Bei den externen Gefahren geht es um Angriffe auf das Abstimmungsverfahren, die von aussenstehenden Personen übers Internet ausgeführt werden (Hacker-Methoden). 
   

Verletzliche Stellen

Angriffe können sich gegen verschiedene Stationen des Abstimmungsvorganges richten:

♦ Die Druckereien, welche die Stimmrechtsausweise herstellen:
Diese Ausweise enthalten für jeden Stimmberechtigten eigene Codes, die er zum Stimmen und für die anschliessende Verifizierung seiner Stimme benötigt. Wenn es einem Angreifer gelingt, ins Computersystem der Druckerei einzudringen, kann er die Voraussetzungen der Abstimmung verfälschen. Für den Druck der Ausweise gelten daher Sicherheitsbestimmungen wie beim Hochsicherheitsdruck von Bankdokumenten.

♦ Die Computer der Stimmbürger:
Ein Angreifer kann in die Computer Schadsoftware (Trojaner etc.) einschleusen, die ihm dann ermöglicht, aus der Ferne das Stimmverhalten der Computerbenützer auszuhorchen oder an ihrer Stelle an der Abstimmung teilzunehmen.

♦ Der Übermittlungsweg vom privaten Computer zu den Zentralen:
Die Verschlüsselungsprotokolle für die Datenübertragung (SSL, TLS) wurden in verschiedenen Fällen bereits ausgehebelt (Wikipedia: Transport Layer Security). 

♦ Die Zentralen, in denen die abgegebenen Stimmen zusammenlaufen und ausgewertet werden: Ein Angreifer, der in die zentralen Systeme einzudringen vermag, erhält weitgehende Manipulationsmöglichkeiten. 
Zum Schutz dieser Anlagen sollen Zutrittskontrollen, speziell sichere Computer, Firewalls etc. eingesetzt werden. Zahlreiche Beispiele zeigen jedoch, dass das nicht immer gelingt. 

Eine ausführliche Darstellung denkbarer Angriffs-Szenarien enthält der Bericht Kanton Zürich 2011, S. 23 ff. 
      

Unsichere Computer der Benützer

Die Computer zuhause oder im Büro, auf denen die Stimmberechtigten ihre Stimmen abgeben, gelten nach Meinung der Fachleute als unsicherster Teil des ganzen Systems, weil die Benützer nicht über dieselben Mittel verfügen, um sich gegen Gefahren aus dem Internet zu schützen, wie sie bei den zentralen Anlagen der Behörden eingesetzt werden (Bundesrat 2013, S. 80 f, 99 f; Braun 2006, S. 208 ff, 217 f; Dubuis, Haenni, Koenig 2012, S.41 ff). Die CIA-Leaks 2017 haben gezeigt, dass auch die beste Verschlüsselung nichts nützt, wenn es den Spionen gelingt, ins Betriebssystem von Computern und Mobiltelefonen einzudringen und die Eingaben der Benützer an der Tastatur abzulesen. 

Diese Unsicherheit wirkt weniger bedrohlich, wenn mit der individuellen Verifizierung jeder Stimmberechigte selber prüfen kann, ob seine Stimme richtig bei der Zentrale angekommen ist. Es bleibt dann zwar das Risiko, dass er mittels Schadsoftware überwacht wird, wie er stimmt, aber das Ergebnis der Abstimmung wird dadurch nicht verfälscht.

Die Behörden gehen daher davon aus, dass die Unsicherheit des privaten Computers der Einführung des E-Voting nicht im Weg stehe, weil es dabei nur um ein Risiko für den Einzelnen, nicht ein solches der Allgemeinheit gehe. Jeder Stimmbürger könne dann für sich selber entscheiden, ob er seinem Computer vertrauen wolle oder doch lieber das Stimmcouvert zur Post trage (Bundesrat 2013, S. 119). 

Das Argument ist aus mehreren Gründen fragwürdig:

♦ Es setzt voraus, dass die Benützer auch entsprechend informiert sind. Auf der Benützeroberfläche des Online-Voting müsste daher mit einer deutlichen Warnung auf diese Gefahr hingewiesen werden. Bis heute ist, soweit ersichtlich, eher das Gegenteil der Fall.

♦ Das Stimmgeheimnis schützt gerade auch diejenigen, die man dazu drängt, ihre Stimme ohne dessen Schutz abzugeben. Die Stimmberechtigten sollten daher gar nicht erst die Möglichkeit erhalten, ungeschützt abzustimmen (Braun 2006, S. 199; vgl. Bundesgericht 1972). 

♦ Und vor allem: Das Stimmgeheimnis ist nicht nur ein Recht des Einzelnen, sondern eine grundlegende Voraussetzung für freie und faire Abstimmungen. Können die Bürger dem Stimmgeheimnis nicht vertrauen, hat dies Auswirkungen auf ihr Stimmverhalten, und das betrifft den ganzen demokratischen Prozess (vgl. >Stimmgeheimnis, >CIA-Leaks 2017).

Die individuelle Verifizierung ist daher kein geeignetes Mittel, um aus unzuverlässigen privaten Comutern ein zuverlässiges Online-Voting-System zusammenzubauen.