"banner top"

UniVote Internet-Wahlen an Schweizer Hochschulen

Download

Mit UniVote hat ein Forscherteam der BFH-TI ein Internet-Wahlsystem entwickelt, das dank kryptografischer Methoden viele Eigenschaften eines sicheren E-Voting-Systems aufweist. Erste Einsätze bei Studierendenratswahlen an verschiedenen Schweizer Hochschulen verliefen erfolgreich.

Bisher stiessen E-Voting-Systeme immer wieder auf Skepsis. Weshalb?

Eric Dubuis: Die Schweizer Systeme der ersten Generation basierten auf dem Prinzip des Vertrauens: Der Stimmbürger gibt seine Stimme ab, und später wird das Ergebnis verkündet. Aussenstehende können nicht überprüfen, ob nachträglich etwa Stimmen eingefügt, entfernt oder abgeändert wurden.

Welche Verbesserungen bringt ein System wie UniVote?

Rolf Haenni: Wir erleben einen eigentlichen Paradigmenwechsel. Bisher wollte man die Daten, die bei einer Wahl oder Abstimmung gesammelt werden, durch «Einbunkern» möglichst gut schützen, damit niemand Stimmen manipulieren kann. Die Forschung fordert aber seit 20 Jahren genau das Gegenteil: Sämtliche relevanten Daten sollen publiziert werden, damit jeder im Prinzip die korrekte Stimmabgabe bzw. das Wahl- oder Abstimmungsergebnis verifizieren kann. Kryptografische Massnahmen gewährleisten die Sicherheit und den Schutz der Daten.

Welche Sicherheitsanforderungen stehen im Vordergrund?

Rolf Haenni: Eine wesentliche Hauptanforderung ist die Verifizierbarkeit: Erstens muss garantiert sein, dass meine Stimme, so wie ich sie abgeschickt habe, richtig weitergegeben wird. Zweitens muss gewährleistet sein, dass meine Stimme am Schluss auch richtig mitgezählt wird. Dieses Problem wird dadurch gelöst, dass die relevanten Daten verschlüsselt veröffentlicht werden. Die öffentlichen Daten erlauben es, mit einer geeigneten Software die Datenbank einzusehen. So kann ich erkennen, ob meine Stimme vorhanden ist und ob sie mitgezählt wurde («individuelles Verifizieren »). Und es lässt sich überprüfen, ob sämtliche Stimmen korrekt registriert und gezählt wurden («universelles Verifizieren»). Die verwendete Software muss natürlich vertrauenswürdig sein. Aber diese Software könnte irgendjemand herstellen. Wenn ich also dem Hersteller A nicht vertraue, gehe ich zu Hersteller B oder C.

Philipp Locher:
Ein weiteres zentrales Problem ist die Wahrung des Wahlgeheimnisses: Niemand darf erkennen, wie jemand anderes gewählt hat. Dies erreichen wir mit dem «kryptografischen Mixen», womit die Stimme vom Stimmbürger entkoppelt wird.

Eric Dubuis: Zusätzlich müssen wir sicherstellen, dass nur Wahlberechtigte abstimmen und dass jeder genau eine gültige Stimme abgeben kann. An den Hochschulen können wir uns auf SWITCHaai abstützen. Dieser zentrale Authentisierungs- und Autorisierungsdienst umfasst sämtliche Schweizer Hochschulen. Wir verlangen, dass sich die Stimmberechtigten mit SWITCHaai einmalig für unser System registrieren. Dann wird in UniVote ein kryptografischer Schlüssel erzeugt, mit dem sie abstimmen können.

Rolf Haenni: Bei E-Voting und vielen anderen Anwendungen haben wir noch ein schwerwiegendes Problem: Auf meinem Computer kann ein Schadprogramm installiert sein. Oder eine Software bzw. eine Webapplikation enthält einen Programmierfehler. Dann macht meine Software nicht, was sie zu tun vorgibt. Wir gehen aber davon aus, dass die Leute heute Zugang zu mehreren Computern haben und dass man bei einem Gerätewechsel eine Attacke merken würde.
Konkret funktioniert das so: Ich stimme auf einem Gerät ab und erhalte mit einem Code verschlüsselt die Information, wie ich abgestimmt habe. Dann übertrage ich den Code auf ein anderes Gerät, z.B. durch das Einscannen eines QR-Codes mit der Kamera des Mobiltelefons. Nun zeigt mir das zweite Gerät an, wie ich abgestimmt habe.

Eric Dubuis: Im Kontext von studentischen Wahlen bedeutet dies ein akzeptables Restrisiko. Für politische Wahlen genügt das als Sicherheitsmassnahme keineswegs.

Wie sind die bisherigen Erfahrungen mit UniVote?

Rolf Haenni: Bisher wurde UniVote bei Studierendenratswahlen an der Berner Fachhochschule sowie an den Universitäten Bern, Zürich und Luzern eingesetzt. Grundsätzlich hat das System erfreulich gut funktioniert. Allerdings sind bei der praktischen Umsetzung einige unerwartete Schwierigkeiten aufgetreten.
So müssen wir die Listen der stimmberechtigten Personen ein paar Tage vor der Wahl ins System einspeisen, in der Regel sind das Tausende von E-Mail- Adressen. Wenn diese Listen nicht stimmen, haben wir ein Problem. An der BFH gab es z.B. eine Adresse, die in Grossbuchstaben geschrieben war. Ausgerechnet diese Person wollte an der Wahl teilnehmen und konnte dies nicht.
Oder an der Uni Zürich haben wir einen Tag vor der Wahl realisiert, dass Angehörige der Uni Zürich bis zu fünf verschiedene E-Mail-Adressen haben können. Der Mechanismus über SWITCHaai liefert aber nur ein Format – dafür mussten wir über Nacht eine Lösung finden.

Welches sind die nächsten Ziele?

Eric Dubuis: UniVote ist für uns ja nicht Selbstzweck, sondern eher Mittel zum Zweck. Es geht uns nicht zuletzt darum aufzuzeigen, wie Verifizierbarkeit in einem elektronischen Wahlsystem aussehen kann. Mit unserem Referenzsystem wollen wir bei der Bundeskanzlei und bei den Kantonen die entsprechenden Methoden veranschaulichen. Wir finden denn auch ein beachtliches Echo bei den Spezialisten, die an den echten Systemen beteiligt sind. Unser Anliegen ist es, wissenschaftliche Erkenntnisse in die Entwicklung von «Vote électronique» einfliessen lassen – und das ist uns bisher schon ganz gut gelungen. Besten

Danke für das Gespräch.

Mitglieder des E-Voting-Teams (v.l.n.r.): Severin Hauser, Reto Koenig, Philémon von Bergen, Rolf Haenni, Stephan Fischli, Eric Dubuis