Neulich entschieden die Genfer Behörden, die Entwicklung ihres eigenen E-Voting Systems nicht weiter voranzutreiben. Darauf hin entfachte auf den Sozialen Medien und in der Presse ein regelrechter Sturm in welchem sich Gegner und Befürworter mit teils wirren Aussagen die Stirn geboten haben. Besonders die Schweizerische Post und die Partner welche am E-Voting beteiligt und interessiert sind brachten eine Vielzahl an Argumenten hervor.

Besonders ein Blogpost auf dem E-Voting «Presse-Portal» der Schweizerischen Post stach ins Auge.

Er macht deutlich, dass finanzielle Interessen hinter dem E-Voting Projekt der Schweiz liegen, nicht zuletzt auf Grund der Summe an Investitionen des Bundes und der Kantone, welche bereits jetzt die 100 Mio. Grenze überschreiten.

Dieser Blogpost erklärt auch einige Begriffe in «Laien»-Deutsch. So zum Beispiel die Begriffe Individuelle Verifizierbarkeit und Universelle Verifizierbarkeit.

Wenn das System für jede Person gewährleisten kann, dass ihre Stimme unverfälscht in der elektronischen Urne abgelegt wurde, spricht man von individueller Verifizierbarkeit. Auf dieser Stufe und mit den erforderlichen Zertifizierungen dürfen 50 Prozent der Bevölkerung ihre Stimme elektronisch abgeben.

Hier liegt eine geschickte Sprachregelung zugrunde. Es wird behauptet, dass das System gewährleisten kann, dass für jeden Teilnehmer am E-Voting die Stimme unverfälscht an der elektronischen Urne abgelegt werden kann. Was vergessen wird, ist dass die individuelle Verifizierbarkeit auf dem Individuum basiert, nicht auf dem System. Das Individuum muss sicherstellen, dass die Stimme unverfälscht in der Urne abgelegt wurde – und hier liegt auch der Hund begraben. Auf Grund von mehreren technischen Faktoren welche teils nur sehr schwer von Laien überprüft werden können, ergeben sich hier verschiedene Angriffsvektoren auf das E-Voting System.

«Mit der universellen Verifizierbarkeit, deren Entwicklung in Kürze abgeschlossen wird, stehen zusätzliche Sicherheitsmechanismen bereit, um eine allfällige Manipulation der elektronischen Urne sofort festzustellen.»

Zum Thema der universellen Verifizierbarkeit wird weiterhin kein Wort verloren, sondern nur darauf verwiesen, dass deren Entwicklung in kürze abgeschlossen sein wird.

Ebenfalls wird im darauf folgenden Satz darauf hingewiesen, dass die Post die gleiche Technologie verwendet, welche in Neuenburg erprobt und vom Weltmarktführer für E-Voting entwickelt wurde.

Die Post verwendet die gleiche Technologie, die in Neuenburg erprobt und vom Weltmarktführer für E-Voting entwickelt wurde. Weitere Kantone nutzen das System der Post ebenfalls.

Dies ist ein weiteres Beispiel für kluge Sprachregelung. Es ist ein Argument, welches sich selbst Plausibilität gewähren soll, da Weltmarktführer und «Weitere Kantone nutzen das System der Post ebenfalls» in einem Satz verbrieft wurden.

Da jedoch bisher keine offiziellen Design-Spezifikationen in die Öffentlichkeit gelangt sind, verlangt die Post, dass wir uns auf die Zertifikate und Überprüfungen welche von externen Firmen durchgeführt wurden, verlassen.

Ich zitiere aus dem Prüfbericht zum kryptographischen Protokoll:

Finally, we note that establishing universal verifiability at some later time will be more complex. At that point, if not before, the recommendations made here for individual verifiability will need to be addressed

Die Prüfende Agentur sagt im Bericht dass 5 Inkonsistenzen entdeckt wurden, und dass bevor die Universelle Verifizierbarkeit hergestellt werden kann, diese erst noch behoben werden müssen. Ebenfalls weist die Agentur darauf hin, dass dieses Unterfangen weit komplexer wird. Soweit mir bekannt, wird in den Prüfberichten nicht von Angriffsvektoren gesprochen, sondern von Prozeduralen Fehlern, wie z.B. dass in den zur Verfügung gestellten Dokumenten nicht durchgehen Dokumentiert ist, wie genau der Programmatische Ablauf durchgefürt wird.

