E-Voting: Ohne Vertrauen, um jeden Preis

E-Voting bringt unnötige Risiken mit sich. Die Ressourcen dafür würden besser für eine Optimierung der bewährten Abstimmung per Brief verwendet.

Am kommenden Sonntag, 28. November 2010 werden in der Schweiz auf Bundesebene die Stimmen zur «Ausschaffungsinitiative» und dem entsprechenden bundesrätlichen Gegenentwurf sowie zur «Steuergerechtigkeits»-Initiative ausgezählt.

voting machine
Bild: Flickr/RogueSun Media, CC BY-ND-Lizenz.

Ein Teil dieser Stimmen wird per E-Voting (Vote électronique) erfasst werden, beispielsweise in Versuchsgemeinden im Kanton Zürich oder von einem Teil der so genannten Auslandschweizer, das heisst Personen mit Schweizer Staatsangehörigkeit, die ausserhalb der Schweiz ansässig sind und E-Voting nutzen können (siehe dazu unseren Artikel «Elektronische Stimmabgabe im Test»).

Mindestanforderungen an E-Voting

Direktdemokratische Abstimmungen und Wahlen müssen gemäss der deutschsprachigen Wikipedia folgende Mindestanforderungen erfüllen, um politisch ausreichend legitimierte Entscheidungen herbeizuführen:

  • Berechtigung: Nur die Personen, die zur Wahl zugelassen sind, dürfen Stimmen abgeben.
  • Gleichheit: Jeder Wähler darf nur einmalig und mit gleichem Stimmengewicht abstimmen. […]
  • Privatheit: Niemand kann ermitteln, welche Stimme ein Wähler abgegeben hat. [Stimmgeheimnis, Wahlgeheimnis.]
  • Fälschungssicherheit: Gültige Stimmen dürfen nicht verändert (gefälscht) werden. Gültige Stimmen dürfen nicht vernichtet werden. Es dürfen keine Stimmen hinzugefügt werden, insbesondere dürfen aus ungültigen Stimmen keine gültigen gemacht werden.
  • Überprüfbarkeit: Jeder Wähler hat die Möglichkeit, unabhängig von jeder anderen Person die Korrektheit der Wahl einschließlich aller vorher genannten Punkte zu prüfen.

Im Gegensatz zu herkömmlichen Stimm- und Wahlverfahren via Urne oder brieflich auf dem Postweg kann E-Voting diese Anforderungen aber nicht erfüllen – in Deutschland funktionierte E-Voting nicht einmal mittels Wahlcomputer direkt in Wahllokalen! Die Stimmbürger und Wähler müssen stattdessen im Wesentlichen darauf vertrauen, dass die verwendeten E-Voting-Systeme im Sinn einer «Black Box» korrekt funktionieren und nicht manipuliert werden.

E-Voting als «Black Box»

Im Kanton Zürich ist das Statistische Amt für E-Voting zuständig und so gelangte ich mit folgenden Fragen an dessen Amtschef Prof. Dr. Giampiero Beroggi, nachdem online kaum relevante Informationen zu finden gewesen waren:

Gibt es eine Dokumentation zum E-Voting im Kanton Zürich und den verwendeten Systemen, insbesondere im Bezug auf das Stimmgeheimnis und die Nachvollziehbarkeit sowie Überprüfung der Abstimmungen und Wahlen? Wie können sich Zürcher Wähler selbst von der Sicherheit der verwendeten E-Voting-Lösung überzeugen?

Die Antwort von Dr. Beroggi fiel enttäuschend und wenig überzeugend aus, denn meine Fragen wurden weitgehend ignoriert:

Bezüglich der Sicherheit des E-Voting Systems muss zuerst gesagt werden, dass sich das heutige System in einer Testphase befindet, welche noch bis Ende 2011 dauert. Darin wird natürlich vor allem die Sicherheit untersucht. In dieser Testphase haben aber lediglich 10% der Stimmberechtigten im Kanton ZH Zugang zum E-Voting. Davon machen lediglich rund 20% Gebrauch, so dass nur rund 2% der abgegebenen Stimmen E-Voting Stimmen sind. Damit wird sichergestellt, dass schon in der Testphase, selbst wenn sich ein entscheidendes Sicherheitsproblem herausstellen würde, der Ausgang einer Abstimmung grundsätzlich nicht gefährdet sein sollte. Weiter muss bemerkt werden, dass selbst das Testsystem in allen Details von der Bundeskanzlei überprüft und abgenommen wurde.

