussung der Stimmberechtigten im Vorfeld einer Wahl („Wenn Russland die Wahlen in den USA beeinflussen kann, dann …“). Zudem ist es nicht zielführend, wenn wahrheitswidrig behauptet wird, E-Voting sei gesetzlich nicht vorgesehen.

IT-Spezialisten allein ermöglichen keine umfassende Debatte der Fragen rund um E-Voting. Der Nutzen von E-Voting ist ebenfalls in Betracht zu ziehen. Diese Fragen können die Spezialisten für die Durchführung der Urnengänge beantworten. Und das sind die Kantone. Denn sie sind verantwortlich für die Vorbereitung, Durchführung und Auszählung der Urnengänge – auch für diejenigen des Bundes. Zwar erlässt der Bund Verfahrensvorschriften für „seine“ eidgenössischen Abstimmungen und für die Nationalratswahlen. Dazu zählen auch Vorgaben für den Einsatz von E-Voting[2]. Aber es sind die Kantone, die entscheiden, ob bei ihnen E-Voting angeboten wird oder nicht. Nur wenn das Kantonsparlament im kantonalen Wahlgesetz E-Voting vorsieht, können die Stimmberechtigten elektronisch abstimmen.

Diese Kompetenzaufteilung zwischen Bund und Kantonen ist auch im digitalen Zeitalter sinnvoll, verfügen doch die Kantone über die Nähe zu den Stimmberechtigten und sind es doch die Kantone, die – seit der Gründung des Bundesstaates – operative Erfahrung bei Urnengängen erworben haben. Diese Nähe und diese Erfahrung kommen uns jetzt auch bei der Einführung von E-Voting zu Gute. So beispielsweise die Erkenntnis, dass die Wahlfreiheit des Stimmkanals für die Stimmberechtigten auch mit E-Voting erhalten bleiben muss. E-Voting wird neben der persönlichen und der brieflichen Stimmabgabe als dritte, zusätzliche Möglichkeit angeboten. E-Voting ist ein Angebot, kein Zwang.

E-Voting: ein Anliegen der Stimmberechtigten

E-Voting ist kein Hobby einiger Kanzleichefs, die sich durch technologischen Fortschritt hervortun wollen. E-Voting ist ein Anliegen der Stimmberechtigten. Laut einer Studie des Zentrums für Demokratie Aarau[3] sprechen sich 69 Prozent der Leute für E-Voting aus. Bei den Jüngeren sind es noch mehr: 90 Prozent der unter 30-Jährigen befürworten E-Voting.

Die Kantone, die E-Voting einführen oder einführen wollen, haben die Generation der kommenden Stimmberechtigten im Blick. Unsere Jugendlichen erachten es als normal, die Dinge des Alltags digital zu erledigen. Diese Entwicklung können die öffentlichen Verwaltungen nicht ignorieren. So wie es vor zehn Jahren undenkbar war, online eine Baubewilligung zu beantragen, so wird es in zehn Jahren undenkbar sein, seine Stimme nur brieflich oder persönlich an der Urne abzugeben. Wenn bereits heute Petitionen elektronisch eingereicht werden können[4], müssen wir E-Voting anbieten. Sonst riskieren wir, die kommenden, digital geprägten Generationen als Stimmbürger zu verlieren.

E-Voting verbessert die demokratischen Prozesse

Es geht uns Kantonen aber nicht nur um die Zukunft. E-Voting bringt bereits heute einen Nutzen: Zum einen verbessert E-Voting die demokratischen Prozesse. Weil die Stimmberechtigten Schritt für Schritt durch den Abstimmungs- oder Wahlprozess geleitet werden, gibt es keine ungültigen Stimmen mehr. Jede abgegebene Stimme wird zählbar.[5] Zum andern erleichtert E-Voting denjenigen die Stimmabgabe, die zwar abstimmen dürfen, es aber nicht oder nur schwer können. Die orts- und zeitunabhängige elektronische Stimmabgabe bringt besonders Menschen mit einer Behinderung Vorteile.

