Schrift:
Ansicht Home:
Netzwelt

Elektronische Wahlen

Widerstand gegen E-Voting in der Schweiz

Die Schweiz will E-Voting flächendeckend etablieren. Doch IT-Experten warnen vor gravierenden Sicherheitslücken - und eine neue Bürgerinitiative fordert, das umstrittene Verfahren vorerst zu stoppen.

DPA

Volksinitiative für ein E-Voting-Moratorium "Für eine sichere und vertrauenswürdige Demokratie"

Von
Samstag, 09.02.2019   11:32 Uhr

Bei der Schweizer Volksabstimmung zur Siedlungspolitik am Sonntag können im Ausland und teils auch im Land selbst lebende Schweizer in zehn Kantonen online wählen. Die Schweiz ist E-Voting-Pionier. Seit 2004 wird die elektronische Stimmabgabe bereits getestet, dem Schweizer Bundesrat zufolge in mehr als 300 Versuchen. Jetzt soll der Testbetrieb zum Alltag und die Abstimmung per E-Voting-Webseiten flächendeckend eingeführt werden. Dagegen formiert sich Widerstand.

Im Dezember hatte der Schweizer Bundesrat erneut bekräftigt, dass die "aktuelle Versuchsphase beendet und die elektronische Stimmabgabe als dritter Stimmkanal verankert werden" sollen. Dafür ist eine Gesetzesänderung erforderlich, die in den kommenden Monaten durchgesetzt werden soll. Doch Hacker des Schweizer Chaos Computer Clubs (CCC) prangern Sicherheitslücken im elektronischen Wahlverfahren an.

"Es ist für Menschen ohne Fachkenntnisse unmöglich und für Experten nicht vollständig nachzuvollziehen, was beim elektronischen Wahlprozess vor sich geht", sagt Hernâni Marques, Sprecher und Vorstandsmitglied des Schweizer CCC. Abstimmungen und Wahlen mit privaten, potenziell unsicheren Geräten und beliebigen Browsern auf E-Voting-Webseiten zuzulassen, hält er für "Irrsinn".

Mehr zum Thema Hacker

Schon ein "Defacement", eine Verunstaltung der Webseite, reiche aus, um das Vertrauen in die Endergebnisse zu stürzen. "Wird ein lächelnder Putin oder Trump eingeblendet, wird die Schweizer Demokratie zur Farce," sagt Marques. Auch Geheimdienste könnten theoretisch die E-Voting-Infrastruktur verwanzen, womit Sicherheitsmechanismen von vornherein ausgehebelt werden würden. "Die Bundeskanzlei treibt E-Voting trotz des wachsenden Widerstandes wie wild voran, weil es ein Prestigeprojekt ist und niemand sein Gesicht verlieren will", glaubt der IT-Experte. "Dabei ist es unsicher und intransparent."

Politiker aller Parteien sowie IT-Experten haben im Januar die Volksinitiative "Für eine sichere und vertrauenswürdige Demokratie" vorgestellt, die ein mindestens fünfjähriges Verbot für E-Voting-Experimente fordert. Erlaubt werden solle die elektronische Abstimmung erst, wenn der Sicherheitsstandard dem von Papierwahlen entspricht und neue Systeme im Einsatz sind, "die sicher wie auch für den Stimmbürger einfach und ohne Fachkenntnisse überprüfbar sind". Der Initiativtext für die geplante Volksabstimmung wird derzeit von der Bundeskanzlei überprüft, danach hat die Initiative bis zu 18 Monate Zeit, um landesweit 100.000 gültige Unterschriften zu sammeln.

Software mit Sicherheitslücken

Volker Birk vom Schweizer CCC hatte im vergangenen Jahr gezeigt, wie leicht es beim E-Voting wäre, Wähler auf eine gefälschte Website umzuleiten. Laut Marques könnten unsichere Voting-Clients die Manipulation oder den Abfluss von Daten ermöglichen. Theoretisch könnten Hacker auch für die Wahl notwendige Authentifizierungs- und Verifizierungscodes stehlen, eine Abstimmung verhindern oder das Wahlgeheimnis lüften. Entsprechende Sicherheitslücken seien in beiden genutzten Systemen bis heute vorhanden.

Genf will seine Abstimmungssoftware CHVote, die derzeit von mehreren Kantonen genutzt wird, allerdings im Februar 2020 einstellen, angeblich aus Kostengründen. Übrig bleibt nur das E-Voting-System der spanischen IT-Firma Scytl, die eine Partnerschaft mit der Schweizer Post unterhält. "Bei einem privaten, gewinnorientierten Unternehmen wie Scytl gibt es natürlich Geschäftsgeheimnisse - zu viel Knowhow wollen sie nicht preisgeben", sagt die "Republik"-Journalistin Adrienne Fichter dem SPIEGEL. Diese Intransparenz sei in Wahltechnologie ein Problem.

