Die Schuldfrage bei Scytl
Von Adrienne Fichter, 07.02.2019
Die Republik ist ein digitales Magazin für Politik, Wirtschaft, Gesellschaft und Kultur – finanziert von seinen Leserinnen. Es ist komplett werbefrei und unabhängig. Lösen Sie jetzt ein Abo oder eine Mitgliedschaft!
Vergangenen Donnerstag publizierte die Republik eine Recherche zur E-Voting-Firma Scytl, zum Technologiepartner der Schweizerischen Post. Der Bericht zeichnet die Geschichte des spanischen Politik-Start-ups nach und deckt einige gravierende Mängel auf.
Die Post hat am Montag dazu in einem Artikel ihres E-Voting-Fachblogs Stellung bezogen. Viele Antworten sind Rechtfertigungen – etwa, dass die Mängel nicht eins zu eins übertragbar seien auf die Situation in der Schweiz.
Irreführenderweise bezeichnete die Post diese Punkte als «Missverständnisse», obwohl sie selbst die Faktenlage nicht bestreitet.
Auf einen spezifischen Punkt lohnt es sich vertiefter einzugehen, weil die Rechenschaftspflicht und die Verantwortlichkeit nicht richtig dargestellt werden.
Es geht um den Fall New South Wales. Während der Parlamentswahlen 2015 stellte die Firma Scytl die Kerntechnologie für das System iVote zur Verfügung. Die Post behauptet, die Hauptverantwortung für die technischen Fehler lägen nicht bei Scytl.
Ein Auszug aus dem Fachbeitrag der Post:
«Es stimmt, dass 2015 in Australien bei einem E-Voting-System eine Schwachstelle durch zwei Forscher aufgezeigt wurde. In diesem System, das im Teilstaat New South Wales im Einsatz war, war auch Technologie von Scytl im Einsatz. Die Schwachstelle hatte aber nichts mit der Kryptographie oder Verschlüsselung von Scytl zu tun, sondern mit einer anderen Komponente (Piwik Software; eine Open-Source-Webanalytik-Plattform). Das E-Voting-System der Post setzt diese Komponente nicht ein.»
Aus Sicht der Republik greift diese Darstellung zu kurz. Um die Problematik zu illustrieren, hier ein Vergleich:
Sie haben sich ein neues, digitales Türschloss zugelegt. Das Versprechen des Herstellers: Es ist zu hundert Prozent sicher und via App steuerbar. Ein Servicetechniker montiert vor Ort das neue Schloss an Ihre Tür.
Doch als Sie eines Nachts unterwegs sind, wird eingebrochen, die Tür steht bei Ihrer Rückkehr weit offen. Der Servicetechniker, der das digitale Türschloss montiert hat, weist jegliche Verantwortung von sich, weil das Schloss nicht aufgebrochen wurde, sondern lediglich entfernt: Das Problem liege an den Schrauben.
Der Hersteller haftet jedoch nur für digitale Manipulationen des Schlosses. Und dieses sei ja nicht gehackt worden.
Eine absurde Argumentation?
Ähnlich argumentiert die Post im Fall Australien.
Nicht die E-Voting-Software – also die Kerntechnologie von Scytl – an sich
sei in Australien unsicher gewesen, sondern nur eine Hilfskomponente. Diese Darstellung ist fragwürdig. Scytl bietet umfassende Lösungen an. Dabei müsste die Implementierung der Lösung konzeptionell und technisch mit «sicheren Bestandteilen» in der Theorie erfolgen.
Bei der Haftungs- und Schuldfrage zu der gefundenen Schwachstelle steht Scytl als Technologiepartner klar in einer Mitverantwortung.
Für Sie – oder die betroffene Wählerin – spielt der spitzfindige Unterschied zwischen der Wahl des Schlosses und der Art der Schrauben letzten Endes keine Rolle.
Oder anders gesagt: Ihre Tür ist aufgebrochen. Und Ihre Stimme vielleicht manipuliert.