Wie sicher sind die Schweizer E-Voting-Systeme? Diese Frage beschäftigt nicht nur die Politik, sondern auch die IT-Security-Szene. So widmete sich auch ein Themenblock am diesjährigen SwissCyberStorm in Luzern der elektronischen Stimmabgabe.
Bryan Ford zeigt an der SwissCyberStorm-Konferenz Risiken und Chancen von E-Voting auf
Die Sicherheit der Schweizer E-Voting-Systeme ist umstritten. Politisch hat der Bundesrat im April in einem E-Voting-Fahrplan festgelegt, dass bis 2019 in 30 Prozent der Schweizer Kantonen E-Voting für alle Stimmbürgerinnen und Stimmbürger möglich sein soll. Ein entsprechendes E-Voting-Gesetz wird gerade ausgearbeitet und soll im März 2018 im Parlament behandelt werden.
Doch auch der Widerstand formiert sich. So verlangt der Luzerner SVP-Nationalrat und Verwaltungsratspräsident des Rechenzentrenbetreibers Green.ch in einer Motion ein Moratorium und die Beschränkung des «Vote électronique» auf die Auslandschweizer. Auch der St. Galler FDP-Nationalrat und Digitec-Gründer Marcel Dobler ist skeptisch. In seiner Motion verlangt er einen Hacking-Wettbewerb zu veranstalten, mit einem Preisgeld von bis zu einer Million Franken. Wenn es den Hackern während zwei Abstimmungen in Folge nicht gelänge, Stimmen zu fälschen, sei dies die beste vertrauensbildende Massnahme, schreibt Dobler in dem Vorstoss und führt wörtlich an: «Weltkonzerne wie Google oder auch Tesla setzen ebenfalls auf diese bewährte Testart.» Auch in der IT-Security-Szene ist E-Voting ein Thema. Am SwissCyberStorm 2017 in Luzern wurde in gleich drei Vorträgen versucht, einerseits die Sicherheitsrisiken aufzuzeigen. Andererseits haben Vetreter der beiden Entwickler von E-Voting-Systemen in der Schweiz ihre Security-Vorkehrungen präsentiert, also die spanische Firma Scytl, die mit der Schweizerischen Post ein System entwickelt, und der Kanton Genf, der mit CHVote ein Konkurrenzprodukt anbietet.
Bedenken und Chancen
Als «neutraler» Experte hat Bryan Ford eine Übersichtsanalyse gegeben. Der Leiter des Decentralized/Distributed Systems Lab (Dedis) der ETH Lausanne empfiehlt generell, sich E-Voting mit Vorsicht zu nähern. Allerdings sollte auch keine Schwarzmalerei betrieben werden. Schliesslich biete die elektronische Stimmabgabe auch beträchtliche Chancen, nicht zuletzt um die Beteiligung der Stimmberechtigten zu erhöhen oder sogar die Demokratie weiterzuentwickeln und vielleicht künftig mehr Partizipationsformen der Bürgerinnen und Bürger einführen zu können.
Doch Risiken seien zumindest zum heutigen Standpunkt der Technik durchaus vorhanden, so Ford. Er verweist dabei auf die letzte Hackerkonferenz Defcon in Las Vegas, in der Voting-Systeme zum Teil innert Minuten von den beteiligten IT-Security-Spezialisten kompromittiert werden konnten. «Viele der dezeit weltweit im Einsatz stehenden E-Voting-Systeme sind fürchterlich unsicher», resümiert Ford, räumt aber im gleichen Atemzug ein, «dass dies ja nicht so bleiben muss». Nächste Seite: Spezielle Risiken der Schweizer Systeme und Absicherungsmassnahmen
Spezielle Risiken der Online-Stimmabgabe
Auch die in der Schweiz geplanten Lösungen weisen ihm zufolge hohe Risiken auf. Sowohl das von der Post als auch das vom Kanton Genf entwickelte System sieht vor, dass die Stimmberechtigten mit einem externen Rechner oder Smartphone online ihre Stimme abgeben können. Der EPFL-Professor weist in diesem Zusammenhang darauf hin, dass hier zusätzliche Risiken zu beachten seien. So habe der E-Voting-Betreiber keine Kontrolle über die Endgeräte der Stimmberechtigten. «Diese sind vielleicht alt, wurden nicht regelmässig mit Updates versehen und sind daher anfällig für Malware», erläutert Ford. Am gefährlichsten seien in diesem Zusammenhang Zero-Day-Lücken auf weit verbreiteten Endgeräten. «In diesem Fall könnte ein Angreifer auf einen Schlag viele Geräte für sich einspannen und mit diesen, zahlreiche Stimmen abgeben und somit das Abstimmungsresultat durchaus beeinflussen».
Es gibt reife Verfahren zur Absicherung
Doch E-Voting-Systeme liessen sich absichern. Schliesslich gibt es gemäss Ford eine Reihe, bereits reife Security-Verfahren. So könnten die elektronischen Stimmzettel kryptografisch überprüfbar gemischt werden, um sicher zu stellen, dass sie nicht verändert wurden. Dank homomorpher Verschlüsselung könne man zudem den Auszählungsprozess absichern, indem die verschlüsselten Stimmzettel gezählt werden können, bevor sie entschlüsselt werden. Des weiteren verweist Ford auf Blockchain-Verfahren. Diese sorgten für Transparenz, indem sich die Stimmabgabe öffentlich nachvollziehen lasse. Schliesslich verweist Ford auf Systeme mit «verteiltem Vertrauen». Mit diesen könne sicher gestellt werden, dass das System als Ganzes noch korrekt funktioniere, selbst wenn eine Komponente gehackt worden sei. «Auch bei der Papier-basierten Abstimmung gibt es Unsicherheiten. So muss man auch dort in vielen Dingen der Verwaltung vertrauen», führt er ins Feld. «Richtig gemacht, könnte E-Voting sogar für einen faireren und sichereren Abstimmungsprozess sorgen als dies bislang mit Wahlzetteln aus Papier möglich ist», hofft er. Tatsächlich scheinen die beiden für die Schweiz entwickelten E-Voting-Systeme einige der von Ford vorgeschlagenen Sicherheitsmerkmale zu berücksichtigen, nicht zuletzt weil diese schon in den Vorgaben der Bundeskanzlei verankert wurden (vgl. den «Anhang zur Verordnung der Bundeskanzlei ber die elektronische Stimmabgabe») oder noch künftig implementiert werden.
