Die Post kann beim E-Voting weiterbasteln
20 Millionen Franken hat die Schweizerische Post im ersten Versuch für eine E-Voting-Lösung versenkt. Recherchen zeigen jetzt: Den zweiten Anlauf konzipieren Bund und Kantone so, dass er vor allem für einen Anbieter vorteilhaft ist: die Post.
Von Adrienne Fichter, 05.08.2021
Journalismus, der Ihnen hilft, Entscheidungen zu treffen. Und der das Gemeinsame stärkt: die Freiheit, den Rechtsstaat, die Demokratie. Lernen Sie uns jetzt 21 Tage lang kostenlos und unverbindlich kennen:
Es herrschte Katerstimmung, als sich Vertreter von Bund und Kantonen 2019 zum Austausch über das Thema E-Voting trafen. Lange Zeit sei der Einsatz von E-Voting in ihrem Kanton unbestritten gewesen, dies habe sich nun geändert, sagte die Staatsschreiberin von Neuenburg, Séverine Despland. Der Aargau wollte E-Voting sistieren. Bern kündigte den Rückzug auf eine Beobachterrolle an.
Diese ernüchternden Wortmeldungen sind in den Protokollen der Bundesverwaltung vom 19. August, vom 29. November 2019 sowie vom 9. Juli 2020 zu finden, welche die Republik und der IT-Security-Forscher Christian Killer – zusammen mit weiteren Dokumenten – gestützt auf das Öffentlichkeitsgesetz erhalten haben. Sie zeigen ein weiteres Kapitel der langen und leidvollen Geschichte des Scheiterns.
Die Treffen zwischen der Bundesverwaltung und den Kantonen fanden statt, nachdem im Frühling 2019 gravierende Schwachstellen in der damaligen Software zur Stimmabgabe gefunden worden waren und der Bundesrat das letzte grössere E-Voting-Projekt auf Eis gelegt hatte. Die eidgenössischen Wahlen im Oktober 2019 wurden nur auf Papier durchgeführt. Die Möglichkeit zur elektronischen Stimmabgabe wurde verschoben. Verantwortlich für den Übungsabbruch war die Post: Sie war nicht imstande, eine sichere E-Voting-Software zu liefern.
Danach sollte alles besser werden. Die Bundeskanzlei verkündete Tabula rasa: Neustart auf Stufe eins, «Versuchsbetrieb». Diesmal unter Einbezug der IT-Community: In einem Expertendialog sollten Wissenschaftlerinnen Inputs einbringen, wie die gesetzlichen Anforderungen für das E-Voting aussehen sollten. Auch die Post wollte ihr Image wieder aufpolieren und lud Journalisten regelmässig zu Hintergrundgesprächen ein.
Die Revolution entpuppt sich als PR-Schachzug
Doch vom Optimismus, der damals nach aussen versprüht wurde, ist heute nicht mehr viel übrig. Im Gegenteil: Erneut kommt es zu Spannungen zwischen dem Staatskonzern und der IT-Community – zwischen kommerziellen Interessen und wissenschaftlich anerkannten Best Practices.
Streitpunkt: eine Softwarelizenz. Sie sieht auf den ersten Blick sehr offen und fortschrittlich aus, entpuppt sich aber bei genauem Hinsehen als restriktiv – und bei weitem nicht so pionierhaft, wie die Post behauptet.
Ins öffentliche Bewusstsein gelangte diese Lizenz erstmals im Mai 2021. Der Staatsbetrieb verkündete ein Jahr zuvor selbstbewusst eine Neuigkeit: Sie hatte den Quellcode der spanischen Softwarelieferantin Scytl für deren E-Voting-System erworben.
Die umstrittene E-Voting-Firma aus Barcelona stand in der Vergangenheit mehrmals in der Kritik, wegen Sicherheitslücken beim E-Counting (dem elektronischen Auszählen) und bei Wahlmaschinen in Ecuador und Spanien. Auch in der Schweiz war die gelieferte Software manipulationsanfällig. So sind die im Frühjahr 2019 entdeckten Sicherheitslücken des E-Voting-Systems der Post auf «Unzulänglichkeiten in Entwicklungsprozessen bei Scytl» zurückzuführen, wie im Protokoll vom 19. August festgehalten wird.
Die Post pries den Erwerb des Scytl-Quellcodes trotzdem im Mai 2021 als «Investment in die digitale Kompetenz». Man baue nun ein eigenes Kryptografie-Zentrum in Neuenburg auf und schreibe Teile des Codes neu. Ausserdem sei ein sogenanntes Bug-Bounty-Programm vorgesehen, bei dem Hackerinnen den Code auf Herz und Nieren prüfen können und ein Preisgeld erhalten, wenn sie darin Fehler finden. «Wir sind Pioniere in Europa», sagten die Vertreter des Staatskonzerns stolz vor den Medien.