Soviel zum Grundsätzlichen. Bezüglich öffentlich zugänglicher Berichte zum E-Voting kann ich Ihnen die zwei im Anhang beigefügten Berichte schicken, welche ja im Internet öffentlich zugänglich sind. Auf Ende 2010/anfangs 2011 werden wir dem Regierungsrat einen Schlussbericht zur Testphase 2008-11 vorlegen. Vermutlich wird ein Teil oder der ganze Bericht öffentlich sein, aber dann erst gegen Ende 2011.

Die erwähnten Berichte im Anhang der E-Mail-Antwort waren der Artikel «Secure and Easy Internet Voting» von Dr. Beroggi selbst vom Februar 2008 (PDF-Datei) und der bundesrätliche «Bericht über die Pilotprojekte zum Vote électronique» vom Mai 2006 (PDF-Datei).

Insbesondere der bundesrätliche Bericht führt die zahlreichen Risiken von E-Voting auf und bestreitet nicht, dass überzeugende Lösungen fehlen, hält aber dennoch an der Einführung von E-Voting in der Schweiz fest, wie sie in der Zwischenzeit schon deutlich fortgeschritten ist. Exemplarisch dazu das hilflose Zwischenfazit bezüglich Beweisbarkeit und Nachvollziehbarkeit aus dem Bericht:

Die Risiken, die in einer fehlenden Nachvollziehbarkeit und Beweisbarkeit begründet sind, müssen als hoch eingestuft werden. Die Pilotkantone haben bei der Umsetzung Lösungsmöglichkeiten entwickelt, die zwar nicht eine individuelle, wohl aber eine demokratische Validierung der Abstimmungs- und Wahlresultate zulassen (kryptografische Schlüssel der Ausschüsse, Testgemeinden). Die Risiken konnten so auf ein vertretbares Mass reduziert werden. Sollte in der Öffentlichkeit behauptet werden, dass Stimmen manipuliert wurden, muss seitens der verantwortlichen Behörden jedoch mit grösster Umsicht vorgegangen werden.

Fazit

E-Voting ist mit zahlreichen Nachteilen verbunden, die das Vertrauen in die direkte Demokratie untergraben. Wie können zum Beispiel bei den oben erwähnten beiden Volksabstimmungen die gleichen zuständigen staatlichen Behörden in der Schweiz die beiden Vorlagen ablehnen und dennoch glaubwürdig gewährleisten, dass das entsprechende E-Voting korrekt durchgeführt wird? Wieso sollte man staatlichen Stellen vertrauen, obwohl die oben aufgeführten Anforderungen an Abstimmungen und Wahlen aus der Erkenntnis stammen, dass nur Kontrolle auf Dauer die Integrität direktdemokratischer Prozesse gewährleisten kann? Wieso sollte man sich auf die Angaben von Verwaltungsbeamten verlassen müssen, die man selbst nicht nachvollziehen darf?

E-Voting ist in der Schweiz nicht notwendig, denn das Abstimmen und Wählen an der Urne und brieflich funktioniert gut genug, und die vorhandenen Ressourcen könnten für die Verbesserungen dieser bewährten Verfahren genutzt werden. Es ist deshalb unverständlich, dass Schweizer Behörden und Politiker dennoch auf E-Voting setzen und die grundlegenden Gefahren von E-Voting zwar anmerken, im Ergebnis aber ignorieren – sie schwächen damit die Legitimation der direkten Demokratie in der Schweiz.

Ein Lesezeichen auf das Permalink. setzen.

8 Kommentare

  1. Am 25. November 2010 um 12:21 Uhr veröffentlicht | Permalink

    Völlig einverstanden. Wie ich schon hier ausgeführt habe, ist es nicht einmal nötig, auf die «vielen Nachteile» einzugehen, denn es genügt zu sagen, dass e-voting die Mindestanforderungen grundsätzlich nicht kumulativ erfüllen kann – es kann immer nur die eine oder andere Anforderung erfüllt werden. E-voting ist daher leider als untauglich, ja gefährlich abzulehnen.

    • Am 25. November 2010 um 13:29 Uhr veröffentlicht | Permalink

      Einverstanden, aber wieso zeigen die zuständigen Schweizer Behörden und Politiker diese Einsicht nicht?

      • Am 25. November 2010 um 13:59 Uhr veröffentlicht | Permalink

        Vermutlich liegt das daran, dass erstens die Argumentation nicht ganz trivial ist (kumulative Erfüllung der Kriterien ist nicht das gleiche wie Erfüllung jedes einzelnen Kriteriums separat), und zweitens lässt sich mit der Unterstützung von elektronischer Stimmabgabe vermeintlich gefahrlos Fortschrittlichkeit markieren. Es braucht wohl die Aufnahme des Arguments durch ein akzeptiertes Massenmedium.

