E-Voting «Die Gefahr ist, dass man von Manipulationen nichts merkt»

Bereits in zwei Jahren sollen Stimmbürger der meisten Kantone elektronisch abstimmen können. Informatik-Professor Eric Dubuis kennt die Sicherheitslücken und weiss, wieso die Voraussetzungen für E-Voting in der Schweiz besser sind als im Ausland.

Video «E-Voting: Höhere Sicherheitsanforderungen als bei Steuererklärung» abspielen

E-Voting: Höhere Sicherheitsanforderungen als bei Steuererklärung

1:45 min, aus Tagesschau vom 5.4.2017

SRF News: In verschiedenen Kantonen werden probehalber E-Voting-Systeme eingesetzt. Sind diese sicher?

Eric Dubuis: So wie wir es heute machen, ist eine sehr hohe Sicherheit vorhanden. Da muss man miteinberechnen, dass die Stimmbürger Wahlunterlagen per Papier erhalten. Auf diesen Wahlunterlagen gibt es Informationen, die ein Angreifer nicht hat.

Darum geht es

  • Schon übernächstes Jahr sollen die Stimmbürger in den meisten Kantonen elektronisch abstimmen können.
  • Die Einführung des E-Voting bleibt für die Kantone vorerst freiwillig.

Beim E-Banking gibt es ähnliche Systeme, trotzdem treten dort immer wieder Probleme auf. Kann das beim E-Voting nicht passieren?

Bei vollelektronischen E-Banking-Systemen kann ein Angriff stattfinden. Ende Monat merkt man das aber, wenn die Abrechnung kommt. Beim E-Voting gibt es das nicht – das ist der riesige Unterschied. Möglich wäre es höchsten, eine Verifizierbarkeit einzuführen. Dabei gibt es zwei Stufen:

  1. Die individuelle Verifizierbarkeit, die wir mit den Verifikationscodes bereits haben.
  2. Die universelle Verifizierbarkeit, bei der Dritte verifizieren, dass alles mit rechten Dingen zu und her gegangen ist. Die soll noch eingeführt werden.

Alles was der Wahlserver gesammelt hat, muss überprüfbar sein. Die heutigen Systeme haben das noch nicht, aber es wird kommen.

Bei der Stimmabgabe geht es nicht nur um das korrekte Resultat, sondern auch um das Stimmgeheimnis. Wie wird das sichergestellt?

Durch ein raffiniertes kryptografisches Verfahren kann man garantieren, dass die Identität des Stimmbürgers von der Stimme entkoppelt wird. Das geschieht dadurch, dass verschiedene Parteien involviert sind.

Wieso beschäftigen sich international nur wenige Länder mit der elektronischen Stimmabgabe?

In der Schweiz haben wir eine langjährige Erfahrung mit dem brieflichen Abstimmen. Das bedeutet, dass wir den Stimmbürgern das Vertrauen entgegenbringen, dass sie auch von zuhause aus ihre Stimme abgeben können. Diese Voraussetzung ist in vielen Ländern nicht gegeben.

Ist E-Voting gefährlicher für Manipulationen als das gewöhnliche Abstimmen?

Wenn wir die E-Voting-Systeme zu trivial machen, ist der Angriffsvektor extrem gross. Sehr entscheidend ist auch, dass es skaliert. Es wird oft gesagt, dass auch beim brieflichen Abstimmen manipuliert werden kann, also dass man beispielsweise versuchen kann, das Stimmcouvert seines Nachbars zu verwenden. Ein solcher Angriff skaliert aber nicht. Wenn es in der digitalen Welt einen Angriff gibt, skaliert er in der Regel sehr stark. Die Gefahr ist zudem, dass man es nicht merkt, wenn jemand ein Abstimmungsergebnis manipuliert.

Also sind Manipulationen beim E-Voting weniger wahrscheinlich aber umso schlimmer, wenn sie geschehen?

Das würde ich so stehenlassen.

Das Gespräch führte Roman Fillinger

Eric Dubuis

Eric Dubuis

Eric Dubuis ist Informatik-Professor von der Berner Fachhochschule. Er leitet das Institut zur Erforschung von Sicherheit im Informationszeitalter und beschäftigt sich seit Jahren mit E-Voting.