Nationalräte: Eine Million Franken Prämie für Hack von E-Voting-Systemen

Parteiübergreifend unterstützen Parlamentarier eine Motion von Nationalrat Marcel Dobler. Neben der Prämie ist auch das Setting vorgegeben.
 
Marcel Dobler möchte jeden Zweifler an der Sicherheit der Schweizer E-Voting-Systeme zum Verstummen bringen. Dazu will der freisinnige Nationalrat es ermöglichen, dass erstklassige White-Hat-Hacker die aktuell eingesetzten Systeme – von Post, Kanton Genf und Procivis – attackieren können. Für einen erfolgreichen Hack soll der Bund bis zu einer Million Franken bezahlen dürfen, so eine soeben eingereichte Motion von Dobler, die inside-it.ch vorliegt.
 
Auch das Setting spezifiziert Dobler: "Der Bundesrat wird beauftragt, die in der Schweiz eingesetzten E-Voting Systeme während zwei Abstimmungen in Folge in einem strukturierten Prozess einem Härtetest mit finanziellen Anreizen zu unterziehen. Dieser Prozess soll öffentlich bekanntgegeben, die Sicherheit nachgewiesen und mit einem öffentlichen Bericht abgeschlossen werden".
 
Offensichtlich hat der einstige Digitec-Gründer und heutige Präsident des Dachverbands ICTswitzerland klare Vorstellungen, wie der kontrollierte Hack ablaufen soll: "Die Systeme müssen kopiert werden (image), so sollen die echten Abstimmungen real simuliert werden indem die echten Abstimmungsfragen gestellt werden (Die Kopien müssen vor jedem Urnengang neu erstellt werden, so dass tatsächlich reale Bedingungen simuliert werden).
 
Auf der anderen Seite soll ein Rechner mindestens 10 virtuelle Stimmbürger simulieren, wobei diese virtuellen Stimmbürger gleich (wenig) gesichert sein sollen wie reale durchschnittliche Stimmbürger. Abstimmen werden die Stimm-Bots genau in der Zeitspanne, in der die echte Abstimmung läuft. Der Test muss von der geeigneten Bundesstelle überwacht werden."
 
Kostendach für Stimm-Verfälschung: Eine Million Franken
Zwischen 250'000 und einer Million Franken soll der Bund Hackern als Preisgeld bieten können.

Damit macht sich Dobler zur Stimme all derjenigen, die der zuständigen Bundeskanzlei im Prinzip misstrauen, dass die existierenden Vorgaben, Zertifizierungen und Penetrationstests für E-Voting-Systeme wirklich genügen. "Hochsicheres E-Voting haben wir offenbar, ob das stimmt, ist zusätzlich zu den vorgesehenen Intrusiontests zu überprüfen", so der Digitec-Gründer.
 
Kann keiner ein Schweizer E-Voting-System knacken, so kann es als einsetzbar gelten, so Dobler zu SRF. "Wenn es wirklich sicher ist, gibt es für Kritiker keine Chance und wir können es einführen. Wenn Mängel aufgedeckt werden, bietet das die Chance sie zu korrigieren. Wir haben dann eine konkrete Aussage, wie die Situation ist."
 
Damit erhöht sich nicht nur der Druck auf die Bundesverwaltung und alle Kantone mit E-Voting-Projekten. Gleichzeitig wäre die Durchführung eine Marketingkampagne für die Anbieter von Lösungen und das E-Voting an sich.
 
Ganz abgesehen von allenfalls fehlenden fachlichen und personellen Ressourcen beim Bund stellt sich eine weitere Frage: Warum soll die öffentliche Hand als Kunde von E-Voting-Systemen die Prämie zahlen? In der Privatwirtschaft zahlen ja auch nicht die Kunden für die Hacks, sondern die IT-Anbieter, sei dies nun Google oder Swisscom. "Im jetzigen Setup ist es nicht möglich, die Kosten privat zu halten", antwortet Dobler auf die Frage von inside-it.ch.
 
Der Schweizer IT-Vorzeigepolitiker Dobler ist mit seinem Vorstoss nicht alleine, im Gegenteil: Unterschrieben haben seine Motion auch weitere Parlamentarier, die sich regelmässig vertieft mit IT-Fragen beschäftigen: Beat Flach (GLP/AG), Balthasar Glättli (GPS/ZH), Edith Graf-Litscher (SP/TG) sowie Franz Grüter (SVP/LU) plus drei weitere Nationalräte.
 
Mit einer Forderung der Motion gehen alle Schweizer Stimmberechtigten garantiert einig: "Entweder gar kein E-Voting oder aber ein hochsicheres E-Voting." Wie das mit dem Mantra der von ICTswitzerland vertretenen Branche zusammengeht – "100prozentige Sicherheit gibt es nicht" – könnte sich anhand des E-Votings weisen, wenn es dann um die E-ID-Lösung geht. (Marcel Gamma)