E-Voting – Quo Vadis? Interview mit Mirjam Hostettler, Projektleiterin Vote électronique
Die Digitalisierung stellt die demokratischen Prozesse in der Schweiz vor neue Herausforderungen. Das Projekt Vote électronique des Bundes soll die Ausübung politischer Rechte über die elektronische Stimmabgabe ermöglichen. Seit 2004 haben in über 300 Versuchen insgesamt 15 Kantone Erfahrungen sammeln können.
Über Ziele und Herausforderungen des Projektes Vote électronique sprachen wir mit Mirjam Hostettler (Betriebsökonomin FH / EMBA Public Management). Frau Hostettler ist verantwortlich für die operative und fachliche Leitung des Projekts Vote électronique bei der Schweizerischen Bundeskanzlei.
1. Vote électronique – Ziele und Kooperationen
Welche Zielsetzung verfolgt Vote électronique?
E-Voting soll ganz grundsätzlich einen möglichst einfachen Zugang zur Ausübung der politischen Rechte gewähren. Die gültige Stimmabgabe soll unabhängig von Ort und Zeit elektronisch möglich werden. Damit gelangen wir schnell und präzise zum Resultat von Wahlen und Abstimmungen. E-Voting ermöglicht spezifischen Zielgruppen, wie Auslandschweizern und Menschen mit Behinderungen, die autonome Ausübung der politischen Rechte.
Ist E-Voting damit die Stimmabgabe der Zukunft?
E-Voting ist ein zusätzlicher Stimmkanal, der sich zur Stimmabgabe an der Urne oder per Brief hinzufügt. Ob die Stimmberechtigten diesem Kanal vertrauen und ihn akzeptieren, wird sich zeigen. Gemäss bisherigen Auswertungen des Versuchsbetriebs mit einem kleinen zugelassenen Elektorat (am Urnengang vom Februar 2019 waren es 2% der Stimmberechtigten), haben rund die Hälfte der Stimmberechtigten E-Voting gewählt. Weitere Versuche werden im Moment nicht durchgeführt, weil beim System der Post Mängel festgestellt wurden und momentan kein anderes System zur Verfügung steht. Das ist nach 15 Jahren Versuchsbetrieb ein grosser Rückschritt. Der Bundesrat hat im Juni 2019 gestützt auf das Resultat einer Vernehmlassung entschieden, dass der Versuchsbetrieb neu ausgerichtet und die Überführung in den ordentlichen Betrieb zurückgestellt wird.
Welches sind die zentralen Kooperationspartner des Projektes Vote électronique und was sind ihre wichtigsten Beiträge?
Es ist ein kooperatives Projekt, das sehr stark vom Föderalismus geprägt ist. Der Bund ist Bewilligungsinstanz und zuständig für die Festlegung der Sicherheitsanforderungen. E-Voting-Systeme und deren Betrieb müssen konform sein mit den bundesrechtlichen Anforderungen. Der Bund begleitet die Kantone bei der Einführung von E-Voting.
Die Kantone entscheiden, wann und wem sie die elektronische Stimmabgabe anbieten möchten. Sie müssen Rechtsgrundlagen auf kantonaler Ebene schaffen und Projektmittel beantragen. Somit liegt der Entscheid zur Einführung von E-Voting bei den Kantonen. Die Koordination zwischen Bund und Kantonen ist für das Gelingen des Projekts entscheidend.
Was für uns auch zentral ist: E-Voting ist ein langjähriges Forschungsgebiet (genauer: die E-Voting-Kryptographie). Die Wissenschaft liefert die nötigen Grundlagen, an welchen sich z.B. die Systemanbieter für die Entwicklung der Systeme orientieren können.
Arbeitet Vote électronique mit externen Stellen zusammen?
Der Austausch mit der Forschung ist äusserst wichtig für die Weiterentwicklung der Technologie. Wir tauschen uns regelmässig mit der Wissenschaft aus, z.B. an Konferenzen, wie der jährlichen Konferenz E-Vote ID (https://www.e-vote-id.org). So erhalten wir Feedback zu den Ereignissen in der Schweiz und den von den Behörden getroffenen Massnahmen und können uns entsprechend vernetzen. Wir haben z.B. das System der Post wissenschaftlich prüfen lassen, nachdem erhebliche Mängel entdeckt wurden. Die Prüfberichte sind öffentlich zugänglich (https://www.bk.admin.ch/bk/de/home/ politische-rechte/e-voting/berichte-und-studien. html).
