'Voter par Internet?' - ein paar Bemerkungen

1 Wo bleibt die Informatik?

Zum vorliegenden Band aus der Reihe 'Démocratie directe' habe ich aus meiner Sicht als Informatiker ein paar Bemerkungen zu Aufbau und Ideen des Buchs und zur elektronischen Stimmabgabe im allgemeinen.

Der Klappentext verspricht die erste interdisziplinäre Studie über die elektronische Stimmabgabe, also eine wissenschaftliche Abhandlung über nötige Bedingungen, mögliche Folgen, Vorteile, Nachteile und Wünschbarkeit für die Stimmberechtigten.

Der Untertitel kündigt eine soziopolitische und eine juristische Perspektive an, aber die technische Perspektive vermisse ich. Dies betrachte ich als einen Konstruktionsmangel, der viel darüber verrät, wie der Kanton Genf als Pilotkanton für ein solches Projekt mit den Grundlagen des Internets umgeht.

Aus dem Vorwort des Genfer Staatsschreibers geht hervor, dass er mit Unterstützung der Bundeskanzlei unbedingt der erste Pilotkanton sein will. Nirgends wird die Frage angeschnitten, ob Natur und Zustand des Internets geeignet sind, eine elektronische Stimmabgabe einzuführen. Der Entscheid scheint bereits festzustehen, obwohl das Buch ein Fragezeichen im Titel führt. Technische Fragen werden als Nebensachen betrachtet, über die man sich nicht den Kopf zu zerbrechen braucht.

In beiden Hauptteilen werden technische Fragen erwähnt oder gestreift. Die Autoren erkennen Risiken (z. B. S. 28 oder 97f.), erklären sich aber mangels Kompetenz für nicht zuständig. Diese Haltung widerspricht einem wissenschaftlichen Vorgehen, weil so die Hauptfragen ausser acht gelassen werden. Bevor soziopolitische und juristische Fragen behandelt werden, muss der Stand der Technik bekannt sein. Da sich das Internet wegen seines technischen Aufbaus von der Welt der Politologie und Juristerei deutlich unterscheidet, lautet die richtige Reihenfolge der Fragen so:

  1. Technik
  2. Juristische Grundlagen
  3. Politologie und Soziologie

Diese Reihenfolge wertet oder gewichtet die einzelnen Fragen nicht, sondern ergibt sich aus dem materiellen Unterbau des Internets. Wenn sich JuristInnen, PolitologInnen und SoziologInnen, die den Entscheid über die Einführung der elektronischen Stimmabgabe vorspuren, nicht einfach auf 'eingekauftes' Fachwissen verlassen wollen, müssen sie beginnen, sich selber damit zu befassen.

2 Internet

Das Internet besteht aus nicht hierarchisch vernetzten Computern, die untereinander Daten austauschen. 'Nicht hierarchisch' bedeutet in diesem Zusammenhang, dass es keine zentrale Steuerung des Netzes gibt, sondern dass sich jedes angeschlossene Teilnetz darauf verlässt, dass sich die anderen auch an die Regeln halten.

Die Regeln bestehen aus einer Sammlung anerkannter Protokolle (TCP/IP: Transmission Control Protocol/Internet Protocol), die festlegen, wie Datenpakete aussehen müssen. Darauf setzen u. a. folgende Protokolle auf:

Datenpakete, die vom eigenen Rechner zum Zielrechner gelangen sollen, finden ihren Weg selbständig, weil die Knotenpunkte (Router) wissen, wie der Zielrechner über andere Router am schnellsten zu erreichen ist. Wenn ein Weg ausfällt, wählt der Router einen anderen oder meldet zurück, dass das Ziel nicht erreichbar ist.

Da das Internet mit Computern betrieben wird, sind die übermittelten Daten körperlos. Die einzigen Spuren, die sie hinterlassen, sind digitale Signale auf Speichermedien. Wer sich im Internet bewegt, hinterlässt immer eine immaterielle Datenspur. Und wer die Schwachstellen des Systems kennt, kann Spuren verwischen, neue Spuren erzeugen oder Daten so verfälschen, dass es die Verantwortlichen erst im Nachhinein merken und nicht feststellen können, woher der Angriff gekommen ist.

2.1 HTTP: Hypertext Transfer Protocol

HTTP ist ein minimales Protokoll, das entwickelt wurde, um einander Dokumente schnell und einfach zur Verfügung zu stellen. Grundidee war der freie Zugang innerhalb eines Forschungsumfelds, so dass keine Sicherungen oder Zugangshürden eingebaut wurden. Daher ist HTTP einfach und universell in der Anwendung.

Wichtig ist HTTP, weil über dieses Protokoll die elektronische Stimmabgabe erfolgen soll. Eine Weiterentwicklung davon ist HTTPS (HTTP Secure), das eine Verschlüsselung der übermittelten Daten von Rechner zu Rechner ermöglicht.

Für statische Dokumente erfolgt der Zugriff über einen URL (Uniform Resource Locator) vom Typ http://www.irgendwas.ch/pfad/zum/dokument.html, der angibt, wo sich das angeforderte Dokument in der internen Hierarchie der Servers befindet. Daneben gibt es auch dynamische Dokumente, die erst auf Anfrage erstellt und übermittelt werden. Dies geschieht z. B. dann, wenn der Server auf ein im Netz ausgefülltes Formular reagiert. Dokumente holt man immer beim Server ab, sie werden nicht wie Radiowellen ausgestrahlt.

HTTP ist einfach einzusetzen, weil es zustandslos ist. Das bedeutet, dass nirgends Buch geführt wird, welche Dokumente schon übertragen wurden. Spätere Zusätze wie Cookies (lokale Zustandsinformation beim Benutzer), Session-IDs (vom Server erzeugte, temporäre Bezeichner) oder Zugangskontrollen mit Passwörtern sind der eigentlichen Idee von HTTP fremd. Darum ist es auch so schwierig, 'sichere' Verbindungen aufzubauen.

2.2 Entwicklung des Internets

Bis 1996 war das Internet vor allem an Hochschulen verbreitet. Von da an wuchs es vor allem im kommerziellen Bereich explosionsartig und begann, sich auch bei Privaten durchzusetzen, so dass z. B. e-Mail-Adressen heute Gemeingut sind.

Schnell setzte sich unter kommerziellen Anbietern die Idee durch, das Internet sei die Antwort auf alle möglichen Fragen und biete die Aussicht auf ewiges wirtschaftliches Wachstum. Milliarden wurden in den Jahren bis 2001 in die Entwicklung aller möglichen Plattformen gesteckt, obwohl nur in wenigen Fällen ein Gewinn absehbar war. Die Hoffnung bestand darin, dass die Gewinnzone unmittelbar bevorstehe. Die Gesetze der Realwirtschaft holten die Internet-Blase im Frühjahr 2001 ein, so dass viele Unternehmen, deren Kapital aus Versprechen bestand, innert kurzer Zeit Bankrott gingen.

Zurzeit herrscht wieder die Meinung vor, dass das Internet ein Mittel zum Zweck ist und nicht Zweck allein. Mein Eindruck ist, dass das e-voting-Projekt noch ein Produkt dieser vergangenen Euphorie ist, vor allem weil die technischen Grundlagen, die das Internet ausmachen, nicht die gebührende Beachtung finden.

3 Stimmen mit und ohne Papier

Grundlage jeder erfolgreichen Abstimmung sind Sicherheit, Zugang und Vertrauen. Wenn Betrug die Regel ist, kommt es auf die Art der Stimmabgabe nicht an, weil das nötige Vertrauen fehlt. Dieses Vertrauen kann durch Pannen oder bewusste Manipulation beschädigt werden. Diese Fragen stellen sich für die elektronische Stimmabgabe anders und deutlicher.

Je nach Methode sind die Hürden für eine erfolgreiche Manipulation verschieden. Auch Pannen haben Folgen von verspäteten Ergebnissen über inkonsistente Daten bis zum Totalverlust, was eine Wiederholung einer Abstimmung mit all ihren Folgen nach sich zieht.

3.1 Heutiges Verfahren

Heute erhalten die Stimmberechtigten Unterlagen und Stimmzettel nach Hause geschickt. Dort füllen sie die Zettel aus und geben sie entweder brieflich oder persönlich an der Urne ab. Als Identifikation dient ein Stimmrechtsausweis, der in der Praxis kaum je kontrolliert wird. Bei der brieflichen Stimmabgabe genügt ein unterschriebener Stimmrechtsausweis, obwohl es keine Kontrollunterschrift gibt, mit der die eingeschickte im Auszähllokal verglichen werden kann.

Das Stimmgeheimnis ist bei der Urnenwahl gewährleistet, weil die Stimmberechtigten zuerst den Stimmrechtsausweis abgeben und dann ihre Zettel in die Urne werfen. Bei der Briefwahl stecken sie ihre Zettel in einen separaten Umschlag, der im Auszähllokal vom Stimmrechtsausweis getrennt und nachher ausgepackt wird. Hier beruht das Stimmgeheimnis auf dem Vertrauen, das die Stimmberechtigten dem Wahlbüro entgegenbringen.

Die Auszählung erfolgt dezentral und öffentlich unter dem Beizug vieler Mitglieder des Wahlbüros. Als technische Hilfsmittel werden manchmal optische Lesegräte und Zettelzählmaschinen eingesetzt, der Grossteil der Arbeiten erfolgt aber von Hand. Nach der Auszählung werden die Stimmzettel plombiert und bis zur Erwahrung des Ergebnisses aufbewahrt.

Die Auszählung dauert mehrere Stunden, ist aber jederzeit wiederholbar, weil die Stimmzettel aufbewahrt werden. Bei sehr knappen Ergebnissen sind manchmal mehrere Nachzählungen nötig, bis gegen das Ergebnis keine Einsprachen mehr erhoben werden. Ein Beispiel dafür ist die Ersatzwahl in den Winterthurer Stadtrat vom April 2001, die erst nach der dritten Zählung erwahrt wurde, weil das Ergebnis mit einer Stimme Unterschied nicht knapper sein können hätte.

3.2 Elektronische Stimmabgabe

Die Stimmberechtigten erhalten ihre Wählernummer und einen Geheimcode nach Hause geschickt. Von dort aus wählen sie sich zur Stimmabgabe ein und identifizieren sich mit Nummer und Code. Dann geben sie zu jeder Vorlage ihre Stimme ab und bestätigen ihre Angaben. Damit ist für sie der Vorgang abgeschlossen.

Da die Stimmabgabe auf dem Internet basiert, sind umfangreiche Vorarbeiten und hohe finanzielle Investitionen notwendig. Zuerst müssen eine Anzahl Computer beschafft werden, dann sind Datenbankprogramme nötig, die erstens als Stimmregister dienen, zweitens für jeden Urnengang die nötigen Geheimcodes erzeugen und drittens Buch führen, wer schon gestimmt hat.

Die Stimmabgabe erfolgt also zentral auf einigen wenigen Einheiten. Da der Kanton Genf zentral verwaltet wird, verfügt er über ein zentrales Stimmregister, so dass es gut möglich ist, dass mit einem einzigen Server elektronisch abgestimmt wird.