Zum Thema Angriffsvektoren und Risiken werde ich später in diesem Beitrag kurz etwas sagen.

Reaktion auf die Ausführungen zu den Kommentaren aus der Presse und den sozialen Netzwerken.

Originalkommentar:
Man darf kein privates Unternehmen mit dem Auszählen der Stimmen beauftragen.

Zitate aus der Antwort:

Hier liegt ein grosses Missverständnis vor. Die Souveränität der Kantone ist auch beim E-Voting für alle Prozesse vollständig gewährleistet. Die politischen Prozesse im Zusammenhang mit der elektronischen Urne (Vorbereitung, Konfiguration, Entschlüsselung und Auszählung der Stimmen) fallen allesamt in die Zuständigkeit der Kantone. Der Systembetreiber hat dabei keine Funktion.

Hier wird ein klarer Vorteil geschlagen aus der Formulierung des Originalkommentars. Die Quelle desjenigen wird nicht genannt.

Die Fakten sind: Die Post Schweiz betreibt die Infrastruktur des von Scytl (Firma aus Spanien) entwickelten E-Voting Systems. Dies bedeutet, dass zwar die Post nicht die Auszählung selbst vornimmt, da diese ja vom System durchgeführt wird, jedoch die Kantone zugleich nicht in der Lage sind, die von der Post an Sie gelieferten Daten zu verifizieren.

Weiter wird im nächsten Abschnitt darauf hingewiesen, dass ja die Post nicht als typische Privatfirma bezeichnet werden könne, da der Bund der Alleinaktionär der Post sei.

Andererseits kann die Post, deren Alleinaktionär der Bund ist, nicht als typische Privatfirma bezeichnet werden. Die Prozesse und Systeme der Stimmabgabe werden von einer Gruppe von Spezialisten der Bundeskanzlei überwacht. Diese Systeme müssen den anerkannten Zertifizierungen entsprechen.

Hier wird argumentiert, dass die Prozesse und Systeme der Stimmabgabe von einer Gruppe von Spezialisten der Bundeskanzlei überwacht werden, und dass diese Systeme anerkannten Zertifizierungen entsprechen müssten.

Diese Zertifizierungen werden von Privatfirmen (KMPG, Contego Laboratories) entsprechend den Vorgaben der Bundeskanzlei durchgeführt.

Hier die Fakten: Die Bundeskanzlei beschäftigt keine IT-Sicherheitsfachkräfte und hat keine Möglichkeit, Spezifikationen zu schreiben welche mit bisher unbekannten Angriffsvektoren klar kommen.

KMPG und Contego Laboratories wiederum sind finanziell motivierte Unternehmen, in deren Interesse es liegt, diese Zertifizierungen durchzuführen und positiv zu bewerten.

Im nächsten Abschnitt wird auf den Fakt hingewiesen, dass kein öffentlicher Dienst eigene Sicherheitsstandards und Programme entwickeln kann.

Dies negiert das gerade gemachte Argument, dass die Bundeskanzlei diese Prozesse und Standards vorschreibt, damit diese danach von den privaten Firmen zertifiziert werden können.

Fakt ist, dass ein öffentlicher Dienst keine eigenen Sicherheitsstandards und -programme entwickeln kann. Selbst für eine Lösung, die von einer Verwaltungsbehörde wie dem Kanton Genf entwickelt würde, müsste auf Komponenten aus der Branche zurückgegriffen und Externe beigezogen werden. Wäre eine kantonale Verwaltung überhaupt selber in der Lage, die Entwickler und deren Umfeld zu kontrollieren? Könnte sie den Produktcode genau analysieren und die Sicherheit des Systems gewährleisten?

