E-Voting kann das Vertrauen in die Demokratie stärken
Die elektronische Stimmabgabe ermöglicht mehr Stimmbürgern, an Wahlen und Abstimmungen teilzunehmen. Sie wirft zwar Sicherheitsbedenken auf, doch die gibt es auch bei der Briefwahl.
Vertrauenswürdige Wahlen sind entscheidend, um die langfristige Stabilität eines staatspolitischen Systems zu gewährleisten und das Vertrauen in die Regierung sowie ihre Institutionen zu fördern. In der Vergangenheit wurden Wahlen im Allgemeinen durch verschiedene Technologien unterstützt, beispielsweise um die korrekte Organisation und Durchführung von Wahlprozessen, das Zusammenführen von Stimmenauszählungen oder die Übermittlung von Wahlresultaten zu gewährleisten. Im Zuge der allgegenwärtigen Digitalisierung und des Aufkommens des Internets ist das Gesamtgefüge von Gesellschaften und Regierungssystemen in Veränderung – auch die bis anhin bekannten Wahlprozesse und -systeme.
Durch die zunehmende Digitalisierung staatlicher Dienstleistungen ist es damit ein wesentliches Bestreben, die Digitalisierung der demokratischen Prozesse, wie beispielsweise eben die Einführung elektronischer Wahlsysteme, im Besonderen sicher und stabil voranzutreiben. Ein wesentlicher Unterschied, aber auch der entscheidende Aspekt von Wahlverfahren ist jedoch die Frage, ob die Stimme persönlich oder aus der Ferne (z.B. über das Internet) abgegeben werden kann. Verteilte elektronische Wahlsysteme – Remote Electronic Voting, landläufig auch als E-Voting bezeichnet – ermöglichen es den Wählern, ihre Stimme aus der Ferne aus einer unkontrollierten, technisch-unterstützten Umgebung abzugeben.
In diesem Zusammenhang der Verteilung und Digitalisierung von Wahlprozessen sind komplexe kryptografische Mechanismen erforderlich, um den damit ausgestatteten E-Voting-Systemen in einer fast einzigartigen Dichotomie zwischen Privatsphäre und Überprüfbarkeit eine praktikable Machbarkeit mit einem gesicherten Ergebnisermittlungsverfahren zu gewährleisten. Allerdings hängt das bestmögliche Gleichgewicht zwischen diesen Eigenschaften sowohl stark von den staatlichen Strukturen des Landes (beispielsweise dem Wahlsystem selber sowie dem Stand der Digitalisierung) als auch vor allem von der Akzeptanz und dem Vertrauen der Öffentlichkeit in die staatlichen Stellen ab.
Angriffe erkennen
In traditionellen Wahlprozessen dient das schwarze Brett im Aushangkasten der Gemeinde als «fälschungssicherer Prüfpfad», d.h. als Nachweis für die korrekte Ausführung des gesamten Ablaufs der Wahl. In elektronischen Wahlsystemen wird es ein Pendant geben müssen, welches als elektronisches schwarzes Brett, ein Public Bulletin Board (PBB), die Unveränderlichkeit von Wahlergebnissen als entscheidende technische Voraussetzung garantiert. Das PBB schützt also gespeicherte Wahlinformationen in Form von Prüfpfaden vor Manipulationen.
In idealen sozialen Strukturen werden gegenseitige Kontrollmechanismen informell angewendet. In staatspolitischen Strukturen können dezentrale Verfahren signifikant dazu beitragen, dass zentralisierte Fehler, Sabotagerisiken oder Absprachen unehrlicher Akteure das Vertrauen in Behörden und Wahlhelfer nicht nur nicht erschüttern, sondern auch, dass diese Angriffe zumindest immer erkannt werden können.
Eine weitere grundlegende Herausforderung bei der Freigabe der auf PBBs zu veröffentlichenden Informationen besteht darin, sicherzustellen, dass die veröffentlichten Daten wie beispielsweise Stimmzettel, Nachweise und Protokolle keine datenschutzrechtlich sensiblen Daten preisgeben und gleichzeitig keine Risiken für die Wähler mit sich bringen (zum Beispiel die Verletzung des Wahlgeheimnisses). Einmal veröffentlicht, könnten Angreifer wahlbezogene Informationen auf unbestimmte Zeit speichern und damit versuchen, den Klartext dieser Daten in der Zukunft preiszugeben, wenn nicht entsprechende Gegenmassnahmen vorab getroffen wurden.
