14.04.2017, 10:25 Uhr
Was muss geschehen für die Akzeptanz von E-Voting?
Die Sicherheitsbedenken lassen sich im Hinblick auf die Einführung des elektronischen Votings in der Schweiz nicht vollständig ausräumen. Entscheidend wird sein, wie mit grösstmöglicher Transparenz Vertrauen geschaffen werden kann, ohne dabei eine Angriffsfläche für Hacker zu bieten.
Bundeskanzler Walter Thurnherr machte bei der Vorstellung der Pläne für die schrittweise Einfhrung des E-Votings auf gesamtschweizerischer Ebene eines klar: «Ich kenne nichts, was todsicher ist.» Und da sind sich auch die Experten einig: «Ein Nullrisiko gibt es nicht.»
Dass die geplante schweizweite Einführung von E-Voting heikel ist, zeigt sich an der Antwort eines von der SDA um eine Einschätzung gebetenen IT-Sicherheitsexperten: «Politisch zu brisant!» Da wolle er sich nicht dazu äussern. Erik Schönenberger, Geschäftsleiter der Digitalen Gesellschaft und als IT-Security-Ingenieur selber im Sicherheitsbereich tätig, begrüsst den vom Bundesrat eingeschlagenen Weg. «Die zweite Generation der Systeme, die neben der individuellen auch eine universelle Prüfung vorsieht, erfüllt mindestens theoretisch unsere Anforderungen an die Sicherheit.»
Transparenz für Akzeptanz entscheidend
Doch daneben stelle sich vor allem eine demokratiepolitische Frage: «Direktdemokratische Entscheidungen haben dann eine hohe Akzeptanz, wenn das Verfahren transparent ist, also wenn es für den Einzelnen nachvollziehbar ist», sagt er. Dann würden auch kontroverse Entscheide von Verlierern einer Abstimmung akzeptiert. Sollten die Abstimmungen aber auf Verfahren beruhen, die nur von wenigen Experten richtig verstanden werden können, dann seien dies keine guten Voraussetzungen, um Transparenz herzustellen. So habe etwa das Bundesverfassungsgericht in Deutschland in einem Entscheid von 2009 deutlich gemacht, dass das Verfahren für «Laien» verständlich sein müsse. Gerade bei elektronischen Abstimmungen sei dieser Anspruch aber kaum zu erfüllen. «Je sicherer die universelle Überprüfung wird, umso schwieriger ist sie nachvollziehbar und verständlich», sagt Schönenberger. So komplexe kryptografische Systeme seien auch für Experten kaum nachvollziehbar und verständlich. «Letztlich wird sich alles um die Abwägung zwischen der Transparenz und der Sicherheit drehen», sagt Schönenberger. Erschwerend hinzu komme, dass Systeme mit universeller Überprüfung noch nirgends im Einsatz stünden. «Da werden wir Neuland betreten. Noch kann uns niemand sagen, ob das auch wirklich funktionieren wird.» Nächste Seite: Zwei Systeme und zwei Welten
Jeder soll nach Lecks suchen können
Schönenberger rechnet auch damit, dass es zu einem öffentlichen Schlagabtausch der beiden Anbieter kommen wird. Die beiden Systeme des Kantons Genf und der Post sind unterschiedlich. Das Genfer System lege grossen Wert auf Open Source. Der Quellcode werde veröffentlicht und könne nicht nur angeschaut, sondern auch verwendet und weiterentwickelt werden. «Darin kann man auch eine Schwachstelle sehen. Anderseits wird mit dem einfachen Zugang erst ermöglicht, dass Löcher sichtbar werden und damit das System verbessert werden kann.» Das Post-System dagegen sei ein kommerzielles System. Die Post arbeite mit dem Weltmarktführer auf diesem Gebiet, einer spanischen Firma, zusammen. Post-Sprecher Olivier Flüeler sieht in diesem System den einmaligen Vorteil, dass es als vorerst einziges eine End-to-End-Verschlüsselung hat und somit die Abstimmungsdaten den Kanton nie verlassen. Das System sei mit den vom Bund gestellten Anforderungen wie der Zertifizierung und der universellen Verifikation sogar noch sicherer als E-Banking. Beachtet werden müsse bei der Frage der Sicherheit auch, dass das aktuelle System mit den Abstimmungscouverts auch zahlreiche Risiken berge. Das haben nicht zuletzt die entwendeten Abstimmungsunterlagen bei den Regierungsratswahlen im Wallis gezeigt. Philippe Oechslin, Dozent über Informatiksicherheit an der ETH Lausanne und Inhaber des IT-Sicherheitsunternehmens Objectif Sécurité, das auch als technischer Berater für die Bundeskanzlei beim E-Voting tätig war, weist auch darauf hin, dass ein gewisses Mass an Risiko halt einfach akzeptiert werden muss.
Grundsatz: Sicherheit vor Tempo
Wichtig sei der Grundsatz «Sicherheit vor Tempo» und das etappenweise Hochfahren des elektronischen Systems. «Hackertests» werden schon jetzt intern durchgeführt. Mit öffentlichen Tests soll es jeder ausprobieren und testen können. Somit werde mehr Transparenz geschaffen. Mit der individuellen Verifizierbarkeit bestehe heute bereits der Beweis dafür, dass die Übermittlung der Stimme des Berechtigten geklappt habe. Mit der universellen Überprüfung, die nun kommen werde, gebe es dann auch mathematische Beweise, dass alles richtig gelaufen sei. «Es geht darum, Beweise zu generieren, ohne dass man herausfinden kann, wer was gestimmt hat», sagt Oechslin. Beim E-Banking beispielsweise sei dies relativ einfach: Da könne die Buchhaltung gemacht werden, und Fehler würden zutage gefördert. Aber auch für das E-Voting gebe es Lösungen für eine gute Sicherheit bei grosser Transparenz. «Ich jedenfalls würde sofort selber elektronisch abstimmen. Ich hätte Vertrauen ins System, wenn alle Anforderungen, die der Bund stellt, einmal erfüllt sind.»