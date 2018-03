In der Schweiz funktioniert die direkte Demokratie nach dem Briefkastenprinzip: Wer wählen, abstimmen oder eine Initiative unterschreiben will, braucht Stift und Papier. Dies hat insbesondere unter Auslandschweizern regelmässig für Unmut gesorgt, denen das Stimmmaterial vom lokalen Postboten zu spät oder in der falschen Sprache zugestellt wurde. Doch auch Inlandschweizer versäumen es oft, ihr Stimmcouvert rechtzeitig abzusenden. Im Rahmen der E-Government-Strategie des Bundes soll die direkte Demokratie deshalb digitalisiert werden.

Bis 2019 sollen zwei Drittel der Kantone die elektronische Stimmabgabe einführen. In den Kantonen Neuenburg, Genf, Basel-Stadt, Aargau, Bern und St. Gallen ist das unter gewissen Einschränkungen heute bereits möglich. Gegen diese «Smartphone-Demokratie» regt sich allerdings Widerstand, eine Volksinitiative will das E-Voting verbieten.

Geht es nach dem Bundesrat, stimmen wir in Zukunft per Mausklick ab. Wie funktioniert E-Voting genau? https://t.co/1IWDOYqFM6 — SRF Kultur (@srfkultur) September 23, 2017

Auf den Tisch gebracht hat das Anliegen eine unheilige Allianz zwischen dem Zuger Piratenpolitiker Stefan Thöni, dem Luzerner SVP-Nationalrat und IT-Unternehmer Franz Grüter sowie dem Zürcher Ableger des internationalen Hackerkollektivs Chaos Computer Club. Gemäss ihrem Pressesprecher Hernani Marques ist es unmöglich, die «zahlreichen Sicherheitslücken» des digitalen Wahlkanals nachhaltig zu schliessen und das Abstimmungs- und Wahlergebnis vor inländischen und ausländischen Manipulationen zu schützen.

Herr Marques, E-Voting klingt nach dem perfekten Anreiz, um junge Erwachsene, notorisch Faule und Auslandschweizer am politischen Prozess bequem teilhaben zu lassen. Wieso unterstützen Sie als Programmierer die Digitalisierung der direkten Demokratie nicht?

Es ist ein IT-Grundsatz, dass sich Bequemlichkeit und Sicherheit in aller Regel ausschliessen. Wobei der Login-Code ja auch bei der elektronischen Stimmabgabe dem Wähler per Post zugestellt wird, ein gewisses Mass an Briefverkehr also nach wie vor bestehen bleibt. Zudem hat ein E-Voting-Testversuch im Kanton Zürich gezeigt, dass sich die Wahlbeteiligung in der Folge nicht merklich verändert hat. Ein höheres Mass an Bequemlichkeit führt also nicht zwingend zu einer höheren politischen Partizipation.

Sie sprechen von zahlreichen Sicherheitslücken. Welche wären das?

E-Voting wäre das Ende für die Demokratie: Jede Ebene der elektronischen Stimmabgabe ist angreifbar. Zunächst einmal die Ebene des Betriebssystems. Man muss sich mal überlegen, was wir beim E-Voting überhaupt machen: Wir lassen das Elektorat über das unsicherste Netz abstimmen, das es überhaupt gibt – das Internet. Auf die E-Voting-Website kann von überall aus der Welt ein Überlastungsangriff, eine sogenannte DDoS-Attacke, verübt werden. Das könnte dazu führen, dass die Seite am Wahlsonntag abstürzt. Dafür braucht man als Angreifer noch nicht einmal nennenswertes technisches Know-how. Das können bereits gelangweilte Teenager von ihrem Sofa aus machen. Etwas gewieftere Angreifer – insbesondere staatliche Akteure mit ergiebigen Ressourcen – könnten in das E-Voting-System einbrechen und darin ein Chaos anrichten, etwa alle bereits abgegebenen Stimmen löschen.

Diese Angriffe würden sicherlich bemerkt werden. Könnten sie auch verfolgt werden?