In der Schweiz hat der Bundesrat Strategien definiert, um die Nutzung digitaler Technologien für Behörden und Prozesse, einschliesslich E-Voting, zu regulieren. Private Unternehmen arbeiten mit den Behörden zusammen, um aktiv Standards für E-Government-Prozesse zu definieren. In Bezug auf E-Voting lautet die Schlüsselfrage: Was genau muss ein solches minimales Sicherheitsniveau beinhalten, um die oben skizzierten Rahmenbedingungen einzuhalten?
Vertrauen in Dritte
Damit zwingend erforderliche Sicherheitsmetriken und -mechanismen in der Wahrnehmung der Öffentlichkeit nachvollziehbar sind und ein digitalisierter Wahlprozess analog zum schweizerischen Briefwahlverfahren als manipulationssicher einzustufen ist, muss ein Vergleich des heutigen Ist-Zustands mit einer digitalen Lösung Klarheit schaffen. Das heutige Briefwahlverfahren in der Schweiz ist bereits teilweise digitalisiert; der Vergleich der Sicherheitseigenschaften zeigt, dass bereits heute alle wünschenswerten Eigenschaften gemäss einer Analyse des derzeitigen Briefwahlverfahrens nicht vorhanden sind.1
Dennoch zeigt das Ergebnis der Analyse klar, dass das schweizerische System der brieflichen Stimmabgabe sehr erfolgreich ist, weil viel und messbares Vertrauen in Dritte gesetzt wird. Diese Dritten sind die Behörden, staatliche und private Unternehmen sowie die Wähler. Das derzeitige System der Briefwahl basiert auf den Gemeinden, externen Anbietern und vertrauensvollen Beziehungen zwischen diesen beteiligten Parteien. Für einen Bürger ist der derzeitige Prozess jedoch schwer zu entschlüsseln.
Der Hauptvorteil des derzeitigen schweizerischen Briefwahlverfahrens ist seine physische Dezentralisierung. Sein Hauptnachteil ist die Verwendung zentralisierter Informationssysteme zur Verwaltung oder Übertragung wichtiger Daten – mit entsprechenden Risiken. Deswegen bieten diverse Aspekte der eingesetzten Hilfsmittel und Hilfsprogramme, der Stimmrechtsausweise auf Papier oder die physische Aufbewahrung von eingesandten oder abgegebenen Wahlunterlagen aus der Sicherheitsperspektive Raum für Verbesserungen.
«Der Hauptvorteil des derzeitigen schweizerischen Briefwahlverfahrens ist seine physische Dezentralisierung.»
Neuer Ansatz
Erstmals prüfte die Bundeskanzlei in Bern die elektronische Stimmabgabe kurz nach der Jahrtausendwende. Und während auf Bundesebene inzwischen bereits mehr als 300-mal mit der elektronischen Stimmabgabe experimentiert wurde, sind unter anderem sicherheitstechnische Mängel an der teilweise eingesetzten Software für die elektronische Stimmabgabe gefunden worden.2 Ohne auf die Vielzahl an Softwarelösungen hier im Detail einzugehen, ist festzuhalten, dass immer sowohl die Privatsphäre des Wählenden und die Überprüfbarkeit der Rechtmässigkeit der Stimmabgabe als auch die korrekte Zählung in einem technisch sicheren System – verbunden mit einer nachvollziehbaren und einfachen Benutzerschnittstelle auf heterogenen Endgeräten für geografisch verteilte Wählende – gewährleistet sein müssen. Interessanterweise zeigt die obengenannte Analyse, dass manche Abläufe im traditionellen Briefwahlprozess bereits jetzt nicht sicher sind, obwohl dies gemeinhin so angenommen wurde.
Der neuartige Ansatz Æternum3 zeigt jedoch, dass der bedingungslose Schutz der Privatsphäre auf dem elektronischen Stimmzettel (Unconditional Ballot Privacy, UBP) technisch erreichbar ist und sich dabei nicht auf eine einzige vertrauenswürdige Instanz verlässt. Diese UBP wird erreicht, indem der Einsatz eines dezentralen PBBs auf der Basis dezentraler Hauptbücher (Decentralized Ledger4) definiert und damit ein technisch sicherer Ansatz für die Verteilung des Vertrauens zwischen den beteiligten Behörden erreicht wird.
