Die Post kann beim E-Voting weiterbasteln

Es herrschte Kater­stimmung, als sich Vertreter von Bund und Kantonen 2019 zum Austausch über das Thema E-Voting trafen. Lange Zeit sei der Einsatz von E-Voting in ihrem Kanton unbestritten gewesen, dies habe sich nun geändert, sagte die Staats­schreiberin von Neuenburg, Séverine Despland. Der Aargau wollte E-Voting sistieren. Bern kündigte den Rückzug auf eine Beobachter­rolle an.

Diese ernüchternden Wort­meldungen sind in den Protokollen der Bundes­verwaltung vom 19. August, vom 29. November 2019 sowie vom 9. Juli 2020 zu finden, welche die Republik und der IT-Security-Forscher Christian Killer – zusammen mit weiteren Dokumenten – gestützt auf das Öffentlichkeits­gesetz erhalten haben. Sie zeigen ein weiteres Kapitel der langen und leidvollen Geschichte des Scheiterns.

Die Treffen zwischen der Bundes­verwaltung und den Kantonen fanden statt, nachdem im Frühling 2019 gravierende Schwach­stellen in der damaligen Software zur Stimm­abgabe gefunden worden waren und der Bundesrat das letzte grössere E-Voting-Projekt auf Eis gelegt hatte. Die eidgenössischen Wahlen im Oktober 2019 wurden nur auf Papier durchgeführt. Die Möglichkeit zur elektronischen Stimm­abgabe wurde verschoben. Verantwortlich für den Übungs­abbruch war die Post: Sie war nicht imstande, eine sichere E-Voting-Software zu liefern.

Danach sollte alles besser werden. Die Bundes­kanzlei verkündete Tabula rasa: Neustart auf Stufe eins, «Versuchs­betrieb». Diesmal unter Einbezug der IT-Community: In einem Experten­dialog sollten Wissenschaft­lerinnen Inputs einbringen, wie die gesetzlichen Anforderungen für das E-Voting aussehen sollten. Auch die Post wollte ihr Image wieder aufpolieren und lud Journalisten regel­mässig zu Hintergrund­gesprächen ein.

Die Revolution entpuppt sich als PR-Schachzug

Doch vom Optimismus, der damals nach aussen versprüht wurde, ist heute nicht mehr viel übrig. Im Gegenteil: Erneut kommt es zu Spannungen zwischen dem Staatskonzern und der IT-Community – zwischen kommerziellen Interessen und wissenschaftlich anerkannten Best Practices.

Streitpunkt: eine Software­lizenz. Sie sieht auf den ersten Blick sehr offen und fortschrittlich aus, entpuppt sich aber bei genauem Hinsehen als restriktiv – und bei weitem nicht so pionierhaft, wie die Post behauptet.

Ins öffentliche Bewusstsein gelangte diese Lizenz erstmals im Mai 2021. Der Staatsbetrieb verkündete ein Jahr zuvor selbst­bewusst eine Neuigkeit: Sie hatte den Quellcode der spanischen Software­lieferantin Scytl für deren E-Voting-System erworben.

Die umstrittene E-Voting-Firma aus Barcelona stand in der Vergangenheit mehrmals in der Kritik, wegen Sicherheits­lücken beim E-Counting (dem elektronischen Auszählen) und bei Wahl­maschinen in Ecuador und Spanien. Auch in der Schweiz war die gelieferte Software manipulations­anfällig. So sind die im Frühjahr 2019 entdeckten Sicherheits­lücken des E-Voting-Systems der Post auf «Unzulänglich­keiten in Entwicklungs­prozessen bei Scytl» zurück­zuführen, wie im Protokoll vom 19. August festgehalten wird.

Die Post pries den Erwerb des Scytl-Quellcodes trotzdem im Mai 2021 als «Investment in die digitale Kompetenz». Man baue nun ein eigenes Kryptografie-Zentrum in Neuenburg auf und schreibe Teile des Codes neu. Ausserdem sei ein sogenanntes Bug-Bounty-Programm vorgesehen, bei dem Hackerinnen den Code auf Herz und Nieren prüfen können und ein Preisgeld erhalten, wenn sie darin Fehler finden. «Wir sind Pioniere in Europa», sagten die Vertreter des Staats­konzerns stolz vor den Medien.

Um die Transparenz zu stärken, würden «System­teile» der neuen E-Voting-Software unter einer Open-Source-Lizenz veröffentlicht. Das bedeutet, dass im Prinzip jede Hackerin und jede Firma die Software nachbauen und verbessern kann. Andere Staaten könnten so etwa die Kryptografie-Code-Bibliotheken der Post nutzen, um eigene Software zu schreiben und ihre elektronischen Wahlen sicher zu verschlüsseln. Für einen Schweizer Bundes­konzern war das ein revolutionäres Vorgehen, es stiess in der IT-Szene auf breite Zustimmung.

