Warum E-Voting zum Stresstest für die Demokratie werden könnte

Es ist eine zwanzigjährige Leidens­geschichte. Die Schweiz, das Land mit den weltweit meisten Abstimmungen, versucht seit zwei Dekaden krampfhaft, einen digitalen Stimmkanal einzuführen.

Nun wird seit langem erstmals wieder E-Voting für eine eidgenössische Wahl zugelassen. Die Kantone Basel-Stadt, St. Gallen und Thurgau dürfen bis 2025 mit dem digitalen Stimmkanal experimentieren. Doch die Begeisterung dafür hält sich stark in Grenzen. Der abtretende Bundes­kanzler Walter Thurnherr, der das Dossier jahrelang voran­getrieben hatte, erwähnte das Thema in einem kürzlich erschienenen Interview mit keinem einzigen Wort.

Das hat seine Gründe: Denn die Geschichte ist begleitet von Pleiten, Pech und Pannen – und ihr Happy End ist ebenso vorläufig wie trügerisch.

Die bisherige Geschichte geht so: Die Bundes­kanzlei – zuständig für Abstimmungen und Wahlen – liess 2003 das Bundes­gesetz über die politischen Rechte revidieren. Damit wollte sie E-Voting-Experimente ermöglichen. Der Impuls für das Wählen via Internet ging (und geht bis heute) stark von den Ausland­schweizerinnen aus, aber auch von den Behinderten­verbänden.

2005 startete der Kanton Neuenburg erste Tests mit dem E-Voting-System der Post, deren Software­lieferant die umstrittene spanische Firma Scytl war. Und auch ein Konsortium von acht Kantonen – darunter Aargau und Graubünden – experimentierte mit E-Voting, allerdings mit einem anderen System der Firma Unisys.

2015 folgte der erste Rückschlag: Die Bundes­kanzlei liess das System des Konsortiums durchfallen. Grund: Es hatte Lücken, aufgrund deren das Stimm­geheimnis nicht gewährleistet werden konnte.

Die Probleme des Monopolisten

Bundeskanzler Walter Thurnherr, der zum E-Voting-Turbo avanciert war, zog danach die Zügel bezüglich IT-Sicherheit an. Weil er wusste, dass anders kaum gegen den Widerstand der digitalen Zivil­gesellschaft und von IT-kompetenten Politikern anzukommen ist. Denn: E-Voting birgt massive konzeptionelle und technische Risiken.

• Die konzeptionellen Risiken: Nur wenige Personen sind imstande, die komplexen E-Voting-Systeme zu verstehen und Manipulationen aufzudecken. Die Bürgerin muss darauf vertrauen, dass ihre digitale Stimme nicht manipuliert wird, etwa von einer Mitarbeiterin des Kantons.

• Die technischen Risiken: Die Stimm­abgabe erfolgt beim digitalen Wählen und Abstimmen in einem Browser, der mit dem offenen Internet verbunden und damit angreifbar ist. Ein Hack des E-Voting-Systems betrifft nicht nur eine einzige Wahl­stimme, sondern potenziell Hundert­tausende. Aufgrund des fehlenden Papiers kann keine Nach- oder Neuauszählung der Stimmen stattfinden.

Die Bundeskanzlei verpflichtete deshalb die Anbieter – neben der Offen­legung des Quell­codes – zur Durch­führung von sogenannten Bug-Bounty-Programmen (Programme, bei denen jede Meldung von Software­fehlern und Sicherheits­lücken belohnt wird) und Penetrations­tests (legale Versuche, ein System von aussen zu hacken).

2019 nahm sich ein weiterer Anbieter aus Kosten­gründen aus dem Rennen: der Kanton Genf mit seinem selbst entwickelten Open-Source-System.

Es verblieb nur noch die Post, die von da an ein E-Voting-Monopol hatte. Doch auch die von ihr eingesetzte Software war nicht sicher, wie Recherchen der Republik zeigten. Der australische Bundes­staat New South Wales hatte 2015 dieselbe Software wie die Post eingesetzt – und Security-Forscher hatten eine gravierende Lücke im System entdeckt: Die Verschlüsselungen im Browser funktionierten nicht korrekt.

Auch in der Schweiz scheiterte Scytl, der Technologie­partner der Post, 2019 am Reality­check: Die kanadische Security-Forscherin Sarah Jamie Lewis und ihr Team fanden während der Test­phase zwei empfindliche Sicherheits­lücken. Ihr Verdikt war vernichtend: «Die Protokolle sind meiner Meinung nach mit fehlendem Verständnis der Kryptografie implementiert worden, kombiniert mit schlampiger Programmierung.»

Die Post zog darauf ihr System zurück.

Und die Politik drückte den Reset-Knopf.