Die selben Fragen welche hier gestellt werden, kann man auch der Post stellen. Deren Antworten mögen zwar darauf hinauslaufen, dass diese Fragen positiv beantwortet werden, jedoch legt Sie dafür keine Beweise vor.

Für Genf wurde die kritische Grösse zum Stolperstein. Selbst unter Beteiligung mehrerer Kantone ist die Entwicklung eines E-Voting-Systems, das den höchsten Anforderungen genügt, nur schwer umsetzbar. Auch die Post setzt auf Lösungen, an deren Entwicklung Dutzende Spezialisten beteiligt sind (Kryptographen, Mathematiker, Informatiker)

Hier wird behauptet, dass ein Faktor mit dem Namen «kritische Grösse» für Genf zum Stolperstein wurde, ohne darauf einzugehen was diese kritische Grösse effektiv ist.

Zum jetzigen Zeitpunkt ist bekannt, dass die Post Schweiz das E-Voting System bei der spanischen Firma Scytl eingekauft hat. Die Firma netnea ist ebenfalls am Projekt beteiligt. Die Firma KPMG hat gewisse Zertifizierungen durchgeführt, genauso wie Contego Laboratories. Auf Grund der Intransparenz der Post ist nicht klar wie viele private Firmen effektiv am Projekt beteiligt sind. Ab wann erreicht dann dieses Projekt die kritische Grösse?

Die Post ist vor diesem Hintergrund ein gangbarer Kompromiss als ein vom Bund kontrolliertes Unternehmen, das als echter Anbieter auftritt und vertraglich die Entwicklung und den Unterhalt einer gemeinsamen Lösung gewährleistet. Bei einer allfälligen Änderung des Status der Post ist die Schaffung einer neuen gemischten Organisation denkbar, um die für den Bund sensiblen Dienstleistungen sicherzustellen.

Hier wird darauf hingewiesen, dass Post vertraglich die Entwicklung und den Unterhalt gewährleistet, und dass falls der Bund die Post irgendwann verkaufen würde, eine gemischte Organisation denkbar wäre. Schon hier zeigt sich das Gewinninteresse der Post an den Aufträgen des Bundes.

Originalkommentar:
Man darf keine «Black Box» haben, von der man nicht weiss, was darin vor sich geht.

Die Antwort auf diesen Kommentar beläuft sich auf:

Analog zum Vorgehen in Genf wird die Post den Quellcodes so veröffentlichen, dass diese von neutralen Spezialisten verifiziert werden können.

Hier kommt eine Problematik in’s Spiel, auf welche die Post keine Antwort kennt: Der Entwickler Scytl. Ist wirklich sichergestellt, ob die Post den vollständigen Quellcode veröffentlichen darf oder nicht?

Wenn ein privates Unternehmen Software entwickelt und verkauft, dann wird es diesen nicht ohne weiteres Veröffentlichen. Um effektive Sicherheitsüberprüfungen durchführen zu können, muss der Code, welcher auf den Produktionsservern läuft, vollständig verfügbar sein. Mann muss eine vollständige Infrastruktur zum Laufen kriegen, um sämtliche Vektoren zu überprüfen.

Ebenfalls ist es sehr bedenklich, dass das e-Voting System der Post bereits für 50% der Stimmbeteiligten zertifiziert ist, von diversen Kantonen eingesetzt wird, und der Quellcode immer noch nicht veröffentlicht ist.

Statistisch ist pro 1000 Zeilen Programmcode ein Fehler vorhanden. Selbst wenn die Entwicklung des E-Voting Systems besonders sorgfältig geschrieben wurde, ist selbst bei einem Faktor von 10 immer noch alle 10000 Zeilen Code ein Bug drin. Da solche grossen Softwareprojekte öfter mehrere Millionen Zeilen Code gross sind, sind Fehler vorprogrammiert.

Selbst beim offenen Betriebssystem Linux werden öfters Code-Fehler gefunden welche über Jahrzehnte nicht bemerkt werden. Linux wird auf so vielen Geräten, Servern und Equipment eingesetzt, dass es schon lange zu kritischer Infrastruktur zählt, und trotzdem tauchen regelmässig schwerwiegende Sicherheitsfehler auf, obwohl der gesamte Quellcode öffentlich verfügbar ist.