Um die Transparenz zu stärken, würden «Systemteile» der neuen E-Voting-Software unter einer Open-Source-Lizenz veröffentlicht. Das bedeutet, dass im Prinzip jede Hackerin und jede Firma die Software nachbauen und verbessern kann. Andere Staaten könnten so etwa die Kryptografie-Code-Bibliotheken der Post nutzen, um eigene Software zu schreiben und ihre elektronischen Wahlen sicher zu verschlüsseln. Für einen Schweizer Bundeskonzern war das ein revolutionäres Vorgehen, es stiess in der IT-Szene auf breite Zustimmung.
Doch die Offensive erwies sich bald als PR-Schachzug. Denn die Post hat ihre Worte mit Bedacht gewählt. «Systemteile» bedeutet nämlich, dass nicht der ganze Code öffentlich nutzbar gemacht wird. Eine Mitarbeiterin des Staatsbetriebs drückt es so aus: «Wäre E-Voting ein Auto, wären die Räder und der Motor unter Open-Source-Lizenz, aber zum Beispiel das Steuerrad nicht.»
Die sprachliche Finesse wurde im Bundeshaus zum Gegenstand von hitzigen Debatten. Und zwar ab dem Zeitpunkt, als es um die Verordnung über die elektronische Stimmabgabe ging, die diesen April in die Vernehmlassung geschickt wurde. Und um den darin vorgesehenen E-Voting-Versuchsbetrieb, für den de facto nur ein Anbieter infrage kommt – die Post.
Gegenläufige Interessen
In diesen Streit sind auch die Bundeskanzlei und die Kantone involviert. Sie trafen sich nach den ersten Treffen 2019 ab Sommer 2020 zum regelmässigen Austausch, um die Anforderungen an den neuen E-Voting-Versuchsbetrieb zu diskutieren.
Die Bundeskanzlei machte in den Treffen klar: Von einer freien Nutzungslizenz – ob nun kommerziell oder wissenschaftlich – würden alle profitieren. «Wenn die Software oder Teile davon in anderen Projekten zum Einsatz kommen würden, beispielsweise bei Wahlen in einem anderen Land, profitiert die Schweiz von den Überprüfungen, die dort gemacht werden», sagte ein Mitarbeitender der Bundeskanzlei laut Protokoll der Sitzung vom 16. und 17. September 2020 dazu.
Die Bundeskanzlei stellte sich damit hinter die IT-Experten. Sie hatten zuvor im Dialog festgehalten: Wenn die Post ihren Quellcode nur einmalig offenlegt, ist dies nicht genug. Der Code soll dauerhaft und vollständig öffentlich nutzbar sein.
Das geeignete Mittel dafür ist eine Open-Source-Lizenz. «Nur mit einer solchen Lizenz kann digitale Nachhaltigkeit erreicht werden», sagt Matthias Stürmer, Leiter des Instituts für Public Sector Transformation an der Berner Fachhochschule, der am Expertendialog mit den Behörden beteiligt ist. Die Chance, dass wunde Punkte entdeckt würden, sei viel höher, wenn andere Firmen permanent mit dem Code arbeiten könnten statt nur einmalig, so Stürmer. Dürften diese Firmen den Code auch geschäftlich nutzen, so schaffe dies zusätzliche Anreize für Verbesserungen am Code.
Das sieht der Staatskonzern anders. Ihre eigene Position ist nüchtern festgehalten in der Sitzung vom 17. September 2020: «Das E-Voting-System der Post ist proprietär. Die Post erteilt dafür zurzeit keine Open-Source-Lizenz.» Aus der Sicht des Unternehmens sind die Kosten das schlagende Argument dafür: Der Bundeskonzern hat schon viel Geld in sein Prestigeprojekt investiert – gemäss einem vertraulichen Dokument knapp 20 Millionen Franken. Würde er die Software für die Öffentlichkeit ganz freigeben, könnte er dafür künftig kein Geld verlangen. Ein Insider der Post sagt: «Wir könnten das E-Voting-Programm bei verbindlicher Open-Source-Lizenz gleich abbrechen.»
Nebst diesem finanziellen hat die Post aber auch noch ein rechtliches Problem. Es gebe, so erklärt ein Sprecher, «bestimmte Patente, die verhindern, dass wir das System weltweit zur freien kommerziellen Nutzung freigeben können». Gemeint sind die Patente des spanischen Softwarelieferanten Scytl. Die Post hat nämlich die Rechte an dessen Code nur für die Schweiz erworben. Das verunmöglicht eine globale Nutzung.
In den Berner Sitzungen waren es vor allem die Kunden der Post – die Kantone –, die als Fürsprecher auftraten. So steht im Protokoll vom 17. September 2020 beim Punkt «Einschätzung der Kantone» etwa: «Wird eine Open-Source-Lizenz verlangt, zieht sich die Post zurück.»