Ihre Recherche zu dem IT-Unternehmen offenbart Probleme bei Wahlen in aller Welt. "In Ecuador war etwa Scytl-Software bei den Wahlmaschinen im Einsatz, hier wurden die Resultate nicht korrekt gelesen und die Server waren down", so Fichter. In Norwegen und Florida habe die Dokumentation gefehlt, um das System aufzusetzen - dennoch hätten Sicherheitsforscher mit einfachen Code-Analysetools ein paar Fehler aufgespürt.

Unklar ist auch, inwieweit das Wahlumfeld in der Schweiz gegen Manipulationen abgesichert ist. Die elektronisch erfassten Wahlergebnisse werden per Speicherkarte auf einen Laptop übertragen, der nicht mit dem Internet verbunden ist. Wie dieser Prozess aber genau abläuft, wollte Hernâni Marques gemeinsam mit weiteren Hackern am Sonntag im Kanton Thurgau vor Ort beobachten. Doch der Kanton lehnte ab.

"Sie zeigen sich verschlossen", kritisiert Marques. "Und es sind sehr wenige Leute, die die Macht haben. Wenn etwa ein einziger Systemadministrator für sechs Kantone zuständig ist - wer weiß, was er macht, wenn jemand ihm fünf Millionen Franken gibt." Nie zuvor seien in der Schweiz kantonsübergreifend Endergebnisse von einzelnen Personen abhängig gewesen. Doch auch externe Angreifer könnten Schaden anrichten - ohne Schweizer Boden zu betreten.

Prämien für erfolgreiche Hacks

Um Bedenken auszuräumen und Schwachstellen aufzudecken, soll ab dem 25. Februar ein vierwöchiger, öffentlicher Sicherheitstest für das E-Voting-System von Scytl und Schweizer Post stattfinden. "Interessierte Personen aus aller Welt können das System angreifen", kündigt die Regierung den Test an. Die Hacker-Community solle versuchen, "Stimmen zu manipulieren, abgegebene Stimmen zu lesen sowie Sicherheitsvorkehrungen außer Kraft zu setzen oder zu umgehen, die die Stimmen und sicherheitsrelevante Daten schützen."

IT-Experte Hernâni Marques hält den Test vor allem für "eine Marketing-Aktion. Wenn dabei Lücken auffallen und sie geschlossen werden, dann wird das System als sicher verkauft." Doch der Test beweise nicht, dass der Quellcode in realen Abstimmungen unverändert läuft - und eine einzige Zeile schadhafter Code könne das ganze Sicherheitssystem aushebeln. "Es ist nicht schlecht, um die größten Schnitzer zu finden, aber das beweist noch keine Sicherheit", sagt Marques. Der Schweizer CCC boykottiert den Test, um ihm nicht indirekt eine Art "TÜV-Siegel" zu verleihen.

Die Post belohnt erfolgreiche Attacken mit Prämien von 100 bis zu 50.000 Franken, umgerechnet etwa 90 bis zu 44.000 Euro - deutlich weniger als etwa beim Tesla für das Melden von Schwachstellen zahlt. Manipulationen einzelner Stimmen, die weder vom Wähler, noch von den Kontrolleuren des Systems entdeckt werden können, sind dabei die höchste Kategorie. Die Höhe der Prämien hält Marques für "einen Witz": "Da bietet jeder Schwarzmarkt mehr." Und Geheimdienste seien ohnehin nicht finanziell motiviert.