Die Installation, Bedienung und Ermittlung der Ergebnisse müssen Fachleute übernehmen. Da der Staat nicht genügend Fachleute hat, ist anzunehmen, dass dieser Auftrag an Privatfirmen vergeben wird; der Genfer Staatsschreiber sieht diese Möglichkeit ausdrücklich vor.

4 Detailanalyse

In den folgenden Abschnitten behandle ich jeden Einzelschritt, der für die elektronische Stimmabgabe nötig ist, ausführlich und zeige Gemeinsamkeiten und Unterschiede zum heutigen Verfahren auf.

4.1 Materielle Infrastruktur (Hardware)

Für die Datenbanken und die Anbindung ans Netz sind leistungsfähige Computer nötig. Die Wahl der Hardwareplattform ist nicht entscheidend, dafür ist auf Qualität der ausgewählten Komponenten zu achten.

Schon aus Gründen der Ausfallsicherheit muss ein Bündel (Cluster) von Servern beschafft werden, weil bei einem Einzelsystem nach einer schweren Panne die gespeicherten Daten beschädigt sind oder die Stimmwilligen nicht mehr abstimmen können.

Wenn diese redundanten Systeme räumlich getrennt sind, ist eine schnelle und regelmässige Synchronisation der Daten nötig. Was bei einer Inkonstistenz der Daten geschehen soll, ist eine juristische Frage, auf die ich später eingehe.

Bei einer hohen erwarteten Stimmbeteiligung übers Netz müssen genügend Zugänge geschaffen werden, damit die Stimmwilligen nicht durch lange Wartezeiten oder unerreichbare Server vergrault werden.

Fragen der Stabilität und Ausfallsicherheit stehen im Mittelpunkt, weil die Zentralisierung der Stimmabgabe mit solchen 'virtuellen Urnen' sehr weit getrieben wird. Datenverlust oder Behinderung des Zugangs haben verheerende Folgen, so dass das Vertrauen in die Korrektheit der Ergebnisse im Nu in Frage gestellt wird.

Die Auswertung und Zählung von Stimmzetteln kann mit Zählmaschinen und optischen Lesegeräten wesentlich beschleunigt werden. Auch ist im Zweifelsfall eine Zählung von Hand jederzeit möglich. Optische Lesegeräte sind keine Vorläufer der elektronischen Stimmabgabe, wie auf Seite 60 behauptet wird.

Allerdings kann der Einsatz von Maschinen zu erheblichen Schwierigkeiten führen, wie die letzten Präsidentenwahlen in den USA gezeigt haben. Stanz- und Zählmaschinen werden in der Schweiz nicht eingesetzt, aber die Behandlung von Stimmkarten, deren Kartonschnipsel ('chad') nicht ganz herausgestanzt wurden, hat verhindert, dass der Wille dieser Stimmenden zum Ergebnis gerechnet wurde. Versuche, bei Gericht die Handauszählung der Stimmkarten durchzusetzen, hatten in Florida, wo das Ergebnis sehr knapp war, keinen Erfolg.

4.2 Programme (Software)

Programme sind Dreh- und Angelpunkt der elektronischen Stimmabgabe. Ihre Herkunft muss vertrauenswürdig sein, sie müssen sicher, stabil und transparent zu bedienen sein. Dazu müssen passende Mechanismen sie vor Manipulationen schützen. Hauptlieferant für solche Programme ist Microsoft, deren Gebaren nicht dazu beiträgt, das Vertrauen in sicherheitsrelevante Programme zu stärken:

  1. Microsoft gestattet keinen Einblick in den Quellcode ihrer Programme, damit sich unabhängige Fachleute von deren Funktionsweise überzeugen können. Die Lösung ist, Programme zu verwenden, deren Quelltext eingesehen werden kann.
  2. Microsoft arbeitet insgeheim mit der NSA (National Security Agency, ein Geheimdienst der USA) zusammen. Im Service Pack 5 zu Windows NT 4.0, einem Paket mit Korrekturen zum Betriebssystem, hinterliess Microsoft im September 1999 unabsichtlich im Kryptographiemodul den Namen eines zweiten Schlüssels, der als Passepartout Verschlüsselungen von Microsoft-Dokumenten knackt. Bis dahin war erst bekannt, dass es einen zweiten Schlüssel gibt, aber der Name NSAKEY ist Hinweis genug, dass die NSA dahintersteckt.
  3. Das neue Betriebssystem Windows XP, das Microsoft im Oktober 2001 auf den Markt gebracht hat, ist ein Versuch, weitgehende Kontrolle über den Computer zu erlangen, auf dem es installiert wird. Schon das Installationverfahren, in dem nie klar wird, aufgrund welcher Kriterien eine Neuinstallation möglich ist oder nicht, zeigt, dass Microsoft nicht gewillt ist, mit offenen Karten zu spielen.
Punkt 1. trifft selbstverständlich auf andere kommerzielle Hersteller wie Sun oder Oracle zu, aber Microsoft ist das auffälligste Bespiel, weil diese Vorfälle belegt sind. Auch bei Punkt 2. stehen alle Unternehmen unter Verdacht, die kommerzielle Verschlüsselungsprogramme anbieten.

