"banner top"

Elektronische Wahlen im Snowden-Zeitalter

Download

Soll man nach den Enthüllungen von Edward Snowden an der elektronischen Stimmabgabe via Internet festhalten? Braucht es zusätzliche Sicherheitsbestimmungen? Verifizierung mittels kryptografischer Beweisverfahren gilt als vielversprechender Lösungsansatz.

Die Enthüllungen von Edward Snowden haben die Welt wachgerüttelt. Was in Fachkreisen schon länger vermutet wurde, ist Tatsache geworden: Der amerikanische Geheimdienst NSA hört weltweit die Internet-Kommunikation ab, und zwar systematisch und im grossen Stil, inklusive E-Mails, SMS-Nachrichten und Mobiltelefon- Gespräche. Sogar die deutsche Bundeskanzlerin wurde Opfer der NSA-Lauschangriffe. Und vermutlich ist die NSA damit nicht alleine, denn das Sammeln und Auswerten von möglichst vielen Informationen ist letztendlich die eigentliche Kernaufgabe eines jeden Geheimdienstes. Man könnte somit argumentieren, dass das eigentliche Problem nicht darin liegt, ob die Geheimdienste derart systematisch Informationen sammeln dürfen, sondern dass sie dies tun können. Das erste Problem ist ein rein politisches, das zweite aber hat weitreichende gesellschaftliche Konsequenzen.
Was also sind die gesellschaftlichen Konsequenzen der Snowden-Enthüllungen für die Schweiz, insbesondere in Bezug auf die geplante Einführung der elektronischen Stimmabgabe? Kürzlich hat der Bundesrat in einem Bericht den aktuellen Stand und die nächsten Etappen des Projekts Vote électronique dokumentiert. Die zentrale Forderung ist, dass die Korrektheit der Stimmabgabe und des Stimmresultats verifiziert werden kann. Diese Forderung wurde in der wissenschaftlichen Literatur schon vor zirka 20 Jahren formuliert, aber erst heute ist sie ins Zentrum der politischen Diskussion gerückt. Was aber steckt hinter dem Begriff Verifizierbarkeit? Ist sie ein geeignetes Mittel, um zu verhindern, dass in Zukunft mächtige Organisationen wie die NSA den Ausgang einer Abstimmung in der Schweiz gezielt manipulieren können?

 

«Die Kryptografie gilt als eine der wenigen übrig gebliebenen Antworten auf die Lauschangriffe der NSA oder ähnlicher Organisationen. Sie ist quasi der Zaubertrank des Druiden Miraculix gegen das römische Imperium.»
Dr. Rolf Haenni, Professor für Informatik

Grundsätzlich zeigt die Diskussion um die NSA-Affäre, dass bei wichtigen Angelegenheiten kein Aufwand gescheut wird, um übergeordnete Interessen zu erfüllen. Auch gesetzliche Regelungen verhindern dies nicht, weil diese in einem internationalen Kontext oft bedeutungslos sind. Wenn man sich also vorstellt, dass zum Beispiel die EU die Fähigkeit gehabt hätte, die Abstimmung über die Masseneinwanderungs-Initiative zu manipulieren, ohne dass jemand in der Schweiz dies hätte merken können, hätte sie der Versuchung widerstehen können? Oder die Abstimmung über die Gripen-Flugzeuge: Hätte da nicht der schwedische Lieferant Saab – oder sogar der schwedische Staat – ein grosses Interesse gehabt, den Ausgang der Abstimmung zu beeinflussen?
In Anbetracht der heute verfügbaren technischen Möglichkeiten für die Durchführung solcher Angriffe ist die Einführung des elektronischen Stimmkanals eine äusserst komplexe Herausforderung. Mit der Forderung nach Verifizierbarkeit versucht man vorsätzliche Manipulationsversuche zu erkennen, ebenso wie Fehlfunktionen infolge von Softwarefehlern oder menschlichen Versagens. Man unterscheidet zwischen individueller Verifizierung, durch welche die korrekte Stimmabgabe überprüft werden kann, und universeller Verifizierung, welche das gesamte Wahlresultat validiert.

Abb. 1: Elektronische Anzeigetafel im Nationalratssaal: Das Abstimmungsergebnis lässt sich verifizieren. Foto: Parlamentsdienste 3003 Bern

Kryptografie als «Zaubertrank»
Beide Arten der Verifizierung bauen auf kryptografischen Beweisverfahren auf. Allgemein gilt die Kryptografie als eine der wenigen übrig gebliebenen Antworten auf die Lauschangriffe der NSA oder ähnlicher Organisationen. Sie ist quasi der Zaubertrank des Druiden Miraculix gegen das römische Imperium mit seinen zahlenmässig überlegenen Heeren. Und die kryptografische Forschung, die immer neue solche Verfahren entwickelt, ist sozusagen der Kochtopf des Druiden über dem Feuer.
Konkret werden bei der elektronischen Stimmabgabe und deren Auszählung bei sämtlichen Schritten entsprechende Beweise erzeugt, die mit mathematischer Sicherheit zeigen, dass die vorgegebene Prozedur exakt eingehalten wurde. Jede kleinste Abweichung hätte einen ungültigen Beweis zur Folge, also würden Manipulationen oder Fehler sofort entdeckt.
Wenn sämtliche für die universelle Verifizierung relevanten Daten veröffentlicht werden, inklusive der verschlüsselten Stimmen, dann ist es prinzipiell möglich, dass beliebige Personen – sogar die Wählerinnen und Wähler selbst – aus diesen Daten das Abstimmungsresultat nachrechnen und deren Verifizierung durchführen. Dazu benötigen sie natürlich eine Software, diese könnte aber aufgrund der Systemspezifikation von unabhängigen Personen geschrieben werden. Bildlich veranschaulicht entspricht die Veröffentlichung der Daten der Anzeigetafel im Nationalrat, die in ähnlicher Weise das Verifizieren des Abstimmungsergebnisses ermöglicht (Abb. 1).
In einem verifizierbaren System wird also die Wahl – nicht das Wahlsystem – überprüft, und dies mit mathematischer Genauigkeit. Im Vergleich zu den bisherigen in der Schweiz eingesetzten elektronischen Wahlsystemen bedeutet dies einen Paradigmenwechsel. Massgeblichen Anteil an dieser Entwicklung haben unsere jahrelange Forschungstätigkeiten auf diesem Gebiet und die zahlreichen Gespräche mit den Entscheidungsträgern beim Bund und den Kantonen. Die NSA-Affäre hat diesen Paradigmenwechsel noch beschleunigt.
Im Moment gibt es in der Schweiz leider noch kein verifizierbares Wahlsystem, das für echte politische Wahlen eingesetzt werden könnte. Im Rahmen des Projekts UniVote hat unsere Forschungsgruppe aber ein solches System entwickelt und an verschiedenen Hochschulwahlen in der Schweiz erfolgreich getestet. Für die Verifizierung steht eine spezielle Software zur Verfügung, die in einer Bachelor-Arbeit entwickelt wurde. UniVote ist also ein Prototyp für ein verifizierbares Wahlsystem, wie es in einer ähnlichen Form in Zukunft in der Schweiz zum Einsatz kommen könnte.

Abb. 2: Die Zukunftsvision: In einigen Jahren sollen alle Schweizer Stimmberechtigten elektronisch abstimmen und wählen können.