Die Traktandenliste war lang: Risiken und Sicherheitsmassnahmen, unabhängige Überprüfungen, Zusammenarbeit mit der Wissenschaft und Einbezug der Öffentlichkeit sowie Transparenz und Vertrauensbildung.
All das wollten Vertreter von Bund und Kantonen mit 23 E-Voting-Experten aus dem In- und Ausland nach dem PR-Debakel rund um den Public-Pen-Test der Post besprechen.
Wegen Corona wurden die geplanten Workshops und Gespräche allerdings durch schriftliche Inputs ersetzt. 700 Stellungnahmen trafen laut dem Bundesrat ein, der diese nun konsolidiert und publiziert hat.
"Ein perfektes System gibt es nicht, so das Fazit aus dem Dialog; weder Manipulation noch technische Fehler können je vollständig ausgeschlossen werden. Systeme lassen sich aber technisch und betrieblich so konzipieren, dass Betrug sehr schwierig und mit sehr grosser Wahrscheinlichkeit festgestellt wird. Die Verifizierbarkeit spielt dabei eine wichtige Rolle", so eine der Kernaussagen.
Handlungsbedarf bestehe bei der Sicherheit, der Transparenz sowie der unabhängigen Prüfung der E-Voting-Systeme.
"Verbesserungen bei der Security" bedeutet in Sachen Kryptografie, dass nicht nur aktuelle Security-Beweise nötig sind, sondern diese laufend überarbeitet werden, wenn entsprechende Erkenntnisse vorliegen. Zudem raten die Befragten den Behörden auf eine Standardisierung der kryptografischen Bausteine hinzuwirken.
Die Experten raten zudem, dass die Kontrollkomponenten und Verifier, welche bei der Verifizierbarkeit zentral sind, unterschiedlicher sind ("Diversität"). "Fehler in einzelnen Komponenten sollen dank anderen, korrekt funktionierenden Komponenten keine negative Auswirkung auf die Verifizierbarkeit haben.
Dazu sei auch auf die Software zu zählen, ebenso die Prüfcodes für die individuelle Verifizierbarkeit und wie diese generiert werden. Sie sollte verifizierbar und verteilt gemacht werden, heisst es dazu.
Auch das bei E-Voting-Papers oft thematisierte "Public Bulletin Board" könne die Verifizierbarkeit und damit das Vertrauen stärken, wenn auch nicht bei fehlerhaften Votings, so die Befragten.
Quellcode soll offengelegt werden
Die hingegen im Security-Bereich regelmässig angeführten Zertifizierungen halten die Experten beim E-Voting für nebensächlich. Besser seien unabhängige Prüfungen durch ausgewiesene Kryptografen, welche auch den Quellcode und den Betrieb unter die Lupe nehmen sollten.
Ausserdem dürfte der Pen-Test wie derjenige von 2019 eine isolierte Episode der E-Voting-Geschichte bleiben, die Experten wollen die öffentliche Überprüfung aber nicht streichen. Sie soll im Rahmen eines permanenten Bug-Bounty-Programms stattfinden und Securityforscher sollen nicht nur die Infrastruktur ins Visier nehmen, sondern auch Fehler in der Dokumentation des Systems sowie den Quellcode.
Das heisst in Konsequenz, dass, wenn es nach den Befragten geht, soll der Quellcode offengelegt und damit überprüfbar werden. Ebenso alle Dokumentationen, die nötig sind, damit Externe das E-Voting-System verstehen und überprüfen können und dies ohne eine Geheimhaltungserklärung unterzeichnen zu müssen.
Eine Frage, die sich dazu natürlich stellt, ist diejenige – was, wenn Lücken und Fehler gefunden werden? Solche Risiken, "Nonkonformitäten" genannt, müssten diskutiert und in festen Entscheidungsprozessen bewertet werden. Dabei seien einige Risiken durchaus hinnehmbar, aber "Fehler im kryptografischen Protokoll oder dessen Umsetzung im Quellcode sollen grundsätzlich nicht akzeptiert werden", heisst es dazu.
Verpflichtend sind diese Experten-Stellungnahmen nicht, aber Bund und Kantone nutzen diese und wollen sie bei den laufenden Arbeiten an den rechtlichen und technischen Grundlagen des E-Voting-Versuchsbetriebs einfliessen lassen. Aber auch unabhängige Erkenntnisse aus den hiesigen E-Votings sollen berücksichtigt werden.
Ob und wie es mit dem Schweizer E-Voting weitergeht, will der Bundesrat dann "zu gegebener Zeit" entscheiden. Das Management Summary der Inputs ist
als PDF verfügbar.