 

Originalkommentar:

Das E-Voting ist nicht absolut sicher.

Der erste Satz der Antwort ist korrekt:

Bereits der Ausdruck «absolute Sicherheit» ist problematisch.

Danach wird jedoch das Argument mit einem ex silentio Argument bekämpft.

Ist die briefliche Stimmabgabe absolut sicher? Die Briefumschläge können aus den Briefkästen (bei einem «privaten» Unternehmen, der Post …) oder von dreisten Personen in den Gemeindeverwaltungen entnommen werden. Zwischen Gemeinden und Kanton werden die Ergebnisse bereits jetzt elektronisch übermittelt. Mit der individuellen und universellen Verifizierbarkeit besteht beim E-Voting schon heute ein derart hohes Sicherheitsniveau, dass eine allfällige Manipulation entdeckt würde.

Es wird die Sicherheit der brieflichen Stimmabgabe in Frage gestellt, anstelle auf das Argument einzugehen.

Der Hauptpunkt hier ist: Es Bedarf bedeutend mehr Aufwand, die Briefliche Stimmabgabe merkbar zu falsifizieren.

Dass andere Aspekte der schweizerischen Stimmabgabe und Abstimmungen nicht sicher sind, sind kein Argument für E-Voting.

Die Problematik dahinter ist: Ist einmal eine Sicherheitslücke bekannt, kann Sie aus grosser Entfernung skaliert werden. Was bedeutet skalieren? Skalierbarkeit bedeutet, eine Aktion kann nicht nur einmal erfolgen, sondern mehrfach durchgeführt werden. Da beim E-Voting Computer eingesetzt werden, ist der Faktor wie oft ein Angriff durchgeführt werden kann sehr gross, da der Zugriff auf beliebig viele angreifbare Computer möglich ist.

 

Originalkommentar:

Genf steigt aus, da seine Lösung nicht sicher ist.

Das Genfer System für die elektronische Stimmabgabe wurde nicht im eigentlichen Sinne «gehackt». Niemand ist ins System eingedrungen, um dort Änderungen vorzunehmen. Es wurde lediglich aufgezeigt, dass man einen Anwender glauben machen kann, dass er ins E-Voting-System eingeloggt ist, um so seine Stimme abzufangen.

Nur weil ein System nicht auf der Serverseite verändert wurde, sondern auf der Clientseite wurde trotzdem das gewünschte Endresultat verändert.

Ist dieser Anwender wachsam, würde er die Änderung der Serveradresse in seinem Browser bemerken. Zudem erhält er bei einer derartigen Manipulation nicht die korrekten Verifizierungscodes des Servers (individuelle Verifizierbarkeit). Wie bei allen Rechnersystemen ist auch hier vom Anwender eine gewisse Vorsicht geboten.

Es darf nicht davon ausgegangen werden, dass der Anwender wachsam ist. Sichere IT-Systeme müssen mit dem Grundsatzverständnis entwickelt werden, dass der Anwender böse Absichten hat.

Ebenfalls wäre es theoretisch kryptographisch möglich, die korrekten Verifizierungscodes anzuzeigen, sofern man die Codes des Benutzers abgefangen hat. Dafür müsste jedoch der E-Voting Server kompromittiert worden sein.

Ebenfalls wäre es möglich den Benutzer mit böswilligen Menüführungen zu überzeugen, dass das Ausbleiben des Verifizierungscodes eine temporäre Massnahme ist, und ihm dieser z.b. per Post oder E-Mail zugesendet wird.

Die vielen Fälle von Cyber-Angriffen, welche immer noch per E-Mail erfolgen zeigen, dass nicht erwartet werden kann, dass Benutzer sich des Risikos bewusst sind.

 

Originalkommentar:

Die elektronische Stimmabgabe muss verboten werden.

Hier antwortet der Verfasser mit einer «Sunk-Cost Fallacy».