Sicherheit vor Tempo gilt nach wie vor

Im Juni 2018 hat der Bundesrat die Bundeskanzlei beauftragt, eine Vernehmlassung auszuarbeiten, um E-Voting nach über 200 erfolgreichen Versuchen als dritten ordentlichen Stimmkanal zu definieren. Für uns Kantone ist entscheidend, gemeinsam mit dem Bund weiterhin und unaufgeregt den Grundsatz „Sicherheit vor Tempo“ zu verfolgen. Die seit Juli 2018 geltende Offenlegung der Quellcodes für universell verifizierbare Systeme und die öffentlichen Intrusionstests sind für das Vertrauen unserer Stimmberechtigten zentral. Ihr Vertrauen ist unser höchstes Gut. Deshalb werden die Verantwortlichen auch nur dann E-Voting zum Einsatz zulassen, wenn es die sehr hohen Sicherheitsanforderungen erfüllt.

In den Kantonen befassen sich Spezialisten aus IT, Recht, Politologie und Kommunikation mit den digitalen Herausforderungen bei den politischen Rechten. Sie arbeiten seit 2003 sorgfältig daran, E-Voting als zusätzlichen, dritten Stimmkanal zu etablieren.


Referenzen

[1] Motion (00.3190) der Spezialkommission des Nationalrats 00.016 vom 9. Mai 2000: «Nutzung der Informationstechnologie für die direkte Demokratie», überwiesen vom Nationalrat am 20. Juni 2000 (AB 2000 N 769), vom Ständerat am 3. Oktober 2000 (AB 2000 S 655).

[2] Da es sinnwidrig wäre, pro Staatsebene unterschiedliche digitale Standards einzuführen, übernehmen die Kantone die Bundesvorgaben zu E-Voting für ihre kantonalen und kommunalen Abstimmungen.

[3] https://www.zdaarau.ch/dokumente/SB-09-Evoting-ZDA.pdf.

[4] https://www.ch.ch/de/demokratie/politische-rechte/petition/.

[5] https://www.nzz.ch/zuerich/rund-26-prozent-der-zuercher-wahlzettel-waren-nicht-gueltig-ld.1362954

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Welche Fehler bei Brief- und elektronischer Wahl passieren

Die briefliche Stimmabgabe etablierte sich vor gut dreissig Jahren in der Schweiz in mehr und mehr Kantonen. Es war schwer vorstellbar, dass sich ein fremdes Land in eine Schweizer Volksabstimmung einmischen könnte. Die neutrale Schweiz besass ein besonderes Renommee, das sie vor so einem Zugriff schützte. Und auch das Unterfangen selbst hätte eine breit angelegte Verschwörung bedungen, was als wenig praktikabel galt.

Mittlerweile arbeitet die Schweiz aber auf die flächendeckende Einführung eines zusätzlichen elektronischen Stimmkanals hin und auch zwischenstaatliche Einmischungen erscheinen nicht mehr länger ausgeschlossen. Tatsächlich monieren die Kritiker, dass E-Voting Systeme sich nicht vor ausländischen Geheimdiensten schützen lassen, ja dass die entsprechenden Systeme schon bei Ihrem Aufbau mit Malware infiziert, durch staatliche Stellen unterwandert und deshalb komplett ferngesteuert seien. Dies sei umso gravierender, da die elektronische Stimmabgabe mit zentralen IT Systemen arbeite und Angriffe aus diesem Grund besonders leicht skalieren würden. Kurz gesagt: Ein Angreifer braucht nur in einen einzigen Computer erfolgreich einzudringen und er kann Resultate einer Wahl beliebig manipulieren: Aus 65% Nein werden 54% Ja und niemand bemerkt den Schwindel.

Dem gegenüber erscheinen die traditionellen Stimmkanäle, die Wahl an der Urne und die briefliche Stimmabgabe, als robuster und quasi manipulationssicher. Diese Eigenschaften werden vor allen an der manuellen, dezentralen Auszählung der Stimm- und Wahlzettel durch vertrauenswürdige, lokale Stimmzähler und Stimmzählerinnen festgemacht.

Aber ist dem wirklich so? Ist E-Voting zentralisiert und unsicher und ist die briefliche Stimmabgabe dezentral und sicher vor Manipulation? Ich glaube diese vermeintlichen Gewissheiten stehen auf unsicheren Füssen. Sie sollten im Rahmen einer umfassenden Diskussion hinterfragt werden.

Gute analoge Welt?

