E-Voting – Chance oder Gefahr für die Demokratie?

Denis Morel, Leiter E-Voting bei der Post, äussert sich zur Kritik an E-Voting und stellt sich den Fragen nach den Sicherheitsaspekten.

10.04.2018
Interview: Silvia Wagner
  • Denis Morel

    «Für mich ist E-Voting nicht das Ende, sondern eher eine Stärkung der Demokratie», so Denis Morel, Leiter E-Voting bei der Post.

  • E-Voting

    Die Sicherheitsanforderungen beim E-Voting sind noch höher als beim E-Banking.

E-Voting soll neben der brieflichen und persönlichen Stimmabgabe als dritter Stimmkanal etabliert werden. Die Post ist bereits eine zuverlässige Partnerin bei der Zustellung des Stimmmaterials und der brieflichen Stimmabgabe. Daher ist auch E-Voting ein strategisches Kerngeschäft der Post.

Während sich die einen auf die neue Möglichkeit freuen, schnell und einfach online abzustimmen, haben andere Bedenken bezüglich der Sicherheit. Vermehrt äussern sich kritische Stimmen, eine Initiative gegen E-Voting soll gestartet werden. Ist E-Voting tatsächlich zu wenig sicher oder gar eine Gefahr für die Schweizer Demokratie? Denis Morel liefert Hintergrundinformationen und erzählt, warum er E-Voting vertraut.

Herr Morel, warum sollte man überhaupt elektronisch abstimmen?

Das soll jede und jeder für sich entscheiden. Aber wir leben in neuen Zeiten, die Digitalisierung ist in vollem Gange. E-Voting bringt entscheidende Vorteile mit sich. Ich kann meine Stimme ortsunabhängig innert fünf Minuten abgeben. Und es ist nicht möglich, einen ungültigen Stimmzettel abzugeben. Vor kurzem kam es in bestimmten Quartieren der Stadt Zürich vor, dass über 40 Prozent der eingereichten Stimmzettel ungültig waren. Einen solchen Fall lässt E-Voting technisch gar nicht erst zu.

Immer mehr Personen sprechen aber von Sicherheitslücken.

Es ist aus unserer Sicht sehr schwierig, das hochsichere E-Voting-System zu hacken. Die Sicherheitsanforderungen sind noch höher als beim E-Banking. Falls ein Hacker dennoch erfolgreich sein sollte, kann er den Inhalt der elektronischen Urne nicht lesen, da die Daten verschlüsselt sind. Zudem werden alle Angriffe sofort erkannt. Ein wichtiges Stichwort ist hier die «universelle Verifizierbarkeit». Sie sorgt dafür, dass alle Angriffe mathematisch bewiesen und der Wahlkommission gemeldet werden.

Sind E-Voting-Systeme also nicht knackbar?

Absolute Sicherheit gibt es nicht. Entscheidend ist aber wie gesagt: Unser E-Voting-System ist so gebaut, dass allfällige Manipulationen zweifelsfei festgestellt und mathematisch bewiesen werden können. So wie Wahlbeobachterinnen und -beobachter Unregelmässigkeiten beim physischen Urnen- und Briefkanal feststellen, aber möglicherweise nicht verhindern können.

Kann die Stimmabgabe nicht ganz einfach über das Endgerät der Wählenden manipuliert werden?

Auch das wäre erkennbar, dank der «individuellen Verifizierbarkeit». Jeder Wähler und jede Wählerin kann selber kontrollieren, ob seine oder ihre Stimme richtig angekommen ist. Für jede Stimmoption wird pro Stimmbürgerin und Stimmbürger ein individueller Code erstellt. Mit diesem Code kann man selber überprüfen, ob die Stimmabgabe korrekt erfolgt ist.

Was passiert, wenn ein Code nicht stimmt?

Eine Untersuchung wird ausgelöst. Als Wähler oder Wählerin muss man den digitalen Prozess abbrechen, die Stimme ist in diesem Schritt noch nicht digital «eingeworfen» und sie kann weiterhin brieflich oder persönlich an der Urne abgegeben werden. Deshalb schliesst die digitale Urne bereits 24h vor der physischen Stimmabgabe.

Viele digital affine Personen sind kritisch gegenüber E-Voting eingestellt. Warum?

Sie fragen sich, wie es möglich sein soll, eine Änderung am Inhalt der elektronischen Urne zu erkennen, wenn man den Inhalt selbst nicht sehen kann. Das ist ein Paradoxon, das das Sicherheitssystem von E-Voting mit sich bringt. Dieser scheinbare Widerspruch ist schwierig nachzuvollziehen, jedoch mathematisch berechenbar.

Kritiker und Kritikerinnen von E-Voting sprechen vom Ende der Demokratie. Wie sehen Sie das?

