Passwort: «Wahlen»

Viele Kantone verwenden veraltete oder angreifbare Software, um die Ergebnisse von Wahlen und Abstimmungen zu ermitteln. Der Bund sieht keinen Handlungsbedarf. Immerhin: Einige Firmen wollen nun nachrüsten.

Eine Recherche von Adrienne Fichter (Text) und Emma Roulette (Illustration), 25.09.2020

Unsere Demokratie basiert auf Papier und ist deswegen sicher – daran halten E-Voting-Gegner seit Jahren eisern fest. Es ist ein Mythos.

Ihre Argumentation geht so. Manipulations­versuche würden durch gegenseitige Checks auffliegen. Und vor allem würden die Angriffe nicht skalieren: Eine Betrügerin könnte Wahl­briefe abfangen und verändern – aber nicht millionen­fach. Doch die verklärt-romantische Vorstellung einer streng analogen Demokratie entspricht nicht der Realität. Bei Wahlen kommt eine Vielzahl verschiedener Programme und elektronischer Systeme zum Einsatz – auch ohne E-Voting.

Bei der Übermittlung von Wahl­registern in die Druckerei, beim Ausdrucken und Einscannen von Wahl­zetteln, bei der Ermittlung der Wahl­resultate durch den Kanton, bei der Übermittlung der Ergebnisse an den Bund: Überall ist Software involviert oder sind elektronische Geräte im Einsatz, die oftmals übers Internet miteinander kommunizieren.

Ein Schritt in dieser Kette ist die sogenannte Ergebnis­ermittlung. Kaum ein Mensch kann panaschierte und kumulierte Wahl­listen in kurzer Zeit richtig auswerten, besonders bei komplizierten Berechnungs­formeln wie «Doppelter Pukelsheim» und «Hagenbach-Bischoff». Eine Auszählung in Echtzeit am Wahl­sonntag – wie wir sie kennen und schätzen – erfordert Automatisierung. Computer­programme müssen die Sitz­gewinne und -verluste ausrechnen und die Wahl­veränderungen grafisch darstellen.

Das geschieht mithilfe von spezialisierter Software. Die einzelnen Wahl­lokale loggen sich dabei in ein System ein und speisen dort den Inhalt der ausgezählten Stimm­zettel ein. Die Software übermittelt diesen Inhalt dann an eine zentrale Daten­bank, wo das Wahl­ergebnis berechnet wird. Ergebnis­ermittlungs­software kommt bei Wahlen fast in der ganzen Schweiz zum Einsatz. Bei einigen Kantonen sogar für Abstimmungen.

Angreifbare Software, schwache Kontrolle

Die Republik hat gemeinsam mit zwei IT-Sicherheits­forschern solche Systeme vertieft auf ihre Sicherheit hin untersucht.

Unsere Recherche zeigt:

  1. Mindestens 14 Kantone verwenden angreifbare und nicht zeit­gemässe Software. Wir haben mehrere Fälle von Fehl­konfigurationen von Servern, fehlenden Sicherheits­vorkehrungen und schwachen Verschlüsselungen gefunden. Die Anfälligkeiten sind teils Versäumnisse der Software­anbieter, aber auch Folgen von fehlendem IT-Sicherheits­bewusstsein in den Kantonsverwaltungen.

  2. Die Recherche zeigt eine klare Regulierungs­lücke auf. Obwohl es sich um sogenannte «kritische Infrastruktur» handelt, existieren bis heute keine Sicherheits­vorgaben des Bundes für den Einkauf und den Betrieb solcher Systeme. Und damit herrscht auch keine Transparenz über die Funktions­weise der Software. Die Bundes­kanzlei sieht sich nicht zuständig, weil die sichere Durch­führung von Abstimmungen und Wahlen Sache der Kantone sei. Sie fordert zwar von den Kantonen, die Befunde der Republik-Recherche zu prüfen und Schwach­stellen zu beheben. Doch niemand auf Bundes­ebene kontrolliert die Sicherheit der eingesetzten Software. Und die breite Öffentlichkeit weiss nicht einmal von der Existenz solcher Systeme.

