Schlagwortarchiv für: eVoting

,

5 Ideen für eine bessere e-Voting-Strategie

| 0 Kommentare
/0 Kommentare/in , /von

Die Debatte um e-Voting geht an wichtigen Themen vorbei, findet unser Autor. Deshalb stellt er zur Diskussion, wie realistisch eine marktwirtschaftliche Implementierung ist und ob man nicht besser die Resultate als Open-Source-Software zur Verfügung stellen sollte. 

Wer in den letzten Wochen die Diskussion rund um e-Voting verfolgt hat, konnte den Eindruck kriegen, dass die Demokratie in der Schweiz kurz vor dem Absturz steht. Sinnbildlich dafür war ein Streitgespräch nach der CoSin, dem jährlichen Event des Chaos Computer Club Schweiz in Biel. Die Diskussion liess mich einigermassen sprachlos zurück. Ich erwartete eine fundierte Auseinandersetzung über technische Themen rund um e-Voting, stattdessen erklärten IT-affine Leute anderen IT-affinen Leuten, dass Computer unsicher sind und sparten dabei nicht an absurden Vergleichen und Referenzen zu Stuxnet & Co und russischen Hackern. Der Beitrag der Forschenden an der Berner Fachhochschule (BFH) wurde fast ausnahmslos gewürdigt und deren Erkenntnisse nicht grundsätzlich in Frage gestellt. Die BFH wiederum bestätigte die generelle Unsicherheit von Computern.

Wenn wir es selbst innerhalb von solchen Events nicht schaffen, konstruktiv über e-Voting zu diskutieren, ist die Debatte zweifellos festgefahren. Nach dem eigentlichen Event konnte ich mit einigen Kritikern noch detaillierter diskutieren und stellte dabei fest, dass es durchaus Raum für eine konstruktivere Meinung rund um e-Voting gibt.

Das Hauptproblem der Diskussion liegt meiner Meinung nach in der unterschiedlichen Interpretation und Erwartungshaltung gegenüber dem Wort e-Voting. Die BFH führte eine mehrjährige, intensive Auseinandersetzung zu den theoretischen Anforderungen für ein sicheres e-Voting. Dabei wird von einem System ausgegangen, welches es in dieser Form noch nicht gibt und folglich auch nirgendwo im Einsatz ist. Auf der Seite der Kritiker werden in erster Linie Projekte kritisiert, die bereits gelaufen oder aktuell ausgeschrieben respektive in der Umsetzung sind. Diese sind zweifelsfrei grossmehrheitlich fragwürdig bis sehr problematisch, da sie state-of-the-art Anforderungen an e-Voting kaum beachten, geschweige denn erfüllen können.

Bund sollte Umsetzung hinterfragen

Wenn die Diskussion wieder sachlicher geführt werden soll, müssen entsprechend die Anforderungen und Vorgehensweisen auf allen Seiten angepasst werden. Der Bund sollte folglich seine Strategie bei e-Voting grundsätzlich überdenken. Das Ziel an sich muss dabei nicht in Frage gestellt werden, der Weg dahin allerdings schon. E-Voting kann und darf nur eingeführt werden, wenn es aktuelle oder zukünftige state-of-the-art Anforderungen erfüllen kann und diese nachvollziehbar sicher implementiert sind. Daraus folgt:

  1. E-Voting ist eine Frage der nationalen Sicherheit. Um diese sicher zu stellen muss entsprechend Geld investiert werden. Dies betrifft sowohl die Erforschung der theoretischen Grundlagen, wie auch die Umsetzung derselben in einer offenen, frei verfügbaren und verifizierbaren Implementation (Software).
  2. Dies schliesst klassische WTO Ausschreibungen für die Beschaffung einer fertigen Software aus. Ein sicheres e-Voting System unter marktwirtschaftlichen Gesichtspunkten zu implementieren ist illusorisch, mögliche Probleme würden einfach unter den Teppich gekehrt werden, um Konventionalstrafen oder Verzögerungen aus dem Weg zu gehen.
  3. Transparenz im Prozess ist elementar. Keine Blackbox-Implementationen, Forschung & Entwicklung muss von Anfang an offen sein und inkrementell vorwärtsgetrieben werden. Die Resultate müssen als Open Source Software veröffentlicht werden, idealerweise in einer Form, die closed-source Forks für den Betrieb ausschliesst (beispielsweise unter der AGPL Lizenz). Konkurrenz kann und wird es dadurch trotzdem geben, allerdings in Forks des Quellcodes und nicht in unterschiedlichen Blackbox-Implementationen.
  4. Der Betrieb und die Weiterentwicklung einer solchen Plattform muss sichergestellt sein. Software is never finished, only released. Das gilt speziell für Software mit so hohen Anforderungen wie an e-Voting. Angriffsszenarien können täglich ändern, sie müssen entsprechend professionell abgewogen und abgewehrt werden können.
  5. Scheitern ist ein mögliches Ergebnis. Die theoretischen Anforderungen an e-Voting sind nicht trivial und deren Umsetzbarkeit muss zuerst nachvollziehbar bewiesen werden. Der Öffentlichkeit muss dies von Anfang an bewusst sein und Scscheitern als ein potentieller Ausgang akzeptiert werden.

