kurzmitteilung E-Voting: eine Gefahr für die politischen Institutionen

Die AL Bern hat an der Vernehmlassung E-Voting als dritter ordentlicher Stimmkanal teilgenommen. Das Fazit ist deutlich: Der elektronische Stimmkanal ist eine Gefahr für die demokratische Legitimation der politischen Institutionen der Schweiz.

Vollständige Verifizierbarkeit gibt es nicht: Kein Computerprogramm der Welt – also auch nicht E-Voting – kann sich selbst vollständig verifizieren. Dieser Umstand ist mathematisch und informatiktheoretisch bewiesen und gilt für alle Computer, wie wir sie heute kennen.

Nachvollziehbarkeit irgendwie ganz und gar nicht: Was ein E-Voting System kann, lässt sich lediglich an Hand dessen nachvollziehen, was das System tut. Es bleibt daher eine Blackbox, die nicht in seine Teile zergliedert und individuell nachvollzogen werden kann.

Beim Vertrauen aufs Ganze gehen: E-Voting Systeme sind inhärent manipulierbar und Manipulation betrifft immer das ganze System. Es reicht darum schon der Verdacht einer Manipulation, um das Vertrauen in den elektronischen Stimmkanal nachhaltig und rückwirkend zu erschüttern.

E-Voting Vernehmlassung AL Bern

Einführung

Im Rahmen der Vernehmlassung E-Voting als dritter ordentlicher Stimmkanal zur Teilrevision des Bundesgesetztes über die politischen Rechte (BPR) vom 19. Dezember 2018 ist das vorliegende Argumentarium als Beilage für die Vernehmlassungsantwort gedacht. Ziel soll es sein auf zwei wesentliche und bisher ungenügend genannte Probleme des elektronischen Stimmkanals (hier auch E-Voting) hinzuweisen. Als wesentlich werden diese Probleme erachtet, da sie einem E-Voting System inhärent sind und weder auf mangelnde Vorsicht oder Fahrlässigkeit der Benutzer noch auf mangelnde technische Ausgereiftheit des Produkts zurückzuführen sind. Konkret handelt es sich um zwei prinzipielle Probleme von Computerprogrammen: der inhärenten Manipulierbarkeit und der ungenügenden Nachvollziehbarkeit. Der daraus resultierende potentielle Vertrauensverlust in den Abstimmungsprozess stellt eine Gefahr dar für die demokratische Legitimation der politischen Institutionen der Schweiz.

Viele stichhaltige, bereits an anderer Stelle geäusserte Bedenken in Bezug auf E-Voting wurden hier aus Platzgründen weggelassen (Problem der unsicheren Plattform, „Man in the middle“-Attacken, „False positives“ bei der Verifizierung, Wahrung des Stimmgeheimnisses bei gleichzeitiger individueller Verifikation, hohe finanzielle Kosten, fehlende betriebliche Sicherheitskriterien, fehlende Konkurrenz der Anbieter etc.). Selbstverständlich sind wir der Auffassung, dass diese und auch die hier nicht explizit ausgeführten Probleme zentrale Gründe gegen eine Einführung eines ordentlichen elektronischen Stimmkanals darstellen und in ein umfassendes Argumentarium aufzunehmen sind.

„Vollständige Verifizierbarkeit“ gibt es nicht

Mittels der sogenannten „vollständigen Verifizierbarkeit“ (gemeint ist vermutlich eine Kombination aus individueller Verifizierung und universeller Verifizierung) als Sicherheitsanforderung an ein mögliches E-Voting System soll einerseits dafür gesorgt werden, dass die Abstimmende sicherstellen kann, dass ihre Stimme korrekt im System registriert wurde (individuelle Verifizierbarkeit) und andererseits, dass Abstimmungsverantwortliche überprüfen können, ob das E-Voting System als Ganzes manipuliert worden ist oder nicht (universelle Verifizierung).

Im Gegensatz zu der wohlbekannten individuellen und universellen Verifizierbarkeit ist nicht klar, was mit „vollständiger Verifizierbarkeit“ gemeint ist und es scheint sich um eine hausgemachte Wortschöpfung zu handeln. Dies ist bemerkenswert und es mag dabei der Wunsch des Vaters des Gedankens gewesen sein, denn auch wenn eine vollständige Verifizierung im Zusammenhang mit E-Voting sehr wünschenswert wäre, ist diese doch aus Informatik-theoretischen Überlegungen für Computerprogramme prinzipiell nicht zu haben.

Der Grund warum ein Computerprogramm nie vollständig verifiziert werden kann liegt darin, dass ein Computerprogramm prinzipiell, aus sich heraus, nicht ermitteln kann, ob es manipuliert worden ist. Diese Eigenschaft eines jeden Computerprogramms folgt aus dem bekannten, von Alan Turing beschriebenen Halteproblem. Das Halteproblem gilt für jedes auf einem Computer ausführbare Programm und damit auch für softwarebasiertes E-Voting. Es wird aus diesem Grund niemals abschliessend möglich sein zu überprüfen, ob ein E-Voting System manipuliert worden ist oder nicht. Es ist wichtig zu verstehen, dass das Halteproblem mathematisch bewiesen ist und damit für sämtliche Computer gilt, wie wir sie heute kennen. Hierbei sind jegliche kryptographischen Vorkehrungen insofern unerheblich, als dass diese bestenfalls Komponenten innerhalb der Software, nie aber die Software als solches verifizieren können. Vollständige Verifizierbarkeit gibt es nicht.

Nachvollziehbarkeit irgendwie ganz und gar nicht

Ein Problem, das in Bezug auf den elektronischen Stimmkanal oft genannt wird, ist die fehlende Nachvollziehbarkeit im Vergleich mit den herkömmlichen Abstimmungskanälen. Um zu verstehen, was damit gemeint ist, mag man sich fragen inwiefern die zwei bestehenden Abstimmungskanäle, also Urnen- und Briefabstimmung, nachvollzogen werden können. Bei genauerer Betrachtung ist die Antwort einfach: Im Gegensatz zu E-Voting ist der Abstimmungsprozess der beiden herkömmlichen Abstimmungskanäle naturgemäss in einzelne und voneinander unabhängig verständliche Schritte gegliedert. Um das zu sehen, kann man sich exemplarisch die Arbeit einer Postbotin im Falle einer brieflichen Abstimmung vorstellen. Der Postdienst, der dabei vollbracht wird, also das Einsammeln und Überbringen des Abstimmungscouverts, kann als ein Schritt von vielen im Abstimmungsprozess begriffen werden. Des Weiteren können die für den Teilprozess „Postdienst“ wesentlichen Erfolgsbedingungen benannt werden (z.B. das Abstimmungscouvert wird abgeholt und landet in der Abstimmungszentrale). Die Möglichkeit, den Gesamtprozess in Teilschritte zu zergliedern und Erfolgsbedingungen für die Teilschritte zu benennen, ist es, was mit Nachvollziehbarkeit gemeint ist.

Vergleicht man das mit dem elektronischen Stimmkanal, müssen wir uns E-Voting als ein laufendes Computerprogramm in Betrieb vorstellen. Ob Laie oder Profi, für ein solches in Betrieb befindliches Computerprogramm kann keine Zergliederung vorgenommen werden, denn ist ein Computerprogramm erst einmal gestartet, verhält es sich für den Betrachter wie eine „Blackbox“: Was das Computerprogramm kann, lässt sich lediglich an dem ermitteln, was es tut. Und was ein Computerprogramm tut, ist Eingaben (Input) zu Ausgaben (Output) verarbeiten. Das heisst, um ein laufendes Computerprogramm zu verstehen, kann dieses lediglich als Funktion, also als ein Prozess, verstanden werden. Es ist dabei unerheblich, ob das Computerprogramm repliziert läuft, an verschiedenen Standorten betrieben wird, es sich um ein einzelnes Computerprogramm, oder einen ganzen Verbund von interagierenden Programmen handelt.

Dieser Punkt ist nicht eine Frage des technischen Knowhows, sondern liegt in der Natur der Sache: was ein Computerprogramm können soll, wird zuvor als Quellcode – sozusagen als Bauanleitung – verfasst. Aus dem Quellcode wird das Computerprogramm „gebaut“ (d.h. in für den Computer, aber nicht für Menschen verständliche Instruktionen übersetzt) und dann gestartet. Läuft das Computerprogramm einmal, ist diesem nicht mehr anzusehen mit welchem Quellecode es gebaut wurde und es lässt sich darum nur noch rein funktional – also anhand dessen was ein- und ausgegeben wird – beschreiben.

Zum Vergleich: Im Falle des Postdiensts ist es zwar möglich, dass auch hier die durchschnittliche Stimmberechtigte nicht notwendigerweise in der Lage sein wird jeden Aspekt des Überbingens eines Abstimmungscouverts im Detail zu verstehen, doch liegt zumindest eine vage Beschreibung des Teilprozesses vor, für den sehr wohl die Erfolgsbedingungen genannt werden können. Hier ist Nachvollziehbarkeit also möglich.

Führt man diesen Vergleich zu Ende, bedeutet dies, dass das, was am elektronischen Stimmkanal mit letzter Sicherheit nachvollzogen werden kann, das ist, was in ein E-Voting System eingegeben (Adresserfassung, Stimmabgabe etc.) und ausgegeben (Drucken von Wahlzetteln, Darstellung des aggregierten Resultats der Abstimmung etc.) wird. Es ist keine Zergliederung in Teilprozesse möglich. Schlimmer noch, im Falle von laufenden Computerprogrammen fällt die für die Nachvollziehbarkeit des Abstimmungsprozesses zentrale Benennung der Erfolgsbedingungen mit dem zusammen, was überhaupt von einem E-Voting als Prozess verstanden werden kann – also was in das Programm ein- und ausgegeben wird. Damit ist jegliches Verständnis des Prozesses des elektronischen Stimmkanals nicht davon abhängig was ein E-Voting Computerprogramm tatsächlich kann, sondern lediglich davon was das E-Voting Computerprogramm vordergründig tut. E-Voting ist im Gegensatz zu den zwei herkömmlichen Abstimmungskanälen eine Blackbox bei der Nachvollziehbarkeit irgendwie ganz und gar nicht zu haben ist.

Beim Vertrauen aufs Ganze gehen

Fassen wir zusammen: Ein E-Voting System lässt sich nicht in Teilen nachvollziehen, sondern von aussen nur als Ganzes, also vollständig betrachten. Gleichzeitig ist ein E-Voting System aus Informatik-theoretischer Sicht nie vollständig verifizierbar. Das ist eine ungute Mischung mit erheblichem Gefahrenpotential für das in die Abstimmungskanäle und in die Abstimmung gesetzte Vertrauen. Vertrauen ist aber zentral, um die Legitimation demokratischer Institutionen zu gewährleisten.

Man denke sich eine Webseite einer kantonalen Behörde (für die freilich nicht die gleichen Sicherheitsrichtlinien gelten müssen wir für ein E-Voting System). Stellen wir uns weiter vor, diese wurde gehackt. Allerdings wurde dabei die Webseite der Behörde lediglich um ein Bild – sagen wir eines finster lächelnden Wladimir Putins – ergänzt. Nun besuchen Abstimmende die Webseite mit der Absicht, sich über diese in das E-Voting System einzuloggen. Was würde passieren? Es ist davon auszugehen, dass die Abstimmenden durch diese relativ harmlose Manipulation tief verunsichert wären und wohl lieber gänzlich auf die Stimmabgabe verzichteten, als sich in ein vordergründig manipuliertes E-Voting System einzuloggen.

Was in diesem kleinen Gedankenexperiment zum Ausdruck kommt, ist das grundsätzliche Problem der fehlenden Nachvollziehbarkeit bei gleichzeitig unvollständiger Verifizierung: Bereits der Anschein einer Manipulation genügt, um das Vertrauen in das ganze System nachhaltig zu erschüttern. Im Falle einer Manipulation der herkömmlichen Urnen- und Briefabstimmungen kann der Prozess zergliedert und damit die Manipulation identifiziert werden. Dies ist mit Computerprogrammen prinzipiell nicht möglich.

Jetzt mag man sich fragen – wenn schon das Computerprogramm an sich Manipulation nicht vollständig ausschlissen kann – ob nicht wenigstens die Infrastruktur, auf der E-Voting betrieben werden soll, vollständig sicher gestaltet werden kann. Weit gefehlt. Alle Sicherheitsprobleme, die auf der Anwenderseite bestehen (z.B. Computer oder Netzwerkverbindung der Abstimmenden wurden gehackt etc.) einmal ausser Acht gelassen; für ein manipulations-freies E-Voting System muss, wie bereits erwähnt, darauf vertraut werden, dass das entsprechende Computerprogramm mit guten Absichten initial gebaut, installiert, gestartet und zu jeder Zeit überwacht wurde. Nun ist es aber so, dass neben den in der Informationstechnologe immer vorhandenen Sicherheitsrisiken auch nur schon kompromittierte Hardware (Server- wie auch Netzwerk-Infrastruktur) ausreicht, um die darauf betriebene Software gleichsam zu kompromittieren. Wenn man bedenkt, dass Experten schon heute davor warnen, dass weite Teile des Internets und möglicherweise auch bereits Teile der IT-Infrastruktur der Bundesverwaltung aus verwanzter Hardware bestehen könnten, ist Manipulation von in der Schweiz betriebenen Computerprogrammen immer möglich. Somit kann auch auf Ebene Infrastruktur die nötige vollständige Sicherheit nicht gewährleistet werden.

Mit Verunsicherung und daraus resultierendem Vertrauensverlust in den elektronischen Stimmkanal ist schon beim Anschein einer Manipulation zu rechnen, aber doch es kommt noch schlimmer. Für einen nachhaltigen Vertrauensverlust scheint es bereits ausreichend, das hier vorgebrachte zu glauben. Es wäre gut denkbar, dass ohne nachweisliche Manipulation allein der gesellschaftliche Diskurs und die Wahrnehmung das Vertrauen in den elektronischen Stimmkanal erschüttern könnte. Dies würde sich dann auch nicht nur im fehlenden Vertrauen in Bezug auf inskünftige Abstimmungen niederschlagen, sondern könnte sich auch rückwirkend auf bereits abgehaltene Abstimmungen negativ auswirken.

Schliesslich könnte eingewendet werden, dass bereits eine teilweise Verifizierung, oder Betrachtung des Ganzen E-Voting Systems ohne Nachvollzug seiner Teile für eine Erhöhung der Sicherheit und des Vertrauens in den elektronischen Stimmkanal sorgten. Das mag sein. Doch geht es hier um nichts weniger als die demokratische Legitimation der wesentlichsten politischen Institution der Schweiz. Ledigliche „Erhöhung der Sicherheit wird darum nicht reichen. Eine vernünftige Güterabwägung, gemessen an der Wichtigkeit des Abstimmungsprozesses für die Demokratie, sieht darum wie folgt aus: Entweder sind Abstimmungen mittels E-Voting nachvollziehbar und nicht manipulierbar oder es sollte aus Sicherheits- und Vertrauensgründen ganz auf den elektronischen Stimmkanal verzichtet werden. Es ist anzunehmen, dass die durch die Bundeskanzlei erlassenen, erneut erhöhten Anforderungen in Bezug auf den Umfang der Verifizierbarkeit von E-Voting Systemen und die Offenlegung ihres Quellcodes (vgl. Freesoftware bzw. Opensource) Ausdruck dieser Überlegungen sind – nun gilt es diese noch konsequent zu Ende zu denken: Der elektronische Stimmkanal ist eine Gefahr für die demokratische Legitimation der politischen Institutionen der Schweiz.