Fazit

Wie weit sind die zu Beginn genannten Anforderungen bei den geplanten E-Voting-Systemen erfüllt? Und wie fällt der Vergleich von Nutzen und Risiken des E-Voting aus?

Nutzen des E-Voting

Manchmal wäre es ja ganz praktisch, wenn man übers Internet abstimmen könnte. Insgesamt ist jedoch der Nutzen des Online-Voting für die meisten Stimmbürger eher begrenzt. Auch zu einer höheren Stimmbeteiligung hat es nach den bisherigen Erfahrungen nicht geführt.

Besondere Aufmerksamkeit verlangt die Situation der Auslandschweizer und der Stimmbürger mit Behinderungen. Den Bedürfnissen dieser Personengruppen kann aber, wie gezeigt, auch ohne Online-Voting entgegengekommen werden. Zu hoffen ist nur, dass sie nicht gleich wieder in Vergessenheit geraten, wenn sie als Zugpferde für das E-Vote-Projekt nicht mehr benötigt werden.

Risiken

Wie weit sind die eingangs genannten Sicherheitsanforderungen erfüllt? Im Wesentlichen geht es dabei um:

Wahrung des Stimmgeheimnisses
Ermittlung des richtigen Resultats
Warnsignal bei Manipulationen
Nachprüfbarkeit des Resultats

Wahrung des Stimmgeheimnisses

Die Stimmabgabe der Benutzer wird für die Übermittlung und Auswertung verschlüsselt. Die verwendeten Verschlüsselungsverfahren können heute als weitgehend sicher betrachtet werden. Eine gewisse Unsicherheit besteht mit Bezug auf die Frage, ob künftige Dechiffrierungsmethoden allenfalls imstande sein werden, dann noch vorhandene Daten der heutigen Abstimmungen zu entschlüsseln.

Aktueller ist das Risiko, dass in die E-Voting-Systeme ‘Hintertüren’ eingebaut werden, die eine Überwachung der Stimmabgabe schon heute ermöglichen. Eine solche ‘Hintertür’ ist auf jeden Fall vorhanden, nämlich der Schlüssel, der zum Aufbereiten der Stimmen benötigt wird. Dieser soll voraussichtlich einer Gruppe von Treuhändern anvertraut werden.

Die grösste Gefahr rührt jedoch daher, dass die privaten Computer der Stimmbürger relativ leicht mit schädlicher Software (Trojanern etc.) infiziert werden können, die es dem Angreifer erlauben, das Stimmverhalten der Benutzer aus der Ferne zu überwachen.

Ermittlung des richtigen Resultats

Die E-Voting-Systeme sind grundsätzlich so eingerichtet, dass sie automatisch das richtige Resultat ermitteln (zuverlässiger als bei einer Auszählung von Hand). Es besteht jedoch die Gefahr, dass externe Angreifer oder unzuverlässige Insider Manipulationen am System vornehmen und das Ergebnis verfälschen. Es werden zwar zahlreiche Massnahmen getroffen, um die Sicherheit des Verfahrens zu erhöhen; Fachleute sind sich jedoch darin einig, dass eine hundertprozentige Sicherheit nicht gewährleistet werden kann.

Die Zuverlässigkeit des Gesamtsystems hängt daher wesentlich davon ab, wie die zwei weiteren Anforderungen — Warnsignal bei Manipulationen und Nachprüfbarkeit des Resultats — erfüllt werden.

Warnsignal bei Manipulationen

Um dem Risiko von Manipulationen zu begegnen, sehen die E-Voting-Systeme ein Verfahren zur Verifizierung der Ergebnisse vor: Mit der individuellen Verifizierung soll jeder Stimmbürger überprüfen können, ob seine eigene Stimme richtig registriert wurde, und mit der vollständigen Verifizierung soll von unabhängiger Seite festgestellt werden, ob das gesamte Ergebnis fehlerfrei ermittelt ist.

Viel hängt nun davon ab, ob die Verifizierungssysteme selber tatsächlich gegen Manipulationen immun sind, wie ihre Erfinder annehmen. Für Nichtfachleute ist das nicht durchschaubar. Wenn man von den Erfahrungen ausgeht, die in anderen Bereichen mit sogenannt sicherer Software gemacht wurden, lässt sich eine gewisse Skepsis nicht ganz verbergen.