Diese Punkte sind in keiner Weise abschliessend und sollen in erster Linie als Grundlage für eine weiterführende Diskussion gesehen werden. Es ist klar, dass Projekte beim Bund bisher nicht in der Form geführt werden. Ich betrachte es aber als elementar, in dieser Thematik aus den üblichen Normen auszubrechen.

An den richtigen Stellen fördern

Statt WTO- Ausschreibungen für eine fertige Software könnten Ausschreibungen für ProgrammiererInnen gemacht werden, wo Firmen mit entsprechender Qualifikation gemeinsam an einer offenen Umsetzung arbeiten (Bezahlung von Stunden und Fähigkeiten statt fertiger Software). Forschende sollten ebenfalls entsprechend unterstützt werden, SpezialistInnen an der Berner Fachhochschule wurden bisher für ihre wertvolle Arbeit kaum entsprechend entschädigt. Damit wäre sichergestellt, dass neue Angriffsszenarien und neue Probleme frühzeitig erkannt werden könnten. Bestehende Projekte (auch bei Kantonen) wären abzubrechen, da diese die Anforderungen unter den gegebenen Voraussetzungen nicht erfüllen könnten.

Die Software könnte von Anfang an im Besitz einer Stiftung sein, die bei einer erfolgreichen Umsetzung auch dafür verantwortlich wäre, die Software anderen Ländern zugänglich zu machen und diese dabei professionell zu begleiten. In so einem Fall würde die Schweiz mit dem Projekt e-Voting ein wichtiges Werkzeug für Demokratien weltweit zur Verfügung stellen und stünde damit in Einklang mit den besten Traditionen der Schweiz.

 

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

,

Warum Transparenz beim E-Voting so wichtig ist

| 3 Kommentare
/3 Kommentare/in , /von

Um auf Akzeptanz zu stossen, dürfen E-Voting Systeme keine undurchsichtige «black boxes» sein. Unser Gastautor zeigt auf, welche Massnahmen vom Bund für die Transparenz von Schweizer E-Voting Systemen gefordert werden. Transparenz macht das elektronische Abstimmen nachvollziehbarer und fördert das Vertrauen in diesen neuen Stimmkanal.

Jede Demokratie braucht ein Wahlsystem, mit dem sie die Meinung der Wählenden ausloten kann. Ein erfolgreiches Wahlsystem muss nicht nur feststellen, wer gewonnen hat, sondern auch die Verlierer davon überzeugen, dass sie verloren haben. Bei knappen Wahlergebnissen ist dies besonders wichtig. Nur wenn alle nachvollziehen können, wie das Resultat zustande gekommen ist, wirkt es auch überzeugend. Dazu muss das System möglichst transparent sein.

Wenn die Stimmen nicht geheim sind, ist es einfach Transparenz herzustellen. Man denke da zum Beispiel an die Landsgemeinden. Elektronische Systeme können aber auch transparent sein. So wird im Schweizer Parlament schon lange per Knopfdruck abgestimmt. Eine elektronische Tafel zeigt mittels roter und grüner Punkte, wer ja oder nein abgestimmt hat. So können alle Stimmenden überprüfen, dass Ihre Stimme richtig übermittelt und angezeigt wurde. Es wäre sogar möglich, die einzelnen Stimmen zu zählen und das Resultat zu prüfen. Auch wenn nicht alle Parlamentarierinnen und Parlamentarier jedes Mal verifizieren ob die Tafel richtig funktioniert, schafft diese Transparenz Vertrauen in die Anlage. Und dies auch, wenn die Wählenden nichts von Informatik verstehen.

Wenn das Stimmgeheimnis geschützt werden muss, wird es mit der Transparenz schwieriger. Geheime Wahlen werden typischerweise mit anonymen Wahlzetteln und einer Urne durchgeführt. Weil nicht alle Wählenden die Urne beobachten können, muss man sich auf vertrauenswürdige Personen stützen, um die Urne zu bewachen und auszuzählen. Wenn die Wählenden diesen Personen trauen, sind sie vom Resultat überzeugt. Bestehen Zweifel am Resultat, kann man die Urne ein zweites Mal auszählen, eventuell sogar durch andere Personen. Interessanterweise muss in Frankreich die Urne im wahrsten Sinn zwingend transparent sein.

E-Voting Transparenz in der Schweiz

Bei E-Voting Systemen ist die Transparenz notwendiger, weil die Systeme komplexer sind. In der Schweiz werden im Gesetz zur elektronischen Stimmabgabe, in den Verordnungen der Bundeskanzlei und im Planungsinstrument des Bundesrats  mehrere Massnahmen zu Transparenz gefordert.

