E-voting

“Building a secure Internet-based voting system is a very hard problem, harder than all the other computer security problems we’ve attempted and failed at. I believe that the risks to democracy are too great to attempt it.”Bruce Schneier 1

Definition

E-Voting oder auch Vote électronique bezeichnet primär die elektronische Wahl oder Abstimmung über das Internet. Je nach konkreter Ausgestaltung kann aber auch über ein anderes elektronisches Kommunikationssystem wie das Mobilfunknetz zur Übermittlung des Wahl- oder Stimmentscheids genutzt werden.

Einleitung

Mit der Motion “Nutzung der Informationstechnologie für die direkte Demokratie” vom 9. Mai 2000 wurde der Bundesrat beauftragt einen Bericht über die Chancen und Risiken der E-Demokratie zu erstellen. In seinem “Bericht über den Vote électronique - Chancen, Risiken und Machbarkeit elektronischer Ausübung politischer Rechte” vom 9. Januar 2002 antwortet er auf den das E-Voting betreffenden Teilaspekt der Motion. Darin wird die Realisierbarkeit des Vote électronique unter der Voraussetzung der “Lösung komplexer und schwieriger Sicherheitsprobleme” grundsätzlich für möglich gehalten. Der Bericht gesteht aber gleichzeitig auch die Möglichkeit ein, dass diese Probleme gar nicht lösbar sein könnten und in diesem Fall die Einführung der elektronischen Stimmabgabe das Funktionieren des demokratischen Systems gefährde.

E-Voting wird dabei als Fortführung einer Entwicklung gesehen, die auf die Vereinfachung der Stimmabgabe zielt und schon mit der Einführung der brieflichen Stimmabgabe angegangen wurde. Dahinter steht die Hoffnung, dass durch Abbau von Hindernissen der Abwärtstrend bei der Stimmbeteiligung aufzuhalten oder zu mildern sei. Neben dieser Komponente sieht der Bundesrat E-Voting als Teil seiner E-Government-Strategie, mit der versucht wird den Staat und die direkte Demokratie an die Informations- und Kommunikationsgesellschaft anzupassen 2. Hierbei soll die Schweiz eine Führungsrolle in Europa einnehmen 3.

Ein starker Befürworter des E-Voting ist die Auslandschweizer-Organisation (ASO), da die briefliche Stimmabgabe aus dem Ausland manchmal unzuverlässig sei und Auslandsschweizer durch E-Voting “die selben Voraussetzungen wie die Inlandschweizer in der Ausübung ihrer politischen Rechte” erhielten 4.

Nach der Durchführung von Pilotprojekten in Neuenburg, Genf und Zürich, die als erfolgreich abgeschlossen betrachtet werden, hält der Bundesrat in seinem Bericht über die Pilotprojekte zum Vote électronique vom 31. Mai 2006 an einer schrittweisen Einführung von E-Voting fest 5. Mit dem Bericht gilt auch die Abklärung der Chancen und Risiken des Vote électronique als abgeschlossen.

Diskussion

  • Die Partizipationssteigerung durch E-Voting wird seitens der Bundeskanzlei, wenn überhaupt, als gering eingeschätzt. Wahrscheinlicher ist eine Verlagerung von der brieflichen zur elektronischen Stimmabgabe. 6
  • E-Voting wie es im Rahmen der Pilotprojekte eingesetzt wurde, verunmöglicht die demokratische, öffentliche Kontrolle der Stimmauszählung. Es findet eine geheime Auszählung statt und eine Nachzählung ist nicht möglich. Öffentliche Kontrolle ist zentral für die Verhinderung und Aufdeckung von Wahlfälschungen.
    • Daniel Brändli (Projektleiter Vote électronique) meint, dass durch das Beisein von Vetretern der Stimmbevölkerung bei der “Öffnung und Schliessung der elektronischen Urne sowie bei der Entschlüsselung der elektronischen Stimmen” der Transparenz genüge getan werde. “Gewährleistung transparenter Prozesse” sei immer das Ziel gewesen, so Brändli in einem Interview.
  • “Als Referenzwert zur Bewertung der Risiken sollen aus Sicht des Bundesrats die Erfahrungen mit der brieflichen Stimmabgabe herangezogen werden.” 7

Anforderungen

Sicherheitsanforderungen aus Sicht des Bundesrats

Der Bundesrat nennt in seinem Bericht Bericht über den Vote électronique - Chancen, Risiken und Machbarkeit elektronischer Ausübung politischer Rechte vom 9. Januar 2002 folgende Punkte als Sicherheitsanforderungen fürs E-Voting: “Elektronische Abstimmungssysteme müssen namentlich folgenden Sicherheitsanforderungen genügen:”

  1. Elektronisch abgegebene Stimmen dürfen weder abgefangen noch verändert oder umgeleitet werden können.
  2. Vom Inhalt elektronisch abgegebener Stimmen dürfen Dritte keine Kenntnis erlangen können.
  3. Nur stimmberechtigte Personen können teilnehmen.
  4. Jede stimmberechtigte Person hat eine und nur eine Stimme.
  5. Der Datenschutz muss gewährleistet sein.
  6. Im Falle einer Panne darf keine bereits abgegebene elektronische Stimme verloren gehen.