Experten und Politikerinnen, denen die Republik die Befunde vorgelegt hat, fordern daher dieselbe Regulierung und Transparenz wie beim E-Voting. Das bedeutet: klare Vorgaben und eine Bewilligung durch die Bundes­kanzlei, öffentliche Begutachtung der Software, Offenlegung des Quellcodes.

Für Balthasar Glättli, Präsident der Grünen, ist dies ein Alarm­zeichen: «Hier herrscht ganz offensichtlich eine Sicherheits­lücke, welche raschest­möglich gestopft werden muss.» Er reichte soeben eine überparteiliche Inter­pellation ein. Sollte der Bundesrat keinen Handlungs­bedarf beim Thema digitale Ergebnis­ermittlung sehen, will Glättli in der Staatspolitischen Kommission des Nationalrats einen Antrag für einen Vorstoss einreichen. Das Anliegen sei mehrheits­fähig, sagt der grüne Nationalrat.

«Es sind dringend strengere Sicherheits­checks nötig», sagt Andreas Glaser, Staats­rechtler und Direktor des Aarauer Zentrums für Demokratie. «Ansonsten ist künftiger Manipulation Tür und Tor geöffnet.»

Wichtig zu betonen ist aber auch:

  • Alle Kantone wenden mehrere etablierte Kontroll­mechanismen an, um krasse Verfälschungen im Nachhinein zu entdecken: statistische Kontrollen, Plausibilitäts­checks, Publikation der Ergebnisse auf Gemeinde­ebene. Dadurch kann die Wahl immer nachvollzogen werden. Die Republik verfügt über keinerlei Hinweise, dass die Schwach­stellen bei der Ergebnis­ermittlung von kriminellen Hackern ausgenutzt worden sind.

  • Einige System­schwächen werden unter anderem dank unserer Recherche bald behoben. So hat die Firma Sesam gegenüber der Republik bestätigt, das Installations­prozedere ihres Produkts sicherer zu gestalten. Der Kanton Wallis möchte das Einfalls­tor für Hacker bis im November schliessen. Mehrere Kantone gehen nun über die Bücher und analysieren gemeinsam mit den betroffenen Software­firmen die Befunde der Republik-Recherche.

Ein unkontrolliertes Jekami

Vergangenes Jahr wurde E-Voting in der Schweiz intensiv diskutiert. Als mehrere krasse Schwach­stellen in der geplanten Software der Post publik wurden (auch durch Recherchen der Republik), wurde das Projekt auf Eis gelegt. In der Folge haben im Sommer 2019 zwei Forscher­gruppen unabhängig voneinander die bestehenden Wahl­prozesse untersucht.

Die Fragestellung lautete jeweils: Wie sicher und wie digital läuft eigentlich unsere bewährte Briefwahl ab?

Die Befunde mündeten in zwei kaum beachtete Forschungs­papiere. Die erste Arbeit der ETH kam zum Schluss, dass bei der elektronischen Auszählung ein unkontrolliertes Jekami herrscht. «Viele Kantone verwenden Software für die Ergebnis­ermittlung, welche keiner öffentlichen Sicherheits­prüfung unterzogen worden ist», schreibt das Forscherteam rund um David Sommer. Das Angriffs­potenzial sei gross, resümieren die Forscher.

Zu denselben Schlüssen kam das zweite Papier, das Christian Killer und Burkhard Stiller von der Universität Zürich verfasst haben. Die Wissenschaftler haben analysiert, welche Manipulations­risiken bei einer Brief­wahl bestehen – von Änderungen des Stimm­zettels bis zur Übermittlung an den Bund. Doch sie sind bei der Recherche der Ergebnis­ermittlung an ihre Grenzen gestossen. Grund dafür ist der föderale Dschungel: Jeder Kanton arbeitet mit einer anderen Software, deren Quellcode nicht offengelegt ist.

Das Forscherteam holte sich deshalb Hilfe bei Benedikt van Spyk, dem Staats­sekretär des Kantons St. Gallen. Van Spyk führte im Namen der Staats­schreiber­konferenz eine öffentlich einsehbare Umfrage bei allen Kantonen zur Frage durch, mit welcher Software (von welcher Firma) gearbeitet wird. Anhand dieser Umfrage haben sich die beiden Zürcher Security-Forscher Christian Killer und Melchior Limacher die Systeme vertieft angeschaut – gemeinsam mit der Republik.