Eine Lösung ist, Open Source-Programme zu verwenden. Hier wird nur der Programmtext (Quellcode) geliefert, aus dem das lauffähige Programm erzeugt wird, so dass sich Sachverständige jederzeit überzeugen können, dass keine Hintertüren eingebaut sind. Der Erwerb dieser Programme verursacht keine Kosten, da sie gratis der Allgemeinheit zur Verfügung stehen. Der Gewinn besteht aus erhöhter Transparenz und tieferen Anschaffungskosten. Die bekannteste Alternative heisst Linux, wo sämtliche Funktionen des Betriebssystems eingesehen und angepasst werden können.

Das heutige Verfahren der Stimmabgabe stützt sich rein auf Papier, weshalb sich diese Fragen gar nicht stellen.

4.3 Bedienung und Ermittlung der Ergebnisse

Installation, Bedienung und Wartung jeglicher oben erwähnter Computer und Programme wird eine Sache weniger Fachleute sein. Da der Staat nicht über genügend Informatikkompetenz verfügt, werden die Angestellten der beigezogenen Privatfirmen sicher Diskretionserklärungen unterschreiben. Da es nur sehr wenige Personen sind, die über die Zugriffsrechte verfügen, ist im Prinzip nicht kontrollierbar, was diese tun und lassen - Diskretionerklärungen hin oder her.

Das Ergebnis wird in kürzester Zeit per Knopfdruck ermittelt, nachdem mehrere Hauptverantwortliche ihre Passwörter eingegeben haben. Dies erspart etliche Stunden Wartezeit.

Hier unterscheidet sich die elektronische Stimmabgabe massiv vom heutigen Verfahren, das tausende Wahlbüromitglieder zur Ermittlung der Ergebnisse einsetzt. Da die Wahlbüros kommunal organisiert sind, haben Bund und Kantone wenig Einfluss. Dazu kommt, dass schon die Anwesenheit vieler Menschen beim Auszählen eine gegenseitige Kontrolle ermöglicht.

Dazu kommt, dass die Stimmberechtigten das Recht haben, bei der Auszählung anwesend zu sein. Obwohl zur Zeit fast niemand von diesem Recht Gebrauch macht, stellt es ein Kontrollinstrument dar, das jederzeit und ohne Vorbereitung zur Verfügung steht.

4.4 Sicherheit der Kommunikationskanäle

Ein Prinzip des Internets besteht darin, dass die Datenpakete ihr Ziel über eine Reihe von Zwischenstationen (Router) finden. Obwohl kein bestimmter Weg vorgeschrieben ist, bleibt die Anzahl möglicher Wege in der Praxis beschränkt, weil Aufbau und Unterhalt solcher Hochleistungsnetze (Backbones) viel Ressourcen benötigen.

Es kommt immer wieder vor, dass Server über kürzere oder längere Zeit nicht erreichbar sind, weil Zwischenstationen unzuverlässig oder gar nicht funktionieren. Dabei muss gar kein böser Wille im Spiel sein, manchmal versagt einfach die Technik. In dieser Zeit ist den Stimmwilligen der Zugang zur 'virtuellen Urne' verwehrt, und sie wissen nicht, ob der Weg vor Abgabeschluss wieder offen ist.

Auch interessieren sich Geheimdienste aller Art dafür, was übers Netz verschickt wird. Zum Beispiel gibt es in den USA 'Echelon', ein bis vor kurzem geheimes Projekt der NSA, das versucht, möglichst den gesamten Netzwerkverkehr weltweit abzuhören oder den 'Carnivore' des FBI, der etwa dasselbe tut. In der Schweiz gibt es 'Onyx', das sich angeblich mit dem Auslandsverkehr befasst.

Ob die bekannten Verschlüsselungen halten, was sie versprechen, ist unsicher (z. B. das oben erwähnte HTTPS). Als vernünftig gilt derzeit, dass übers Internet übermittelte Daten etwa so sicher und geheim wie eine Postkarte sind.

Im heutigen Verfahren sind die Post und der Gang zur Urne die Mittel der Kommunikation. Beim Gang zur Urne kann man Stimmausweis oder Stimmzettel verlieren, oder die Urne ist nicht besetzt, so dass niemand stimmen kann. Zudem kann die Urne beim Transport zum Auszähllokal verloren gehen oder dergleichen. Diese Ereignisse sind erstens wenig wahrscheinlich, und zweitens ist der Datenverlust gering, wenn eine Urne von mehreren tausend verschwindet.

Bei der brieflichen Stimmabgabe kann die Post eine Sendung verlieren, weil sie nicht eingeschrieben befördert wird, oder das Stimmcouvert kann in der Gemeindekanzlei verloren gehen. Falls in mehreren Zähllokalen gearbeitet wird, können Stimmcouverts im falschen Kreis ausgeliefert werden. Auch hier bleibt der Schaden lokal begrenzt.

4.5 Hacker

Hacker sind Personen, die von aussen in Informatiksysteme eindringen. Ihre Motive können ganz verschieden sein: Sie betrachten es z. B. als Sport, in andere Systeme einzudringen, ohne Schaden anzurichten. Andere wollen beweisen, dass vernetzte Computersysteme unsicher sind und wieder andere wollen ein Abstimmungsergebnis beeinflussen, das nicht in ihrem Sinn ist.

Am meisten helfen Hackern schlecht geschriebene und installierte Programme, von denen etliche von Microsoft stammen. Als Beispiel sei nur der erfolgreiche Angriff auf die Datenbank des World Economic Forum (WEF) im Januar 2001 erwähnt, der durch nicht korrigierte verantwortungslose Standardeinstellungen im Microsoft SQL Server 7.0 möglich wurde. Oder der e-Mail-Anbieter Hotmail, der auch Microsoft gehört, bei dem während einiger Wochen ein passwortfreier Zugriff auf Millionen e-Mail-Konten möglich war.

