Ctrl-Alt-R

Die Schuldfrage bei Scytl

Von Adrienne Fichter, 07.02.2019

Teilen9 Beiträge9

Die Republik ist ein digitales Magazin für Politik, Wirtschaft, Gesellschaft und Kultur – finanziert von seinen Leserinnen. Es ist komplett werbefrei und unabhängig. Überzeugen Sie sich selber: Lesen Sie 21 Tage lang kostenlos und unverbindlich Probe:

Vergangenen Donnerstag publizierte die Republik eine Recherche zur E-Voting-Firma Scytl, zum Technologie­partner der Schweizerischen Post. Der Bericht zeichnet die Geschichte des spanischen Politik-Start-ups nach und deckt einige gravierende Mängel auf.

Die Post hat am Montag dazu in einem Artikel ihres E-Voting-Fachblogs Stellung bezogen. Viele Antworten sind Rechtfertigungen – etwa, dass die Mängel nicht eins zu eins übertragbar seien auf die Situation in der Schweiz.

Irreführenderweise bezeichnete die Post diese Punkte als «Miss­verständnisse», obwohl sie selbst die Faktenlage nicht bestreitet.

Auf einen spezifischen Punkt lohnt es sich vertiefter einzugehen, weil die Rechenschafts­pflicht und die Verantwortlichkeit nicht richtig dargestellt werden.

Es geht um den Fall New South Wales. Während der Parlamentswahlen 2015 stellte die Firma Scytl die Kern­technologie für das System iVote zur Verfügung. Die Post behauptet, die Haupt­verantwortung für die technischen Fehler lägen nicht bei Scytl.

Ein Auszug aus dem Fachbeitrag der Post:

«Es stimmt, dass 2015 in Australien bei einem E-Voting-System eine Schwachstelle durch zwei Forscher aufgezeigt wurde. In diesem System, das im Teilstaat New South Wales im Einsatz war, war auch Technologie von Scytl im Einsatz. Die Schwachstelle hatte aber nichts mit der Krypto­graphie oder Verschlüsselung von Scytl zu tun, sondern mit einer anderen Komponente (Piwik Software; eine Open-Source-Webanalytik-Plattform). Das E-Voting-System der Post setzt diese Komponente nicht ein.»

e-voting-blog.ch

Aus Sicht der Republik greift diese Darstellung zu kurz. Um die Problematik zu illustrieren, hier ein Vergleich:

Sie haben sich ein neues, digitales Türschloss zugelegt. Das Versprechen des Herstellers: Es ist zu hundert Prozent sicher und via App steuerbar. Ein Service­techniker montiert vor Ort das neue Schloss an Ihre Tür.

Doch als Sie eines Nachts unterwegs sind, wird eingebrochen, die Tür steht bei Ihrer Rückkehr weit offen. Der Service­techniker, der das digitale Türschloss montiert hat, weist jegliche Verantwortung von sich, weil das Schloss nicht aufgebrochen wurde, sondern lediglich entfernt: Das Problem liege an den Schrauben.

Der Hersteller haftet jedoch nur für digitale Manipulationen des Schlosses. Und dieses sei ja nicht gehackt worden.

Eine absurde Argumentation?

Ähnlich argumentiert die Post im Fall Australien.

Nicht die E-Voting-Software – also die Kern­technologie von Scytl – an sich
sei in Australien unsicher gewesen, sondern nur eine Hilfs­komponente. Diese Darstellung ist fragwürdig. Scytl bietet umfassende Lösungen an. Dabei müsste die Implementierung der Lösung konzeptionell und technisch mit «sicheren Bestandteilen» in der Theorie erfolgen.

Bei der Haftungs- und Schuldfrage zu der gefundenen Schwach­stelle steht Scytl als Technologie­partner klar in einer Mitverantwortung.

Für Sie – oder die betroffene Wählerin – spielt der spitzfindige Unterschied zwischen der Wahl des Schlosses und der Art der Schrauben letzten Endes keine Rolle.

Oder anders gesagt: Ihre Tür ist aufgebrochen. Und Ihre Stimme vielleicht manipuliert.

Sie sind sich immer noch nicht sicher, ob die Republik etwas für Sie ist? Dann testen Sie uns! Für 21 Tage, kostenlos und unverbindlich: