E-voting

“Building a secure Internet-based voting system is a very hard problem,
harder than all the other computer security problems we’ve attempted and
failed at. I believe that the risks to democracy are too great to
attempt it.” – Bruce Schneier
1

Definition

E-Voting oder auch Vote électronique bezeichnet primär die
elektronische Wahl oder Abstimmung über das Internet. Je nach konkreter
Ausgestaltung kann aber auch über ein anderes elektronisches
Kommunikationssystem wie das Mobilfunknetz zur Übermittlung des Wahl-
oder Stimmentscheids genutzt werden.

Einleitung

Mit der Motion
“Nutzung der Informationstechnologie für die direkte Demokratie”
vom 9. Mai 2000 wurde der Bundesrat beauftragt einen Bericht über die
Chancen und Risiken der E-Demokratie zu erstellen. In seinem
“Bericht über den Vote électronique - Chancen, Risiken und Machbarkeit elektronischer Ausübung politischer Rechte”
vom 9. Januar 2002
antwortet er auf den das E-Voting betreffenden Teilaspekt der Motion.
Darin wird die Realisierbarkeit des Vote électronique unter der
Voraussetzung der “Lösung komplexer und schwieriger Sicherheitsprobleme”
grundsätzlich für möglich gehalten. Der Bericht gesteht aber
gleichzeitig auch die Möglichkeit ein, dass diese Probleme gar nicht
lösbar sein könnten und in diesem Fall die Einführung der elektronischen
Stimmabgabe das Funktionieren des demokratischen Systems gefährde.

E-Voting wird dabei als Fortführung einer Entwicklung gesehen, die auf
die Vereinfachung der Stimmabgabe zielt und schon mit der Einführung der
brieflichen Stimmabgabe angegangen wurde. Dahinter steht die Hoffnung,
dass durch Abbau von Hindernissen der
Abwärtstrend bei der Stimmbeteiligung
aufzuhalten oder zu mildern sei. Neben dieser Komponente sieht der
Bundesrat E-Voting als Teil seiner E-Government-Strategie, mit der
versucht wird den Staat und die direkte Demokratie an die Informations-
und Kommunikationsgesellschaft anzupassen
2. Hierbei
soll die Schweiz eine Führungsrolle in Europa einnehmen
3.

Ein starker Befürworter des E-Voting ist die
Auslandschweizer-Organisation (ASO), da die
briefliche Stimmabgabe aus dem Ausland manchmal unzuverlässig sei und
Auslandsschweizer durch E-Voting “die selben Voraussetzungen wie die
Inlandschweizer in der Ausübung ihrer politischen Rechte” erhielten
4.

Nach der Durchführung von Pilotprojekten in Neuenburg, Genf und Zürich,
die als erfolgreich abgeschlossen betrachtet werden, hält der Bundesrat
in seinem
Bericht über die Pilotprojekte zum Vote électronique vom 31. Mai 2006
an einer schrittweisen Einführung von E-Voting fest
5.
Mit dem Bericht gilt auch die Abklärung der Chancen und Risiken des Vote
électronique als abgeschlossen.

Diskussion

• Die Partizipationssteigerung durch E-Voting wird seitens der
  Bundeskanzlei, wenn überhaupt, als gering eingeschätzt.
  Wahrscheinlicher ist eine Verlagerung von der brieflichen zur
  elektronischen Stimmabgabe
  6.
• E-Voting wie es im Rahmen der Pilotprojekte eingesetzt wurde,
  verunmöglicht die demokratische, öffentliche Kontrolle der
  Stimmauszählung. Es findet eine geheime Auszählung statt und eine
  Nachzählung ist nicht möglich. Öffentliche Kontrolle ist zentral für
  die Verhinderung und Aufdeckung von Wahlfälschungen.
  • Daniel Brändli (Projektleiter Vote électronique) meint, dass
    durch das Beisein von Vetretern der Stimmbevölkerung bei der
    “Öffnung und Schliessung der elektronischen Urne sowie bei der
    Entschlüsselung der elektronischen Stimmen” der Transparenz
    genüge getan werde. “Gewährleistung transparenter Prozesse” sei
    immer das Ziel gewesen, so Brändli in einem
    Interview.
• “Als Referenzwert zur Bewertung der Risiken sollen aus Sicht des
  Bundesrats die Erfahrungen mit der brieflichen Stimmabgabe
  herangezogen werden.”
  7

Anforderungen

Sicherheitsanforderungen aus Sicht des Bundesrats

Der Bundesrat nennt in seinem Bericht Bericht über den Vote
électronique - Chancen, Risiken und Machbarkeit elektronischer Ausübung
politischer Rechte vom 9. Januar
2002 folgende Punkte als
Sicherheitsanforderungen fürs E-Voting: “Elektronische
Abstimmungssysteme müssen namentlich folgenden Sicherheitsanforderungen
genügen:”

1. Elektronisch abgegebene Stimmen dürfen weder abgefangen noch
   verändert oder umgeleitet werden können.
2. Vom Inhalt elektronisch abgegebener Stimmen dürfen Dritte keine
   Kenntnis erlangen können.
3. Nur stimmberechtigte Personen können teilnehmen.
4. Jede stimmberechtigte Person hat eine und nur eine Stimme.
5. Der Datenschutz muss gewährleistet sein.
6. Im Falle einer Panne darf keine bereits abgegebene elektronische
   Stimme verloren gehen.

Transparenz und Nachvollziehbarkeit der Wahl oder Abstimmung werden
zumindest hier nicht als Anforderungen genannt.

Stimmgeheimnis

Gesetzliche Bestimmungen in: SR 161.11 Verordnung über die politischen
Rechte.

Art. 27f Verschlüsselung

^1^ Die Massnahmen zur Wahrung des Stimmgeheimnisses müssen
sicherstellen, dass elektronische Stimmen bei den zuständigen Behörden
anonymisiert zur Auszählung eintreffen und nicht zurückverfolgt werden
können.

Art. 27g Stimmgeheimnis

^1^ Es sind sämtliche geeigneten Massnahmen zu treffen, damit
ausgeschlossen werden kann, dass zwischen einer Stimme in der
elektronischen Urne und der Person, die sie abgegeben hat, eine
Verbindung hergestellt werden kann.

Art. 27h Weitere Massnahmen zur Sicherung des Stimmgeheimnisses

^2^ Abgegebene Stimmen müssen in der elektronischen Urne anonymisiert
gespeichert werden. Die Anordnung der gespeicherten Stimmen darf keinen
Rückschluss auf die Reihenfolge des Stimmeneingangs ermöglichen.

^4^ Auf dem zur Stimmabgabe verwendeten Gerät muss die Stimme nach der
Übermittlung durch den Stimmberechtigten unverzüglich ausgeblendet
werden. Die verwendete Wahl- oder Abstimmungssoftware darf keinen
Ausdruck der tatsächlich abgegebenen Stimme zulassen.

E-Voting im Kanton Zürich

E-Voting ist die aktuelle Möglichkeit für Bürgerinnen und Bürger des
Kantons Zürich zumindest auf Bezirks- und Kantonsebene (manche Gemeinden
mögen es auch anbieten) per

• SMS
• Webinterface (https): Produktive Umgebung,
  Demozugang

abzustimmen oder zu wählen, das heisst seine politischen Rechte auf
elektronischem Wege wahrzunehmen.

• Hersteller: Unisys
  8

Sicherheitsrisiken bei der Benutzung per Web

• Der Webserver ist wahrscheinlich ein IIS 6.0.