Dies sind einige bekanntgewordene Fälle, zu denen sicher eine hohe Dunkelziffer geheimgehaltener Fälle kommen. Informatikpannen werden gerne vertuscht, um den Ruf des Unternehmens nicht zu gefährden. Dies hat schon lange vor dem Internet begonnen.

Zudem stehen populäre Portale wie Yahoo, CNN oder VISA unter Dauerangriff, und eine 'virtuelle Urne' ist auch ein attraktives Ziel.

Wer verfolgt, in welch kurzen Zeitabständen Virenalarm für dieses oder jenes Programm gegeben wird, kann nur zum Schluss kommen, dass das Internet sehr leicht zu stören ist.

Wer die Schwachstellen eines Computer- oder Datenbanksystems auszunützen versteht, kann es manipulieren oder bei weniger Sachverstand einfach beschädigen, so dass abgegebene Stimmen nicht mehr ausgewertet oder nicht korrekt vermerkt werden. Je nach Art und Zielsetzung des Angriffs sollen die Folgen bemerkbar sein oder nicht.

Eine andere Methode sind DoS-Attacken (Denial of Service). Dabei wird der Server nicht direkt beschädigt, aber er wird mit Scheinanfragen so überhäuft, dass er wegen Überlastung abstürzt oder dass die Stimmabgabe bis zum Stillstand verlangsamt wird.

Vergleichbar im heutigen Verfahren wären Personen, die versuchen, die Stimmenden aktiv zu behindern oder abgegebene Stimmen zu entwenden. Dies könnte durch Blockaden der Stimmlokale geschehen oder dass Briefstimmen aus Briefkästen entwendet werden. Weiter müssten solche Personen Urnen stehlen, in Zähllokalen Stimmzettel zerstören oder fälschen oder das Wahlbüro zwingen, gefälschte Protokolle zu unterschreiben, ohne dass dies seinen Mitgliedern bewusst ist.

4.6 Maulwürfe

Maulwürfe schleichen sich in eine Organisation ein, um von innen heraus das Ergebnis zu manipulieren. Da im virtuellen Wahlbüro nur wenige Personen anwesend sind, die mit ihren Passwörtern die Berechtigung haben, System und Datenbank zu bedienen, ist hier die Hürde theoretisch niedrig. Da sich die Stimmakte materielos abspielen, ist es dann auch einfacher, Spuren zu verwischen.

Im heutigen Verfahren müssten tausende von Menschen zu Maulwürfen werden, um einen grossflächigen Betrug zu organisieren. Da Wahl und Organisation der Wahlbüros von den Gemeinden vorgenommen wird, hat der Bund in der heutigen Praxis kaum Einfluss auf die Abläufe. Zudem sehe ich es als unwahrscheinlich an, dass eine Geheimaktion mit so vielen Beteiligten lange geheim bliebe.

4.7 Beeinflussung vor der Stimmabgabe

Fast überall in der Schweiz erhalten die Stimmberechtigten die Stimmzettel nach Hause geschickt, wo sie sie ausgefüllen und dann in einen Briefkasten oder die Urne werfen. Eine Ausnahme ist der Kanton Tessin, wo die Stimmenden die Zettel für die kantonalen Vorlagen erst im Wahllokal erhalten, um sie vor galoppini zu schützen, die die Stimmberechtigten beeinflussen wollen. Ein Versuch, das Verfahren zu ändern, scheiterte 1995 in einer Referendumsabstimmung.

Da beim elektronischen Stimmen von jedem beliebigen Ort mit Internetanschluss aus gestimmt werden kann, ändert sich nichts.

4.8 Stimmvorgang und Stimmgeheimnis

Um sich gegenüber dem System ausweisen, müssen die Stimmberechtigten über eine Identifikation und ein Passwort verfügen. Im Genfer Vorversuch von 2001 besteht dieses Tupel aus einer numéro d'électeur und einem Einwegpasswort. Beides erhalten die Stimmberechtigten mit normaler Post zugeschickt, wobei das Passwort unter einem Rubbelfeld verborgen ist.

Die Stimmenden rubbeln das Passwort frei, wählen sich ins Internet ein und identifizieren sich mit dem Paar von Wählernummer und Passwort. Dieses Verfahren ist unumgänglich, damit niemand mehr als einmal stimmt. Sobald die Verbindung zwischen numéro d'électeur und Passwort besteht, ist es eine Sache des Vertrauens zu glauben, ob sie im Moment der Stimmabgabe wieder getrennt bzw. nicht mitgespeichert wird.

Dieses Verfahren hat nichts mit Bestellungen oder Banktransaktionen über Internet (eCommerce) zu tun, weil diese auf der Identifizierung der TeilnehmerInnen und der Verfolgbarkeit der Aktionen beruhen. Jedes Kreditkartengeschäft übers Netz muss solche Spuren hinterlassen, damit alle Beteiligten eine Transaktion belegen können. Gleiches gilt für Bankgeschäfte, wo jede Kontobewegung auf beiden Konten ihre Spuren hinterlässt. Bei der elektronischen Stimmabgabe ist genau das Gegenteil das Ziel: Die Aktion soll anonym bleiben, damit das Stimmgeheimnis gewahrt bleibt.

Genaugenommen beginnt das Problem schon bei der Erzeugung der Passwörter für die Stimmberechtigten. Sie findet mit derselben Datenbank (elektronisches Stimmregister) statt, die dann die Stimmabgaben verwaltet. Der Moment, in dem die Paare aus Wählernummer und Passwort im Klartext erzeugt und gedruckt werden, ist der gefährlichste, weil dann Unberechtigte, die sich Zugang zu diesen Zahlenpaaren verschaffen, sehr viel mehr als eine Stimme abgeben können. Zwar wird so ein Verhalten in der Praxis kaum lange verborgen bleiben, aber der psychologische Schaden wird enorm sein.