Hoher Aufwand
Während die Entwicklungen beim E-Voting sicher nicht als abgeschlossen betrachtet werden können, zeigt Æternum einen sehr verantwortungsvollen und sicheren Umgang mit Wahl- beziehungsweise Abstimmungs- und Wählerdaten auf, die im Spannungsfeld von Privatsphäre und Überprüfbarkeit der Wahl für den einzelnen Wähler eine praktikable und sichere Machbarkeit aufwiesen. Obwohl die Kosten für E-Voting-Studien und -Analysen vom Bund mit einem zweistelligen Millionenbetrag angegeben werden und die bisherigen E-Voting-Ausgaben der Post wohl im Bereich von 30 bis 50 Millionen Franken liegen dürften5, ist das Pilotieren von E-Voting nicht zu Ende. Dies liegt insbesondere auch an der Tatsache, dass unter anderem Auslandschweizer und blinde oder stark sehbehinderte Menschen ebenfalls rechtzeitig oder überhaupt ihr Recht auf Stimmabgabe ausüben möchten. Deswegen ist der neuere E-Voting-Pilotversuch der drei Kantone Basel-Stadt, St. Gallen und Thurgau bewilligt worden und wird bis ins kommende Jahr andauern.
Auch wenn bis anhin die experimentellen Versuche in der Schweiz, E-Voting-Systeme einzuführen und praktisch nutzbar zu machen, relativ viel Geld und Ressourcen gekostet haben, ist es wünschenswert, digitale Abstimmungen zu ermöglichen und zu institutionalisieren. Die Vorteile liegen auf der Hand, da die Inklusion der obengenannten relevanten Gruppen von Wählenden innerhalb der Bevölkerung vereinfacht oder überhaupt erst technisch ermöglicht wird und damit das Vertrauen in die Demokratie gestärkt werden dürfte. Auch wenn als nachteilig die technische Sicherheit ins Feld geführt wird – was ausnahmslos berechtigt ist –, kann festgestellt werden, dass in Abwägung von Privatsphäre und Überprüfbarkeit nun eine technische Lösung vorhanden ist, die noch Verbesserungen erfahren wird, aber im Kern keine neuen oder zusätzlichen Sicherheitsbedenken aufwirft als solche, die bereits seit der Einführung der Briefwahl entstanden sind. Durch die Briefwahl, die auf Bundesebene erst 1994 eingeführt wurde, ist das Vertrauen in die Demokratie klar gestärkt und kaum geschwächt worden. Gleiches wird auch von den aktuellen Pilotversuchen zu erwarten sein, da sich die Sicherheitsbedenken entschärfen werden und die Nutzbarkeit erhöht wird.
«Auch wenn bis anhin die experimentellen Versuche in der Schweiz, E-Voting-Systeme einzuführen und praktisch nutzbar zu machen, relativ viel Geld und Ressourcen gekostet haben, ist es wünschenswert, digitale Abstimmungen zu ermöglichen und zu institutionalisieren.»
Christian Killer & Burkhard Stiller: The Swiss Postal Voting Process and its System and Security Analysis. In: International Joint Conference on Electronic Voting, 2019. ↩
Tom Sperlich: Die Schweiz kurz vor dem Härtetest ihres E-Voting-Systems. In: Heise Online, 23.2.2019, https://www.heise.de/news/Die-Schweiz-kurz-vor-dem-Haertetest-ihres-E-Voting-Systems-4316841.html. ↩
Christian Killer, Markus Knecht, Claude Müller, Bruno Rodrigues, Eder John Scheid, Muriel F. Franco, Burkhard Stiller: Æternum: A Decentralized Voting System with Unconditional Privacy. IEEE International Conference on Blockchain and Cryptocurrency (ICBC 2021), Darlinghurst, Australien, Mai 2021, S. 1–8. ↩
Christian Killer, Bruno Rodrigues, Eder John Scheid, Muriel F. Franco, Burkhard Stiller: Blockchain-Based Voting Considered Harmful? In: IEEE Transactions on Network and Service Management, 19 (3), 2022. ↩
Mirko Plüss: E-Voting: das ewige Experiment. In: NZZ, 8.4.2023, https://magazin.nzz.ch/nzz-am-sonntag/schweiz/e-voting-der-ewige-versuch-ld.1733333. ↩