Transparenz und Nachvollziehbarkeit der Wahl oder Abstimmung werden zumindest hier nicht als Anforderungen genannt.

Stimmgeheimnis

Gesetzliche Bestimmungen in: SR 161.11 Verordnung über die politischen Rechte.

Art. 27f Verschlüsselung

^1^ Die Massnahmen zur Wahrung des Stimmgeheimnisses müssen sicherstellen, dass elektronische Stimmen bei den zuständigen Behörden anonymisiert zur Auszählung eintreffen und nicht zurückverfolgt werden können.

Art. 27g Stimmgeheimnis

^1^ Es sind sämtliche geeigneten Massnahmen zu treffen, damit ausgeschlossen werden kann, dass zwischen einer Stimme in der elektronischen Urne und der Person, die sie abgegeben hat, eine Verbindung hergestellt werden kann.

Art. 27h Weitere Massnahmen zur Sicherung des Stimmgeheimnisses

^2^ Abgegebene Stimmen müssen in der elektronischen Urne anonymisiert gespeichert werden. Die Anordnung der gespeicherten Stimmen darf keinen Rückschluss auf die Reihenfolge des Stimmeneingangs ermöglichen.

^4^ Auf dem zur Stimmabgabe verwendeten Gerät muss die Stimme nach der Übermittlung durch den Stimmberechtigten unverzüglich ausgeblendet werden. Die verwendete Wahl- oder Abstimmungssoftware darf keinen Ausdruck der tatsächlich abgegebenen Stimme zulassen.

E-Voting im Kanton Zürich

E-Voting ist die aktuelle Möglichkeit für Bürgerinnen und Bürger des Kantons Zürich zumindest auf Bezirks- und Kantonsebene (manche Gemeinden mögen es auch anbieten) per

abzustimmen oder zu wählen, das heisst seine politischen Rechte auf elektronischem Wege wahrzunehmen.

  • Hersteller: Unisys 8

Sicherheitsrisiken bei der Benutzung per Web

  • Der Webserver ist wahrscheinlich ein IIS 6.0.

  • Das Frontend macht daneben einen auf XSS-Angriffe anfälligen Eindruck:

      https://evoting.zh.ch/web-info/login/auth?RequestedPage=%22%3E%3Cscript%3Ealert(String.fromCharCode(80,108,101,97,115,101,32,108,111,103,105,110,44,32,73,39,109,32,115,101,99,117,114,101,32,58,80)>);%3C/script%3E
    

    Klick … und Pop. Danke an Disenchant (13.02.2007)

Angaben des Herstellers zur Sicherheit

  • sichere Server und sichere Software würden in einer “speziellen Sicherheitsumgebung” betrieben
  • alle Auflagen des Bundes und der Verordnung über die politischen Rechte würden erfüllt
  • “Um diese Sicherheitsvorgaben zu erfüllen, hat der Kanton Zürich über das E-Voting-Modul ein Informations-Sicherheits-Management-System (ISMS) gelegt nach dem Ansatz «Beste Praxis»”
  • “Bei der Umsetzung werden die beiden Standards nach ISO 17799 respektive BS 7799 angewandt”
  • Sicherheits-Audit über das gesamte System wurde durch den Bund durchgeführt. (Veröffentlichung der Ergebnisse?)
    • Anfrage gestützt auf das BGÖ wurde gestellt und abgelehnt, da das Dokument vor dem Inkraftreten des Gesetzes (1. Juli 2006) veröffentlicht wurde.

(Quelle)

Gesetzliche Grundlagen

Siehe für die relevanten Auszüge folgendes E-Mail an die zuerich@ (vom 13.02.2007):

Abstimmungs-/Wahlpraxis

Trotz der gesetzlichen Grundlagen kann erst von Schweizer Bürgerinnen und Bürgern mit Wohnsitz an folgenden Orten elektronisch abgestimmt oder gewählt werden:

  • Bertschikon
  • Bülach
  • Schlieren

Dies gemäss einer Quelle von WA-CH.

Das E-Voting-System des Kantons Zürich wird auch seit 2004 für die StuRa-Wahlen an der Universität Zürich eingesetzt.

E-Voting im Kanton Genf

Allgemeine Informationsquellen zu E-Voting in der Schweiz

Analysen anderer Internet-Voting-Systeme

E-Voting-Gegner

Mailinglisten

Hier sind Mailinglisten aufgeführt, die sich dediziert dem Evoting-Thema widmen.

Europäische Ebene