2020 nahm das Parlament einen zweiten Anlauf und arbeitete neue Rechts­grundlagen für einen weiteren E-Voting-Versuchs­betrieb aus. Nur noch unabhängig geprüfte und vollständig verifizierbare Systeme sollen zugelassen werden. Das bedeutet: Sowohl die wählenden Bürger als auch die vom Kanton mandatierten Prüferinnen müssen feststellen können, ob die im Internet abgegebene Stimme korrekt in der digitalen Urne eingetroffen ist. E-Voting ist ausserdem nur für maximal 30 Prozent der Stimm­berechtigten zugelassen. Die Kantone schielen dabei vor allem auf die Ausland­schweizer.

Die Post hat in der Zwischenzeit ihre Haus­aufgaben gemacht. Sie kaufte den Quellcode ihres Lieferanten Scytl, entwickelte ihn weiter und bestand bisher alle Sicherheits­tests. Die Post verfügt nun über ein permanentes Bug-Bounty-Programm, 2022 nahmen 3400 Personen daran teil. Die Bundes­kanzlei war zufrieden: «Ein Eindringen in die Infrastruktur oder in die elektronische Urne ist nicht gelungen.» Im Juni 2023 haben 4239 Stimmberechtigte in Basel-Stadt, St. Gallen und Thurgau elektronisch abgestimmt. Die Post scheint den grossen Check des Bundes bestanden zu haben.

Das aktuelle E-Voting-System erweist sich also vorerst als robust. Nun können 65’000 Stimmberechtigte (1,2 Prozent des Elektorats) bis 2025 via Internet wählen und abstimmen. Ende gut, alles gut?

So einfach ist es leider nicht.

Verantwortung an Bürger abgeschoben

Die Bundeskanzlei sowie die Kantone legten im Sommer 2023 umfassende Risiko­beurteilungen vor, die von den Medien kaum beachtet wurden.

Der Techjournalismus-Blog «dnip.ch» aber analysierte die Berichte – und kam zum Schluss: Trotz aller technischer Fortschritte existiert immer noch eine Vielzahl von Risiken. Sie werden von Bund und Kantonen einfach entweder mit Massnahmen bewältigt (mehr Transparenz, mehr Dokumentation) – oder klein­geredet. Ein mögliches Risiko könnte zum Beispiel eine Situation darstellen, in der die Resultate der Papier­stimmen massiv von denen der digitalen Stimmen abweichen. Denn das könnte das Vertrauen in den elektronischen Stimm­kanal mindern. Die Kantone scheinen dieses Szenario als unwahrscheinlich einzuschätzen. Denn: Bisher sei dieses Phänomen noch nie aufgetreten.

Aber wird etwas auch in Zukunft nicht passieren, nur weil es noch nie eingetreten ist?

Die Bundeskanzlei wälzt den Grossteil der Verantwortung für korrektes digitales Abstimmen auf die Bürgerinnen ab. Diese müssen nicht nur anhand der Codes genau überprüfen, ob ihre Stimme korrekt übermittelt wurde, sondern darüber hinaus einige IT-Skills mitbringen: Wähler müssen anhand von Webserver-Zertifikaten erkennen, ob sie mit dem richtigen E-Voting-Server verbunden sind, über virenfreie digitale Endgeräte verfügen und neue Software-Updates laden (wie einfach ein Angriff hierbei passieren kann, demonstrierte soeben der Informatiker Andreas Kuster). Und sie dürfen auf keine Desinformations­kampagnen von ausländischen Hackerinnen reinfallen, niemals verdächtige Browser-Erweiterungen installieren und schon gar nicht auf dubiose Links klicken. Und sollte ein Bürger selber Unstimmigkeiten bemerken, muss er von sich aus aktiv werden und sich bei der zuständigen Stelle des Kantons melden.

Liest man all die Anforderungen durch, kommt man zum Schluss: Am besten würde der Staat die Schweizer Stimm­bevölkerung einen einwöchigen Cyberkurs absolvieren lassen.

Die beste Sicherheits­massnahme ist daher die bereits angesprochene verbindliche Vorgabe der Verordnung, dass nur ein beschränkter Teil der Wählerschaft für E-Voting zugelassen werden darf. Salopp gesagt: Sollte bei der Post etwas schiefgehen, kommt es auf die verlorenen Stimmen nicht allzu sehr an.

Doch auch das ist zu kurz gedacht: Zuweilen können wenige hundert Stimmen den Ausschlag geben. Der Blog «dnip.ch» nennt sinngemäss unter anderem folgende zentrale Fragen, die für politischen Spreng­stoff sorgen könnten: Wie gross ist die Hürde bei einer Manipulation elektronisch abgegebener Stimmen, um eine Abstimmung zu wiederholen? Und was machen die Behörden, wenn die Verlierer die Resultate wegen des E-Votings anzweifeln?