  • Zum einen müssen der Quellcode und die Betriebsdokumentation der Systeme offengelegt werden. So können alle sehen, wie das System gebaut ist und auch nach eventuellen Fehlern suchen. Es ist kaum vorstellbar, dass heute ein elektronisches System ohne Offenlegung des Codes auf eine breite Akzeptanz stossen würde.
  • Zusätzlich zur Offenlegung des Codes, sollen öffentliche Intrusionstests mit allen eingesetzten Systemen durchgeführt werden. Die Systeme werden zuvor schon von akkreditierten Spezialisten geprüft und zertifiziert. Die Resultate werden publiziert. Zusätzlich erhält auch die Öffentlichkeit die Gelegenheit, die Systeme zu testen. Wer also nicht überzeugt ist, dass ein zertifiziertes System sicher ist, kann selber versuchen Schwachstellen aufzudecken.
  • Ein anderes wichtiges Instrument zur Transparenz ist die Verifizierbarkeit der Systeme. Diese liefern Beweise zum richtigen Ablauf der Abstimmung. Man muss ihnen also nicht blind vertrauen. Als individuelle Verifizierbarkeit bezeichnet man ein Verfahren, das den Wählenden beweist, dass ihre Stimmen korrekt registriert worden sind. In der Schweiz werden dafür Verifizierungscodes eingesetzt, zum Beispiel vierstellige Zahlen. Wenn das Wahlsystem eine verschlüsselte Stimme erhält, kann es den Code daraus berechnen ohne die Stimme entschlüsseln zu müssen; sie bleibt also geheim. Der Wahlserver schickt den Code den Wählenden zurück. Diese können in ihrem persönlichen Stimmmaterial nachschauen, ob der Code der abgegebenen Stimme entspricht. Die Aufschlüsselung von Stimme zu Code existiert nur auf dem persönlichen Stimmmaterial der Wählenden. Der Schlüssel zum berechnen des Codes nur auf dem Wahlserver. Erscheint auf dem Bildschirm der gleiche Code wie im Stimmmaterial, ist bewiesen, dass die Stimme unverändert beim Server registriert wurde.
  • Mit universeller Verifizierbarkeit bezeichnet man das Generieren von Beweisen die aussagen, dass das Resultat korrekt ist. Bei jedem Bearbeitungsschritt der Stimmen auf dem Wahlserver, werden mathematische Beweise generiert. Diese Beweise erfüllen den gleichen Zweck wie Wahlzettel. Sie ermöglichen das Nachzählen der Stimmen. Spezifisch werden folgende Beweise geliefert:
  1. jede Stimme stammt von einem gültigen Wahlausweis
  2. jede Stimme, dessen Abgabe dem Wähler mit einem Code bestätigt wurde, ist in der Urne enthalten
  3. die Stimmen wurden anonymisiert, ohne deren Inhalt zu verändern
  4. die anonymisierten Stimmen wurden korrekt entschlüsselt

Wenn die Beweise stimmen, können keine Stimmen gelöscht, verändert oder vor der Anonymisierung entschlüsselt worden sein. Das Resultat ist also korrekt und das Stimmgeheimnis wurde bewahrt.

Es braucht also kein blindes Vertrauen in das Wahlsystem. Jedermann, der weiss wie die Beweise gerechnet werden oder eine vertrauenswürdige Software dazu hat, kann nachrechnen ob alles korrekt zugegangen ist. Die Verordnung sieht vor, dass die Beweise von einer Gruppe von Auditoren überprüft werden.

Damit die Beweise nicht verloren gehen oder verändert werden können, werden sie von vier unabhängigen und verschieden aufgebauten Kontrollkomponenten berechnet, versiegelt und gespeichert. Solange nur eine Komponente korrekt funktioniert, können keine Beweise verloren gehen oder manipuliert werden. Der Quellcode und die angewendeten Schutzmassnahmen gehören zum Umfang der Informationen, die publiziert werden.

Transparenz als Risikominimierung

Die Akzeptanz von E-Voting ist nicht selbstverständlich. Transparenz erhöht das Vertrauen in die Systeme und mindert so das Risiko der Ablehnung dieses Stimmkanals auf der politischen Ebene. Auf der technischen Ebene reduziert die Transparenz das Risiko, dass technische Schwächen nicht oder nicht kritisch genug erkannt werden. Die Schweiz hat keine durchsichtigen Urnen. Dafür setzt sie beim E-Voting auf möglichst viel Transparenz.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

,

E-Voting als Treiber der Netz-Sicherheit

| 0 Kommentare
/0 Kommentare/in , /von

In Winterthur entschied 2001 eine einzige Stimme Unterschied über die Wahl in den Stadtrat. Das Wahlbüro hatte beschlossen, dass «Pedalo» und «Panorama» auch «Pedergnana» heissen, womit die Kandidatin Pearl Pedergnana mit einer Stimme Vorsprung gewählt war. Das ist absurd. Nicht nur wegen solcher Unzulänglichkeiten gehört die Zukunft dem E-Voting, schreibt unsere Autorin, die Zürcher SP-Regierungsrätin Jacqueline Fehr in ihrem Meinungsbeitrag.

Unsere Demokratie funktioniert. Das meine ich durchaus doppeldeutig. Erstens kommt es in der Schweiz trotz einer rekordverdächtig hohen Zahl an kommunalen, kantonalen und eidgenössischen Abstimmungen und Wahlen kaum je zu Pannen bei der Ermittlung von Ergebnissen – wenn wir einmal grosszügig davon absehen, dass sozusagen jede Nachzählung zu leicht unterschiedlichen Ergebnissen führt.

Unsere Demokratie funktioniert aber auch mit Blick auf die Diskussionskultur. Kritiker kommen zu Wort. Zum Beispiel die Kritiker der Sicherheit von E-Voting. Ich bin dankbar für diese Diskussion, denn in aller Regel führen solch argumentative Seilziehen zu besseren Ergebnissen. Mit Recht setzen die Kritiker von E-Voting bei der Sicherheit an. Wir müssen die offenen Fragen dazu sehr ernst nehmen. Ich komme darauf zurück. Aber die Kritiker verbreiten meiner Meinung nach etwas gar viel Pessimismus. Lassen Sie uns in Gedanken einmal ein paar Jahre in die Zukunft schweifen. Auch bei Tempo 120 werden wir uns dann ohne einen Blick auf die Strasse der Elektronik in unseren Fahrzeugen anvertrauen, wir werden persönlichste Informationen über immer neue digitale Kanäle durch die Welt schicken und auch unsere Demokratie wird bis dahin einen Digitalisierungsschub hinter sich haben. Unterschriften für Initiativen, Referenden und Petitionen werden nicht mehr samstags vor Einkaufszentren gesammelt, sondern im digitalen Raum. Eltern werden ihren Kindern erzählen, dass es einst Bankschalter und Wahlurnen gegeben hatte.