Mit Stimmzetteln ist das Stimmgeheimnis sicherer. Zuerst ist es fast unmöglich, Stimmzettel unbemerkt mit Informationen über die Stimmberechtigten zu versehen. Wer sie direkt in die Urne wirft, muss sich keine Sorgen machen. Etwas anders ist es bei der Briefwahl. Da Stimmausweis und Zettel zusammen eingeschickt werden, ist es für das Wahlbüro theoretisch einfach zu notieren, wer wie gestimmt hat. Aber in der Praxis ist das weder öffentlich und schon gar nicht geheim durchzuführen.

Stimmende an der Urne mit Stimmausweis werden kaum je auf ihre Identität geprüft, obwohl die Urnenaufsicht dies jederzeit tun könnte. Bei Briefstimmen muss der Stimmausweis unterschrieben sein, aber ohne Kontrollunterschrift im Stimmregister ist auch hier Missbrauch möglich.

An Landsgemeinden und Gemeindeversammlungen mit offenem Handmehr gibt es auch kein Stimmgeheimnis. Bundesverfassung und -gericht schützen diese Form der Stimmabgabe ausdrücklich. Auch hier ist ein konsequenter Bruch des Stimmgeheimnisses mit kaum durchführbarem Aufwand verbunden, weil vor allem an Landsgemeinden tausende Menschen auf engstem Raum zusammenstehen.

4.9 Ermittlung der Ergebnisse

Mehrere Verantwortliche geben nach Schliessung der 'virtuellen Urne' besondere Passwörter ein. Die Auszählung der Stimmen ist in wenigen Minuten abgeschlossen und die Ergebnisse stehen in kürzester Zeit fest. Die heutigen Wartezeiten bis in den Nachmittag entfallen.

Es ist nicht klar, welche Argumente Stimmberechtigte vorbingen sollen, die Unregelmässigkeiten vermuten. Auch ist nicht klar, auf welche Weise eine Nachzählung vor sich gehen soll. Die Stimmen existieren ja nicht mehr als Papier sondern nur noch aus Einträgen auf Festplatten, die sich mit den nötigen Zugriffsrechten massenhaft fälschen lassen.

Wenn die Datenbanken redundant sind, stellt sich die Frage, wie mit Inkonsistenzen umzugehen ist. Soll dann die Mehrheit der gleichlautenden Ergebnisse gelten, oder wird das Ergebnis als Ganzes kassiert? Die Behörden geraten in eine Beweisfalle, aus der es aus juristischer Sicht kaum einen Ausweg gibt.

Angenommen, in der UNO-Abstimmung vom März 2002 entschieden sich in Genf die traditionell Stimmenden zu 60% für ein Ja, die elektronisch Stimmenden zu 80% für ein Nein, wäre die geringe Wahrscheinlichkeit einer solchen Stimmenverteilung schon Grund für eine erfolgreiche Wahlbeschwerde? In diesem Falle würde allgemein eine Fälschung vermutet, und damit begänne die Suche nach Beweisen, die vor Gericht Bestand hätten.

Das BGPR mit Art. 84 und das Genfer LDP mit Art. 188 haben Experimentierartikel, die Abweichungen vom bisherigen Verfahren zur Ermittlung von Ergebnissen zulassen. Diese Artikel verstehe ich als 'Organisationsartikel', die die Grundsätze von Stimmgeheimnis und reellen Kontrollen bei der Auszählung nicht ausser Kraft setzen dürfen. Wie oben beschrieben gibt es keine Kontrolle, ob das Stimmgeheimnis eingehalten wird. Mit der Zentralisierung und Computerisierung der Stimmabgabe wird dieses Ziel verfehlt.

Die normalen Bestimmungen sehen Stimmzettel und Protokolle als Beweismittel vor. Bei der elektronischen Version gibt es vor allem keine Stimmzettel mehr. Diese sind zwar fälschbar, aber ohne flächendeckende Organisation wird der Schaden auch hier lokal begrenzt bleiben.

Über Form und Gültigkeit elektronischer Unterschriften - die einer bestimmten Person zuzuordnen sind - gibt es erst Gesetzesentwürfe. Ob anonymisierte Akte wie diese Form der elektronischen Stimmabgabe angesichts der Gesetzeslücken Gnade vor Gericht finden, ist mehr als zweifelhaft, wenn schon personifizierte Akte im rechtsfreien Raum schweben. (Eine andere Frage ist die elektronische Unterzeichnung von Initiativen und Referenden, die aber nicht hierher gehört.)

4.10 Betrugsbremse

Die elektronische Stimmabgabe beschleunigt und zentralisiert alle Vorgänge. Den Zeitgewinn begrüssen alle, aber die Zentralisierung auf wenige Personen hat gewichtige Folgen. Die Manipulationshürde wird verschoben: Datenbanken sind durch Passwörter und Verschlüsselung geschützt, aber mit den bekannten Sicherheitslöchern vor Augen ist es gut möglich, dass jemand diese Hürden übersteigt und dann das Ergebnis fälscht oder das System so beschädigt, dass auch die rechtsmässig abgegebenen Stimmen für ungültig erklärt werden müssen.