  2. Andy P.
    Am 5. Dezember 2010 um 20:49 Uhr veröffentlicht | Permalink

    Ich bin mit dem Fazit nicht einverstanden. Erstens hat E-Voting das Potenzial langfristig erhebliche Kosteneinsparungen zu generieren, und Zweitens, wer glaubt, dass E-Voting einfach manipuliert werden kann, der darf jedoch nicht gleichzeitig glauben, dass Briefliche Stimmabgaben nicht ebenfalls massiv manipuliert werden könnten. Wo ein Wille ist, ist auch ein Weg!

    Meiner Meinung nach geht es hier um das Abwägen der potentiellen Nachteilen und Vorteilen zwischen brieflicher und elektronischer Abgabe. Ich bin ganz klar der Meinung, dass die Vorteile überwiegen. Pragmatismus steht bei mir höher als der Glauben an Verschwörungstheorien. Wie gesagt, briefliche Abgabe ist keinerlei sicherer und hat ebenfalls eine ordentliche Liste von Nachteilen.

    Zur Black-Box Problematik gibt es eine simple Lösung: Quelltext der Platform veröffentlichen und die hashcodes der Binärdaten auf den Servern veröffentlichen.

    • Am 5. Dezember 2010 um 23:27 Uhr veröffentlicht | Permalink

      Danke für die Vorlage, Andy! Ich bin nämlich voll und ganz mit Dir einverstanden, E-Voting würde dank der massiv höheren Effizienz des Prozesses sicher erhebliche Kosteneinsparungen ermöglichen. Aber genau diese Prozesseffizienz ist es auch, die dem Missbrauch einen massiv höheren Hebel gibt und daher die Glaubwürdigkeit des Ergebnisses aushebelt (siehe Bush-Wahl 2004). Du hast ebenfalls Recht, dass das heutige System manipuliert werden kann. Bloss würde es aufgrund der relativen Ineffizienz des Systems einen substantiell höheren Aufwand bedingen, um das System wirksam zu manipulieren. Es darf vermutet werden, dass das System auf breiter Front nicht manipuliert werden könnte, ohne dass es publik würde.

      Dein Vorschlag einer simplen Lösung ist ebenfalls nur für die Leute tauglich, die etwas von Quelltexten und hashcodes verstehen. Das ist eine verschwindend kleine Minderheit, zu der Du bestimmt gehörst. Trotzdem ist das noch keine demokratische Legitimation.

      Du entschuldigst, wenn ich zum Schluss mir noch ein Stück Polemik nicht verkneife: Die effizienteste Form der Demokratie ist die Ein-Mann-Demokratie der Diktatur … aber ernsthafter: Effizienz ist zwar wichtig, aber nicht alles. Zeig mir ein System, das gleichzeitig sicher ist, das Stimmgeheimnis wahrt und einfach auditiert werden kann, und dann sprechen wir wieder.

    • Am 29. Dezember 2010 um 18:12 Uhr veröffentlicht | Permalink

      Erstens hat E-Voting das Potenzial langfristig erhebliche Kosteneinsparungen zu generieren

      Gibt es dazu Zahlen? Und sollten Kosten bei Direkter Demokratie überhaupt eine Rolle spielen?

      und Zweitens, wer glaubt, dass E-Voting einfach manipuliert werden kann, der darf jedoch nicht gleichzeitig glauben, dass Briefliche Stimmabgaben nicht ebenfalls massiv manipuliert werden könnten. Wo ein Wille ist, ist auch ein Weg!

      Meiner Meinung nach geht es hier um das Abwägen der potentiellen Nachteilen und Vorteilen zwischen brieflicher und elektronischer Abgabe. Ich bin ganz klar der Meinung, dass die Vorteile überwiegen. Pragmatismus steht bei mir höher als der Glauben an Verschwörungstheorien. Wie gesagt, briefliche Abgabe ist keinerlei sicherer und hat ebenfalls eine ordentliche Liste von Nachteilen.

      Ich bin üblicherweise auch der Meinung, dass Probleme lösbar sind, wenn ein entsprechender Wille vorhanden ist. Beim E-Voting scheinen die bestehenden Probleme aber nicht lösbar zu sein, wie auch das oben erwähnte Beispiel der deutschen Wahlcomputer zeigt. «Lösbar» bei E-Voting bedeutet letztlich, dass man überprüfbare Abstimmungs- und Wahlverfahren durch weitgehend blindes Vertrauen ersetzt, das aufgrund zahlreicher negativer Erfahrungen nicht zu rechtfertigen ist. Zahlreiche Erfahrungen dieser Art sind dokumentiert und wo Abstimmungen und Wahlen ohne entsprechende Prüfmechanismen stattfinden, sind Manipulationen weit verbreitet. In diesem Zusammenhang ist das Unwort der «Verschwörungstheorien» entsprechend verfehlt.

