Seit 2019 haben E-Voting-Fans einen schweren Stand in der Schweiz. Damals war das Genfer System abgeschaltet worden. Experten hatten im selben Jahr im System der Post gravierende Lücken entdeckt, es wurde ebenfalls ausser Betrieb genommen. Das hat gerade digital affine Menschen vorsichtiger werden lassen. Man exponiert sich nicht gerne. Es gibt aber Stimmen, die sich vehement für den dritten Kanal aussprechen.

So etwa die Auslandschweizerorganisation, die rund 194'000 im Stimmregister eingetragene Schweizerinnen und Schweizer ausserhalb der Landesgrenzen vertritt. Man wolle die enorme Wichtigkeit des E-Votings für die Ausübung der politischen Rechte betonen, schreibt die Organisation. Da der Postweg für Stimmende im Ausland oft zu langsam sei, verstosse die Schweiz gegen den Grundsatz der Nicht-Diskriminierung im Bundesrecht.

Dieses Argument macht auch der Schweizerische Blindenbund (SBb) geltend: Die 380'000 blinden oder stark seheingeschränkten Menschen würden heute diskriminiert. Ihr Stimmgeheimnis sei nicht gewahrt, weil sie eine Assistenzperson benötigten. Blinde würden darum seit Jahren sehnlichst auf den dritten Kanal warten, schreibt der Blindenbund. Ähnlich argumentiert Inclusion Handicap, der Dachverband der Behindertenorganisationen, der eine Stimme für 1,8 Millionen Menschen für sich beansprucht.

Auch in der Techcommunity gibt es Stimmen, die zwar Hürden und Probleme sehen, aber auch starke Argumente für E-Voting nennen. Zu diesen zählt Christian Folini, Security Engineer und Programmchef der Konferenz Swiss Cyber Storm. Er war vom Bund im Jahr 2020 als Moderator für den E-Voting-Expertendialog (PDF) mandatiert worden und sieht sich selbst als kritischen Begleiter von E-Voting. Wir haben mit ihm gesprochen.

Der Fokus lag nach den grossen, 2019 gemeldeten Schwachstellen im System der Post sehr stark auf technischen Fragen wie der Kryptographie. Die politische und soziologische Dimension wurde dem gegenüber zu wenig berücksichtigt. Eine Neuaufnahme des Dialogs ist aber denkbar und ich glaube, nächstes Mal dürfte er breiter geführt werden. Eine wichtige Frage wäre: Wie kann man in der Stimmbevölkerung Vertrauen in E-Voting aufbauen?

Nach den Diskussionen um das Post-System ist man vorsichtig geworden. Das wenig emotional besetzte Thema eignet sich grundsätzlich nicht für die Mobilisierung von Wählerinnen und Wählern. Das zeigte auch die gescheiterte Unterschriftensammlung für die No-E-Voting-Volksinitiative deutlich. Klar ist aber, dass trotz aller negativen Schlagzeilen eine Mehrheit der Stimmbevölkerung Zugang zu E-Voting wünscht. Überraschenderweise ist das in der Techcommunity auch so, wie sich an meinen Vorträgen gezeigt hat.

Ich kenne jenseits von E-Voting keine organisatorischen Massnahmen, die das Stimmgeheimnis für Tetraplegiker oder Blinde wahren. Je nach lokaler Gesetzgebung können Sie sich auch nicht von einer Verwandten oder einem Freund helfen lassen, sondern müssen in ihrer Gemeinde um offizielle Hilfe bitten. Beides ist hochproblematisch: Wir können diesen Menschen das volle Stimmgeheimnis nicht stillschweigend vorenthalten. Für mich ist das ein starkes Argument für den elektronischen Stimmkanal.

Wir haben tatsächliche bei Wahlen problematisch viele ungültige Stimmen, die nicht mitgezählt werden. Dies verhindert der Computer beim E-Voting. Man muss das Thema aber differenziert betrachten. Als die Republikaner in den USA behauptet haben, Donald Trump sei um die Präsidentschaft betrogen worden, gaben sie unter anderem manipulierten Wahlmaschinen die Schuld. Diese Vorwürfe konnten sie nicht mit Fakten untermauern, aber trotzdem zeigten sie eine starke Wirkung. Bei intransparenten Systemen reicht es also schon, einen Vorwurf zu formulieren, um das demokratische System in Frage zu stellen. Das ist ein starkes Argument gegen E-Voting, dessen Sicherheitsgarantien nur für Experten zu verstehen sind.