Wo die Schwachstellen sind

Das Ergebnis der mehrmonatigen Recherche: Mindestens 14 Kantone verwenden Software, die mehrere Fehl­konfigurationen von Servern beinhaltet, bei der Sicherheits­vorkehrungen fehlen und die auf schwachen Verschlüsselungen basiert. Betroffen sind vor allem zwei Standard­produkte von privaten Software­anbietern sowie die Eigen­entwicklungen von drei Kantonen.

Zu den schwerwiegendsten Schwach­stellen zählen:

  • potenzielle Insider­attacken durch Angreifer, die sich Zugriff zum Netz einer Wahl­behörde verschafft haben;

  • schwache Standardpasswörter;

  • mögliche Man-in-the-Middle-Angriffe, bei denen sich eine Hackerin zwischen ein Wahllokal und die Zentrale schaltet.

Zur Recherche im Detail

Welche Angriffe sind bei der elektronischen Übermittlung von Wahl­ergebnissen möglich? Wie haben die Kantone und Software­firmen auf die Recherche reagiert? Alle Details dazu lesen Sie im technischen Bericht zu unserer Recherche.

Die ersten beiden Schwach­stellen fanden Limacher und Killer bei der Software «Sesam Wahlen». Wer im Besitz des Passworts ist, könnte hier uneingeschränkt alle Daten­sätze direkt in der Daten­bank manipulieren. Zur Erinnerung: Ein ähnliches Manipulations­szenario fand die Forscher­gruppe rund um die Hackerin Sarah Jamie Lewis 2019 bei der E-Voting-Software der Post – was unter anderem zum Abbruch und zur Neuausrichtung des E-Voting-Projekts führte.

Ausserdem hat die Firma Sesam die Installations­anleitung zu ihrem Produkt im Netz öffentlich zugänglich gemacht. Darin steht auch das Standard­passwort. Es ist denkbar simpel: «Wahlen». Wer die Software installiert, wird nicht aufgefordert, das Passwort zu ändern.

Die Firma Sesam räumt die Befunde ein. An den Konfigurationen der Software mit allen umfassenden Berechtigungen möchte die Firma dennoch nichts ändern. Und sie wälzt die Verantwortung auf die Kunden ab: Die Kantone seien in der Pflicht, durch Sicherheits­konzepte Missbrauch zu verhindern. Kundinnen von Sesam sind die Kantone Graubünden, Glarus, Uri, Baselland, Basel-Stadt, Luzern, Schaffhausen, Nidwalden und Obwalden. In Schaffhausen wird am kommenden Abstimmungs­sonntag das Kantons­parlament neu gewählt.

Eine ebenfalls gravierende Schwach­stelle wurde in den Ergebnis­ermittlungs­systemen der Kantone Wallis und Bern festgestellt. Diese wechseln von einer verschlüsselten auf eine unverschlüsselte Verbindung und erlauben damit einer Angreiferin, sich in den Daten­verkehr einzuklinken. Patrick Siggen, Chief Information Security Officer des Kantons Wallis, räumte die Schwach­stelle für potenzielle Hacker ein. Offenbar will der Kanton Wallis nun seine Haus­aufgaben machen. Die Schwach­stelle werde bis zu den «Abstimmungen im November 2020 korrigiert». Der Kanton Bern hat bereits im Verlauf des Jahres von sich aus nachgebessert.

Der Kanton Tessin setzt mit seiner Software «Votel» (die übrigens gleich heisst wie jene vom Wallis, deren Hersteller das Tessin aber geheim hält) ebenfalls komplett veraltete Verschlüsselungs­protokolle ein. Beim Tessiner «Votel» scheint es sich um ein System zu handeln, das womöglich bereits vor Jahr­zehnten eingeführt und seither vermutlich sukzessive modernisiert worden ist. Die gefundenen PHP3-Dateien deuten jedenfalls auf eine Eigen­entwicklung aus den Neunziger­jahren hin.