Müdigkeits­erscheinungen bei kritischen Geistern

Die Wieder­zulassung des E-Votings könnte zum Stress­test der Demokratie werden. Denn das Timing ist schlecht:

Erstens gibt es seit der Corona-Pandemie eine laute politik­verdrossene und staats­skeptische Minderheit, die sich eine digitale Öffentlichkeit auf Messenger-Apps wie Telegram aufgebaut hat. Sie könnte E-Voting-Ergebnisse systematisch anzweifeln und damit – sollte einmal ein schwerer Fehler gefunden werden – eine Demokratie-Krise auslösen.

Zweitens wird die Schweiz zurzeit von einer Cyber­attacke nach der anderen eingeholt. Fairerweise muss man sagen, dass es sich bei vielen der staatlichen IT-Desaster um Altlasten aus den 2000er- und frühen 2010er-Jahren handelt, etwa beim Beschaffungs­skandal rund um die Firma Xplain oder beim mittlerweile vom Netz genommenen elektronischen Impf­büchlein Meineimpfungen.ch. Trotzdem mindert jede negative Schlagzeile das Vertrauen in staatliche Digital­projekte.

Drittens birgt auch das Versagen privater Systeme Gefahren fürs E-Voting: So sind die Post­adressen von 425’000 Ausland­schweizerinnen im Darknet auffindbar, weil eine Druckerei des Medien­konzerns CH Media von der Ransomware-Gruppe Play gehackt worden war. Es wäre für Hacker­gruppen ein Leichtes, diese Adressen herunter­zuladen, anzuschreiben und sie damit auf eine manipulierte E-Voting-Seite ihres Kantons zu locken.

Und viertens lässt die Wachsamkeit nach. Nach zwanzig Jahren Debatte lassen sich Ermüdungs­erscheinungen in der hiesigen Informatikerinnen-Szene beobachten. Das «Swiss IT Magazine» kritisierte zu Recht, dass sich Schweizer IT-Verbände bei der Vernehmlassung zur Revision der E-Voting-Verordnung kaum mit den technischen Anhängen auseinander­gesetzt hatten. Inputs zu Schwach­stellen kamen stattdessen von ethischen Hackern aus der ganzen Welt. Die Begleitung von E-Voting braucht jedoch permanente Aufmerksamkeit, denn die Gefahren­lage im Netz verändert sich stets.

Ein Grundsatz­entscheid sollte her

Die lange Geschichte des E-Votings hat aber auch ihr Gutes. In all den Jahren ist ein neues politisches Bewusstsein rund um Software­entwicklungen der öffentlichen Hand entstanden. Öffentliche Sicherheits­prüfungen und Transparenz beim Quellcode werden beim Bund immer mehr zum State of the Art. Und zum Vorbild für weitere Projekte wie die Swiss-Covid-App.

Es wäre wünschenswert, würden diese Standards auf alle IT-relevanten Bereiche des Wählens ausgeweitet, etwa auch auf Systeme zur Ermittlung von Wahl­resultaten (die die Zuteilung der Sitze an die Parteien berechnen). Doch Wahlen sind Sache der Kantone. Und diese haben die Hoheit über ihre IT-Systeme. 2020 deckte die Republik Sicherheits­lücken in Software zur Ermittlung von Wahl­ergebnissen auf, die in der Folge behoben wurden. Die Kantone verlangen jedoch keine öffentlichen Sicherheits­tests wie beim E-Voting, was insbesondere die Piraten­partei kritisiert.

Die Prioritäten­liste der Schweizer Bundes­politik in Sachen Digitalisierung ist für langjährige Beobachter schwer nachvollziehbar. Weshalb wird mit E-Voting ausgerechnet die risikoreichste Form der Digitalisierung forciert, von der namhafte Cybersecurity-Expertinnen aus aller Welt immer wieder abraten? Die Schweiz hätte die vergangenen zwanzig Jahre dazu nutzen können, Demokratie-Innovationen zu fördern, mit denen Städte, Kantone und Zivil­gesellschaft bereits Pilot­projekte durch­führen: für ein partizipatives Budget (Luzern, Lausanne), digitale Unterschriften­sammlungen (Schaffhausen) oder ein digitales Vernehmlassungs­tool («Demokratis») etwa.

Es wäre gut, könnte die Schweizer Stimm­bevölkerung bald einen Grundsatz­entscheid zum E-Voting fällen. Bisher haben Befürworter die Legitimität von E-Voting mit Umfrage­werten begründet. Eine breite Allianz hatte 2020 einen erfolglosen Versuch unternommen, mit einer Volks­initiative ein Moratorium von E-Voting zu erreichen. Dennoch würde ein neuer Versuch Klarheit über den Volks­willen schaffen. Und damit endlich auch eine landesweite Debatte über alle Aspekte wie Sicherheit und politische Teilhabe ermöglichen, wie sie vor zwei Jahren bei der E-ID-Abstimmung geführt wurde.

Transparenzhinweis: Die Autorin ist Mit-Herausgeberin von dnip.ch.