Pessimismus ist fehl am Platz

Diese Zukunft ist näher, als wir glauben: Die Stadt Zug hat vor wenigen Tagen eine auf der Blockchain-Technologie basierende Konsultativ-Abstimmung durchgeführt. Die Ergebnisse liefen also nicht zentral über einen Server, sondern verteilt über eine Blockchain über mehrere – genau wie heute in den vielen lokalen Wahlbüros.

Die Digitalisierung krempelt unsere Lebenswelten um. Es ist schlicht nicht vorstellbar, dass das mit dem Ausüben unserer demokratischen Rechte anders sein soll. Auch ich trete dafür ein, dass wir die Fragen der Sicherheit rund um E-Voting sehr, sehr ernst nehmen. Aber Pessimismus ist fehl am Platz.

Ich zitiere da gern Bryan Ford, Professor für Informatik an der ETH Lausanne, der die Sicherheit der in der Schweiz verfolgten E-Voting-Systeme von Post und Kanton Genf als beispielhaft bezeichnet. Er misst dem E-Voting sogar eine Vorreiter-Rolle zu. Seine bedenkenswerte These: Eine der ganz grossen Herausforderungen in der digitalen Welt ist die Identifikation von Akteuren. Das ist uns spätestens seit den letzten Präsidentschaftswahlen in den USA schmerzhaft bewusst. Genau auf diesem Feld können modernste E-Voting-Systeme entscheidende Verbesserungen bewirken. Sie sorgen dafür, dass Personen zweifelsfrei identifiziert und anschliessend wieder anonymisiert werden. E-Voting-Systeme haben laut Ford also das Potenzial, die Sicherheit im Internet generell zu verbessern. Wenn wir jetzt also die Stimmenermittlung der Zukunft bauen, steuern wir damit nicht auf den Abgrund der Demokratie zu, sondern wir leisten hoffentlich einen Beitrag zu einem sichereren Internet. Pessimismus versus Optimismus.

Oft unredliche Kontra-Argumente

Ich habe in meinem Leben als Politikerin zahlreiche Diskussionen miterlebt. Was mich an der aktuellen Debatte über die Sicherheit von E-Voting irritiert und ärgert, ist die Unredlichkeit der Argumentation, mit der die Kritiker Verunsicherung schüren.

Sie mischen Kraut und Rüben. So zeigen die Pessimisten gern auf die amerikanischen Präsidentschaftswahlen und wollen damit die Verletzlichkeit von Systemen zur elektronischen Stimmabgabe beweisen. Das ist falsch. In den USA wurde bei den Wahlen 2016 kein E-Voting über den Computer der Wählerinnen und Wähler angeboten. Der Hacking-Verdacht richtete sich auf elektronische Wahlmaschinen, die in den Urnenlokalen stehen und über Touchscreen bedienbar sind. Gehackt wurden in den USA – um noch einmal Bryan Ford zu zitieren – jedoch die Gehirne der Wählerinnen und Wähler. Ich bin die Erste, die für den Kampf gegen solche Tendenzen zu gewinnen ist. Aber das hat nichts mit der Sicherheit der Schweizer E-Voting-Systeme zu tun.

Vergleich mit Ausland ungünstig

Gern zitieren die Pessimisten auch Länder wie Deutschland, Frankreich und Norwegen, um zu zeigen, dass sich die Schweiz auf dem Holzweg befinde. Auch diese Vergleiche sind falsch. Das Bundesverfassungsgericht in Deutschland hat ausdrücklich die Verwendung von Wahlcomputern als verfassungswidrig erklärt, jedoch nicht E-Voting. Mit dem in Frankreich verwendeten E-Voting-System für Französinnen und Franzosen im Ausland war die Stimmabgabe nicht individuell verifizierbar. In Norwegen können Stimmberechtigte ihre abgegebene Stimme nachträglich mehrmals ändern. Das sogenannte Mehrfachabstimmen führt zu komplexen sicherheitstechnischen Fragestellungen und Anforderungen, die nicht auf den schweizerischen Kontext übertragbar sind. Vergleiche mit dem Ausland hinken, weil sie die spezielle Ausgangslage in der Schweiz (direkte Demokratie, dezentrale Organisation, etablierte briefliche Stimmabgabe und die gesetzlich vorgeschriebene vollständige Verifizierbarkeit) nicht berücksichtigen. Zudem wird von den Kritikern ausgeblendet, dass auch beim analogen Abstimmen rund zwei Drittel der Abwicklung bereits digital sind. Niemand will zurück zu den Zeiten, wo die Wahlresultate erst am Folgetag bekannt gegeben werden konnten. Wir diskutieren also nicht um den Grundsatz digital versus analog, sondern um eine Art «letzte Meile».