Die Tessiner Staats­kanzlei nahm zu den Vorwürfen Stellung: «Einige der von Ihnen erwähnten Protokolle sind inzwischen, wie vor einiger Zeit geplant, ausser Betrieb genommen worden.» Die Frage nach dem Hersteller der Software sowie nach dem Einsatz von PHP3 liess die Tessiner Staats­kanzlei unbeantwortet.

Und ein Test der Republik von dieser Woche ergab: Alle gefundenen Schwach­stellen bei Votel sind immer noch aktiv.

Bei der Software «VeWork» der Firma Sitrox fanden die beiden IT-Security-Forscher bis Ende März 2020 einige fehlende Sicherheits­vorkehrungen, die sie zu den Basics der IT-Sicherheit zählen: fehlendes HSTS, veralteten Verschlüsselungs­algorithmus RC4, verwundbares Sicherheits­protokoll SSLv3 sowie fehlenden Schutz vor Session-Hijacking (mehr über diese Begriffe lesen Sie im technischen Bericht zu unserer Recherche).

Kundinnen von Sitrox sind die Kantone Aargau, Solothurn und Zug. Der Technologie­chef der Firma Sitrox, Christian Singer, stuft die Befunde als irrelevant ein und hat der Republik für jede Entscheidung detaillierte Erklärungen geliefert. Sitrox gehe von einem anderen IT-Sicherheits­verständnis aus, das auch die digitale Kultur der Kantons­verwaltung berücksichtigt. Mit anderen Worten: wo nicht immer modernste EDV eingesetzt wird (mehr zur Stellung­nahme von Sitrox lesen Sie im technischen Bericht).

Eine offensichtliche Gesetzeslücke

Wie sind nun die von den Sicherheits­experten Limacher und Killer gefundenen Schwach­stellen zu werten? Haben nachweislich unbemerkte Angriffe stattgefunden, und sind bisherige Wahl- und Abstimmungs­resultate anzuzweifeln?

Nein. Oder: sehr wahrscheinlich nicht.

Denn solche Hacks wären dank den gängigen Kontroll- und Verifikations­mechanismen vermutlich aufgeflogen. Dazu zählen separat angefertigte – also nicht von der Software generierte – Protokolle. Solche werden etwa in Luzern erstellt. Fast alle Kantone publizieren die Resultate darüber hinaus auf Gemeinde­ebene und führen Plausibilitäts­kontrollen und Stichproben­kontrollen durch. Dank der Plausibilisierungs­methode ist etwa eine Wahl­fälschung, deren Ursache noch unbekannt ist, im Kanton Thurgau aufgeflogen. Und im Kanton Fribourg wurde eine Informatik­panne mit dem überlasteten System SyGev entdeckt.

Im Aargau, wo am 18. Oktober gewählt und mit «VeWork» gearbeitet wird, sind Kontroll­mechanismen aktiviert. Anina Sax, Leiterin Wahlen und Abstimmungen der Staats­kanzlei Aargau: «Die Sitz­verteilung wird einerseits am Wahl­sonntag mit einem zweiten (auf Excel basierenden) Tool nachgerechnet und verifiziert, bevor sie publiziert wird.» Ausserdem werden die Resultate pro Gemeinde publiziert, sodass jeder diese Resultate nachvollziehen kann. Dieselben Kontroll­mechanismen kennt der Kanton Solothurn, welcher kommendes Wochen­ende neu mit «VeWork» die Abstimmungs­resultate auswerten wird.

Doch gearbeitet wird am Abstimmungs­sonntag in erster Linie mit den ausgespuckten Resultaten von Sesam, Sitrox und Co. Deshalb muss die eingesetzte Software mindestens heutigen IT-Standards entsprechen und sollte immer wieder überprüft werden.

Hier besteht eine krasse Gesetzeslücke.

Der Bund hat sich beim Thema elektronische Auswertung lediglich um «E-Counting» gekümmert. Gemeint ist damit die elektronische Erfassung beim Einsatz von Lesegeräten und Scannern. Und selbst der Einsatz dieser Tools wurde von der Bundes­kanzlei wenig bis gar nicht kontrolliert, wie mehrere Gutachten zeigen, was vor allem von der Geschäfts­prüfungs­kommission des National­rats scharf kritisiert worden ist.