Es geht letztlich um Vertrauen und ich glaube, dass Vertrauen eine Funktion der Zeit und der Erfahrung ist. Wenn ein E-Voting-System erstmal 10 Jahre gelaufen ist und unser politisches System in dieser Zeit auf Sicherheitsvorfälle adäquat reagieren konnte, dann wird hoffentlich eine Vertrauensbasis entstanden sein. Der Frauenfelder Stadtschreiber wurde 2022 in zweiter Instanz für Wahlfälschung verurteilt. Das war längst kein Todesurteil für briefliches Abstimmen und das Auszählen per Hand. Unser politisches System hält das aus. Wir müssen nun im Versuchsbetrieb klären, wie unser demokratisches System mit E-Voting und seinen Problemen umgehen kann oder ob wir das Experiment besser abbrechen.

Mit der Offenlegung des Quellcodes der Post und dem permanent laufenden Bug-Bounty-Programm wurde schon einiges erreicht. Zudem wurde die Dokumentation und Auditierbarkeit des Systems deutlich verbessert. Während der Abstimmungen auditieren diverse Systeme den Prozess permanent. Dies erschwert eine Manipulation deutlich. Die Post hat vieles richtig gemacht – ob das reicht, kann ich aber nicht beurteilen.

Eine Forderung im Expertendialog war mehr Diversität bei den E-Voting Systemen zu implementieren. Im sogenannten Mix-Net, einer zentralen kryptographischen Komponente, sind vier unabhängige Systeme im Einsatz. Die Experten forderten nun, dass diese Systeme nicht einfach dieselbe Software fahren, sondern unterschiedliche Implementationen in verschiedenen Programmiersprachen, idealerweise auf unterschiedlichen Betriebssystemen und unterschiedlicher Hardware. Der grosse Sicherheitsgewinn liegt auf der Hand – die zusätzlichen Kosten und das Verfügbarkeitsrisiko leider auch.

Die Angriffe auf das Stimmgeheimnis über die Endgeräte der Abstimmenden muss man ernst nehmen, aber sie lassen sich nur schwer skalieren, ohne dass sie entdeckt werden. Im Sicherheitskonzept ist indes vorgesehen, dass man der Druckerei vertrauen muss. Das liesse sich organisatorisch vermeiden, aber für den geringen Anteil an E-Voting Stimmen kann man den aufwändigen Druckprozess nicht noch weiter verteuern. Langfristig könnte das aber umgesetzt werden.

Ja, da wird sehr moderne Kryptographie benötigt, was leider dazu führt, dass sowohl in den Algorithmen als auch bei der Implementierung etwas schieflaufen kann. Schliesslich geht es darum die verschlüsselte Stimme von der Identität der Stimmberechtigten zu trennen und dennoch sicherzustellen, dass die Stimmen korrekt gezählt werden – quasi die Quadratur des Kreises. Ich bin zwar kein Kryptologe, aber soweit ich das beurteilen kann, hat sich die Sicherheit mit der Offenlegung des Quellcodes und dem konsistenten Schliessen der gemeldeten Lücken verbessert. Die Post ist inzwischen vorbildlich unterwegs.

Um das gleich klarzustellen:Ich bin für radikale Offenlegung. Ich muss der Fairness halber aber einräumen, dass man es so auch feindseligen Kräften erleichtert, Fehler zu entdecken. Wir müssen uns auf ein Szenario vorbereiten, in dem Angreifer Schwachstellen im Quellcode entdecken, diese zurückhalten und dann am Abstimmungssonntag maximale Schlagzeilen damit erzeugen.

Man muss die Werkzeuge für den Krisenfall vorbereiten, um eine solide Untersuchung zu möglicher Wahlmanipulation durchführen zu können. Dazu muss man auch die Kommunikation sehr gut planen, wenn man das Vertrauen in das System stärken will.

Ich sehe aber noch ein grosses Manko. Wir haben zwar mittlerweile in einzelnen Hochschulen, bei der Post , beim Bund und bei den Kantonen sehr gutes Know-how in Sachen E-Voting. In der IT-Industrie fehlt das aber fast vollständig. Wer untersucht also einen Vorfall unabhängig und mit wem können die Medien die Erkenntnisse glaubwürdig diskutieren? Es scheint mir nicht besonders vertrauenserweckend, wenn ein Postmanager nach einem Vorfall erklärt, alles sei in bester Ordnung, während wir keine wirklich unabhängigen Experten und Expertinnen haben, die verstehen, was überhaupt passiert ist.