Wenn das Stimmvolk es will

Das E-Voting kommt, wenn die Stimmberechtigten bei den zu erwartenden Referenden es so wollen. Darum ist die Debatte darum nun so wichtig. Aber ebenso wie Sicherheit im E-Voting oberste Priorität haben muss, fordere ich Lauterkeit in dieser Diskussion. Ich kenne etliche E-Voting-Pessimisten persönlich und schätze sie als differenziert denkende und konstruktive Debattierer. Polemik und schiefe Vergleiche sind fehl am Platz.

E-Voting entspricht einem Bedürfnis der Stimmbürgerinnen und Stimmbürger und es verbessert den Prozess der Abstimmung. Dank E-Voting wird künftig mit Schliessung der Wahlurnen nicht das grosse Rätselraten und Interpretieren beginnen, sondern es werden fünf Minuten nach Schliessung der elektronischen Urne die Champagnerkorken knallen – bei der siegreichen Partei.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

,

Wie E-Voting die Demokratie gefährden kann

| 0 Kommentare
/0 Kommentare/in , /von

E-Voting wird als zusätzliche Wahlmöglichkeit zu Urne und Brief etabliert – so hat es der Bundesrat entschieden. Doch wie sicher sind unsere Abstimmungen? Die Bundeskanzlei glaubt, dass sie mit der individuellen Verifizierbarkeit beim E-Voting CH das gröbste Sicherheitsproblem gelöst hat. Doch dabei hat sie den Menschen als Hauptschwachstelle vergessen, schreibt unser Gastautor René Droz.

Abstract

Dass Cybermächte und auch -kriminelle in der Lage sind, unsere Computer via Internet zu Hunderttausenden unter Kontrolle zu bringen und so Applikationen abzuändern, kann heute nicht mehr ernsthaft bezweifelt werden. E-Voting CH setzt auf die Kompetenz der Bürgerinnen und Bürger, die die Theorie der Codeüberprüfungen kennen sollten und nicht gutgläubig den möglicherweise manipulierten Anweisungen auf dem Bildschirm folgen. Dies ist jedoch keine realistische Annahme. Das Stimmvolk hat Anspruch darauf, vom Staat geschützt zu werden, auch vor all den anderen Bürgerinnen und Bürgern, die ihre Stimme aus Unachtsamkeit einer kriminellen oder ausländischen Organisation überlassen. Ausserdem gibt es weitere nachhaltige Insider-Risiken, die nicht einmal annähernd kalkulierbar sind, so lange nicht absolute Transparenz aller Vorgänge herrscht, die zur Auszählung führen. Manipulationen wären zwar theoretisch detektierbar, wenn alle Vorgaben für diesen Zweck wirklich umgesetzt wären. Dies zu prüfen ist eine kaum handhabbare Herausforderung, zumal einmal gemachte Voraussetzungen jederzeit ändern können. Ein Restrisiko bleibt, dass die Manipulationen nicht aufgedeckt werden. Im wahrscheinlichsten Fall eines Angriffes auf den ungeschützten Heimcomputer ist das Ausmass aus Ressourcengründen nie so akkurat festzustellen, dass man das Gesamt-Ergebnisses mit Sicherheit als rechtens beweisen oder widerlegen könnte. Willkür tritt zudem dann auf, wenn aufgrund von Meldungen oder einzelnen Untersuchungen offiziell der Schluss gezogen würde, dass die Wahl wiederholt werden müsse, bzw. dass für eine Manipulation des Endergebnisses zu wenige Beweise vorlägen. Sollte das mehrmals vorkommen, so wird die Demokratie zur Farce. Willkür und auch schon geringste Zweifel an der Korrektheit der Abstimmungsergebnisse werden das Vertrauen der Bürgerinnen und Bürger in unseren Staat tief erschüttern. Wer will das in unserem Land?

Urvertrauen in die staatlichen Organe gefährdet

Die Gefährdung der Demokratie ist grundlegend von der Tatsache abhängig, ob wir einem Abstimmungsergebnis zutrauen können, dass es authentisch ist. Es gibt technische Risiken, die dazu führen können, dass es das nicht ist. Es gibt ein gesellschaftliches Risiko, dass wir aufgrund der technischen Risiken – vielleicht schon bevor sie eintreten – nicht mehr an die Funktionsfähigkeit der Demokratie glauben. Das Urvertrauen in die Institutionen unseres Staates stellt aber einen unverzichtbaren Wert dar. Die Verwaltung könnte jetzt nämlich versucht sein, einen allfälligen Schaden durch Manipulationsversuche an der Abstimmung bzw. Wahl kleinzureden, weil sie nicht in der Lage ist, genaue Fakten zu liefern. Willkürliche Entscheidungen, ob eine Wahl wiederholt werden muss, führen zu berechtigtem Unmut bei Volk und Politik. Man könnte sogar Manipulationen glaubhaft vortäuschen, um Abstimmungswiederholungen zu erreichen. Aufgrund unklarer Fakten werden politische Gruppierungen alles behaupten können. Es steht nichts weniger als der Frieden im Land auf dem Spiel.
Das technische Risiko für eine Manipulation wird bestimmt durch den Anreiz eines Gegners, entsprechenden Schaden zufügen zu wollen (bzw. Nutzen daraus zu ziehen), sowie aufgrund seiner Fähigkeiten, es tun zu können. Die Schweiz in ihren politischen Entscheidungen zu beeinflussen, dürfte einen sehr grossen Anreiz auslösen. Wir müssen deshalb damit rechnen, es mit den besten Gegnern zu tun zu bekommen: Geheimdienste von ausländischen Mächten, die die Cyberbedrohung zu ihrem militärisch-strategischen Potential rechnen und auch kriminelle Organisationen mit entsprechenden Netzwerken und finanzkräftigen Kunden irgendwelcher Art. Alles was möglich ist, wird via Darknet und Bitcoin in der Anonymität und im quasi rechtsfreien Raum gemacht werden.