Flächendeckende Manipulationen erfordern einen hohen Personalaufwand. Es ist heute in der Schweiz nicht wahrscheinlich, dass eine solche Geheimaktion organisierbar wäre, weil bei 3'000 Gemeinden und ca. 3'500 Auszähllokalen mindestens 10'000 Personen von so einem Vorhaben Kenntnis haben und es geheim halten müssten. Das heutige Verfahren ist also eine wirksame Betrugsbremse.

Auch andere Formen von Manipulation wie dass gewisse Stimmberechtigte nicht mit Stimmaterial beliefert werden oder an der Stimmabgabe behindert werden, halte ich höchstens in einem kleinen Rahmen für durchführbar. Dasselbe gilt auch für die Idee, in den Gemeindekanzleien eingesandte Briefstimmen verschwinden zu lassen oder das Stimmgeheimnis zu verletzen, indem z. B. im Auszähllokal notiert wird, wer wie stimmt. Auch solche Aktionen sind fast unmöglich, ohne dass alle Mitglieder des Zähllokals einbezogen würden, von einer Geheimhaltung ganz zu schweigen.

Der Einbezug vieler Personen, die sonst am politischen Leben wenig teilnehmen, fördert die Kontrolle und stellt sicher, dass Manipulationen im grossen Rahmen kaum durchführbar sind. Weiter ist die Auszählung überall öffentlich, aber zur Zeit nimmt fast niemand dieses Recht in Anspruch, weil die Wahlbüros Vertrauen geniessen.

4.11 Vertrauen

Das Vertrauen in die Korrektheit der Abstimmungsverfahren ist in einer halbdirekten Demokratie mit mehreren Urnengängen pro Jahr zentral. Ist es einmal beschädigt, wird es sehr lange dauern, bis es wieder hergestellt ist. Wichtigste Faktoren sind dabei
  1. die Wahrung des Stimmgeheimnisses
  2. die Öffentlichkeit der Auszählung
  3. die Reproduzierbarkeit der Ergebnisse
Beim elektronischen Stimmen ist der erste Punkt durch eine Umprogrammierung der Datenbanken zu umgehen und wird durch den zweiten Punkt verschlimmert, da nur noch wenige SpezialistInnen Zugang zu den Datenbanken haben. Beim dritten Punkt ist man wieder von denselben Fachleuten abhängig, die die Infrastruktur betreiben.

Angesichts der vielen Schwachstellen ist ein grossangelegter Versuch ein gefundenes Fressen für Hacker, die zeigen möchten, wie einfach ein Netzwerk lahmzulegen ist oder wie leicht es sein kann, in Computer einzudringen. Wohl fallen solche Aktionen unter Art. 279 bis 283 StGB, aber im Netz ist es sehr wohl möglich, seine Identität zu vertuschen.

5 Opportunität und andere Aspekte

Neben diesen technischen Faktoren gibt es noch andere Punkte, die bei einer Einführung des elektronischen Stimmens in Betracht gezogen werden müssen.

5.1 Zugang zum Internet und digitaler Graben

Im Moment hat etwa die Hälfte der aktiven Bevölkerung Zugang zum Internet, aber diese Zahl nimmt nicht mehr im Masse der vergangenen Jahre zu. Der regelmässige Benutzer ist männlich, bis ca. 40 Jahre und überdurchschnittlich gut gebildet. Bald wird als funktioneller Analphabet gelten, wer nicht minimale Kenntnisse über Bedienung von Programmen, Internet etc. besitzt. In der Schweiz ist der Zugang zum Internet verglichen mit vielen anderen Ländern weit verbreitet.

Der Geschlechterunterschied wird mit der Zeit weiter abflachen. Die Altershürde wird sich erst mit den nächsten Jahrzehnten auf 'biologische' Art abbauen, indem die Generationen wegsterben, die nie mit dem Netz in Berührung gekommen sind.

Ein digitaler Graben tut sich bei 'bildungsfernen' Schichten auf, die in der Schule wenig Netzzugang haben und sich auch zuhause die Infrastruktur nicht leisten können. Da die soziale Herkunft der Eltern die Zukunft ihrer Kinder immer noch massiv vorspurt, sehe ich hier die grösste Gefahr, dass sich auch hier die Bildungsferne auf die Kinder vererbt.

Bildungsferne heisst hier nicht einfach 'nur Grundschulausbildung', sondern auch ein Klima in Elternhaus und Umgebung, in dem das Internet und ähnliche Neuerungen in dem Sinne kein Thema sind, dass Lust und Bedürfnis entstehen, sich damit zu befassen. Zu diesen Schichten gehören überdurchschnittlich viele AusländerInnen, aber da sie in den seltensten Fällen stimmen dürfen, wird dieser Aspekt die Diskussion kaum beherrschen.

Wohl wird die elektronische Stimmabgabe als zusätzliche Möglichkeit angeboten, aber damit werden in der Praxis genau diejenigen Schichten benachteiligt, die schon jetzt am politischen Leben weniger teilnehmen. Hier erweist sich, dass das Internet die Bildungsgräben eher vertieft als zuschüttet, d. h., unter den heutigen Umständen wäre die elektronische Stimmabgabe eine indirekte Diskriminierung. Erst wenn der Zugang zum Internet so verbreitet ist wie die Fähigkeiten im Lesen und Schreiben (PISA-Studie hin oder her), kann man von einem diskriminierungsfreien Zugang reden.

5.2 Erhöhung der Stimmbeteiligung

Als erster Kanton führte Baselland 1978 die erleichterte Briefwahl ein. Anfangs stieg die Beteiligung um wenige Prozente, um dann wieder auf das gewöhnliche Mass zurückzugehen. In Zürich ist dieses Verfahren seit 1994 mit denselben Folgen in Kraft.

