Rapperswil-Jona, 2018-03-02
Status: PUBLISHED
Verschickt an: Stadtverwaltung, Kanton, Lokalmedien, Lokalparteien, Netzpolitische Vereine

(Update 2018-06-17: Wir haben das aktuelle E-Voting-System im Kanton SG mal bezüglich Wahrung des Stimmgeheimnis geprüft.)

Inhalt

Intro

Der in Rapperswil-Jona beheimatete Verein Coredump betreibt einen Treffpunkt für Technik- und IT-Interessierte (einen sogenannten «Hackerspace») im Vinora-Areal und engagiert sich in der Region seit 2013 durch Bildungs- und Infrastrukturangebote, beispielsweise beim Ferienpass. Viele der Mitglieder sind Fachleute aus dem Informatik- und Technologie-Bereich. Der Coredump ist auch dem Chaos Computer Club Schweiz angeschlossen.

Rapperswil-Jona ist eine der Pilotgemeinden, in der auch im Inland lebende Schweizer Bürger und Bürgerinnnen ihre Stimme an der Abstimmung vom kommenden Sonntag elektronisch über das Internet abgeben können. Aus diesem Anlass möchten wir ein paar Worte dazu abgeben.

Der Coredump rät den Bürgerinnen und Bürgern von Rapperswil-Jona, das E-Voting nicht zu verwenden und ihre Stimme entweder persönlich an der Urne oder (rechtzeitig!) brieflich abzugeben.

Vom Kanton St. Gallen wünscht er sich, auf E-Voting für Inlandschweizer ganz zu verzichten, bis adäquate Lösungen verfügbar sind, was derzeit nicht gegeben ist (und es vielleicht nie sein wird).

Anforderungen an E-Voting-Verfahren

Eine Abstimmung auf elektronischem Weg hat den gleichen Anforderungen zu genügen, wie eine Stimmabgabe per Papier:

  1. Das Stimmgeheimnis muss gewahrt werden.
  2. Das Ergebnis der Abstimmung muss überprüfbar korrekt sein.
  3. Es muss nachvollziehbar sein, wie das Stimmgeheimnis gewahrt wird und wie das Ergebnis zustande kommt und überprüft werden kann.

1: Stimmgeheimnis

Bei der Stimmabgabe an der Urne wird das Stimmgeheimnis dadurch gewahrt, dass die abstimmende Person den von ihr markierten Stimmzettel niemandem offen zeigt, bevor sie ihn in die Urne einwirft. Desweiteren ist es wichtig, dass mehrere Stimmberechtigte ihren jeweiligen Zettel in die selbe Urne einwerfen, so dass diese Stimmzettel für alle Stimmberechtigten gleich aussehen. Nach dem Öffnen der Urne lassen sich die einzelnen Zettel nicht mehr einzelnen Stimmberechtigten zuordnen.

Ein ähnliches «Pooling» stellt bei der brieflichen Stimmabgabe das Stimmgeheimnis sicher: Der markierte Stimmzettel wird zwar zusammen mit dem persönlichen Stimmrechtsausweis zurückgeschickt, jedoch in einem weiteren, nicht personalisierten Innen-Couvert, welches zusammen mit dem Stimmrechtsausweis in das Rücksende-Couvert kommt. Auf der Gemeinde werden die Rücksende-Couverts geöffnet und der Stimmrechtsausweis überprüft. Ist dieser in Ordnung, kommt das noch verschlossene Stimmzettel-Couvert (ohne den Stimmrechtsausweis) z. B. ebenfalls in eine Urne, zusammen mit den Stimmzettel-Couverts anderer Brief-Abstimmer. Nach dem Öffnen der Urne lassen sich die Couverts nicht mehr einzelnen Absendern zuordnen und können geöffnet werden.

Dass ein solcher Prozess korrekt eingehalten wird, kann von Wahlhelfern und Wahlbeobachtern überprüft werden, die das Prozedere genau verfolgen. Da diese Personen von verschiedenen politischen Lagern gestellt werden, haben sie kein Interesse, sich abzusprechen um eine mögliche Regel-Verletzung zu vertuschen.

Eine gleichwertige Garantie der Nicht-Zuordenbarkeit einzelner Stimmen zu Stimmberechtigten muss auch eine E-Voting-Lösung bieten.

Der prinzipielle Mechanismus, über den das Verfahren das Stimmgeheimnis sicherstellt, muss bekannt und für den Bürger verständlich und nachvollziehbar sein. Die detaillierte Ausführung des Mechanismus (die Implementation) muss ebenfalls bekannt und für Fachleute verständlich und nachvollziehbar sein. Dazu muss auch überprüfbar sein, ob der tatsächlich angewandte Mechanismus und dessen Ausführung der veröffentlichten Beschreibung derselben entspricht.

2: Korrektheit

Willensbekundung (Cast-as-intended)

Die Stimme soll dem Willen der/des Stimmberechtigten entsprechen. Bei Stimmzetteln wird dies sichergestellt, indem die Fragen darauf in allgemeinverständlicher Sprache geschrieben sind und die Antwort in ebensolcher (oder durch Ankreuzen) abzugeben ist.

E-Voting-Lösungen haben den fundamentalen Nachteil, dass das Endgerät der abstimmenden Person manipuliert sein kann, beispielsweise durch einen Trojaner. Eine solche Software kann eine Stimmabgabe unbemerkt verändern, so dass womöglich eine andere Stimme abgegeben wird als beabsichtigt. Gezielt entwickelte Malware kann sich möglicherweise mehrere Jahre unentdeckt auf Rechnern verbergen. Eine E-Voting-Lösung, welche sich auf die Sicherheit eines Endgerätes verlässt, ist unzulänglich.

Bereits im Jahr 2013 wurde der Beweis erbracht, dass das vom Kanton Genf entwickelte und am Sonntag auch in Rapperswil-Jona eingesetzte System «CH-Vote» durch einen Virus angreifbar war. (Ob die Lücke in der Zwischenzeit geschlossen wurde, ist uns nicht bekannt.) Der Informatiker und besorgte Stimmbürger Sebastien Andrivet zeigte, dass aus einer «Ja»-Stimme auch ein «Nein» werden kann: https://www.tagesanzeiger.ch/schweiz/Auftragshacker-knackt-elektronische-Abstimmung/story/13966760

Erfassung (Recorded-as-cast)

Die abgegebene Stimme soll die der/des Stimmberechtigten sein. Dies wird bei Stimmzetteln sichergestellt, indem die Stimmberechtigten ihren Stimmzettel selbst mit ihrer Antwort markieren und ihn persönlich in die Urne einwerfen. (Oder den Stimmbrief selbst bei der Gemeinde einwerfen, oder – sofern sie der Post vertrauen – selbst bei dieser aufgeben.)

Ein Stimmbürger muss bei einer E-Voting-Lösung verifizieren können, ob eine abgegebene Stimme korrekt gespeichert und verarbeitet wurde. Dies muss auf eine Art und Weise geschehen können, welche nicht auf reinem Vertrauen basiert.

Zählung (Counted-as-recorded)

Die gezählten Stimmen müssen den abgegebenen entsprechen. Klassisch wird das sichergestellt, indem die (allgemeinverständlich markierten) Stimmzettel unter Aufsicht gezählt werden. Aufsicht beim Öffnen der Urnen und beim Leeren des Gemeinde-Briefkastens stellen sicher, dass keine Stimmen hinzugefügt oder entfernt werden.

Eine E-Voting-Lösung muss sicherstellen, dass jede abgegebene Stimme gezählt wurde und dass keine zusätzlichen Stimmen hinzugefügt wurden. Da die Stimmabgabe selbst nicht lückenlos überwacht werden kann, muss der Stimmbürger überprüfen können, ob seine Stimme im Endergebnis berücksichtigt wurde. Zudem muss beweisbar sein, dass keine nicht abgegebene Stimme (beispielsweise von Bürgern, welche nicht abgestimmt haben) mitgezählt wurde.

Nur Stimmberechtigte

Nur Stimmberechtigte Bürgerinnen und Bürger dürfen sich an einer Abstimmung beteiligen. Dies wird durch die Überprüfung des Stimmrechtsausweises sichergestellt.

Eine E-Voting-Lösung muss ebenfalls sicherstellen, dass nur berechtigte Personen eine Stimme abgeben können.

Jeder nur eine Stimme (pro Abstimmungsfrage)

Stimmberechtigte Bürgerinnen und Bürger dürfen pro Abstimmungsfrage nur 1 mal eine Stimme abgeben. Diese darf nur 1 mal gezählt werden. Bei der Papierwahl wird dies sichergestellt, indem die Stimmrechtsausweise mit der Liste der Stimmberechtigten abgeglichen werden und die Abgabe der Stimme registriert wird.

Eine E-Voting-Lösung muss sicherstellen, dass ein Stimmbürger weder mehrmalig abstimmen kann, noch eine Stimme mehrfach gezählt werden kann.

Korrektheit: Zusammenfassung

Eine gleichwertige Garantie der Korrektheit des Stimm-Ergebnisses muss auch eine E-Voting-Lösung bieten.

Nur wenige hoch spezialisierte Kryptologen verstehen die notwendigen – teilweise experimentellen – Algorithmen, welche das theoretische Erfüllen der meisten dieser Anforderungen in der Theorie ermöglichen würden.

Die Theorie muss jedoch auch in Programmcode umgesetzt werden. In der Software-Entwicklung ist es allgemein akzeptiert, dass fehlerfreie Software nicht existiert. Im Bereich von E-Banking und Online-Payments wird mit diesem Fakt umgegangen, indem sich die Banken und Zahlungsanbieter mittels AGBs und Versicherungen absichern. Im Zweifelsfall kann auch mal Kulanz gewährt werden. Die Schweizer Demokratie ist jedoch keine Banküberweisung. Eine in Theorie und Praxis 100 % sichere und korrekte Abgabe über elektronische Systeme ist fundamental nicht möglich.

3: Nachvollziehbarkeit

Der prinzipielle Mechanismus, über den das Verfahren die Ergebnis-Korrekheit sicherstellt, muss bekannt und für den Bürger verständlich und nachvollziehbar sein. Die detaillierte Ausführung des Mechanismus (die Implementation) muss ebenfalls bekannt und für Fachleute verständlich und nachvollziehbar sein. Dazu muss auch überprüfbar sein, ob der tatsächlich angewandte Mechanismus und dessen Ausführung der veröffentlichten Beschreibung derselben entspricht.

Überprüfbarkeit

Sollten begründete Zweifel an der Korrektheit einer Abstimmung auftauchen, kann eine Neuauszählung der Stimmen einiger oder aller Gemeinden durchgeführt werden. Hierbei werden die Stimmzettel nochmals durch unabhängige Personen gezählt. Eine Neuauszählung ist einfach zu verstehen und einfach (wenn auch aufwändig) durchzuführen.

Eine gleichwertige Möglichkeit der Überprüfung des Stimm-Ergebnisses muss auch eine E-Voting-Lösung bieten.

Verständlichkeit

Der Ablauf einer Papierwahl ist für jede interessierte stimmberechtigte Person einfach verständlich. Dies ist bei aktuellen E-Voting-Lösungen wie CH-Vote nicht gegeben. Selbst interessierte und gut gebildete Stimmbürger können die dazu benötigten elektronischen Systeme nicht überblicken und verstehen. Das Zustandekommen des Abstimmungs-Ergebnisses ist nicht nachvollziehbar.

Die Spezifikation für CH-Vote 1.3 ist über 120 Seiten lang (siehe https://eprint.iacr.org/2017/325.pdf). Selbst Personen mit einer fundierten Ausbildung in den Bereichen Software-Engineering, IT Security oder Mathematik können diese Spezifikation nicht ohne Weiteres verstehen. Lediglich eine sehr kleine Zahl spezialisierter Kryptologen können im Detail verstehen, wie das System – zumindest in der Theorie – funktioniert. Es muss vertraut werden.

In der Praxis sieht die Sache nochmals anders aus. Die Spezifikation muss umgesetzt werden. Kryptologen sind nicht umbedingt auch Spezialisten für sichere Softwareentwicklung. In der Regel sind die Designer und Entwickler eines solchen Systemes unterschiedliche Personengruppen. Die Implementation eines Projektes wie CH-Vote ist gross und komplex. Sie kann von Bürgern nicht einfach verstanden und nachvollzogen werden. Es muss vertraut werden.

Auditierbarkeit

Die in den vorigen Abschnitten geforderte Überpüfbarkeit des Verfahrens durch Fachleute (Mathematiker, Kryptologen, Softwareentwickler, Sicherheitsforscher) ist praktisch nur möglich, wenn:

  • die Spezifikation und Dokumentation offen und frei verfügbar sind
  • die Implementation offen und frei verfügbar und testbar ist, im Idealfall als Free/Libre/OpenSource-Software (FLOSS)
  • das Verfahren und dessen Umsetzung genügend gut strukturiert und einfach genug sind, um:
    • die sicherheitsrelevanten Teile des Verfahrens zu identifizieren
    • die sicherheitsrelevanten Teile des Verfahrens zu isolieren
    • die entsprechenden Teile der Umsetzung zu identifizieren und zu isolieren
  • die sicherheitsrelevanten Teile des Verfahrens genügend gut strukturiert und einfach genug sind, um:
    • von Experten (z. B. Kryptologen) vollständig verstanden zu werden, auch in ihrem Zusammenspiel
    • von Fachleuten auf Tauglichkeit bzgl. der Anforderungen an eine Abstimmung beurteilt werden zu können
  • überprüfbar ist, ob tatsächlich das dokumentierte Verfahren zur Anwendung kommt

Zusammenfassung

Wie die Erfahrung der letzten Jahrzehnte (Malware-Angriffe, Phishing-Wellen, Fehler in sicherheitsrelevanter Software, Fehler in der eingesetzten Hardware, Fehler in der Sicherung von Netzwerken, gezielte Angriffe durch nichtstaatliche und staatlichen Aktoren wie die NSA) gezeigt hat, gibt es wohl keine elektronischen Systeme, die sowohl praktisch nutzbar als auch sicher sind. Anderweitige Behauptungen sind realitätsfremd. Sehr schön aufgezeigt wird dies durch den diese Woche bekannt gewordenen und womöglich seit einem Jahr bestehenden russischen Hack auf ein «besonders geschütztes» Datennetz des Deutschen Bundes (Spiegel Online). Gezielte grossflächige Wahlmanipulation in der Schweiz aus dem In- und Ausland ist durchaus denkbar.

Die Volksabstimmungen sind ein fundamentales Werkzeug der Schweizer Demokratie und bilden den Grundstein für die Meinungsbildung, Politik und Gesetzgebung. Mit der Einführung von E-Voting gefährden wir die Korrektheit der Abstimmungen sowie auch das Vertrauen der Bürger in unsere Demokratie. Das aktuelle System der Papierwahl ist nicht perfekt, aber die Nachteile von E-Voting wiegen in unseren Augen weitaus schwerer als mögliche Vorteile.

Wir vom Verein Coredump legen der Verwaltung des Kantons St. Gallen, der Verwaltung der Stadt Rapperswil-Jona sowie den Schweizer Stimmbürgern dringend nahe, auf E-Voting in naher und ferner Zukunft zu verzichten, solange die fundamentalen Probleme mit der elektronischen Stimmabgabe nicht behoben sind. Wir befürworten zum aktuellen Zeitpunkt E-Government, nicht jedoch E-Voting.

Referenzen / Links

Kontakt

E-Mail an vorstand@lists.coredump.ch. Nachrichten werden in der Regel rasch beantwortet.