2. Grösste Herausforderungen
Was waren die bisher grössten Hürden im Projekt Vote électronique?
Bei den Systemanbietern war es sicherlich der Aufbau der Systemtechnologie. Diese muss mit den umfangreichen Anforderungen des Bundesrechts konform sein. Die aktuell dritte Generation der Systeme strebt vollständige Verifizierbarkeit an. Der Rückzug des Kantons Genf als Systemanbieter und die identifizierten Sicherheitslücken im Quellcode des Post-Systems sind grosse Herausforderungen.
Die Kantone müssen die Rechtsgrundlagen vorgängig auch auf kantonaler Ebene schaffen und entsprechende finanzielle Mittel bereitstellen.
Der Bund legte parallel dazu die umfangreichen Anforderungen an Systemeigenschaften, Betrieb und Transparenz fest und begleitete die Kantone und Systemanbieter bei der Umsetzung.
Zum Thema Cybersecurity im Speziellen:
Die Initiative «Für eine sichere und vertrauenswürdige Demokratie» möchte E-Voting so lange blockieren, bis es mindestens so sicher gegen Manipulationen ist, wie die Stimmabgabe an der Urne. Wo sehen sie die grössten Risiken betreffend Cybersecurity, und welche Massnahmen erachten Sie als zentral zur Risikominimierung?
Wichtig ist die Unterscheidung zwischen Meinungsbildung und Stimmabgabe. E-Voting betrifft die Meinungsbildung nicht. Alle Stimmberechtigten erhalten die Abstimmungsunterlagen wie bisher per Post zugestellt. Die Stimmabgabe erfolgt über das Internet und bringt damit einhergehende Risiken mit sich, wie etwa die Erreichbarkeit der Systeme, die Manipulation der Stimmabgabe, die Umleitung auf eine falsche Seite, Malware etc. Diesen Risiken begegnet der Bund mit detaillierten Anforderungen an die Sicherheitsmassnahmen. Die Verordnung der Bundeskanzlei über die elektronische Stimmabgabe ist sehr umfangreich und implementiert auch internationale Standards, wie ISO 27001. Alleine auf den sicheren Betrieb zu setzen, genügt aber nicht. Die wichtigste Massnahme ist die Verifizierbarkeit. Die Hürden sind sehr hoch, trotzdem gehen wir davon aus, dass wir Angriffs- oder Manipulationsversuche nicht zu 100% verhindern können. Zentral ist, dass sich dank der Verifizierbarkeit auch erfolgreiche Manipulationsversuche mit Sicherheit feststellen lassen.
Welche konkreten Massnahmen dienen der Verifizierbarkeit?
Die Verifizierbarkeit stützt sich auf kryptographische Verfahren. Mit diesen Verfahren kann man – unter Wahrung des Stimmgeheimnisses – Transparenz über den korrekten Ablauf des Urnengangs herstellen. Die Verifizierbarkeit erfolgt individuell und universell.
Bei der individuellen Verifizierbarkeit kann ich als Stimmberechtigte überprüfen, ob meine Stimme unverändert angekommen ist. Dazu erhalte ich mit dem Stimm- und Wahlmaterial individuelle Codes per Post zugestellt. Nach der Stimmabgabe kann ich den vom System angezeigten Code mit meinen Unterlagen vergleichen. Der Code kann nur korrekt angezeigt werden, wenn meine Stimme unverändert registriert worden ist.
Bei der universellen Verifizierung wird gezeigt, dass auch beim kryptographischen Mischen der Stimmen (das ist die Massnahme, um das Stimmgeheimnis zu wahren) und beim Entschlüsseln und Zählen keine Stimme manipuliert wurde.
[Zur Sicherheit und Verifizierbarkeit: https://www.bk.admin.ch/bk/de/home/politische-rechte/e-voting/sicherheit-beim-e-voting.html]
Die Hackerin Sarah Jamie Lewis veranschaulichte im öffentlichen Intrusionstest der Post im Frühling 2019, warum die universelle Verifizierbarkeit entgegen den Angaben des Herstellers nicht gewährleistet war. Welche Schlüsse hat Vote électronique daraus gezogen?