Doch die Offensive erwies sich bald als PR-Schachzug. Denn die Post hat ihre Worte mit Bedacht gewählt. «Systemteile» bedeutet nämlich, dass nicht der ganze Code öffentlich nutzbar gemacht wird. Eine Mitarbeiterin des Staats­betriebs drückt es so aus: «Wäre E-Voting ein Auto, wären die Räder und der Motor unter Open-Source-Lizenz, aber zum Beispiel das Steuerrad nicht.»

Die sprachliche Finesse wurde im Bundes­haus zum Gegenstand von hitzigen Debatten. Und zwar ab dem Zeitpunkt, als es um die Verordnung über die elektronische Stimm­­abgabe ging, die diesen April in die Vernehm­lassung geschickt wurde. Und um den darin vorgesehenen E-Voting-Versuchs­betrieb, für den de facto nur ein Anbieter infrage kommt – die Post.

Gegenläufige Interessen

In diesen Streit sind auch die Bundes­kanzlei und die Kantone involviert. Sie trafen sich nach den ersten Treffen 2019 ab Sommer 2020 zum regel­mässigen Austausch, um die Anforderungen an den neuen E-Voting-Versuchs­betrieb zu diskutieren.

Die Bundeskanzlei machte in den Treffen klar: Von einer freien Nutzungs­lizenz – ob nun kommerziell oder wissenschaftlich – würden alle profitieren. «Wenn die Software oder Teile davon in anderen Projekten zum Einsatz kommen würden, beispiels­weise bei Wahlen in einem anderen Land, profitiert die Schweiz von den Über­prüfungen, die dort gemacht werden», sagte ein Mitarbeitender der Bundeskanzlei laut Protokoll der Sitzung vom 16. und 17. September 2020 dazu.

Die Bundeskanzlei stellte sich damit hinter die IT-Experten. Sie hatten zuvor im Dialog festgehalten: Wenn die Post ihren Quellcode nur einmalig offen­legt, ist dies nicht genug. Der Code soll dauerhaft und vollständig öffentlich nutzbar sein.

Das geeignete Mittel dafür ist eine Open-Source-Lizenz. «Nur mit einer solchen Lizenz kann digitale Nach­haltigkeit erreicht werden», sagt Matthias Stürmer, Leiter des Instituts für Public Sector Transformation an der Berner Fach­hochschule, der am Experten­dialog mit den Behörden beteiligt ist. Die Chance, dass wunde Punkte entdeckt würden, sei viel höher, wenn andere Firmen permanent mit dem Code arbeiten könnten statt nur einmalig, so Stürmer. Dürften diese Firmen den Code auch geschäftlich nutzen, so schaffe dies zusätzliche Anreize für Verbesserungen am Code.

Das sieht der Staatskonzern anders. Ihre eigene Position ist nüchtern festgehalten in der Sitzung vom 17. September 2020: «Das E-Voting-System der Post ist proprietär. Die Post erteilt dafür zurzeit keine Open-Source-Lizenz.» Aus der Sicht des Unternehmens sind die Kosten das schlagende Argument dafür: Der Bundes­konzern hat schon viel Geld in sein Prestige­projekt investiert – gemäss einem vertraulichen Dokument knapp 20 Millionen Franken. Würde er die Software für die Öffentlichkeit ganz freigeben, könnte er dafür künftig kein Geld verlangen. Ein Insider der Post sagt: «Wir könnten das E-Voting-Programm bei verbindlicher Open-Source-Lizenz gleich abbrechen.»

Nebst diesem finanziellen hat die Post aber auch noch ein rechtliches Problem. Es gebe, so erklärt ein Sprecher, «bestimmte Patente, die verhindern, dass wir das System weltweit zur freien kommerziellen Nutzung freigeben können». Gemeint sind die Patente des spanischen Software­lieferanten Scytl. Die Post hat nämlich die Rechte an dessen Code nur für die Schweiz erworben. Das verunmöglicht eine globale Nutzung.

In den Berner Sitzungen waren es vor allem die Kunden der Post – die Kantone –, die als Fürsprecher auftraten. So steht im Protokoll vom 17. September 2020 beim Punkt «Einschätzung der Kantone» etwa: «Wird eine Open-Source-Lizenz verlangt, zieht sich die Post zurück.»

