Seit den ersten E-Voting-Versuchen vor über zwanzig Jahren ist das elektronische Wählen und Abstimmen ein Prestigeprojekt der eidgenössischen Digitalisierung. Dies hat zum einen mit dem hohen Stellenwert der direkten Demokratie schweizerischer Prägung zu tun. Aber noch wichtiger dürfte die fälschliche Annahme gewesen sein, E-Voting bringe kaum Sicherheitsprobleme mit sich. Schliesslich gehe es lediglich darum, dem brieflichen Abstimmen einen digitalisierten Kanal zur Seite zu stellen. Obschon die Durchführung von Wahlen und Abstimmungen fast vollständig in der Hand der Kantone liegt, setzte man die Bundeskanzlei aber weitblickend als zentrale Hüterin über die Sicherheit der elektronischen Stimmen ein.
Während die Bundeskanzlei einige Jahre brauchte, um in ihre Rolle hineinzuwachsen, setzten die Sicherheitsprobleme im E-Voting-Pionierkanton Genf rasch ein. Vor Ort war man aber gewillt, zu lernen und massiv Ressourcen in das System zu investieren: Genf baute nacheinander drei E-Voting-Systeme.
Die Bundeskanzlei wurde im Zusammenhang mit E-Voting erstmals 2015 in der Öffentlichkeit wahrgenommen: Wenige Monate vor den Nationalratswahlen beschied sie einem Konsortium von neun Kantonen, dass das von ihnen etablierte E-Voting-System den gehobenen Sicherheitsanforderungen nicht mehr länger genügen würde und dass man von einer Weiterentwicklung auf der bestehenden Architektur abrate. Das Konsortium löste sich in der Folge rasch auf und zahlreiche dieser Kantone verzichten seither auf weitere E-Voting-Versuche.
Ab diesem Moment war erkennbar, dass die Sicherheit von E-Voting die Achillesferse darstellt und dass auf die Probleme in Genf und den Crash des Konsortiums wohl weitere Sicherheitsprobleme folgen würden. Eine Neupriorisierung der laufenden Digitalisierungsprojekte des Bundes wäre vielleicht angezeigt gewesen, fand aber so nicht statt.
Gute Gründe für E-Voting
Doch was spricht für E-Voting und warum halten die Protagonisten daran fest? Zunächst wurde argumentiert, dass E-Voting die Wahlbeteiligung erhöhen würde. Eine Vielzahl von Untersuchungen haben dieses Argument in der Zwischenzeit sowohl hierzulande als auch international widerlegt. Dennoch erklärt eine stabile Mehrheit der Stimmberechtigten, dass sie sich elektronisches Wählen und Abstimmen wünschten. Stark ausgeprägt ist dieser Wunsch bei den Auslandschweizern, deren Stimmen je nach Wohnort erst nach dem Abstimmungstermin in der Schweiz eintreffen.
Tetraplegiker und Blinde, die mit einem Screenreader umgehen können, erwarten von E-Voting, dass sie ohne Assistenten an Wahlen und Abstimmungen teilnehmen können und damit das verfassungsmässig garantierte Stimmgeheimnis erhalten. Daneben reichen besonders bei Wahlen ein hoher Prozentsatz der Stimmberechtigten formell ungültige Stimmen ein. E-Voting löst dieses Problem, indem es die Stimmenden besser führt und ungültige Wahlzettel verunmöglicht.
Diese primären Gründe und der oben erwähnte Stellenwert der direkten Demokratie erklären, weshalb eine Neuorientierung unterblieb und die Bundeskanzlei an der vom Parlament bestätigten Priorisierung festhielt. Die Post trat derweil als neuer Anbieter eines E-Voting-Systems in Konkurrenz zum Kanton Genf, und der Bundeskanzler rief die Kantone 2017 dazu auf, E-Voting in der Breite einzuführen. Damit erschreckte er die Gegner der elektronischen Stimmabgabe, die in der Folge eine breite Kampagne gegen deren Einführung starteten.
Steuer herumgerissen
Wichtig war ein medienwirksamer Vorstoss von Nationalrat Marcel Dobler, der von der Bundeskanzlei verlangte, einen öffentlichen Intrusion-Test durchzuführen. Faktisch lief dies auf ein zeitlich begrenztes Bug-Bounty-Programm hinaus, dem die beiden verbliebenen Anbieter Post und Kanton Genf zähneknirschend zustimmten. Der Kanton Genf beendete jedoch kurz darauf sein E-Voting-Engagement, sodass sich lediglich die Post dem Test unterzog. Im offengelegten Quellcode des Systems musste sie drei äusserst schwerwiegende Probleme eingestehen. Eine Schwachstelle war ihr bereits früher von der Berner Fachhochschule gemeldet worden, aber der von der Post bereitgestellte Fix war zu wenig getestet worden und erwies sich als ungenügend. Bei einer weiteren Schwachstelle in einem älteren Code-Teil liess sich belegen, dass eine kleine Gruppe von Postangestellten theoretisch in der Lage gewesen wäre, gemeinsam die Abstimmungsresultate über Jahre hinweg relativ spurlos zu beeinflussen. Bei einem Anteil der elektronischen Stimmen von weit unter einem Prozent im Versuchsbetrieb ist eine tatsächliche Beeinflussung der Resultate über diesen Angriffsvektor sehr unwahrscheinlich, aber die Erkenntnis entfaltete natürlich eine grosse Wirkung.