Für mich ist das eher eine Stärkung der Demokratie. Die gleiche Diskussion hatten wir auch schon über die briefliche Abstimmung in den 1990er-Jahren. E-Voting stellt lediglich einen neuen, zusätzlichen Kanal dar. Mit E-Voting können zudem Menschen mit Beeinträchtigung ohne Unterstützung ihre Stimme abgeben. Das stärkt das Stimmgeheimnis.

Es heisst, die Pläne des Bundes ignorieren altbekannte Risiken. Stimmt das?

Nein. Die Bundeskanzlei ist sogar sehr vorsichtig. Es gilt der Grundsatz «Sicherheit vor Tempo». Die Bundeskanzlei stellt sicher, dass die Systeme die nötige Sicherheit und Qualität haben. Wenn nicht, wird das System nicht bewilligt – das ist auch schon vorgekommen.

Ist es Geheimdiensten durch E-Voting nicht viel einfacher, an vertrauliche Daten kommen?

Nein, alle Daten sind stets verschlüsselt. Nur die Wahlkommission ist im Besitz des Schlüssels, um die Stimme zu entschlüsseln. Und der wird bei jedem Wahlvorgang neu erstellt. Zuerst müsste auch noch das Rechenzentrum der Post gehackt werden. Das besitzt bereits ein sehr hohes Sicherheitsniveau.

Kann die Post gezwungen werden, Daten herauszugeben?

Nein, die Post transportiert nur die Daten. Sie hat deshalb gar keine Einsicht in die Daten, die ohnehin verschlüsselt sind.

Für die Entwicklung des Systems arbeitet die Post mit der spanischen Firma Scytl zusammen. Ein Risiko?

Nein, Scytl ist ein Spin-off der Universität Barcelona und weltweit führend in der E-Voting-Technologie mit 20 Jahren Erfahrung auf dem Gebiet. Scytl hat zu keinem Zeitpunkt Zugang auf die Daten der Post, sie liefern nur die Softwarekomponenten. Die Installation und der Betrieb geschieht ausschliesslich durch die Post und in der Schweiz. Scytl hat schon prinzipiell kein Interesse daran, Zugriff auf irgendwelche Daten zu haben: Sie würden ihr eigenes Geschäftsmodell zerstören, wenn der Verdacht im Raum wäre und dadurch niemand mehr ihr System einsetzen möchte.

Es wird argumentiert, dass die Wahlmaschinen in den USA gehackt werden konnten.

Ja, die haben aber eine ganz andere Form von E-Voting als wir in der Schweiz. In den USA funktioniert E-Voting mit älteren Wahlmaschinen in Abstimmungsbüros. In der Schweiz erfolgt E-Voting übers Internet und ist somit ein komplett anderes System. Die aktuelle Manipulationsdiskussion in den USA dreht sich zudem um das «Hacken» der Debatte oder des Meinungsbildungsprozesses im Vorfeld von Wahlen, nicht um das Hacken eines E-Voting-Systems.

Es wurde eine Initiative gegen E-Voting angekündigt. Was, wenn diese zustande kommt?

Eine sachliche Diskussion über E-Voting in der Bevölkerung ist auch im Interesse der Post. Da E-Voting in den ordentlichen Betrieb überführt werden soll, ist eine Gesetzesänderung erforderlich, was bedeutet, dass die Frage zur Annahme von E-Voting sowieso vors Volk kommt.

Als vertrauensfördernde Massnahmen sollen öffentliche Tests dienen. Was halten Sie davon?

Diese Tests sind eine spannende Herausforderung. Wir können beweisen, dass wir unsere Sache gut gemacht haben. Wir haben zusammen mit externen Firmen selber mehr als zehn solcher Tests innerhalb von 18 Monaten durchgeführt. Anfang 2019 wird der sogenannte «Quellcode» veröffentlicht. Dann können alle einsehen, wie das E-Voting-Programm aufgebaut ist. Danach folgen die öffentlichen Tests.

Wer überprüft das E-Voting-System vor dessen Zulassung?

Mehrere Kontrollinstanzen: die Bundeskanzlei, unabhängige externe Expertinnen und Experten und der Bundesrat. Zudem muss die Post als Systembetreiberin im Vorfeld jede Menge Dokumente liefern, die wiederum sowohl von der Bundeskanzlei als auch von externen Expertinnen und Experten analysiert werden.

Testen Sie das E-Voting-System der Post in einer fiktiven Abstimmung und in fiktiven Wahlen auf demo.evoting.ch.

Informationsseite für Wählerinnen und Wähler: www.evoting.ch

Informationsseite über das Post-System mit Transparenzdokumenten: www.post.ch/evoting

Fach-Blog: www.evoting.ch/blog