Gegenüber der Republik verteidigt Marius Kobi, Leiter des Rechtsdienstes der Staatskanzlei des Kantons Thurgau, der ebenfalls am Expertendialog beteiligt war, den Standpunkt der Post: «Wir haben Zweifel, dass in einer Verordnung einem Anbieter eines E-Voting-Systems ein bestimmtes Businessmodell vorgeschrieben werden kann.»
Business siegt über Wissenschaft
Während sich die Bundeskanzlei an den Best Practices der IT-Fachwelt orientierte, führen die Kantone also die finanziellen Realitäten beim einzigen verbliebenen E-Voting-Anbieter in der Schweiz ins Feld.
An der Sitzung vom 6. November 2020 kam es zum finalen Showdown. Oder wie es im Jargon der Behörden heisst: zur Bereinigung der Differenzen.
Florian Schütz, Delegierter des Bundes für Cybersicherheit, weibelte erneut für eine weitreichende öffentliche Lizenz: «Der Trend geht in diese Richtung.» Stefan Bilger von der Staatsschreiberkonferenz und der St. Galler Staatssekretär Benedikt van Spyk hielten die Position der Kantone dagegen.
Als Kompromiss wurde am Schluss festgehalten: «Neben der Offenlegung des Quellcodes erklärt der SA VE (Steuerungsausschuss Vote électronique; Anm. d. Red.) die Absicht, dass für künftige Systeme und Systembestandteile die Offenlegung unter einer Open-Source-Lizenz gefordert wird.»
Entscheidend an dieser Formulierung ist das Wort «künftige». Es bringt zum Ausdruck, dass Open Source im Prinzip eigentlich die richtige Philosophie wäre. Aber dass sich die Post diesmal eben noch nicht daran halten muss.
Der Protokollbeschluss schlug sich schliesslich im Gesetzestext nieder. Die am 28. April 2021 publizierte Verordnung für den E-Voting-Versuchsbetrieb verlangt zwar eine vollständige Offenlegung des Quellcodes. Doch der Begriff «Open-Source-Lizenz» für das gesamte E-Voting-System fehlt. Nur die Überprüfungssoftware wird als Option für die freie Nutzung genannt.
Das bedeutet: Die Bundeskanzlei hat klein beigegeben und eine auf die Post zugeschnittene Verordnung zum E-Voting verabschiedet. Die Kanzlei selbst relativiert: Es handle sich ja nur um den Versuchsbetrieb. «In dieser Phase kann es ausreichen, die Software ohne Open-Source-Lizenz offenzulegen.» Entscheidend sei sowieso nicht die Lizenz selbst, es brauche vor allem eine aktive Community, die mit dem Code arbeite: «Für die Qualität und die Sicherheit ist es entscheidend, ob sich unabhängige Fachpersonen mit den offengelegten Unterlagen tatsächlich befassen.»
Enttäuschte Fachwelt
Es ist ein Huhn-oder-Ei-Argument, wie Kritikerinnen monieren. Und dazu noch falsch, wie andere Beispiele zeigen: «Beim Covid-Zertifikat hat man gute Erfahrungen mit einer Open-Source-Lizenz gesammelt», sagt ein beteiligter Wissenschaftler, der nicht genannt werden möchte. Österreich beispielsweise hat mit dem Covid-Zertifikat-Quellcode des Bundesamts für Informatik gearbeitet.
Der Security-Consultant Christian Folini, der den Expertendialog moderiert hat, ist grundsätzlich zufrieden mit der Verordnung. Doch er ist enttäuscht, dass eine Open-Source-Lizenz darin nicht zwingend vorgeschrieben ist. Der Bund übernehme damit eine Forderung der Post und mache sich «zum Komplizen des verbleibenden Systemanbieters».
Ähnliche Kritik kommt von der Digitalen Gesellschaft. Geschäftsführer Erik Schönenberger moniert, dass die Interessen der Post höher gewichtet würden als die Expertise der IT-Fachwelt.
Die Vernehmlassung, die bis zum 18. August läuft, ist der letzte demokratische Hebel zum Versuchsbetrieb. Danach wird die Verordnung überarbeitet und ohne parlamentarische Beratung verabschiedet. Entscheiden wird am Ende der Bundesrat oder die Bundeskanzlei. Ob sie dem E-Voting ein Happy End bereiten können, ist fraglich. Wahrscheinlicher scheint ein weiteres Kapitel einer unendlichen Geschichte.
Korrigendum: In einer ersten Version haben wir ein Zitat aus einem Protokoll Bundeskanzler Walter Thurnherr zugeschrieben. Richtig ist: Das Zitat stammt von einem Mitarbeiter der Bundeskanzlei.