In ihrem Bericht von 2017 schreibt die Kommission: «Ein Vergleich mit dem Ausland zeigt auf, dass die Regelung des Bundes zur elektronischen Auszählung hinter der international Best Practice zurückbleibt.» Der Bericht stützt sich auf eine Unter­suchung der Parlamentarischen Verwaltungs­kontrolle von 2015. Die Ergebnis­ermittlung wird zwar darin ebenfalls nicht explizit erwähnt. Doch die Kommission stellte fest, dass die digitalen Verarbeitungs­vorgänge von Papier­stimm­zetteln sehr ähnlichen Manipulations­risiken ausgesetzt sind wie E-Voting.

Das führt zur absurden Situation, dass ähnliche Wahl­bereiche trotz derselben Hacking­szenarien ganz unterschiedlich reglementiert worden sind:

  • E-Voting: hoch reguliert;

  • E-Counting: ein bisschen reguliert (Kreisschreiben an die Kantone);

  • digitale Ergebnis­ermittlung: überhaupt nicht reguliert.

Trotz eindeutiger Gutachten und Berichte ist auf politischer Ebene wenig passiert.

Experten kritisieren fehlende Regulierung

Ist der Bund nicht legitimiert, Vorschriften für Ermittlungs­systeme zu erlassen? Die Meinungen gehen hier auseinander. Alle von der Republik konsultierten Experten und Bundes­angestellten berufen sich dabei auf den Artikel 84 des Bundesgesetzes über die politischen Rechte. Dieser besagt, dass die Bundes­kanzlei die Kantone zu gesetzlichen Bestimmungen in Sachen Ergebnis­ermittlung ermächtigen kann.

Artikel 84 BPR – Verwendung technischer Hilfsmittel

1. Der Bundesrat kann die Kantons­regierungen ermächtigen, für die Ermittlung der Wahl- und Abstimmungs­ergebnisse mit technischen Mitteln von diesem Gesetz abweichende Bestimmungen zu erlassen.

2. Wahl- und Abstimmungs­verfahren mit technischen Mitteln bedürfen der Genehmigung des Bundesrates.

Aus: Bundesgesetz über die politischen Rechte (BPR).

In der Interpretation dieses Artikels unterscheidet man sich aber um 180 Grad. Die Bundes­kanzlei geht davon aus, dass sie selbst nichts zu sagen hat. Sprecher Urs Bruderer: «Die Beschaffung und der Betrieb der Wahl- und Abstimmungs­software liegen im Kompetenz­bereich der Kantone. Entsprechend gibt es dazu keine spezifischen Bundesregelungen.»

Anders sehen das diverse Politik­wissenschaftlerinnen und auch National­räte, denen die Republik die Befunde ihrer Recherche vorgelegt hat. Einige Cybersecurity-Experten haben bereits im wissenschaftlichen Dialog mit der Bundes­kanzlei für das E-Voting auf diese Regulierungs­lücken und potenziellen Schwächen hingewiesen.

«Der Art. 84 BPR gäbe dem Bundes­rat (und per Delegation der Bundes­kanzlei) die Kompetenz, auch im Bereich der Ergebnis­ermittlung Vorschriften bezüglich technischer Hilfs­mittel zu erlassen», sagt etwa Florian Egloff, der an der ETH Zürich zur Schnitt­stelle von Politik­wissenschaft und Cyber­security forscht.

Für Andreas Glaser, Direktor des Zentrums für Demokratie, ist der Einsatz sicherer IT sogar verfassungs­rechtlich begründet: «Artikel 34 der Bundesverfassung verlangt die unverfälschte Stimm­abgabe. Die Kantone müssen Ergebnisse korrekt ermitteln. Sie dürfen keine unzuverlässigen Geräte, auch nicht IT oder Software, einsetzen, die fehlerhaft oder unsicher sind.»

