E-Voting: gefährdete Demokratie?
E-Voting als Teil der fortschreitenden Digitalisierung ist derzeit und angesichts des bevorstehenden Wahljahres 2019 in der Schweiz ein wichtiges Thema. Doch spätestens seit der Diskussion um eine mögliche Beeinflussung der amerikanischen Präsidentschaftswahlen durch Russland ergeben sich jedoch auch Fragen zur Sicherheit der digitalen Lösung.
Sogenannte E-Voting-Systeme sind sehr komplex: Es muss allen teilnehmenden Stimmbürgerinnen und Stimmbürgern gegenüber eindeutig nachgewiesen werden können, dass ihre Stimme genau einmal richtig und anonym gezählt wurde. Das ist bei der heutigen Brief- und Urnenwahl auch nicht vollständig garantiert, aber dort sind zumindest etablierte und gesellschaftlich akzeptierte Kontrollprozesse vorhanden. Deshalb sollte ein neues, technisches System nicht schlechter sein als seine Vorläufer, sondern besser. Zudem verstehen die Stimmbürgerinnen und Stimmbürger ein Blatt Papier mit einem leeren Feld auch ohne weitere digitale Hilfsmittel, denen sie ebenfalls «blind» vertrauen müssten.
Auch Tests nützen wenig
Informatiksysteme sind zudem bekanntlich fehlerbehaftet. Es gibt keinen Grund zur Annahme, dass dies ausgerechnet bei digitalen Wahlsystemen anders sein sollte. Fehler können dabei im Algorithmus, in der Implementation, den darunterliegenden Hardware- und Software-Komponenten und/oder in der Bedienung, dem Betrieb, der Wartung oder der Überwachung auftreten. Ein Test (auch gegen ein signifikantes Preisgeld) ist selbst im Sinne einer Momentaufnahme für die Zukunft nicht aussagekräftig: Denn solche Tests können einerseits nur die Anwesenheit von Fehlern beweisen, aber nicht deren Abwesenheit. Andererseits wäre Staaten und Hackern das Wissen um eine mögliche Manipulierbarkeit von Wahlen und Abstimmungen (gegebenenfalls mit Wirkung für die Aussenbeziehungen der Schweiz) deutlich mehr wert – sie würden daher das Wissen um Schwachstellen wohl eher stillschweigend nutzen und nicht für eine einmalige Zahlung preisgeben.
Keine Sicherheitsgarantien
Darüber hinaus ist ein E-Voting-System immer in eine zusätzlich komplexe ICT-Infrastruktur eingebettet. Sie reicht dabei von den Betreibern nicht bekannten Endsystemen (PC, Tablet, Handy) der Benutzer über eine dynamische Verkettung von Internet-Netzanbietern bis hin zu den zentralen E-Voting-Systemen. In dieser komplexen Ende-zu-Ende-Kette können abschliessende und ausreichende Sicherheits- und Verfügbarkeitsgarantien nicht gegeben werden. Angriffe auf gemeinschaftlich genutzte Infrastrukturen («Denial of Service» gegen Internet-Provider, zentrale DNS-Server usw.) sind aus politischen und weltanschaulichen Gründen durchaus zu erwarten. Selbst grosse Konzerne können sich heute gegen solche Angriffe nur mit Mühe und unter Nutzung externer Zusatzdienste schützen. Man darf also nicht ohne Weiteres annehmen, dass die Schweiz hier entsprechende Redundanzen aufbauen kann, ohne (gegebenenfalls ausländische) Hilfsdienste aufzubieten. Und das für eine Wahl oder Abstimmung in der Schweiz!
Vergleich mit E-Banking hinkt
Auch der Vergleich mit dem als sicher angenommenen E-Banking hinkt. Die Banken haben seit etwa 20 Jahren sehr viel Geld und Arbeit in laufende Überwachung und Verbesserungen der Sicherheit investiert und werden auch künftig viel investieren. Hier wird jedoch allgemein akzeptiert, dass auch diese Systeme nicht völlig sicher sind, vor allem weil Endgeräte der Kunden ausserhalb der Zuständigkeit der Banken involviert sind und das sichere Benutzerverhalten eine grosse und wenig beeinflussbare Rolle spielt. Die entsprechenden, oft eher einseitigen Risikoabwälzungen durch E-Banking-Verträge und AGB wären für ein nationales E-Voting zudem kaum akzeptabel.
Konsequenzen einer möglichen Wahlbeeinflussung
Aus diesen technischen Schwachstellen ergeben sich signifikante Bedrohungen für einen geregelten, nachvollziehbaren und ausreichend zugänglichen Ablauf von Wahlen und Abstimmungen. Was geschieht, wenn der Software-Client oder Browser mitten in der Stimmabgabe abstürzt? Wie kann die abstimmende Person sicher sein, dass ihre Stimme ganz oder nur partiell (oder nicht) abgegeben und gezählt wurde? Was soll geschehen, wenn der Zugang zu den entsprechenden Netz- oder Serverinfrastrukturen zur Zeit der Stimmabgabe nicht möglich oder stark verlangsamt ist? Umgehungslösungen wie die dann zeitlich wohl noch knapp mögliche persönliche Stimmabgabe im Wahllokal zeigen deutlich die Grenzen der Digitalisierung auf. Sinkende Wahlbeteiligungen und -beschwerden in grosser Anzahl wären wohl vorprogrammiert. Zudem würde selbst ein (durch «fake news» am Folgetag rasch erzeugtes) Gerücht einer Beeinflussung eines sehr knappen Wahlausgangs grosse Unsicherheit und den sofortigen Ruf nach der Annullation oder Wiederholung von Wahlen und Abstimmungen provozieren. Es gab bereits erfolgreiche und (vermutlich) nicht illegal beeinflusste Durchführungen elektronischer Abstimmungen sowohl kantonal in der Schweiz als auch in anderen Ländern. Diese jedoch sogleich als Grosserfolg und Handlungsimperativ hochzurechnen, ist weder statistisch noch inhaltlich statthaft. Allenfalls waren diese Pilotversuche einfach noch zu wenig attraktiv für Angriffsziele von Hackern. Grosse Nachbarländer wie Frankreich und Deutschland bremsen ihre E-Voting-Anstrengungen nicht ohne Grund und Länder wie Norwegen haben sich trotz der Einrichtung entsprechender elektronischer Wahl- und Abstimmungssysteme aus Angst vor möglichen Beeinflussungen dann doch für die Nicht-Einführung entschieden.
Fazit
Es gibt bezüglich der Sicherheit und Verfügbarkeit des E-Voting signifikante Bedenken, die sorgfältig adressiert werden müssen, auch wenn dies Zeit kostet. Aus politischen Gründen Zeitdruck zu erzeugen, ist selten hilfreich und führt zu gefährlichen Alleingängen in einzelnen Städten oder Kantonen. Es würden nur inkompatible Teilsysteme entstehen, für die jeweils sehr spezifisches und teures Know-how aufgebaut und erhalten werden muss. Es werden also durch E-Voting kurz- und mittelfristig auch keine Kosten eingespart, da weder die Briefwahl noch die Urnenabstimmung abgelöst werden können, solange nicht 100 Prozent der Stimmbürgerinnen und Stimmbürger «online» sind beziehungsweise sein wollen. Im Gegenteil entstehen signifikante projektseitige und betriebliche Zusatzaufwände. Auch das Argument einer stärkeren Beteiligung der jungen Generation an der politischen Willensbildung scheint nur vordergründig stichhaltig. Die Komplexität der Abstimmungsvorlagen und die zu beobachtende Politikverdrossenheit von Teilen der Bevölkerung kann kaum durch die reine Bereitstellung eines digitalen Zugangs behoben werden. Nicht jeder Gegner des E-Votings ist ein «verknöcherter» Traditionalist oder hat die Digitalisierung nicht verstanden. Bezüglich Digitalisierung gäbe es sicher andere Tätigkeitsfelder, die mit weniger Risiken für einen der wesentlichen Grundpfeiler der direkten Demokratie angegangen werden könnten. Es ist nicht nötig, dass die Schweiz hier vorprescht, es sei denn im Rahmen eines begrenzten und genau beobachteten Pilotversuchs: beispielsweise zur besseren Einbindung der signifikanten Gruppe der wahlberechtigten Auslandschweizerinnen und Auslandschweizer (z.B. in Ländern mit Einschränkungen für die Teilnahme an einer Briefwahl). Denkbar wäre auch die Nutzung und vertiefte Erprobung des E-Votings für konsultative Abstimmungen (aber mit vermutlich nur geringer Beteiligung und statistischer Aussagekraft). Ein Kompromiss zwischen der Idee eines generellen Moratoriums und einer sofortigen Flächendeckung beim E-Voting wäre also ohne Zeit- und Handlungsdruck durchaus möglich.
Zum Autor: Prof. P. Lubich ist Dozent für ICT-System- und -Service-Management an der Fachhochschule Nordwestschweiz. Er ist zudem als Berater für Informatik-Strategien, Informationssicherheit und Risiko-Management tätig.