Gegenüber der Republik verteidigt Marius Kobi, Leiter des Rechts­dienstes der Staats­kanzlei des Kantons Thurgau, der ebenfalls am Experten­dialog beteiligt war, den Stand­punkt der Post: «Wir haben Zweifel, dass in einer Verordnung einem Anbieter eines E-Voting-Systems ein bestimmtes Business­modell vorgeschrieben werden kann.»

Business siegt über Wissenschaft

Während sich die Bundes­kanzlei an den Best Practices der IT-Fachwelt orientierte, führen die Kantone also die finanziellen Realitäten beim einzigen verbliebenen E-Voting-Anbieter in der Schweiz ins Feld.

An der Sitzung vom 6. November 2020 kam es zum finalen Showdown. Oder wie es im Jargon der Behörden heisst: zur Bereinigung der Differenzen.

Florian Schütz, Delegierter des Bundes für Cyber­sicherheit, weibelte erneut für eine weitreichende öffentliche Lizenz: «Der Trend geht in diese Richtung.» Stefan Bilger von der Staats­schreiber­konferenz und der St. Galler Staats­sekretär Benedikt van Spyk hielten die Position der Kantone dagegen.

Als Kompromiss wurde am Schluss festgehalten: «Neben der Offenlegung des Quell­codes erklärt der SA VE (Steuerungs­ausschuss Vote électronique; Anm. d. Red.) die Absicht, dass für künftige Systeme und System­bestand­teile die Offen­legung unter einer Open-Source-Lizenz gefordert wird.»

Entscheidend an dieser Formulierung ist das Wort «künftige». Es bringt zum Ausdruck, dass Open Source im Prinzip eigentlich die richtige Philosophie wäre. Aber dass sich die Post diesmal eben noch nicht daran halten muss.

Der Protokoll­beschluss schlug sich schliesslich im Gesetzes­text nieder. Die am 28. April 2021 publizierte Verordnung für den E-Voting-Versuchs­­­betrieb verlangt zwar eine vollständige Offenlegung des Quell­codes. Doch der Begriff «Open-Source-Lizenz» für das gesamte E-Voting-System fehlt. Nur die Überprüfungs­software wird als Option für die freie Nutzung genannt.

Das bedeutet: Die Bundes­kanzlei hat klein beigegeben und eine auf die Post zugeschnittene Verordnung zum E-Voting verabschiedet. Die Kanzlei selbst relativiert: Es handle sich ja nur um den Versuchs­betrieb. «In dieser Phase kann es ausreichen, die Software ohne Open-Source-Lizenz offenzulegen.» Entscheidend sei sowieso nicht die Lizenz selbst, es brauche vor allem eine aktive Community, die mit dem Code arbeite: «Für die Qualität und die Sicherheit ist es entscheidend, ob sich unabhängige Fach­personen mit den offen­gelegten Unter­lagen tatsächlich befassen.»

Enttäuschte Fachwelt

Es ist ein Huhn-oder-Ei-Argument, wie Kritikerinnen monieren. Und dazu noch falsch, wie andere Beispiele zeigen: «Beim Covid-Zertifikat hat man gute Erfahrungen mit einer Open-Source-Lizenz gesammelt», sagt ein beteiligter Wissenschaftler, der nicht genannt werden möchte. Österreich beispiels­weise hat mit dem Covid-Zertifikat-Quellcode des Bundes­amts für Informatik gearbeitet.

Der Security-Consultant Christian Folini, der den Experten­dialog moderiert hat, ist grund­sätzlich zufrieden mit der Verordnung. Doch er ist enttäuscht, dass eine Open-Source-Lizenz darin nicht zwingend vorgeschrieben ist. Der Bund übernehme damit eine Forderung der Post und mache sich «zum Komplizen des verbleibenden System­anbieters».

Ähnliche Kritik kommt von der Digitalen Gesellschaft. Geschäfts­führer Erik Schönen­berger moniert, dass die Interessen der Post höher gewichtet würden als die Expertise der IT-Fachwelt.

Die Vernehmlassung, die bis zum 18. August läuft, ist der letzte demokratische Hebel zum Versuchs­betrieb. Danach wird die Verordnung überarbeitet und ohne parlamentarische Beratung verabschiedet. Entscheiden wird am Ende der Bundesrat oder die Bundes­kanzlei. Ob sie dem E-Voting ein Happy End bereiten können, ist fraglich. Wahrschein­licher scheint ein weiteres Kapitel einer unendlichen Geschichte.

Korrigendum: In einer ersten Version haben wir ein Zitat aus einem Protokoll Bundeskanzler Walter Thurnherr zugeschrieben. Richtig ist: Das Zitat stammt von einem Mitarbeiter der Bundeskanzlei.