Auf politischer Seite wird nun von digital­politisch engagierten Politikern Druck aufgebaut. Grünen-Präsident Balthasar Glättli, der bereits in der Debatte um E-Voting sehr präsent war, reichte eine Inter­pellation zur Schliessung dieser Gesetzes­lücke ein. Er will vom Bundesrat wissen, ob er bereit sei, Bestimmungen zum Thema digitale Ergebnis­ermittlung zu erlassen. Sollte die Antwort des Bundesrats negativ ausfallen, so wird er in der SPK-N einen «mehrheits­fähigen» Antrag für einen Vorstoss einreichen.

Die Grünliberalen-Nationalrätin und Geschäfts­führerin der Swico Judith Bellaïche ist nicht überrascht über die Recherche­befunde. Sie «bestätigen lange geäusserte Bedenken über das mangelhafte Sicherheits­bewusstsein unserer Verwaltung». Bellaïche plädiert für vom Bund definierte IT-Standards, die von den Kantonen umgesetzt werden müssen. «Der Bund kann nicht einfach wegschauen. Die Tragweite ist zu bedeutend.»

Dass für die digitalen Erfassungs­systeme dieselben Kriterien wie beim hoch regulierten E-Voting gelten müssen, liegt auch für den Schweizer Chaos Computer Club auf der Hand. Netzaktivist Hernani Marques fordert den Bund auf, seine Aufsichts­pflicht wahrzunehmen: «Die Bundes­kanzlei muss auf Mindest­standards bei Kantonen und Gemeinden pochen sowie unabhängige Über­prüfungen der Systeme für obligatorisch erklären.»

Es gibt auch moderatere Stimmen, die statt scharfer Regulierung lediglich mehr Transparenz­pflichten wünschen. Zu ihnen zählen die beiden IT-Security-Forscher Melchior Limacher und Christian Killer, die die Schwach­stellen entdeckt haben. Die jetzige Situation basiere auf dem Prinzip security through obscurity, kritisieren sie: Sicherheit durch Intransparenz. Doch Software öffentlich und überprüfbar zu machen, wird heute als Königs­weg in der IT-Sicherheit angesehen, vor allem bei kritischer Infra­struktur wie Wahldaten­verarbeitung.

Weil es von Bundes­seite keine Vorgaben für die Beschaffungen gibt, existieren auch keine Offenlegungs­vorgaben vonseiten der Hersteller. Erik «Kire» Schönenberger, Geschäfts­führer der Digitalen Gesellschaft, unterstützt die Forderung nach Open Source bei staatlich eingekaufter Software: «Die Resultat­ermittlung muss transparent und nachvollziehbar passieren. Der Code und die Algorithmen müssen deswegen offengelegt werden.»

Security-Debatte ist im Gang

Die Republik-Recherche hat hinter den Kulissen für hitzige Diskussionen gesorgt, wie mehrere Behörden­mitglieder bestätigen.

An der Herbst­tagung der Staats­schreiber­konferenz vom 18. September wurden die Befunde offenbar debattiert, ebenso treffen sich dieser Tage Staatskanzlei­mitglieder mit den betroffenen Software­firmen, um die Schwach­stellen zu analysieren. Die Bundes­kanzlei hält zwar an der Aussage fest, dass die Kantone für Kontroll­prozesse der IT-Security zuständig seien, wie Kommunikations­leiterin Ursula Eggenberger bestätigt. Sie fordert aber nun von den Kantonen Verbesserungen: «Entsprechend sind die von Forschenden genannten technischen Mängel durch die Kantone zu analysieren und wo nötig zu beheben.»

Die Nervosität und teils auch aggressiven Antworten auf die Fragen der Republik vonseiten der Software­firmen haben einen Grund: Die Kantone St. Gallen und Thurgau haben einen Auftrag ausgeschrieben für den Einkauf neuer Ergebnis­ermittlungs­systeme. Sie evaluieren derzeit die verschiedenen Offerten. Keine der Bieter­firmen möchte negative Presse über sich lesen. Die beiden Kantone arbeiteten bisher mit der Software «Wabsti» der Firma Abraxas.

War diese Software etwa nicht mehr sicher und gut genug?