Während eine parallel gestartete Unterschriftensammlung für ein E-Voting-Moratorium trotz massiver Schlagzeilen keine Breitenwirkung entfaltete, zwang das Bekanntwerden der beschriebenen Schwachstellen die Post dazu, nach dem Intrusion-Test einen Marschhalt einzulegen. Dass die Pause einem vierjährigen Moratorium gleichkommen würde, ahnte im Sommer 2019 noch kaum jemand.
Die Bundeskanzlei stellte die Regulierung in diesen vier Jahren auf eine bessere Basis. Die neuen Verordnungen, die 2022 in Kraft gesetzt wurden, gehen auf einen Aktionsplan zurück, den der Steuerungsausschuss E-Voting unter Leitung des Bundeskanzlers nach dem Vollstopp des Post-Systems im Winter 2019/20 erarbeitete. Im Frühjahr und Sommer 2020 diskutierten die Bundeskanzlei und die Kantone mit zwei Dutzend IT-Experten, allen voran Kryptographen und Computerwissenschaftlern, die Herausforderungen und mögliche Lösungen für E-Voting mit einem zeitlichen Horizont von zehn Jahren. Der öffentliche und gut lesbare Bericht, der auch international Beachtung fand, wurde dann zur Grundlage für den Entwurf der neuen Regulierung, die 2021 in die Vernehmlassung gegeben wurde.
An dieser Vernehmlassung beteiligten sich vor allem die Kantone auf Augenhöhe. Die politischen Parteien äusserten sich zwar auch, liessen den technischen Teil der Regulierung aber aussen vor. Während namentlich die Behindertenverbände einen Effort in diese Richtung leisteten, übersprangen die IT-Branchenverbände und besonders die IT-Security-Industrie beim technischen Anhang die offenen Fragen. Daraus lässt sich schliessen, dass die IT-Branche kaum in der Lage ist, über E-Voting qualifiziert mitzudiskutieren. Vielmehr bleibt das E-Voting-Know-how hierzulande in erster Linie auf Angestellte der öffentlichen Verwaltung und einige wenige Universitätsstandorte beschränkt. Sollte es zu Sicherheitsproblemen bei elektronischen Wahlen und Abstimmungen kommen, dann werden nur wenige neutrale Experten zur Verfügung stehen, die bei der Einordnung sinnvoll helfen können.
Die Post nutzte die vierjährige Atempause, um ihr System rundum zu erneuern und namentlich die Dokumentation und die Auditierbarkeit zu verbessern. Das war nach den Erfahrungen von 2019 bitter nötig, und es ist beeindruckend, wie sehr es der Post gelang, hier das Steuer herumzureissen. Tatsächlich verfügt sie heute über ein System, das den verschärften Anforderungen der Bundeskanzlei und der Kantone genügt. Die Post hat damit bewiesen, dass sie in der Lage ist, unter Aufsicht der Öffentlichkeit und im Dialog mit Sicherheitsforschenden kritische Software zu entwickeln. Zudem zeigte sie eine bemerkenswerte Resilienz, liess sie sich doch – im Gegensatz zu den Konsortiumskantonen 2015 – von wiederholten Rückschlägen nicht davon abhalten, weiter in das Projekt zu investieren. Das alles schliesst zukünftige Sicherheitsprobleme nicht aus, es minimiert aber die Gefahren und erhöht die Wahrscheinlichkeit einer erfolgreichen Bewältigung.
Ein Damoklesschwert über der Technik
Wie geht es nun weiter mit E-Voting? Anlässlich der Abstimmungen vom 18. Juni dieses Jahres haben die Kantone St. Gallen, Thurgau und Basel-Stadt einem Teil ihrer Stimmberechtigten E-Voting mit dem System der Post erlaubt. Diese Wahlgänge waren erfolgreich. Sollte auch der geplante Einsatz des E-Votings bei den Nationalratswahlen im Herbst ohne Panne verlaufen, wird in den kommenden Jahren eine vorsichtige Ausweitung des Versuchsbetriebs auf eine grössere Anzahl Stimmberechtigter und weitere Kantone erfolgen. So steht Graubünden für 2024 in den Startlöchern. Mittelfristig könnte auch eine Behindertenorganisation ein Recht auf die elektronische Stimmabgabe einklagen. Ob erfolgreich oder nicht: Die Klage wird die Ausweitung von E-Voting beschleunigen.
Letztlich müssen wir uns jedoch darauf einstellen, dass die Schweiz früher oder später während einer Abstimmung mit einem ernsthaften Sicherheitsproblem konfrontiert sein wird. In diesem Moment wird es sich zeigen, ob wir als Gesellschaft bereit sind, mit E-Voting als Teil unseres politischen Prozesses vernünftig umzugehen und die Schwachstelle adäquat zu bewerten. Das Risiko, dass bedeutende Teile der Bevölkerung ein Abstimmungsergebnis aufgrund von Problemen mit dem E-Voting in Frage stellen, hängt wie ein Damoklesschwert über der Technik.
Der Autor
Dr. Christian Folini arbeitet als Sicherheitsingenieur und Berater zu Problemen der Applikationssicherheit. Seine Vergangenheit als Geisteswissenschaftler erlaubt es ihm, technische Probleme einem nicht-technischen Publikum verständlich zu machen. Seine Arbeit war ein Bestandteil des Genfer E-Voting Systems, er hat zur Architektur des Post-Systems beigetragen und für die Bundeskanzlei während der ersten Pandemie-Welle den wissenschaftlichen Dialog moderiert.