Unbefriedigend ist auch, dass die Vorschriften des Bundes nicht klar sagen, wer für die Durchführung der vollständigen Verifizierung verantwortlich sein soll.

Nachprüfung des Resultats

Eine Nachzählung der Stimmzettel wie bei einer traditionellen Abstimmung ist beim Online-Voting nicht möglich. Soweit ersichtlich, stehen auch keine anderen Methoden für eine nachträgliche Kontrolle und Auswertung der abgegebenen Stimmen zur Verfügung, jedenfalls nicht ohne die Aufhebung des Stimmgeheimnisses. In Frage käme daher wohl nur eine Wiederholung der Abstimmung. Und wenn bei dieser wieder Fehler auftreten?

Soweit ich es überblicke, ist die Anforderung der Nachprüfbarkeit mit den heutigen Systemen nicht erfüllt.

Zusätzliche Anforderung: Verständlichkeit

Verständlichkeit wurde bei den eingangs genannten Anforderungen nicht aufgeführt. Je weiter man sich jedoch mit der technischen Umsetzung des Systems befasst, desto mehr drängt sich die Forderung nach Verständichkeit auf. Schon die Umschreibungen im Anhang der VEleS sind für den Nichtfachmann teilweise kaum fassbar, und bei den Forschungsarbeiten zu neuen Lösungen für die Verifizierung und andere Systemelemente trifft das erst recht zu. Noch viel schwieriger wird es für einen Aussenstehenden sein, zu überprüfen, ob das System tatsächlich in der beschriebenen Weise funktioniert. (Braun 2006, S. 214, 220)

Art. 2 lit. c VEleS verlangt als Voraussetzung für die Zulassung eines E-Vote-Systems:

“Das System und die betrieblichen Abläufe sind so weit dokumentiert, dass sämtliche sicherheitsrelevanten technischen und organisatorischen Abläufe im Detail nachvollzogen werden können.”

• Für wen müssen sie nachvollziehbar sein? Für mich? Oder nur für absolute Spezialisten dieser Materie? Und macht man dann vielleicht einen Bock zum Gärtner?

• Und gehört zum Nachvollziehen auch die Überprüfung, ob das System und die Abläufe tatsächlich der Dokumentation entsprechen?

Ausländische Gerichte haben hervorgehoben, welche Bedeutung die Kontrollierbarkeit des Wahlvorgangs für die demokratische Legitimität einer Wahl hat. So verlangte das deutsche Bundesverfassungsgericht in seinem Urteil von 2009, dass “die wesentlichen Schritte von Wahlhandlung und Ergebnisermittlung zuverlässig und ohne besondere Sachkenntnis überprüft werden können.” Diese Voraussetzung sei nicht erfüllt, wenn die Vorgänge nur für Computerspezialisten nachvollziehbar seien. Fast gleichlautend äusserte sich 2011 der österreichische Verfassungsgerichtshof.

Nimmt man diese Forderung zum Nennwert, so ist ein Online-Voting-System mit heutiger Technologie wohl nicht realisierbar.

Insgesamt verbleiben zu viele offene Fragen. Am schwersten wiegen in meinen Augen drei Punkte:

♦ der Umstand, dass die Stimmberechtigten, wenn sie den eigenen Computer fürs Online-Voting verwenden, ein erhebliches Risiko für ihr Stimmgeheimnis eingehen,

♦ die fehlende Nachprüfbarkeit des Ergebnisses,

♦ und die Tatsache, dass die Systeme aufgrund der Sicherheitsanforderungen so kompliziert werden, dass sie nur für wenige Spezialisten (bei weitem nicht für alle Computer-Fachleute!) noch verständlich sind.

Über diese Bedenken könnte man selbst dann nicht einfach hinwegsehen, wenn ihnen auf der andern Seite ein erheblicher Nutzen des E-Voting gegenüberstünde. Aber auch dieser ist keineswegs so eindeutig, wie er von den Befürwortern gerne gesehen wird.

Dieses Ergebnis ist nicht berauschend, das gebe ich gerne zu, und die Diskussion ist sicher noch nicht zu Ende. Aber mit Durchhalteparolen und dem Aufruf zu mehr Risikobereitschaft und ‘Pioniergeist’ (Grünenfelder, NZZ Sept. 2015) macht man sich die Sache doch etwas zu einfach.