Auch in Genf hängt die Beteiligung von der Brisanz der Vorlagen ab und nicht von der Möglichkeit der Briefwahl. In allen Briefwahlkantonen beträgt dieser Anteil 75% bis 90%, und es sind wahrscheinlich dieselben Leute, die statt wie früher zur Urne nach Erhalt der Stimmzettel zum Briefkasten gehen.

Es gibt keinen Grund, warum das bei der elektronischen Stimmabgabe anders sein sollte.

5.3 Bequemlichkeit

Die Stimmzettel werden nach Hause geschickt, wo man sie in Ruhe ausfüllen kann. Darauf bringt man sie zum Briefkasten, was sehr bequem ist, weil Briefkästen täglich 24 Stunden geöffnet sind.

Die Aussicht, zum Stimmen nicht mehr aufstehen zu müssen, wird Stimmfaule eher nicht überzeugen. Wer es heute in drei Wochen nicht zum Briefkasten schafft, wird es morgen auch per Tastatur nicht erledigen.

Auch die Bereitschaft, elektronisch zu stimmen, wie sie Befragte in Umfragen äussern, sagt wenig aus, wenn von denselben im Kanton Genf 73,9% angeben, regelmässig zu stimmen (Tabelle 5, S. 49). Die Tatsachen sprechen eine andere Sprache.

Wer eine allgemeine Wünschbarkeit des elektronischen Stimmens bejaht, sagt nichts über die eigene Teilnahme aus. Es heisst in meinen Augen nur, dass die Betreffenden im Prinzip nicht dagegen sind.

Die Veröffentlichung zusätzlicher Texte zur Abstimmungen und Wahlen oder die Einrichtung von Diskussionsforen sind brauchbare Ideen, haben aber mit der elektronischen Stimmabgabe nichts zu tun.

5.4 Würde der Abstimmung

Gelegentlich wird gegen die elektronische Stimmabgabe eingewandt, sie vermindere die 'Würde der Abstimmung', weil man von jedem beliebigen Ort aus stimmen kann, z. B. unterwegs mit einem internetfähigen Natel.

Diese Kritik trifft nicht zu, weil schon jetzt die Stimmberechtigten die Stimmzettel nach Hause geschickt bekommen und sie auch an jedem beliebigen Ort ausfüllen können. Mit der Briefwahl können sie sie dann abschicken als wäre es irgendein Brief. Ein Unterschied ist nicht ersichtlich.

5.5 Kosten

Es wird auch angeführt, elektronisches Stimmen führe zu Kosteneinsparungen, weil nicht mehr soviel Papier verschickt werden müsse. Aber Anschaffung, Bedienung und Wartung von Computern und Programmen sind recht teuer, vor allem wenn viele Sicherheitselemente mitspielen.

Dann ist das neue System als Ergänzung zum traditionellen Verfahren gedacht. Die Autoren geben zu, dass seit Einführung der Briefwahl kein Anreiz bestehe, das Abstimmungsverfahren z. B. aus Gründen der Bequemlichkeit zu wechseln. Wieviele NichtwählerInnen sich motivieren lassen, ist schlecht abzuschätzen. Die Erfahrungen mit der Briefwahl sprechen eher dafür, dass dieser Effekt bescheiden sein wird und schnell abflacht.

Das Gegenteil von Kosteneinsparungen wird der Fall sein, weil die zusätzliche Infrastruktur viel mehr kostet, als durch weniger Drucksachen eingespart werden kann.

6 Schlussfolgerungen

Die in den Kapiteln 4 und 5 genannten Gründe bilden ein Klumpenrisiko, das meiner Meinung nach gegen die Einführung der elektronischen Stimmabgabe spricht. Eine Zusammenfassung in Thesen:
  1. Die Stimmabgabe wird auf wenige Orte (Server) beschränkt. Das macht den Aufbau verletzlich.
  2. Die Funktionsweise kommerziell erhältlicher Datenbankprogramme kann nicht verifiziert werden, weil die Quellen nicht offenliegen.
  3. Datenbankprogramme werden nur von wenigen Fachleuten bedient, denen die Stimmenden vertrauen müssen.
  4. Das Netz ist nicht stabil und kann einfach gestört werden.
  5. Hacker können von aussen Daten manipulieren oder vernichten.
  6. Die Stimmabgabe ist im Prinzip nicht geheim.
  7. Stimmabgabe und Auszählung sind nicht unmittelbar kontrollierbar.
  8. Stimmabgabe und Auszählung finden unter Ausschluss der Öffentlichkeit statt.
  9. Papier und lokal organisierte Wahlbehörden sind effiziente Betrugsbremsen.
  10. Vertrauen kann schnell zerstört werden. Es wieder aufzubauen, dauert Jahre.
  11. Geld wird dabei nicht gespart.
  12. Die digitale Graben muss ähnlich wie bei der Lese- und Schreibkompetenz zuerst zugeschüttet werden.
Zum einen ist es also besser, drei bis fünf Jahre zuzuwarten, um die Sicherheitslage zu verfolgen (Thesen 2, 4, 5 und 11). Dies mag Euphorische stören, die schnell vorpreschen wollen, aber die Technik ist im Moment gegen sie. Drei bis fünf Jahre sind in der Informatik eine lange Zeit. These 12 ist eine Frage von mindestens 10 bis 15 Jahren.

Zum anderen legt die Natur von Internet und Computern gewisse Eigenschaften der elektronischen Stimmabgabe fest, die nicht änderbar sind (Thesen 1, 3, 6, 7, 8, 9 und 10). Diese Tatsachen sprechen dafür, die Übung abzubrechen.