      Die briefliche Stimmabgabe kann selbstverständlich auch manipuliert werden, aber niemals im Umfang von E-Voting. Ausserdem ist die briefliche Stimmabgabe von Anfang bis Ende überprüfbar und bei Bedarf kann nachgezählt werden. Siehe dazu auch den Kommentar von Christian Dreyer.

      Zur Black-Box Problematik gibt es eine simple Lösung: Quelltext der Platform veröffentlichen und die hashcodes der Binärdaten auf den Servern veröffentlichen.

      Und wer übernimmt danach die Verantwortung, dass das verwendete E-Voting-System zu jedem Zeitpunkt wie gewünscht funktioniert? Für mich als Stimmbürger und Wähler bleibt auch so das Problem erhalten, dass das Verfahren nicht direkt überprüfbar ist … während ich gleichzeitig weiss, dass Software immer über Sicherheitslücken verfügt, die auch bei Open Source-Software während langer Zeit unentdeckt bleiben können.

  3. Sebastian
    Am 25. Mai 2012 um 19:40 Uhr veröffentlicht | Permalink

    Ich meine nach 20 Jahren als Programmierer und Internet-Pionier mich mit Computer ziemlich gut auszukennen (ich kann Abschlüsse nachweisen). Da

    Aber genau diese Prozesseffizienz ist es auch, die dem Missbrauch einen massiv höheren Hebel gibt

    Wenn diese Logik überall angewendet wird, dann sollten sie im Finanzamt die Taschenrechner durch Rechenschieber ersetzen und die LKWs durch Eselkarren.

    verschwindend kleine Minderhei t offener Quelltext

    Diese «verschwindend» kleine Mehrheit sind einige zehntausend Leute, weltweit wohl einige hundertausend, wenn nicht in die Millionen. Schaut euch Open-Source Projekte an

    Mindestanforderungen an E-Voting

    Keiner wird mir erzählen, dass E-Voting wesentlich höhere Anforderungen hätte als Geld-Überweisungen. Letztes regiert die Wel! Was ist mit der Börse wo täglich Billionen-Werte hantiert werden? Ganz andere Anforderungen… Quatsch!
    Beim Bankgeheimnis klappt es doch mit auch! Aber moment, diesen vielen Steueroasen müssen gut geschützt werden! Damit bloß nicht das Zinsezins-System rauskommt…
    Ja einmal ist eine Schweizer-Steuer CD rausgekommen. Aber was ist mit den Cayman Inseln?
    Sagen Sie mir einen handfesten Nachteil, warum halbanonyme Wahlen (Bürger mit geheimen Kennzeichen) nicht erlaubt sein sollten? Es hat im Gegenteil Vorteile der besseren Nachweisbarkeit, viel besseren Manipulierungschutz und lokale Besonderheiten sind möglich. Welche Nachteile hat Lieschen Müller und Hans Schmidt, wenn irgendwann herausgekommen ist, dass er für grüne statt rote Gurken waren oder welche Standpositionen auch immer.

    Natürlich geht es: 3-4fach abgesichert. 3 bis 4 Absicherungen, technische wie von verschiedenen gegenseitigen Organisationen und anschließende Prüfsummen PARALLEL in kürzester Zeit zu knacken, das geht nicht. um z.B. eiun 12 stl. Passwort zu knacken braucht es auf heutige schnellste Computer mittels 256bit AES Millionen von Jahren.
    Das effektivste Hacking ist immer noch das social Hacking… über all den technischem Hacking.

    Nur mittels E-Voting ist eine direkte Demokratie von zuhause möglich! Tatsächlich muss es ziemlich der Online-Bank nachgebaut werden.

    Ich versteift euch vielzusehr auf ein 1000%ige Sicherheit, die aber nirgendwo im Leben gewärleistet ist.

    Heutzutage wird alles mit dem Computer wenigstens 1000fach produktiver gearbeitet, nur bei den Wahlen nicht. Warum wohl? Keine böse Absicht? Zufall?

    Wenn Wahlen was ändern könnten, wären sie schon längst verboten.

Ein Trackback

Einen Kommentar hinterlassen

Ihre E-Mail wird niemals veröffentlicht oder weitergegeben.

Sie können diese HTML-Tags und -Attribute verwenden <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  • RSS Twitter Facebook