Die fünf grössten Risiken

Folgenden Risikokatalog der technischen Risiken einer Manipulation kann man zusammenstellen:

  1. Cybercrime Outsider benutzerseitig: Angriff auf die Station des Abstimmenden
  2. Cybercrime Outsider Zentrale: Angriff auf die Ballot-Auszählungsprozedur, die Ergebnisanzeige und die Prüfprozeduren durch eine Cyberattacke via Internet
  3. Manipulation durch einen Insider in der Zentrale: Gleichartiger Angriff durch einen Insider via Administrator Zugang. Einspeisung eines Fremdprogrammes und Löschung aller Spuren dafür
  4. Diebstahl der Voting Codes durch Insider oder Outsider via Internet, via Druckzentrale oder elektronisch am Netz der Code erstellenden Computer
  5. Abfluss des Stimmgeheimnisses durch Eingriffe in den Heimcomputer des Abstimmenden

Bei den besten Outsidern weiss man, dass ihre Fähigkeiten sich nicht nur auf bekannte Schwachstellen und deren Exploits (alle benötigten Codes)  in den Betriebssystemen und Browsern stützen, die gerade noch nicht behoben sind, sondern dass es zudem einige unbekannte Schwachstellen in den Systemen gibt, welche (vorerst) nur Eingeweihte mit Zugang zu geheimen Informationen von Herstellern und Geheimdiensten bereits kennen. Solche Angriffe gab es selbst in der Bundesverwaltung, und sie wurden erst nach Jahren zufällig entdeckt. Auch der deutsche Bundestag und das amerikanische Verteidigungsdepartement waren schon betroffen.

Ohne genaueste Überprüfungen der technisch-betrieblichen Sicherheits-Bedingungen lässt sich bei Insidern nur eines sicher sagen: Das Risiko kann nicht wirklich kalkuliert werden, vor allem nicht, wenn man die dynamischen Umgebungsparameter eines Informatik Centers mit ins Kalkül zieht, wie Software-Migrationen und -Updates, Hardwarewechsel, Zutritts- und Notfallregelungen, Personalüberprüfungen, personelle Wechsel bei Verantwortlichen, Betreibern, Lieferanten, Reinigungspersonal etc.

Beim Risiko 1, bei dem die Station des Abstimmenden angegriffen wird, kann man jetzt schon die Wahrscheinlichkeit attestieren, dass es sicher passieren wird. Die Frage ist nur: wann? Der Gegner wird sich erst formieren, wenn es attraktiv und erfolgversprechend genug ist, er wird dann keine mehrjährige Testphase brauchen. Auf dem Handy lädt man z.B. eines Tages eine neue E-Voting App, mit der man ein Foto der Codes machen muss, um die mühsame Code-Eingabe zu ersparen. Die App kann dann gleich auch selbst abstimmen und einem vorgaukeln, sie hätte das abgestimmt, was man eingegeben habe. Der verwendete Trojaner im Computer wird vielleicht nicht die Abstimmungscodes simulieren können, aber er kann z.B. verhindern, dass auf dem User-PC die Verifikation oder die Bestätigung der Verifikations-Kontrolle durchgeführt werden kann, und das abhängig davon, was man abstimmen wollte. Einige Stimmberechtigte werden das merken, die meisten aber nicht. Einige werden die Hotline anfragen. Die Antwort dort wird immer die gleiche sein: «Die Briefwahl ist für Sie noch offen». Aber selbst bei diesen Leuten wird es einige geben, die die Zeit, die Lust oder die Möglichkeit nicht mehr haben, die Stimme mit dem Brief oder an der Wahlurne abzugeben, und das sind z.B. insbesondere die Auslandschweizer. So entsteht ein nicht vernachlässigbares Potential an entweder manipulierten oder verhinderten Stimmen. Sie können nicht erfasst werden, denn sie werden sich nicht alle melden und sich als vermeintliche „Digital-Idioten“ outen.

Risiko 2 und 3 – also Angriffen auf die Ballot-Auszählungsprozedur, die Ergebnisanzeige und die Prüfprozeduren durch eine Cyberattacke via Internet bzw. die Manipulation Insider Zentrale – sind Varianten des Angriffs auf die Auswertezentrale.

Aufgrund der Tatsache, dass nur ganz wenige Leute die Prozeduren genau kennen, die für die Ergebnisermittlung relevant sind, ergeben sich folgende Probleme:

  1. Wie kann ein Angriff überhaupt erkannt werden, wenn dieser auf die Überprüfungshilfsmittel erfolgt, auf die sich der Betreiber verlässt?
  2.  Wie kann ein Angriff verhindert werden, der vom (vielleicht einzigen) Fachmann aus selbst erfolgt?