«Die Anwendung ist mittler­weile in die Jahre gekommen und genügt den heutigen Anforderungen insbesondere mit Blick auf System­architektur und Benutzer­führung nicht mehr oder nur noch ungenügend», sagt Thomas de Rocchi, Leiter des Dienstes für politische Rechte von der Staats­kanzlei St Gallen. Ausserdem solle der Quellcode nach Möglichkeit offengelegt werden. Dies wäre ein Novum, denn alle Kantone haben proprietäre Software eingekauft.

Die Recherchen der Republik zeigen auch Wirkung bei den Herstellern.

Die Firma Sesam möchte den Modus Operandi für die Installation ihrer Software optimieren: «Wir sind bereits intern am Besprechen einer Lösung, wie wir das öffentlich einsehbare Initial-Passwort aus der Anleitung entfernen können, ohne dadurch unseren Support unnötig zu belasten», bestätigt Firmen­chef Reinhard Semlitsch. Ferner will Sesam eine neue Weblösung einführen, bei der auch das kantonale Netzwerk besser analysiert wird und die Über­prüfung ihres Quellcodes möglich ist. Die Firma Sitrox möchte eine ganz neue Applikation für eine unabhängige Verifikation der Daten­übermittlung im Kanton lancieren und hat zwei der genannten Schwach­stellen wieder behoben (lesen Sie mehr dazu im technischen Bericht).

Insgesamt haben die Diskussionen rund um E-Voting in den letzten Jahren zu einem höheren IT-Sicherheits­verständnis bei den Behörden geführt. Stefan Ziegler, Leiter Wahlen und Abstimmungen beim Amt für Statistik des Kantons Zürich, bestätigt diesen Trend. «Für die neue Generation der Ergebnis­ermittlungs­software werden offener Quellcode und öffentliche Reviews als selbst­verständlich gelten.»

Am Sonntag wird schweizweit gewählt und abgestimmt. Es gibt keinen Grund, an den Resultaten zu zweifeln. Aber genauso wenig Grund, sich damit schon zufriedenzugeben.

Hinweis: In einer früheren Version haben wir die Gesamt­erneuerungs­wahlen des Grossen Rats im Aargau auf den 27. Oktober datiert. Die Wahlen finden jedoch am 18. Oktober statt. Wir bitten um Entschuldigung für den Fehler.

Zum Update

Was Software-Firmen, Kantone und Bund seit dieser Republik-Recherche zu problematischer Abstimmungssoftware alles verbesserten – und was nicht: «Eine Beschwerde und lauter neue Passwörter».

Zum Zeitpunkt dieser Publikation

Veröffentlichungen zu einem demokratie­politisch sensiblen Thema wie Wahlen erfordern immer eine publizistische Abwägung. Einerseits ist das Interesse für das Thema im Vorfeld von Urnen­gängen besonders hoch. Anderer­seits soll das Vertrauen in die Resultate nicht ohne Grund erschüttert werden. Könnten boshafte Hacker die Ergebnisse dieser Recherche gar ausnutzen?

Um das Risiko zu minimieren, hat die Republik die Hersteller, die Bundes­kanzlei und die kantonalen Staats­kanzleien im Voraus über die Ergebnisse ihrer Recherche informiert. Angriffs­potenziale sind vor allem bei nationalen und kantonalen Wahlen gegeben. Die aufgezeigten Schwach­stellen könnten allerdings kaum innerhalb einer so kurzen Zeit­spanne (also bis zum Abstimmungs­sonntag am 27. September) ausgenutzt werden, meinen mehrere Experten.

Die Republik hat zudem keine Hinweise dafür erhalten oder gefunden, dass die genannten Schwach­stellen in der Vergangenheit ausgenutzt worden sind.

Sämtliche von uns angeschriebenen Staats­kanzleien – inklusive Schaffhausen, Aargau und Wallis, wo in den kommenden Wochen gewählt wird – bestätigen, dass sie die Ergebnisse standard­mässig überprüfen, nach dem Wahl­sonntag nachrechnen, die ausgezählten Stimm­zettel auch auf alternativen Wegen an die Kantone übermitteln und die Resultate auf Gemeinde­ebene publizieren, sodass die Resultate auch unabhängig nachvollzogen und verifiziert werden können.