Die Mängel im Quellcode des Post-Systems wurden unabhängig vom öffentlichen Intrusionstest von Wissenschaftlern entdeckt. Dies hat zum Rückzug des Systems durch die Post geführt, was die Bundeskanzlei als folgerichtig begrüsste. Die Gesamtentwicklung im Projekt hat zum Entscheid geführt, nun eine Neuausrichtung des Versuchsbetriebs vorzunehmen. Der Fokus liegt auf der Weiterentwicklung der Systeme mit einer vollständigen Verifizierbarkeit und der wirksamen Aufsicht und Kontrolle. Weiter sind die Transparenzmassnahmen zu stärken, was für das Vertrauen der Öffentlichkeit wichtig ist. Schliesslich ist die Vernetzung mit der Wissenschaft zu stärken.
Plant Vote électronique weitere Intrusionstests?
Das ist noch offen. Die bisherigen Erfahrungen mit dem öffentlichen Intrusionstest bei Bund und Kantonen sind sehr wertvoll. Der Intrusionstest ist auf grosses Interesse im In- und Ausland gestossen. Damit hat der Test ein wichtiges Ziel erreicht. Die zahlreichen Rückmeldungen bilden eine Grundlage zur Entwicklung von «Best Practices» im Bereich der Sicherheitstechnik. Davon können Systemanbieter und letztlich alle Akteure profitieren.
Gemäss Verordnung der Bundeskanzlei über die elektronische Stimmabgabe muss der Quellcode der zukünftigen Systeme mit vollständiger Verifizierbarkeit vor deren Ersteinsatz offengelegt werden. Welches sind Vor- und Nachteile dieser Umsetzung?
Die Offenlegung ermöglicht unabhängigen Dritten, sich selbst ein Bild der eingesetzten Software und Systemen zu machen. Behörden können externe Stellen einbeziehen und von deren Rückmeldungen profitieren. Der Austausch zwischen Bund und Wissenschaft erlaubt eine kontinuierliche Verbesserung und Versachlichung der Debatte. Der Bund hat sich daher für die Offenlegung entschieden.
Die Materie ist jedoch sehr komplex, der Quellcode besteht aus hunderttausenden von Programmzeilen. Die Offenlegung kann jederzeit zu vielen richtigen und falschen Rückmeldungen führen, damit müssen die Verantwortlichen umgehen können.
Was braucht es, um die grosse Mehrheit der Bevölkerung vom Projekt zu überzeugen?
In erster Linie sind die Qualität und Sicherheit der Systeme und des Betriebs entscheidend. Dann hängt es von den Transparenzmassnahmen ab. Es ist wichtig, dass sich die Stimmberechtigten ein eigenes Bild der Systeme machen können. Der Einbezug unabhängiger Stellen, insbesondere der Wissenschaft und Forschung, ist zur dauernden Weiterentwicklung unabdingbar. Es wird sich zeigen, ob das Vertrauen der Politik und des Stimmvolks für das E-Voting gewonnen werden kann. Letztlich hängt davon auch ab, ob die Kantone E-Voting als Angebot lancieren bzw. weiterführen.
3. Ausblick
Aus der Vernehmlassung zur Revision des Bundesgesetzes über die politischen Rechte (BPR, SR 161.1) geht hervor, dass eine deutliche Mehrheit der Kantone und der Parteien die Einführung von E-Voting grundsätzlich begrüssen. Die Konferenz der Kantonsregierungen sowie 19 Kantone befürworten die Überführung in den ordentlichen Betrieb. Diese Überführung erachten aber insbesondere die Parteien als verfrüht (Ergebnisbericht Vernehmlassung Änderung BPR Juni 2019:
https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id76798.html). Daher hat der Bundesrat beschlossen, vorerst auf die Teilrevision des BPR zu verzichten. Welche Anpassungen sind für die Überführung in den ordentlichen Betrieb zukünftig erforderlich?
Die Gesetzesvorlage hätte vorgesehen, die wichtigsten Eigenschaften von E-Voting, nämlich Verifizierbarkeit, Transparenz und Barrierefreiheit, auf Gesetzesstufe im Bundesrecht zu verankern. Diese sind aktuell auf Verordnungsstufe geregelt. Der Bundesrat hat sich nun für die Neuausrichtung des Versuchsbetriebs ausgesprochen. Somit stützt sich der Versuchsbetrieb nach wie vor auf die heute geltende Bestimmung im Bundesgesetz über die politischen Rechte (Art. 8a BPR).