Zitat:

Die sunk-cost fallacy (Fehlschluss der irreversiblen Kosten) bezeichnet den Umstand, dass Menschen dazu tendieren, ein Vorhaben (z.B. ein Projekt, eine Beziehung) fortzusetzen, wenn bereits eine Investition in Form von Geld, Anstrengung (Energie), Zeit o.ä. getätigt wurde, also irreversible Kosten entstanden sind. Wenn in ein schlechtes Unterfangen aber bereits viel Zeit und Mühen investiert wurden, sollte man deshalb aber natürlich nicht daran festhalten.

 

Hier der Text der Antwort:

Ein alberner Vorschlag. Nachdem seit 2001 Dutzende von Millionen Franken aufgewendet wurden und ohne grössere Probleme Hunderte von Wahlen und Abstimmungen durchgeführt werden konnten, müsste ein System aufgegeben werden, das einem Bedürfnis der Bevölkerung entspricht und bei den Nutzern beliebt ist.

Ebenfalls wird mit der Stimmabgabe der Auslandschweizer sowie dem falschen Argument, dass die Stimmbeteiligung unter jungen Leuten erhöht werden kann geantwortet.

E-Voting trägt zur Stärkung der Demokratie bei, da es den Auslandschweizern die Stimmabgabe erleichtert (die Zustellung per Post erfolgt häufig mit Verspätung). E-Voting dürfte auch jüngere Leute motivieren, ihre demokratischen Rechte wahrzunehmen.

Dass jedoch die Zustellung der E-Voting-Codes ebenfalls per Post erfolgt, und deshalb den gleichen Verspätungen unterliegt wird nicht erwähnt. Zugegebenermassen betrifft dies bei E-Voting nur einen Postweg, nicht den Retourweg.

Das zweite Argument, dass die Stimmbeteiligung der Jungen mit E-Voting erhöht werden könne, ist bewiesenermassen falsch, da sämtliche Länder welche E-Voting Projekte begonnen (und bereits wieder beendet) haben, keine Massgebliche Erhöhung der Stimmbeteiligung feststellen konnten.

Kommen wir nun zum letzten Kommentar und dem Fazit des Beitrags.

Originalkommentar:

E-Voting erhöht die allgemeine Sicherheit unseres Wahl- und Abstimmungssystems.

Als letzten Kommentar aus den Medien und Sozialen Medien bringt der Verfasser  ein positiv konnotiertes Argument. Er weist diesem als einzigen Argument Überzeugungskraft zu.

Tatsächlich, und dies ist das überzeugende Argument, schützen sich diese Abstimmungssysteme (per Post, Internet oder persönlich an der Urne) gegenseitig.

Er verbindet dies mit der Annahme dass bei Manipulation einer der Voting-Wege Abweichungen von den Anderen festgestellt werden könnten, und dies dann zu einer Annullation oder Neuauszählung führen würde.

Eine umfassende oder lokale Manipulation eines dieser Systeme würde bei den Ergebnissen des Voting-Angebots auffällige Abweichungen aufweisen. Dies würde auf ein Problem hindeuten und es gestatten, den Urnengang zu verifizieren oder gar zu annullieren. Würden 100 Prozent der Stimmbürger mit E-Voting abstimmen und wählen, wäre dieses Argument nicht zulässig. Deshalb müsste ein Vorgehen eingeführt werden, bei dem eine repräsentative Anzahl der Stimmberechtigten brieflich abzustimmen hat.

Im vergangenen Kommentar beschwört er, dass es nun mehr Stimmbeteiligung der Jungen geben soll. Hier behauptet er, dass die Ergebnisse annähernd statistisch ähnlich sein sollen.

Wenn wir nun davon ausgehen, dass die Politischen Meinungen sich unter anderem auch stark durch das Alter der Abstimmenden unterscheiden, wäre dies mit hoher Wahrscheinlichkeit nicht der Fall, da E-Voting ja von den Jungen genutzt werden würde. Somit ist das Argument, dass die drei Abstimmungskanäle sich gegenseitig schützen fehlerhaft.