Natürlich könnte man mit aufwendigen organisatorischen Prozessen alle diese Fälle abzufangen versuchen. Es darf aber aufgrund gemachter Erfahrungen in realen IT-Umfeldern bezweifelt werden, dass bei Kantonsverwaltungen überall genügend Know-How zur richtigen Zeit an der richtigen Stelle ist. Der dafür nötige Ressourcenaufwand würde wohl nicht geleistet werden (können).

Beim Risiko 4, dem Diebstahl der Voting-Codes durch Insider oder Outsider via Internet, können Unberechtigte eine Stimme abgeben, klugerweise in den letzten möglichen Augenblicken der Abstimmung, denn nur dann bleibt es erfolgreich und unbemerkt, falls der Originalbesitzer des Voting-Codes zu den Nichtwählern gehört. Auch das gibt ein beachtliches Potential an gefälschten Nichtwählerstimmen. Eine daraufhin festgestellte „erhöhte Stimmbeteiligung“ könnte sogar als Rechtfertigung für E-Voting interpretiert werden. Es ist aufgrund des Abstimmgeheimnisses unmöglich, diese Stimmen zu zählen. Der Verlust der Codes könnte zwar eines Tages bekannt werden, das muss aber nicht zwingend sein.

Risiko 5, der Abfluss des Stimmgeheimnisses durch Eingriffe in den Heimcomputer des Abstimmenden wurde soeben von einem Studenten in der Praxis nachvollzogen . Nicht der Staat muss verdächtigt werden, Abstimmungsdaten für andere Zwecke als die Auszählung zu missbrauchen. Aber alle anderen hätten mit ein wenig krimineller Energie und etwas Know-How die Möglichkeit, dies zu tun. Was sie damit anfangen würden, bleibt Objekt der Spekulation.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Augustausgabe: Die Diskussion um E-Voting blüht und polarisiert

| 0 Kommentare
/0 Kommentare/in /von

E-Voting war immer schon ein Thema, das stark polarisiert, sich aber auch durch schräge Perspektiven auszeichnet. Egal ob staubtrocken oder groovig, viele Denk- und Textbeiträge haben ganz eigene literarische Qualitäten. Und auch die Praxis bietet faszinierende Einblicke.

Vor fünfzehn Jahren hat ein Student bei mir eine Masterarbeit zu E-Voting geschrieben, die zwei pikante Ergebnisse enthielt (wobei ich fast gar nicht übertreibe)

  • Eine klare Mehrheit der befragten Studierenden an der Universität Zürich wollte E-Voting, obwohl sie die Lösung nicht für sicher hielten – Manipulations? Who cares!
  • Die öffentliche Verwaltung sah Manipulationsverbote als wesentliche Sicherheitsmassnahme an und war gleichzeitig entschieden gegen Open Source – Security by Obscurity AND Law!

Die E-Democracy-Wissenschaftscommunity hat das Ergebnis erwartungsgemäss abgelehnt nach Christian Morgensterns Prinzip «weil nicht sein kann, was nicht sein darf». Dabei zeigt es geradezu exemplarisch, wie trügerisch das ganze Gerede von «Vertrauen schaffen» ist.

Vor drei Jahren besuchte ich mit Schweizer E-Voting Experten die bulgarische Hauptstadt Sofia und erlebte, dass Reisen wirklich bildet. Naturgemäss ist vieles, was wir erlebten, vertraulich. Aber es gab lehrreiche Erlebnisse am laufenden Band. Wir begriffen, dass die Motivationen für E-Voting in der Schweiz und in Bulgarien gänzlich verschieden sind: bei Ihnen ist das Ansinnen wesentlich politischer und nicht parteienneutral. Wir bekamen Anekdoten erzählt, wie aus dem IT-Management-Lehrbuch, beispielsweise Mythical Man Month, nur extremer. Die Inszenierungen erinnerten an Theater in Originalkulissen aus der Zeit des Kommunismus. Das offene Misstrauen gegenüber Journalisten war frappant, die Übersetzungspraxis filmreif und die Geschäftsmodelle der NGOs wie aus der Weltwoche entlehnt. Als ich gegen Ende erlebte, wie die Universitätsdekanin und Staatssekretärin, die uns zum Kaffee einlud, mich für einen glatten Lügner hielt, wurde es wirklich spannend: Aus bulgarischer Sicht ist die Regierung innovativ und die Verwaltung blockiert alles Neue. Dass in Ländern wie der Schweiz einigen politischen Parteien die Verwaltung zu innovativ sein könnte, das kann man sich nicht vorstellen. Ich habe es versucht zu erklären, aber habe meine Zweifel, dass ich erfolgreich war – zu verschieden sind die politischen Kulturen. Ganz nebenbei habe ich bei diesem gemeinsamen Kaffee aber selber noch viel über die EU gelernt.

Dies sind nur zwei von vielen schrägen E-Voting Geschichten. Und das noch ganz ohne Blockchain. Die Blockchain ist dann noch das Sahnehäubchen obendrauf.

In diesem Sinne hoffe ich, dass Ihnen unsere Ausgabe zu E-Voting Denkanstösse bietet oder Ihre persönliche Meinung umwirft, geschätzte Leserinnen und Leser.

Herzlichst

Ihr Reinhard Riedl

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Digitalisierung und Demokratie: Schub für E-Voting in der Schweiz

| 1 Kommentar
/1 Kommentar/in /von

Seit dem Jahr 2000 engagieren sich Bund und Kantone gemeinsam im Bereich der elektronischen Stimmabgabe. Seither verzeichnete die Etablierung der elektronischen Urne Fortschritte und Rückschläge. Ein neues Planungsinstrument und zusätzliche finanzielle Mittel von E-Government Schweiz ebnen nun den Weg für angepasste Rahmenbedingungen: Das elektronische Abstimmen soll sich als dritter ordentlicher Stimmkanal etablieren.