Tatsächlich beruhen unsere Vorstellungen der traditionellen Stimmkanäle auf Erinnerungen an eine analoge Welt in der Computer noch keinen Platz hatten: Die Wahlregister wurden auf Karteikarten geführt und sie wurden per Briefpost an die Staatskanzlei geschickt. Eine mittelständische Schweizer Druckerei druckte die Wahlzettel. Staatliche Beamte der PTT sortierten die Briefumschläge und verteilten sie anschliessend. Nach dem Ausfüllen der Stimmzettel durch die Stimmbürger stempelte sie der Posthalter auf der Poststelle von Hand und sie gelangten ohne die Gemeinde jemals zu verlassen, also ohne Umweg über ein digitalisiertes Briefsortierzentrum, direkt in die Hände des Gemeindekanzlisten, wenn der Briefträger die Post persönlich auf der Gemeindeverwaltung vorbeibrachte. Der Beamte nahm die Umschläge entgegen und warf sie in die mit einem Bleisiegel verschlossene Wahlurne. Am Wahlsonntag zählten Stimmzähler und Stimmzählerinnen die Stimmen von Hand und übermittelten das Ergebnis darauf fernmündlich an die Staatskanzlei; gefolgt vom amtlich beglaubigten Ergebnis auf dem Briefweg.

Es würde sich lohnen, die einzelnen Schritte einer Papierwahl in der modernen Welt Schritt für Schritt nachzuzeichnen und zu überprüfen, welche zentralen und welche dezentralen Komponenten dieses System heute ausmachen. Wie robust ist dieser Prozess im Lichte eines potentiellen staatlichen Angriffes wirklich? Meines Wissens hat sich diese Mühe noch niemand gemacht und uns fehlt ein entsprechender Überblick. Auch mir fehlt in diesem Artikel der Platz hierzu. Aber überlegen wir es uns wenigstens für das Beispiel der Auszählung von Listenwahlen.

Digitale Hilfsmittel erleichtern Auszählen

Das Auszählen von Wahlzetteln, namentlich solchen die panaschiert und kumuliert wurden, ist ein aufwändiges und fehleranfälliges Unterfangen. Um diese Fehler zu vermeiden verwenden Schweizer Gemeinden oftmals nützliche kleine Programme, die es erlauben, die Listen oder die fünfstelligen Kandidatennummern abzutippen und die Software spuckt dann das amtliche Ergebnis für eine Gemeinde aus. Die Zeitersparnis ist enorm und ich bin sicher, dass auch Zählfehler damit seltener werden.

Allein, diese digitalen Hilfsmittel sind nicht sicherheitstechnisch zertifiziert und sie sind wohl auch nicht im Hinblick auf staatliche Angreifer hin programmiert worden. Das ist aber noch nicht per se eine Schwäche, denn die Schweiz ist ein föderales Land, Wahlen und Abstimmungen laufen unter der Hoheit der Kantone, diese delegieren die Auszählung in der Regel an die Gemeinden und diese Dezentralisierung garantiert einen hohen Schutz vor Angriffen. Es gilt also das oben eingeführte Argument des Schutzes durch Dezentralisierung.

Leider müssen wir aber annehmen, dass zahlreiche Gemeinden dieselbe Software verwenden, dass sie auf denselben Windows-PCs läuft, dass sie alle mit dem Internet verbunden sind, die Benutzer täglich auf ähnlichen Internet-Seiten surfen und damit denselben Wasserloch-Angriffen (Drive-By Downloads) ausgesetzt sind. Und ferner dürften die Informatik-Budgets der meisten Schweizer Gemeinden kaum ausreichen, um fremden staatlichen Akteuren Paroli zu bieten, selbst wenn wir vom fehlenden Know-How im Bereich der Cybersecurity absehen.

Sicherheit dank dezentraler Struktur

Dazu kommt, dass fortschrittliche Kantone Online-Dienste an bieten, auf denen die Stimmzähler die einzelnen Stimmzettel online erfassen können und das zentrale System errechnet dann die Stimmen für die einzelnen Gemeinden des Kantons. Ich nehme an, eine Übermittlung der Resultate der Gemeinde an die Staatskanzlei erübrigt sich damit. Aber sicherheitstechnisch habe ich Vorbehalte gegenüber solchen Lösungen.