• Das Frontend macht daneben einen auf XSS-Angriffe anfälligen
  Eindruck:

  https://evoting.zh.ch/web-info/login/auth?RequestedPage=%22%3E%3Cscript%3Ealert(String.fromCharCode(80,108,101,97,115,101,32,108,111,103,105,110,44,32,73,39,109,32,115,101,99,117,114,101,32,58,80)>);%3C/script%3E
  Klick ... und Pop
  

  Danke an Disenchant (13.02.2007)

Angaben des Herstellers zur Sicherheit

• sichere Server und sichere Software würden in einer “speziellen
  Sicherheitsumgebung” betrieben
• alle Auflagen des Bundes und der Verordnung über die politischen
  Rechte würden erfüllt
• “Um diese Sicherheitsvorgaben zu erfüllen, hat der Kanton Zürich
  über das E-Voting-Modul ein
  Informations-Sicherheits-Management-System (ISMS) gelegt nach dem
  Ansatz «Beste Praxis»”
• “Bei der Umsetzung werden die beiden Standards nach
  ISO 17799 respektive
  BS 7799 angewandt”
• Sicherheits-Audit über das gesamte System wurde durch den Bund
  durchgeführt. (Veröffentlichung der Ergebnisse?)
  • Anfrage gestützt auf das BGÖ wurde gestellt
    und abgelehnt, da das Dokument vor dem Inkraftreten des Gesetzes
    (1. Juli 2006) veröffentlicht wurde.

(Quelle)

Gesetzliche Grundlagen

• Gesetz über die politischen Rechte (GPR)
  des Kt. Zürich
• Verordnung über die politischen Rechte (VPR)
  des Regierungsrats des Kt. Zürich

Siehe für die relevanten Auszüge folgendes E-Mail an die zuerich@ (vom
13.02.2007):

• https://lists.chaostreff.ch/hyperkitty/list/zuerich@chaostreff.ch/message/Q2JVAMT5UFWVMR3SQLZ73RSQRS6EVXZU/

Abstimmungs-/Wahlpraxis

Trotz der gesetzlichen Grundlagen kann erst von Schweizer Bürgerinnen
und Bürgern mit Wohnsitz an folgenden Orten elektronisch abgestimmt oder
gewählt werden:

• Bertschikon
• Bülach
• Schlieren

Dies gemäss einer Quelle von
WA-CH.

Das E-Voting-System des Kantons Zürich wird auch seit 2004 für die
StuRa-Wahlen an der
Universität Zürich eingesetzt.

E-Voting im Kanton Genf

• E-Voting-Website des Kantons Genf
• Hersteller: Hewlett-Packard
  9 und
  WISeKey
  10
• The Geneva Internet voting system - Beschreibung des Kantons auf Englisch
• Overview of the technical problems related to the e-voting project of the canton of Geneva
  oder auch
  11
• Informationsseite zu E-Voting der Groupe romand des Utilisateurs de Linux et de Logiciels Libres (GULL) -
  Übersetzung des offenen Briefes an den Staatsrat

Links

Allgemeine Informationsquellen zu E-Voting in der Schweiz

• “Vote électronique”-Sektion der Bundeskanzlei
• Überblicksartikel über “E-voting projects in Switzerland” (2002)
• Probleme des Schweizer E-Voting
  Im Kontext des Pilotprojekts in Genf behandelt der Artikel die
  wesentlichen Probleme (2002)
• Von der Bundeskanzlei in Auftrag gegebene Studie über “Das Potenzial der elektronischen Stimmabgabe” basierend auf Befragungen von Stimmberechtigten
  (Kurzversion)

Analysen anderer Internet-Voting-Systeme

• A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE)
• i-voting with RIES analyzed
  (Vgl. 12 S. 14-15)

E-Voting-Gegner

• WA-CH (Plattform, die sich dediziert gegen
  elektronische Abstimmungsverfahren stellt)
• Europeans for Verifiable Elections (mit Wiki)
• “e-voting briefing pack” der “Open Rights Group”
• Ankündigung des Entwicklers des “GNU.FREE Internet Voting system” die Entwicklung einzustellen und stattdessen auf die Gefahren von E-Voting aufmerksam zu machen

Mailinglisten

Hier sind Mailinglisten aufgeführt, die sich dediziert dem Evoting-Thema widmen.

Europäische Ebene

• Evoting-ML der EVFE.eu