Die Pioniere des E-Votings in der Schweiz waren die Kantone Genf, Neuenburg und Zürich, die 2004, resp. 2005 die ersten Versuche mit der elektronischen Stimmabgabe auf eidgenössischer Ebene durchführten. Alle drei Kantone hatten hierfür ein anderes System im Einsatz. Genf setzte auf eine eigens entwickelte Lösung, Neuenburg nutzte eine spanische Software und Zürich baute das Consortium Vote électronique (bestehend aus den Kantonen AG, FR, GL, GR, SG, SH, SO, TG und ZH) auf. Seither gab es mehr als 200 Versuche mit der elektronischen Stimmabgabe bei Abstimmungen auf Bundesebene. Dazu kamen zahlreiche Durchführungen auf kantonaler und kommunaler Ebene.

Systemlandschaft und Ausbreitung
Nach den drei Pionieren folgten weitere Kantone, die sich einem der drei Systeme anschlossen, so dass bis heute 14 Kantone Versuche mit E-Voting durchgeführt haben. Im Herbst 2015 veränderte sich diese Ausgangslage. Das Consortium löste sich auf, da ihr System die bundesrechtlichen Anforderungen für die Zulassung zu den eidgenössischen Wahlen 2015 nicht erfüllen konnte. Zudem entschied sich der Kanton Neuenburg 2015, im E-Voting mit der Post als Systembetreiberin zusammenzuarbeiten. In der Folge gruppierten sich 2016 die Kantone neu: Der Kanton Freiburg entschied sich für den Anschluss an das System der Post, die Kantone Aargau und St. Gallen erteilten dem Kanton Genf den Zuschlag.

Auch die meisten übrigen Kantone aus dem ehemaligen Consortium arbeiten aktiv daran, E-Voting (wieder) einzuführen. Der Kanton Thurgau hat die Ausschreibung eines entsprechenden Systems lanciert. Im Kanton Graubünden steht eine Teilrevision des Gesetzes über die politischen Rechte an, das die notwendigen Rechtsgrundlagen für die flächendeckende Einführung von E-Voting schaffen soll.

Die nachstehende Karte zeigt, welche E-Voting-Systeme im Mai 2017 wo im Einsatz sind:


Neues Planungsinstrument, zusätzliche finanzielle Mittel, Übergang in den ordentlichen Betrieb
Den bisherigen Versuchen mit E-Voting gemein war, dass sie nur einem Teil der Stimmberechtigten eines Kantons die Möglichkeit zur elektronischen Stimmabgabe eröffneten – seien es die Ansässigen oder Auslandschweizerinnen und Auslandschweizer. Dies sieht die Verordnung über die elektronische Stimmabgabe vor, in der das zugelassene Quorum an Sicherheitsanforderungen der eingesetzten Systeme geknüpft wird. An seiner Sitzung vom 5. April 2017 hat der Bundesrat nun entschieden, die Versuchsphase beenden zu wollen und gemeinsam mit den Kantonen die nötigen Rechtsgrundlagen für die Etablierung des elektronischen Kanals als dritter ordentlicher Stimmkanal zu schaffen.

An der Frühjahrestagung der Schweizerischen Staatsschreiberkonferenz haben sich Bund und Kantone zudem zum Ziel bekannt, das im Schwerpunktplan von E-Government Schweiz definiert ist: Sie wollen die nötigen Schritte unternehmen, um das E-Voting bis 2019 in zwei Dritteln der Kantone zu etablieren. Im Anschluss daran hat der Steuerungsausschuss E-Government Schweiz an seiner Sitzung Ende April zusätzliche Mittel für das strategische Projekt «Vote électronique» beschlossen.

Transparenz und Sicherheit zentral
Mit diesen Entscheiden ist nun einerseits die strategische Stossrichtung für die Weiterführung von «Vote électronique» in der Schweiz gegeben. Andererseits stehen die nötigen finanziellen Mittel zur Verfügung, um die interessierten Kantone bei der Einführung des dritten Stimmkanals zu unterstützen.

Aus Sicht von E-Government sind weitere Aspekte der Entscheide zentral: Es wird geprüft, unter welchen Bedingungen der Prozess der Stimmabgabe vollständig digitalisiert werden kann, so dass auch die Zustellung der Wahl- oder Abstimmungsunterlagen elektronisch erfolgen kann. Zudem müssen die Systemanbieter künftig ihre Quellcodes offenlegen, und die universelle Verifizierbarkeit soll gemäss Aussage der Systemanbieter bis 2018 umgesetzt werden. Diese Massnahmen verbessern die Transparenz, die Sicherheit und Effizienz der Stimmabgabe im virtuellen Raum sowohl für die Stimmbürgerinnen und Stimmbürger als auch für die involvierten Behörden.

Somit schaffen Bund, Kantone und Gemeinden das nötige Vertrauen für die Nutzung der technologischen Möglichkeiten im Bereich der Stimmabgabe und machen einen wichtigen Schritt zur Weiterentwicklung der politischen Mitspracherechte im Zeitalter der Digitalisierung.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.