E-Voting der Post – hat jemand den Code geprüft?

Übung abgebrochen: «Post setzt ihr E-Voting-System befristet aus», verkündet die Post in einer aktuellen Pressemitteilung. Während des Intrusionstests seien kritische Fehler entdeckt worden, deshalb werde die Post «den Quellcode korrigieren und von unabhängigen Experten erneut überprüfen lassen». Das Unternehmen betont, dass es während des Intrusionstests nicht zu einer Manipulation der Abstimmungsresultate kam.

Bei der aktuellen Diskussion über das E-Voting-System der Post spielt die universelle Verifizierbarkeit von Abstimmungs­resultaten eine zentrale Rolle. Dabei handelt es sich um einen kryptografischen Mechanismus der Software, der sicherstellt, dass die Bürgerin sich weder auf die Korrektheit der Übermittlung noch auf die Ehrlichkeit des Betreibers verlassen muss.

Der Wähler muss lediglich die auf den Abstimmungs­unterlagen aufgedruckten Codes mit denen auf dem Bildschirm vergleichen – eine Kette ausgeklügelter Verschlüsselungs­komponenten stellt sicher, dass eine Manipulation der Abstimmung ausgeschlossen ist und dass das Abstimmungs­geheimnis gewahrt wird. Diese Funktion ist auch eine zwingende Anforderung in Artikel 5.1 der Verordnung über die elektronische Stimmabgabe (VEleS), bevor das System für mehr als die Hälfte der Abstimmenden zugelassen wird.

Am 24. März haben Sarah Jamie Lewis und ihr Team in dem für die universelle Verifizierbarkeit zuständigen Quell­text erneut einen schwerwiegenden Mangel entdeckt. Er ermöglicht es einem Angreifer, elektronisch abgegebene Stimmen so zu verändern, dass sie ungültig gewertet und deshalb nicht gezählt werden – ohne dass dies bei der formalen Verifizierung bemerkt würde. Wie beim letzten Mal hat die Post reagiert und erneut mitgeteilt, dass es schwierig sei, «die Schwachstelle auszunutzen, weil ein Angreifer zahlreiche Schutzmassnahmen ausser Kraft setzen müsste».

Gegenüber der Republik erklärt Sarah Jamie Lewis: «Ohne universelle Verifizierbarkeit muss sich die Öffentlichkeit darauf verlassen, dass die Post (oder eine andere Wahl­behörde) mit dem Abstimmungs­ergebnis ehrlich umgeht – diese Bedingung ist unhaltbar in einer demokratischen Gesellschaft.» Ihr Team habe zwar nur einen kleinen Teil des Quell­codes untersucht, doch es habe gezeigt, dass «das System für den beabsichtigten Zweck nicht geeignet» sei.

Da stellt sich natürlich die Frage: Wer legt für die Qualität des Programm­codes die Hand ins Feuer?

Theorie und Praxis

Früher oder später gelangt man so zu Abschnitt 5.4 des Anhangs «Technische und administrative Anforderungen an die elektronische Stimmabgabe» der VEleS, in dem ausgeführt wird, wie die Überprüfung der Verifizierbarkeit im Rahmen der Zulassung durch die Bundes­kanzlei vonstattenzugehen hat. Für die Vertrauens­würdigkeit massgebliche Funktionen, heisst es dort, «sind anhand des Quell­codes und des kryptografischen Protokolls eingehend zu prüfen».

Im Fundus von Prüfzertifikaten der Post allerdings fehlt der Nachweis, dass diese Untersuchung des Quell­codes stattgefunden hat. Weder Post noch KPMG beantworten die Fragen der Republik zur Zertifizierung des Quell­codes. Die Firma Contego, gegründet von zwei ETH-Professoren für Informations­sicherheit, bescheinigt dem Unternehmen zwar, dass die Protokolle und theoretischen Grund­lagen des Systems grundsätzlich valide sind, vollzieht allerdings keine Beurteilung der Implementierung.

Sprecher René Lenzin von der Bundes­kanzlei meint dazu lapidar, «dass der Offenlegung des Quell­codes eine Überprüfung nach Ziffer 5.4 VEleS Anhang vorausgehen muss». Ob diese Voraussetzung erfüllt sei, prüfe die Bundes­kanzlei «im Rahmen eines allfälligen Bewilligungs­verfahrens». Sprich: Der Bund wartet auf die erste Anfrage eines Kantons, bevor er überhaupt etwas prüft.

Kryptografie ist theoretisch, die Entwicklung von E-Voting-Systemen ist praktisches Ingenieurs­handwerk. Das von Contego erstellte Gutachten befasst sich mit der Theorie; eine Beurteilung der Umsetzung im Quell­code ist nirgends zu finden. Hat ihn jemand untersucht und steht er oder sie für die Code­qualität gerade? Wenn ja, wer? Wenn nein, was dann?

Wenn man sich in der Diskussion um die Sicherheit des elektronischen Abstimmens anstatt auf Transparenz auf das Renommee von Organisationen mit wohlklingenden Namen wie KPMG und ETH stützt, muss man das Versprechen von Solidität auch einlösen. Es genügt nicht, sich hinter einer Mauer des Schweigens zu verschanzen und zu hoffen, dass der Sturm bald vorüberzieht.