Nicht immer. Nur wenn der Angreifer an die Login-Daten oder die Schlüssel für die Systemadministratoren herankommt und sich so einwählt. Technisch spezialisierte Angreifer, ausländische Geheimdienste oder organisierte Kriminelle etwa, könnten Manipulationen an der eigentlichen Software vornehmen, die im Nachhinein nicht nachweisbar wären. Dies geschieht mithilfe von sogenannten Zero-Days, also Sicherheitslücken, die den Betriebssystem- oder Softwareherstellern noch unbekannt sind. Wie Dopingmittel, die der Dopingbehörde unbekannt sind und demnach nicht nachgewiesen werden können. Dafür gibt es im Internet einen Schwarzmarkt, auf dem beliebige Angreifer die unbekannten Sicherheitslücken an den Meistbietenden verkaufen.

Es wäre also möglich, dass jemand das Wahlergebnis manipuliert, ohne dass das jemand überhaupt feststellen kann?

Absolut. Ich hatte gestern mit Kryptologen der Berner Fachhochschule (BFH) gesprochen, die die entsprechenden Software-Protokolle geschrieben haben. Mathematisch mag das alles sicher sein, die zentrale Frage aber lautet, ob am Tag der Abstimmung denn auch diese Software angewendet wird oder ob sie nicht bereits unbemerkt manipuliert wurde. Einen derart fundamentalen Angriff kann auch die Kryptografie nicht abwehren, da der zugrunde liegende Code bereits verändert wurde. Wenn es jemandem gelingt, die Server unter Kontrolle zu bringen, kann er direkt ins System eindringen und von dort aus die Verschlüsselung schwächen oder irgendwelche Spezialfunktionen ins Backend einbauen.

#EVoting ist Sonnenschein und Regenbogen an der Oberfläche - und #ITSec-Abgründe ohne Ende an der Basis. pic.twitter.com/2ZLVGkQDSl — ???? Hernâni Marques (@vecirex) February 23, 2018

Welche Sicherheitslücken gibt es auf der Hardware-Ebene?

Ausländische Geheimdienste könnten das System unterhalb der Betriebssystem-Ebene unterwandern. Ich möchte an dieser Stelle daran erinnern, dass die NSA gemäss den Snowden-Enthüllungen in den USA hergestellte Cisco-Router an der Grenze abgefangen und verwanzt hat, bevor diese an die entsprechenden Empfänger im Ausland weiterversendet wurden. Da die Schweiz keine eigene Hardware produziert, muss auch der Bund seine Computer im Ausland bestellen, zum Beispiel in den USA oder in China. Die NSA hatte bereits 2008 in einem Strategiedokument festgehalten, dass Anlagen zur Versorgungssteuerung und kritische Infrastruktur wie E-Voting-Systeme geradezu darum betteln, von der NSA ausgebeutet zu werden. Momentan ist im Parlament eine Anfrage von SVP-Nationalrat Claudio Zanetti hängig, um vom Bundesrat gegenüber solchen Risiken eine Einschätzung zu erhalten.

Wer könnte neben der NSA denn sonst noch ein Interesse daran haben, Wahlen und Abstimmungen in der Schweiz zu manipulieren?

Generell jeder: Wie der Wahlbetrug eines SVP-Politikers im Oberwallis und der Fall Lumengo gezeigt haben, ist das Mindset selbst unter Schweizer Politikern vorhanden. Aber auch Privatpersonen, Firmen und Interessenverbände könnten gewillt sein, Wahlen und Abstimmungen zu manipulieren. Die Economiesuisse investierte Millionen Franken in die Abstimmungskampagne gegen die Masseneinwanderungsinitiative. Ich will hier niemandem etwas unterstellen, aber aus einer reinen Kostenrechnung wäre es in einem E-Voting-System für Economiesuisse billiger gekommen, einer chinesischen oder russischen kriminellen Hackergruppe eine halbe Million zu bezahlen, damit diese das gewünschte Wahlresultat produziert. Aber auch ausländische Regierungen und Firmen könnten ein Interesse daran haben, wie Schweizer Abstimmungen ausfallen. Wenn wir über Importzölle oder die Beschaffung von Kampfflugzeugen abstimmen, dann geht es schnell um Milliardenvorlagen. Da kann man als schwedischer Flugzeughersteller schon mal in Versuchung kommen, ein paar Hunderttausend Franken in die Manipulation einer Abstimmung zu investieren.