insgesamt 31 Beiträge
bonus 09.02.2019
1. e-Voting und Bargeld abschaffen
Noch nie war es so leicht mit dem Schreiben ein paar Codezeilen und ein paar Mausklicks unsere Gesellschaft in die Anarchie oder die Steinzeit zu versetzen. Mir graut vor der Zukunft.
Noch nie war es so leicht mit dem Schreiben ein paar Codezeilen und ein paar Mausklicks unsere Gesellschaft in die Anarchie oder die Steinzeit zu versetzen. Mir graut vor der Zukunft.
Cey 09.02.2019
2. E-Voting überfällig
Ich betrachte es als eine echte Zumutung, im Jahr 2019 noch vor Ort bzw. per Papier wählen zu müssen. E-Voting würde meines Erachtens die Wahlbeteiligung deutlich erhöhen, und das ist eine gute Sache. Online-Banking ist [...]
Ich betrachte es als eine echte Zumutung, im Jahr 2019 noch vor Ort bzw. per Papier wählen zu müssen. E-Voting würde meines Erachtens die Wahlbeteiligung deutlich erhöhen, und das ist eine gute Sache. Online-Banking ist schon seit Jahrzehnten sicher. Total unplausibel, dass das mit Wahlen nicht funkionieren soll. - Jeder Wahlbescheid enthält einen eindeutigen QR-Code/Link zur Autorisierung und Verschlüsselung. - Die Authentifizierung erfolgt über eine qualifizierte elektronische Signatur. (Müsste man halt auch mal einführen, zB im Personalausweis) - Der Envelope ist signiert vom Bürger, der Inhalt verschlüsselt und wird nach Abkopplung der Daten von der Signatur serverseitig entschlüsselt. Wie bei der Briefwahl mit dem Innenumschlag. So einfach ungefähr geht das, muss man eben selbst machen, wenn man keine kompetenten Firmen findet. Gebt doch einfach dem CCC n Auftrag, mein Gott.
swandue 09.02.2019
3.
Warum, warum, warum? Es gibt keine "Sicherheit im Netz"! Immer wieder werden gleich Millionen Nutzerkonten gehackt, bei milliardenschweren Konzernen, die nicht willens oder fähig sind, dies zu verhindern. Immer wieder [...]
Warum, warum, warum? Es gibt keine "Sicherheit im Netz"! Immer wieder werden gleich Millionen Nutzerkonten gehackt, bei milliardenschweren Konzernen, die nicht willens oder fähig sind, dies zu verhindern. Immer wieder werden Sicherheitslücken entdeckt, für die dann ganz fix Updates geliefert werden. Seit vielen Jahren geht das immer so weiter. Neue Produkte kommen auf den Markt, die nun endlich sicher sein sollen, ein halbes Jahr später wird das Gegenteil bewiesen. Es ist so einfach: Papier, Stift, Wahlurne. Ein Raum, ein Tag, jederzeit können Vertreter aller wichtigen Parteien bzw. Befürworter und Gegner eines zur Abstimmung stehenden Anliegens anwesend sein. Gemeinsam wird geprüft, dass die Wahlurne leer ist, der Abstimmungsvorgang überwacht und am Ende ausgezählt. Einer kontrolliert den anderen, wenn das Ergebnis zweifelsfrei festgestellt ist, dann wird es ans Rathaus gemeldet. Parallel steht es jedem frei, die Zahlen auch innerhalb der eigenen Organisation weiterzugeben. Wenn das flächendeckend geschieht, dann kann auf jeder Ebene verglichen und geprüft werden, ob die Zahlen übereinstimmen.
j.e.r. 09.02.2019
4. Wieder ein einfaches Problem kompliziert lösen wollen .....
Am Abstimmungs-Vormittag (oder Vorabend) noch im Quartier zur Abgabe der Stimmzettel vorbeigehen ist sicher keine Zumutung, meines Erachtens vor allem als ein Recht zu betrachten. Alternativ steht ja Briefabgabe zur Verfügung [...]
Am Abstimmungs-Vormittag (oder Vorabend) noch im Quartier zur Abgabe der Stimmzettel vorbeigehen ist sicher keine Zumutung, meines Erachtens vor allem als ein Recht zu betrachten. Alternativ steht ja Briefabgabe zur Verfügung (wobei nicht einmal eine Briefmarke notwendig ist). Dei verschiedenen "e-voting" Systeme überzeugen nicht vollständig, sind also abzulehnen. Nicht transparente Systeme und Anwendungen kommen dafür schon gar nicht in Frage. Das Ganze dient eigentlich nur ein paar Unternehmen, die für diese Anwendungen gutes Geld abkassieren können.
swandue 09.02.2019
5.
Von Phisching und gefälschten Bankseiten kriegen sie überhaupt nichts mit? Ist mir völlig unverständlich, nur weil es schick, bequem und vielleicht ein paar Euro billiger ist, nicht absehbare Risken für Wahlen und [...]
Zitat von CeyIch betrachte es als eine echte Zumutung, im Jahr 2019 noch vor Ort bzw. per Papier wählen zu müssen. E-Voting würde meines Erachtens die Wahlbeteiligung deutlich erhöhen, und das ist eine gute Sache. Online-Banking ist schon seit Jahrzehnten sicher. Total unplausibel, dass das mit Wahlen nicht funkionieren soll. - Jeder Wahlbescheid enthält einen eindeutigen QR-Code/Link zur Autorisierung und Verschlüsselung. - Die Authentifizierung erfolgt über eine qualifizierte elektronische Signatur. (Müsste man halt auch mal einführen, zB im Personalausweis) - Der Envelope ist signiert vom Bürger, der Inhalt verschlüsselt und wird nach Abkopplung der Daten von der Signatur serverseitig entschlüsselt. Wie bei der Briefwahl mit dem Innenumschlag. So einfach ungefähr geht das, muss man eben selbst machen, wenn man keine kompetenten Firmen findet. Gebt doch einfach dem CCC n Auftrag, mein Gott.
Von Phisching und gefälschten Bankseiten kriegen sie überhaupt nichts mit? Ist mir völlig unverständlich, nur weil es schick, bequem und vielleicht ein paar Euro billiger ist, nicht absehbare Risken für Wahlen und Abstimmungen einzugehen.

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP