Digitale Gesellschaft
Die gemeinnützige Organisation informiert und berät zu Konsumenten- und Rechtsfragen im digitalen Raum, schätzt Technologiefolgen ab hinsichtlich der möglichen Auswirkungen auf die Grund- und Menschenrechte und bietet Dienste, Software-Projekte und Workshops zur «digitalen Selbstverteidigung» an.
Die Digitale Gesellschaft kämpft für unsere Freiheitsrechte in einer vernetzten Welt.
Inhalt
- Was ist die Problematik?
- Etwas Geschichte
- Die Ereignisse überschlagen sich
- Aussicht
Anforderungen an ein Abstimmungsverfahren
- Kontrolle der Stimmberechtigung
- Sowie Verhinderung von doppelten Stimmabgaben
- Korrekte Ermittlung des Resultats
- Nachprüfbarkeit des Resultats
- Wahrung des Stimmgeheimnisses
E-Voting ≠ E-Banking
Geldtransaktionen sind überprüfbar und können korrigiert werden. Damit das Stimmgeheimnis gewahrt bleibt (und Beeinflussung sowie Stimmenkauf verhindert werden kann), darf die persönliche Wahl/Abstimmung für Dritte jedoch nicht nachvollziehbar sein.
Manipulationsmöglichkeiten
- Vorsysteme (Stimmregister, Druckerei, Zustellung)
- Verwendete Eingabegeräte der Benutzer
- Übermittlungskanal
- Abstimmungsplattform
Unsichere Eingabegeräte der Benutzer &
unsicherer Übermittlungskanal
- Viele Endbenutzergeräte sind mit Malware infiziert
- Eine Kontrolle durch die Behörden ist nicht möglich
- Neben der Manipulation ist auch Ausspähung möglich
- Die Einschätzung des Risikos ist für Benutzer schwierig
- Benutzer müssten darüber aufgeklärt werden
Eingeschränkte Nachvollziehbarkeit
Im Unterschied zur Urnen- oder Briefwahl gibt es keine Stimmenzähler, Wahlbeobachter oder «Experten», welche ein korrektes Funktionieren und eine Nachzählung - unter Wahrung des Stimmgeheimnisses - gewährleisten können.
Ansatz: Individuelle Verifikation
Die korrekte Erfassung der persönlichen Stimme/Wahl wird gewährleistet, indem z.B. mit einem zweiten Code die korrekte Übermittlung an die Abstimmungsplattform überprüft werden kann.
Abstimmungsplattform: Insider-Risiken
- Lieferanten von Hardware und Betriebssystem
- Herstellerin der E-Voting-Software
- Betreiberin der Abstimmungsplattform
- IT-MitarbeiterInnen
Abstimmungsplattform: externe Risiken
- Es gibt keine sicheren IT-Systeme
- Ausnutzung von Sicherheitslücken (auch kaskadiert)
- Überlistung von Benutzer oder Administratoren
- Kombination
- Frage der investierten Ressourcen
Abstimmungsplattform: zentralisiertes Risiko
Im Unterschied zur Urnen- oder Briefwahl findet die Auszählung nicht in den Gemeinden sondern zentral an einem Ort, resp. in einem System statt.
Konzept: Universelle Verifikation
Die Nachprüfbarkeit wird - unter Wahrung des Stimm-/Wahlgeheimnisses - gewährleistet, indem jede Person ihre Wahl-/Abstimmung im Schlussresultat verifizieren kann (und unrechtmässig abgegebene Stimmen ausgeschlossen sind).
Universelle Verifikation
- Ist technisch und mathematisch möglich
- Benötigt jedoch umfangreiche technische sowie organisatorische Massnahmen
- Setzt insbesondere weitreichendes Fachwissen – speziell auch der abstimmenden Personen – voraus
Akzeptanz von Wahlen & Abstimmungen
- (Direkt-)Demokratische Entscheidungen haben eine sehr hohe Akzeptanz, weil das Entscheidungsverfahren nachvollziehbar ist.
- Dies garantiert, dass selbst kontroverse Entscheidungen von den Gewinnern und Verlierern akzeptiert werden.
Demokratie-politische Frage
Sollen Abstimmungen und Wahlen auf einem Verfahren beruhen, das nur wenige Experten verstehen?
Bundesverfassungsgericht von Deutschland
«Der Wähler selbst muss ohne nähere computertechnische Kenntnisse nachvollziehen können, ob seine abgegebene Stimme als Grundlage für die Auszählung oder jedenfalls als Grundlage einer späteren Nachzählung unverfälscht erfasst wird. [...] Denn die Kontrollierbarkeit der wesentlichen Schritte der Wahl fördert begründetes Vertrauen in die Ordnungsmäßigkeit der Wahl erst dadurch, dass die Bürger selbst den Wahlvorgang zuverlässig nachvollziehen können.»
Der Start
- 2000: Projektstart Vote électronique mit drei Pilotkantonen (GE, NE, ZH)
- 2002: 1. Bericht des Bundesrates
1. Bericht des Bundesrates
«Unter gewissen Umständen wird den Stimmbürgerinnen und Stimmbürgern bei der traditionellen Auszählung der Stimmen ein Anspruch auf Nachzählung gewährt. [...] Zwar wird es Informatikdiensten unter Umständen noch möglich sein, Fehlerquellen zu eruieren und elektronische Abläufe zu rekonstruieren. Das «gewöhnliche» Mitglied eines Wahl und Abstimmungsbüros wird aber keine unmittelbare Aufsicht über die Stimmabgabe mehr ausüben können. [...]»
1. Bericht des Bundesrates
«Dies kann einen Vertrauensverlust in das Abstimmungsverfahren nach sich ziehen. Deshalb muss die Kontrollfunktion bei der Einführung des Vote électronique durch technisch und politisch Verantwortliche wahrgenommen werden, die das Vertrauen der Stimmbürgerinnen und Stimmbürger geniessen. Offen bleibt, ob dies genügt.»
Erste Versuche
- 2004: In Genf bei eidgenössischen Abstimmungen
- 2005: In Neuenburg und Zürich bei eidgenössischen Abstimmungen
- NE: in Zusammenarbeit mit Scytl
- ZH: Generalunternehmerin Unisys
- 2006: 2. Bericht des Bundesrates
2. Bericht des Bundesrates
«Eine elektronische Stimmabgabe darf nach dem Befinden der Kommission nur dann zugelassen werden, wenn sie sicher und zuverlässig vollzogen werden kann; insbesondere muss die stimmberechtigte Person eine Bestätigung für ihre Stimmabgabe erhalten und, falls das nationale Recht dies erfordert, auch eine Korrektur anbringen können. Die Transparenz des Systems muss dabei garantiert bleiben.» («Venedig-Kommission» des Europarats)
Ausweitung der Versuche
- 2009: Gründung des Consortiums Vote électronique bestehend aus den Kantonen Aargau, Freiburg, Graubünden, Schaffhausen, St.Gallen, Solothurn und Thurgau - die das Zürcher System übernehmen
- 2010: Das Genfer System wird auch von den Kantonen Basel Stadt und Luzern verwendet
Einsetzende Kritik
- 2010ff: Kritik aus der Wissenschaft, der OSZE und einzelnen Kantonsparlamenten
- 2012: Studie und Konzept der Berner Fachhochschule für ein verifizierbares System
- 2013: 3. Bericht des Bundesrates
3. Bericht des Bundesrates
3. Bericht des Bundesrates
«Sie [die Verifizierbarkeit] stellt sicher, dass systematische Fehlfunktionen im Wahl- bzw. Abstimmungsablauf infolge von Softwarefehlern, menschlichen Fehlleistungen oder vorsätzlichen Manipulationsversuchen unter Wahrung des Stimmgeheimnisses erkannt werden.»
3. Bericht des Bundesrates
«Dank ihrer wissenschaftlichen Abstützung und dadurch, dass sich die Verifizierbarkeit eines Systems für Vote électronique durch Analogien mit den konventionellen Abstimmungskanälen einem breiten Publikum erklären lässt, bildet die Verifizierbarkeit ein starkes Instrument zur Nachvollziehbarkeit des korrekten Ablaufs eines Urnengangs und zur Vertrauensbildung.»
Tote Pferde werden noch Jahre geritten
- 2015: Auflösung des Consortiums
- 2016: System in Neuenburg wird nun von der Post mit Technik von Scytl betrieben
- 2018: Genfer System soll nicht weiterentwickelt werden
Die Ereignisse überschlagen sich
PIT: Public Intrusion Test
- Vertrauensfördernde Massnahme
- Nach Anmeldung (und NDA) bekommt man Code und Dokumentation
- Resultate sind vertraulich und müssen nicht publiziert werden
PIT: Public Intrusion Test (II)
- Bug bounties: SFr. 150'000
- End- und Drittgeräte waren ausgeschlossen (Router, DNS, Handy), Umsysteme der Post ebenfalls
Code auf gitlab gehostet
...war eher ein Code-Dump
PIT: Leak
- Code will frei sein
- Die Post behauptet es gäbe keine Leaks
- Löscht trotzdem alle public clones per DMCA takedown von Gitlab und Github
PIT: Leak
- Ermöglichte erst die unabhängige Untersuchung
- Hat die Open Privacy Research Foundation auf den Plan gerufen
Medienmitteilung Post
Medienmitteilung Bundeskanzlei
Vernehmlassung zur E-Voting Verordnung
- Parallel zum PIT
- Bundeskanzlei will E-Voting als regulären dritten Stimmkanal erlauben
- Die Entscheidung darüber soll aber immer noch bei den Kantonen liegen
Unsere Forderung
Gegenmittel: Initiative für E-Voting Moratorium
- Befristetes Aussetzen von E-Voting in der Schweiz
- Das Parlament kann nach dieser Frist das E-Voting wieder erlauben
- Sammlung (100k Unterschriften) läuft; bis Herbst 2020
Post & Bund
- Fix der individuellen Verifikation im «aktuellen» System der Post scheint aufwändig
- Das Konzept der universellen Verifikation hat Schiffbruch erlitten
- Die Bundeskanzlei ist verschnupft
«Überführung in den ordentlichen Betrieb»
- Parteien zurückhaltend (= keine Einführung zur Zeit)
- Kantone (Regierungen) gespalten
- Wirtschafts-/IT-Verbände dagegen
Eidgenössisches Parlament
Volksinitiative
- 100'000 beglaubigte Unterschriften sind viel
- Ebenfalls «Damoklesschwert»
Kantone
- In den Parlamenten überwiegt die Skepsis
- Ein Kanton muss die Bewilligung beantragen (nicht die Post)
Fazit
- Zeichen stehen auf Abbruch
- Ein zwanzigjähriges Projekt vor der Einführung zu stoppen, ist aber schwierig
Digitale Gesellschaft
4000 Basel
Schweiz
Konto CH15 0900 0000 6117 7451 1
Quellen und Lizenzen der Infografik