Für wie wirksam halten Sie Marcel Doblers Idee, einen Wettbewerb auszuschreiben, in dem Hacker pro Sicherheitslücke im E-Voting-System mit 250'000 Franken belohnt werden?

Diese Bug-Bounty-Wettbewerbe sind bei technischen Problemen beliebt, auch Firmen wie Google und Tesla arbeiten damit. Das Problem: Nur weil im Wettbewerb niemand eine Sicherheitslücke gefunden hat, heisst noch nicht, dass es keine gibt. Denn es wird gar nicht das originale System gehackt, sondern bloss eine Simulation davon. Des Weiteren ist nicht sicher, dass das dann jene Version ist, die am Tag der Abstimmung auch tatsächlich angewendet wird. Die originale Version könnte schon längstens gehackt worden sein. Wenn ich eine Suppe koche und das Rezept dazu ins Netz stelle, dann kann man die Suppe zwar nachkochen, aber das heisst noch nicht, dass meine Suppe in der Zwischenzeit nicht schon vergiftet wurde.

Das Thema E-Voting sorgt für hitzige Diskussionen. https://t.co/y812YFwKsu — TA Politik (@TA_Politik) February 28, 2018

Ist man sich dieser Risiken beim Bund schlicht nicht bewusst?

Die Bundeskanzlei denkt nur an ihren eigenen Garten, also an die E-Voting-Software an sich. Aber um alles rundherum, also die Prüfbarkeit, ob die Software manipuliert wurde oder ob die Hardware und das Betriebssystem an sich vertraut sind, darüber scheint man sich beim Bund leider keine Gedanken zu machen. Es ist schlicht nicht möglich, diese Komplexität zu kontrollieren. Und auf dem Spiel steht nichts Geringeres, als dass wir unsere Demokratie riskieren – nur damit ein paar Auslandschweizer und womöglich faule Wähler bequemer abstimmen können.

Gibt es neben technischen auch soziale Unterschiede zwischen der elektronischen und der brieflichen Stimmabgabe?

Das Hauptproblem von E-Voting ist, dass der Bürger dem System blind vertrauen muss. Stimmzettel kann theoretisch jeder nachzählen: jedes Kind weiss, wie man Kreuze malt und Zettel zählt. Beim E-Voting muss der Bürger dem System jedoch auf allen Ebenen blind vertrauen. Zudem reicht bereits die blosse Behauptung, dass eine Manipulation stattfinden könnte, um das Vertrauen der Bevölkerung ins System zu stürzen. Für den Chaos Computer Club Schweiz hat blindes Vertrauen in ein solches System religiöse Züge. Doch die Dinge sind oft nicht so, wie sie auf den ersten Blick scheinen: Technikgläubigkeit muss also tunlichst vermieden werden.

Wie wollen Sie E-Voting verhindern?

Wir rufen Bürger seit heute Mittag zum Boykott von E-Voting auf. Zudem werden wir ab Juni in allen betroffenen Kantonen Stimmrechtsbeschwerden einreichen, um das politische Verfahren zu prüfen. Mit dem Ziel, es gerichtlich aussetzen zu lassen. Zusätzlich arbeiten wir mit dem Zuger Piratenpolitiker Stefan Thöni und SVP-Nationalrat Franz Grüter an einer Initiative gegen E-Voting. Mit der Unterschriftensammlung haben wir aber noch nicht begonnen, wir arbeiten momentan noch am Initiativtext. Ausserdem stehen wir eng mit dem Ex-Militär René Droz in Kontakt, der letztes Jahr mit seinem Dokument «E-Voting: Das Ende der Demokratie» die Bundesverwaltung aufgeschreckt hat.

Klingt nach einer unheiligen Allianz.

Ja, kann man so sagen. Wir vom Chaos Computer Club haben mit der SVP oder Kräften des Militärs zwar a priori nichts zu tun, aber Herr Grüter ist rechts-libertär eingestellt und da gibt es halt gewisse Überschneidungen mit der CCC-Hackerethik. Und bei Herrn Droz ist offensichtlich, dass er ein realistisches Risikobewusstsein besitzt. Er weiss genau, wie schwierig es damals war, die Anlagen des VBS zu verteidigen.