Das alles bedeutet, dass die vermeintliche dezentrale Auszählung der Wahlzettel in der Schweiz deutlich zentrale, digitale Komponenten aufweist. Diese Systemteile wurden nie offiziell flächendeckend eingeführt, aber auch nie aktiv verhindert oder doch zumindest einer sicherheitstechnischen Kontrolle unterworfen wurde. Es macht nämlich einen grossen Unterschied, ob ich hunderte von Wahlkommissionen in eine Verschwörung einbeziehen muss, oder dasselbe Ziel erreichen kann, wenn ich mich in die Entwicklung einer einzigen Softwarefirma einschalten kann.

Es liesse sich leicht zeigen, dass die meisten anderen Schritte der brieflichen Stimmabgabe ähnlich zentralisierte Systembestandteile aufweisen und damit ähnliche Manipulationsmöglichkeiten zulassen. Die Vorstellung, dass die traditionellen Stimmkanäle dank der dezentralen Auszählung manipulationssicher sei, greift also zu kurz. Dazu kommt das lange unterschätzte Problem der ungültigen Stimmen die bei Wahlen oft im zweistelligen Prozentbereich liegen was nüchtern betrachtet ein grosses Fragezeichen hinter die Resultate setzt. Auch haben mehrere Kantone eingeräumt, dass Gemeinden regelmässig fehlerhafte Zahlen liefern, was namentlich dann auffällt, wenn Ja- und Nein-Stimmen bei einer Abstimmung vertauscht werden. Weniger schreiende Fehler dürften aber unerkannt bleiben, wenn die Resultate nicht mathematisch plausibilisiert werden. Das wiederum ist in einigen Kantonen etabliert aber durchaus uneinheitlich und nicht fleckendeckend. Beim E-Voting ist die Situation anders, da diese Fehler vom System ausgeschlossen werden können.

Manipulatoren nutzen jede Schwachstelle

Manipulationen von Wahlen, namentlich von ein paar Dutzend Stimmzetteln, kommen in der Schweiz immer wieder vor. Allein der Umfang der aufgedeckten Fälle ist gering und die Folgen sind vom politischen System akzeptiert. Ich glaube auch nicht, dass grosse Manipulationen in der Schweiz bereits passiert sind. Aber technisch und vom Ablauf her betrachtet ist es bei der Briefwahl und selbst der Abstimmung an der Urne denkbar und wir sollten uns dessen bewusst sein, wenn wir über die vermeintlichen Schwächen von E-Voting sprechen.

Gemeinhin pflegen Angreifer die Zielsysteme dort anzugreifen wo ein Angriff am einfachsten und vielversprechendsten erscheint. Die Wahl des Stimmkanals, der angegriffen wird, scheint dabei nebensächlich: Ein Angreifer wird sich nicht auf E-Voting einlassen, wenn es einfacher ist, die Briefwahl zu manipulieren oder die Stimmenden über Social Media in ihrer Entscheidung zu beeinflussen (was international gemäss dem zurzeit laufenden Diskurs bereits der Fall zu sein scheint).

Ziel der E-Voting Verteidigungsmassnahmen muss es deshalb sein, die initialen Kosten für einen Angriff so weit in die Höhe zu treiben, dass sie einem Angreifer als zu teuer und zu aufwändig erscheinen. Die Schweizerische Bundeskanzlei nimmt dazu aktiven Einfluss auf die Architektur und die implementierten Sicherheitsmassnahmen der beiden verbleibenden Schweizer Systemanbieter. Im Fall des dritten, inzwischen ausgestiegenen Anbieters, einem Konsortium von mehreren Kantonen scheute sie auch nicht davor zurück, auf architektonische Schwächen des Systems hinzuweisen. Der Entwickler der Software zog sich darauf zurück und das Konsortium brach auseinander. Das heisst, die Bundeskanzlei nimmt sehr aktiv Einfluss auf die Implementation des elektronischen Stimmkanals, während sie bei den beiden etablierten Stimmkanälen kein entsprechendes Mandat besitzt und die Sicherheit allein in den Händen der Kantone und Gemeinden liegt.

Individuelle Verifizierbarkeit

Als sehr wichtige E-Voting Sicherheitsmassnahme gilt die individuelle Verifizierbarkeit. Damit kann ein Stimmbürger oder eine Stimmbürgerin überprüfen, ob die eigene Stimme tatsächlich übermittelt und korrekt in der Wahlurne abgelegt wurde. Diese Überprüfung geschieht mit Hilfe von individuellen Zahlencodes, die auf den gedruckten Stimm- und Wahlunterlagen angebracht sind. Stimmen die Zahlencodes mit der Antwort des E-Voting Servers überein, dann besteht Gewissheit, dass die Stimme korrekt angekommen und registriert worden ist. Dies ist mithin eine Bestätigung, welche die elektronische Stimmabgabe auf eine höhere Sicherheitsstufe hebt, als es die briefliche Stimmabgabe besitzt, wo wir nie sicher sein können, dass die Stimme nicht zwischen Briefkasten und Wahlurne verloren ging oder gestohlen wurde.
Kritiker werden einwenden, dass immer nur eine Minderheit diese Überprüfung vornehmen werde. Das greift aber zu kurz. Denn statistisch gesehen braucht es nur eine sehr kleine Gruppe von Stimmbürgern und Stimmbürgerinnen, die bei einem Prüfsummenfehler Alarm schlagen und eine Manipulation wird auffliegen.

Als technisch sehr aufwändig erweist sich die Umsetzung der nächsten Sicherheitsanforderung, der universellen Verifizierbarkeit. Dabei verlangt die schweizerische Bundeskanzlei von den Systemanbietern, dass sie jeden Schritt der elektronischen Stimmabgabe und der Auszählung von mehreren unabhängigen Systemkomponenten kontrollieren und protokollieren lassen. Ein erfolgreicher Angriff bedingt es demnach, dass nicht nur die E-Voting Server, sondern dass gleichzeitig auch die Kontrollkomponenten übernommen werden. Dieser parallele Angriff muss dabei so präzise koordiniert werden, dass er gleichzeitig passiert und komplett unerkannt bleibt. Diese Anforderung erhöht die Schranke für einen Angreifer stark. Wie schwierig ein Angriff tatsächlich wird, hängt aber massgeblich davon ab, wie unabhängig und wie heterogen die Kontrollkomponenten ausgestaltet werden. Hier würde es sich meines Erachtens anbieten, genau hinzusehen, Transparenz einzufordern und konstruktiv mitzudiskutieren.

Diese Transparenz ist auch im Sinne der Bundeskanzlei. Mit der angestrebten Etablierung des E-Votings als equivalenten dritten Stimmkanal fordert sie die Offenlegung des Quellcodes der Wahlsoftware. Ferner haben sich die beiden Systemanbieter dazu verpflichtet, öffentliche Intrusion Tests durchzuführen. Die genauen Parameter sind noch nicht bekannt, aber beide Massnahmen haben das Ziel, das Vertrauen in den elektronischen Stimmkanal zu fördern. Dieses Vertrauen kann aber nur wachsen, wenn Experten sich wirklich die Zeit nehmen und nach Lücken im Quellcode und in den etablierten Systemen suchen. Bekanntlich ist Sicherheit kein Zustand, sondern ein Prozess und dieser Prozess will von einer kritischen Öffentlichkeit aktiv begleitet werden.

Zusammenfassend lässt sich sagen, dass der Aufbau eines sicheren E-Voting Systems sehr hohe Anforderungen stellt. Die Bundeskanzlei legt die sicherheitstechnische Latte für E-Voting zu Recht sehr hoch und die beiden Schweizer Systemanbieter leisten aus meiner Sicht sehr gute Arbeit den Anforderungen gerecht zu werden. Ob es reicht, das Parlament und das Stimmvolk von der Qualität dieser Arbeit zu überzeugen, wird sich aber erst noch weisen müssen.


ModSecurity

Neben den kryptographischen Stimmprotokollen mit der im Text beschriebenen Verifizierbarkeit kommen beim E-Voting zahlreiche weitere Sicherheitssysteme zum Einsatz. Dabei verfolgen die Systemanbieter einen „Security in Depth” Ansatz, der die Systeme durch mehrere Sicherheitsschichten vor Angriffen schützt. Als einer der ersten Sicherheitsschichten setzen die beiden Schweizer Systemanbieter, der Kanton Genf und die Schweizerische Post, auf die Open Source Web Application Firewall ModSecurity. Sie ist in beiden Fällen mit den Sicherheitsregeln des OWASP ModSecurity Core Rule Set Projekts bestückt.


Literatur

Folini, Christian; Morel, Denis: E-Voting in der Schweiz – Herausforderungen und Schutzprinzipen In: Bartsch, Michael; Frey, Stefanie (Hrsg.): Cybersecurity Best Practices Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden, Wiesbaden 2018.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.