Postschiff Enterprise

Unsere Softwareentwickler wollten das E-Voting-System der Post starten. Doch der Quellcode ist offenbar nicht zu diesem Zweck veröffentlicht worden.

Von Adrienne Fichter, Andreas Moor und Patrick Recher, 15.02.2019, Update 06.03.2019

Zunächst sah es nach einem passablen Start aus: klare Kommunikation, für jeden einsehbarer Quellcode, öffentliche Sicherheits­checks. Vergangene Woche veröffentlichte die Post den Quellcode ihrer E-Voting-Plattform, die sie zusammen mit der Firma Scytl entwickelt hat. Am 25. Februar startet der «öffentliche Hackertest», bei dem für gefundene Fehler eine Prämie ausgesetzt ist. Ein Blick auf das Projekt bereitet jedoch wenig Freude. Noch vor Fragen zu den Verschlüsselungs­prozessen und Verifizierungs­algorithmen kommen Zweifel auf am Willen zur Transparenz.

Beim Thema Digitalisierung denkt kaum jemand an die Welt der enterprise software. Sie existiert in den IT-Abteilungen und Rechen­zentren von Bundes­ämtern und Gross­betrieben und ist bevölkert von gut bezahlten Software­architekten und -ingenieuren. Hier werden nicht die kultigsten Apps für die Generation Z programmiert, sondern es wird Infrastruktur erschaffen: Applikationen mit hohen Anforderungen an Korrektheit, Sicherheit und Wartbarkeit – Software, die manchmal über Jahrzehnte funktionieren muss.

Diese Welt ist eine überaus geordnete, beherrscht von Konventionen und Gebräuchen – neudeutsch best practices. Denn Programm­code wird nicht nur für Computer geschrieben, sondern auch für Menschen, die ihn weiterentwickeln oder verstehen wollen. Zu den best practices in der Software­entwicklung gehört, dass man dokumentiert, wie ein System in Betrieb genommen werden kann. Man legt dem Quelltext eine knappe Anleitung bei, wie ein fachlich versierter Kollege ohne viel Ärger einen Kaltstart durchführen kann.

Die E-Voting-Plattform der Post fällt genau in die Kategorie der enterprise software. Die eingesetzten Technologien und Werkzeuge gehören zum Arsenal der Branche und werden im Bundesamt für Informatik niemanden aus der Ruhe bringen. So weit, so konventionell – doch von best practices keine Spur.

Kein Vertrauen ohne Transparenz

In der «Verordnung der Bundeskanzlei über die elektronische Stimmabgabe» heisst es in Artikel 7b, Modalitäten der Offenlegung des Quellcodes: «Der Quellcode muss nach besten Praktiken aufbereitet und dokumentiert werden.» Nur wenn diese Anforderungen erfüllt sind, ist ein E-Voting-System von der Bundes­kanzlei zugelassen. Dafür gibt es gute Gründe: Zwar muss nicht jedermann die ganze Maschine in all ihren Details verstehen, aber der Einblick durch Fachleute und interessierte Laien ist im öffentlichen Interesse.

Was die Post und ihre Partnerfirma Scytl letzte Woche geliefert haben: den Quellcode und den Blick aus der Vogel­perspektive auf das gesamte System.

Was fehlt: eine Anleitung, wie die zahlreichen Komponenten und Dienste in Betrieb genommen werden und wie sie miteinander kommunizieren können.

Das Gebaren der Post, dem interessierten Fach­publikum 275’000 Zeilen Java-Code mehr oder weniger kommentarlos hinzuwerfen, auf Nachfragen per E-Mail nicht zu reagieren und eröffnete Tickets sofort vor der Öffentlichkeit zu verstecken, ist im besten Fall unprofessionell – und im schlechtesten suspekt. Die Bundes­kanzlei sieht hier kein Problem, Sprecher René Lenzin antwortet: «Falls Sie finden, die System­dokumentation sei unvollständig oder der Quellcode sei zu schwer zum Laufen zu bringen, können Sie der Post Ihre Erkenntnisse melden.»

Wie weiter?

Wir beabsichtigen, genau dies zu tun – zusammen mit Ihnen. Die Republik hat den Quelltext heruntergeladen und versucht, das System in Betrieb zu nehmen. Wir haben dazu ein öffentliches code repository erstellt, in dem wir den Code der Post um die fehlenden Informationen laufend ergänzen. Beiträge und Korrekturen sind herzlich willkommen!

Bis jetzt haben wir es zwar geschafft, den Code in Maschinensprache zu übersetzen, aber von einem laufenden System, auf dem wir eine Wahl durchführen können, sind wir noch weit entfernt.

Und wenn ich technisch nicht so versiert bin?

Dann können Sie sich trotzdem in die Diskussion mit der Post einmischen: Wir haben einen Fragen­katalog, mit dem wir die Post kommende Woche konfrontieren. Und wir wollen von Ihnen wissen, welche Fragen Sie spannend finden, welche wir vergessen haben. Wenn Sie auf den Pfeil klicken, priorisieren Sie die Frage nach oben oder unten. Haben Sie selber eine gute Frage, die noch nicht gestellt wurde, fügen Sie diese ein.

Update 06.03.2019: Wir haben der Post die Fragen geschickt, und sie hat geantwortet. Aus Kapazitätsgründen von Seiten der Post mussten wir eine Auswahl treffen. Sie finden die Antworten im Original weiter unten und unsere Interpretation im Artikel «10 neue Erkenntnisse zum E-Voting der Post». Das Hinzufügen und Bewerten von Fragen haben wir deaktiviert.

Fragen

Zum Thema Code

Zum Thema Intrusionstest/Infrastruktur

Zum Thema Wählerinnen und Wähler

Zum Thema Kosten

PS: Die Post nennt die Art, wie der Code zur Verfügung gestellt wird, open code. Das scheint ein von der Post erfundener Begriff zu sein, um sich vom Gedanken des open source abzugrenzen. Im Gegensatz dazu ist der Code für die obige Fragenabstimmung open source lizenziert, womit jede das Recht hat, die Software zu jedem Zweck zu studieren, zu verändern und zu verteilen (siehe backends, republik-frontend).