Zum Schluss

In einer äusserst Fragwürdigen Art und Weise bringt uns der Autor des Artikels nun seine Meinung was die Abschaffung und ein Moratorium von E-Voting bedeuten würden näher:

Zum Schluss bleibt als Lösung der Rückschritt in die Vergangenheit mit der flächendeckenden Einführung der Landsgemeinde, ein für die Städte äusserst kompliziertes Unterfangen.

Was diese zwei Positionen in uns bewirken sollen, ist dass wir die Absicht, E-Voting abzuschaffen mit einer lächerlichen Vorstellung verbinden sollen. Die Landsgemeinde in den Städten, welch Hubris.

E-Voting erhöht somit die allgemeine Sicherheit unseres demokratischen Systems.

Der letzte Satz des Beitrags verstärkt noch einmal sein Argument der allgemeinen Sicherheit welche E-Voting nun bringen soll.

Fazit zum E-Voting

Vertrauen

Unser Demokratisches System basiert auf Vertrauen. Wir vertrauen auf die Personen, welche die Abstimmungen auszählen und rapportieren. Wir vertrauen darauf, dass niemand grossflächig Briefkästen ausräumt, um Abstimmungsunterlagen zu entwenden.

Nun sollen wir unser Vertrauen auf die Post als Betreiber der IT-Infrastruktur, Scytl als Entwickler der E-Voting Lösung, KPMG als Zertifizierungsstelle ausweiten. Ebenfalls müssen wir zwangsweise den Herstellern der Software welche wir als Endbenutzer nutzen ausweiten, sowie den Herstellern der Server und den Betriebssystemen auf welchem diese Server laufen unser Vertrauen schenken.

Die Druckereien welche die E-Voting Codes drucken sind teilweise nicht in der Schweiz angesiedelt, und auch Ihnen müssten wir Vertrauen schenken.

Vertrauen Schenken – Weil wir diese nicht überprüfen können und Sie nichts dafür getan haben, dass wir dieses Vertrauen haben können.

Und für was?

Im besten Fall 1-3 Prozentpunkte höhere Wahlbeteiligung.

 

Risiken & Angriffsvektoren

Offenbar schätzen die Experten bei der Post und den anderen beteiligten Firmen die Risiken welche sich durch E-Voting eröffnet anders ein als die Gegner von E-Voting.

Es gibt eine unüberschaubare Anzahl von Angriffen auf Webserver, Transportprotokolle, Betriebssysteme und Webbrowser.

Es gibt einen sehr aktiven Schwarzmarkt von Sicherheitslücken, welche noch nicht der Öffentlichkeit bekannt sind – sogenannte Zero-Day Lücken. Diese können von jedem der gewisse Ressourcen ($$$) besitzt gekauft und verwendet werden.

Für E-Voting wird eine komplexe IT-Infrastruktur benötigt. Die Risiken für den Einsatz einer komplexen Umgebung multiplizieren sich mit den Servern, Diensten, Protokollen und Endgeräten welche im Einsatz sind.

Selbst wenn der Mathematische Beweis für die Sicherheit der Kryptographischen Verfahren erbracht wurde, muss immernoch die Implementation dieser Verfahren ohne Fehler passieren – Was angesichts der Grösse des Projekts schier unmöglich scheint.

Wenn bewiesen werden kann, dass eine Abstimmung mit E-Voting manipuliert wurde, was dann?

Wer trägt die Verantwortung für den Vertrauensverlust welcher dann in der Bevölkerung auftritt?

Welcher Politiker steht gerade für die Entscheidung, E-Voting für über 50% der Stimmberechtigten zuzulassen, ohne dass das Volk ein Mandat erteilt hat?

 

Deshalb braucht es ein Moratorium für E-Voting – Zumindest bis eine Lösung der Technischen Probleme und der auftretenden Risikofaktoren gefunden wurde.

 

Ursprünglicher Blogpost von Christian Matthey: https://www.evoting-blog.ch/de/pages/2018/mythen-und-realitaet

Leave a Reply

Your email address will not be published. Required fields are marked *