Am Wochenende haben in der Schweiz mehrere nationale Abstimmungen stattgefunden. In verschiedenen Kantonen kam dabei im Rahmen des laufenden Versuchsbetriebs E-Voting zum Einsatz, darunter auch im Kanton Basel-Stadt.
Wie letzte Woche bekannt wurde, verdanken wir den Baslern nun den ersten E-Voting-Vorfall seit der Wiederaufnahme des Versuchsbetriebs vor 3 Jahren. Bereits zwei Tage vor dem Abstimmsonntag hat die Basler Staatskanzlei bekanntgegeben, dass die elektronisch abgegebenen Stimmen wahrscheinlich nicht gezählt werden können.
Ein technisches Problem im Kanton Basel-Stadt hat dazu geführt, dass die elektronisch abgegebenen Stimmen der Auslandschweizer Stimmberechtigten und angemeldeten Stimmberechtigten mit Behinderungen des Kantons für den Urnengang von diesem Wochenende wahrscheinlich nicht ausgezählt werden können.
Medienmitteilung vom 6.3.26
In der Mitteilung zum Schlussresultat wurde dieser Umstand nun bestätigt:
2048 Auslandschweizer Stimmberechtigte und Stimmberechtigte mit Behinderungen haben ihre Stimme elektronisch abgegeben. Aufgrund eines technischen Problems konnten diese Stimmen nicht gelesen werden und wurden nicht gezählt.
Medienmitteilung vom 8.3.26
Das wichtigste vorneweg: Die Abstimmungen sind sowohl schweiz-weit wie auch in Basel-Stadt so eindeutig ausgefallen, dass die verlorenen 2048 Stimmen keinen Einfluss auf das Ergebnis haben. Am knappsten war in Basel-Stadt die Abstimmung zum Klimafonds, und selbst da liegt zwischen Ja und Nein eine Differenz von 6658 Stimmen. Erspart bleibt uns so eine Wiederholung der Abstimmung in Basel-Stadt und/oder eine mehrwöchige Hängepartie bis zum Vorliegen der endgültigen nationalen Ergebnisse (was zum Beispiel der Fall gewesen wäre, wenn ein knappes basel-städtisches Ja/Nein die entscheidende Standesstimme für die Halbierungsinitiative gebildet hätte).
Was wissen wir über die Ursache?
Informationen über die Ursache sind bisher relativ dürftig, der Kanton selbst erwähnt nur Probleme mit USB-Sticks zur Entschlüsselung der elektronischen Urne. Der Vorfall weist auf den ersten Blick allerdings Ähnlichkeiten mit einem Fall auf, über den wir im DNIP Briefing #51 berichtet hatten:
Eine der weltweit führenden Forschungsvereinigungen im Security-Bereich hat die Ergebnisse ihrer jährlichen Führungswahl annulliert, nachdem jemand vom Wahlbüro einen Verschlüsselungsschlüssel verloren hatte, der zum Entsperren der Ergebnisse eines überprüfbaren und datenschutzfreundlichen Wahlsystems benötigt wurde.
Die International Association of Cryptologic Research (IACR) teilte am Freitag mit, dass die Stimmen mit Helios abgegeben und gezählt wurden, einem Open-Source-Wahlsystem, das erlaubt Stimmen überprüfbar, vertraulich und datenschutzfreundlich abzugeben und zu zählen. Helios verschlüsselt jede Stimme so, dass die Geheimhaltung jedes Stimmzettels gewährleistet ist. Andere von Helios verwendete Kryptographie ermöglicht es jedem Wähler, zu bestätigen, dass sein Stimmzettel fair gezählt wurde. Dabei agieren drei Vertreter des Wahlbüros als Vertrauenspersonen, welche jeweils einen Drittel des Schlüssels verwalten, mit welchem die Wahlresultate gesichert sind. Einer der drei Vertreter hatte den Zugriff auf seinen Schlüssel verloren. Daher konnten nach erfolgter Wahl die Wahlresultate nicht mehr gelesen und veröffentlicht werden.
Die Wahl wird nun im Dezember wiederholt. Zusätzlich wird das System so angepasst, dass zwei von drei Schlüsseln ausreichen, um die Wahlresultate auszulesen.
USB-Sticks kommen im ganzen E-Voting-System an diversen Stellen zum Einsatz, primär um einzelne Bestandteile untereinander wie auch gegenüber dem Internet abzusichern. Hierzu müssen wir auf die im Internet verfügbaren technischen Unterlagen des Kantons Thurgau zurückgreifen. Da im Thurgau wie auch in Basel-Stadt dasselbe Post-System zum Einsatz kommt, dürfte der folgende Überblick auch für Basel gelten.
Wie man erkennen kann, erfolgt der Datenaustausch zwischen praktisch allen beteiligten Systemen ausschliesslich über USB-Sticks. Das muss nicht zwingend heissen, dass es gar keine direkte Verbindung gibt, aber zumindest die für die Ver- und Entschlüsselung notwendigen Schlüssel werden jeweils per USB-Stick übertragen. Und zumindest eine dieser USB-Stick-gestützten Datenübertragungen führte in Basel zu Problemen. Swissinfo schreibt dazu
«Man verwendet drei USB-Sticks, auf allen ist der richtige Code, aber keiner funktioniert», erklärt der Basler Regierungssprecher Marco Greiner gegenüber Swissinfo. Es seien Personen am Werk gewesen, bei denen es schon unzählige Male funktioniert habe. «Aber jetzt funktioniert es nicht mehr. Es ist wirklich sehr seltsam», so Greiner.
Vereinfacht gesagt: Man hat die kritischen Daten (vermutlich Schlüssel/Passwörter) auf drei USB-Sticks gesichert und bei deren Verwendung erkannt, dass Daten nicht funktionieren (d.h. vermutlich das Passwort nicht zur Entschlüsselung taugt). Die beteiligten Personen waren mit dem Prozess/Ablauf vertraut, es handelt sich also eher nicht um ein Handling-Fehler.
Man kann jetzt darüber spekulieren, wie der Kanton erkennen kann, dass auf allen Sticks der richtige Code ist (da letzterer ja nicht funktioniert). Jedenfalls scheint man allerdings zumindest nicht den Fehler gemacht zu haben, systemkritische Daten auf nur einem USB-Stick zu speichern. Was genau schief gelaufen ist, um gleich alle drei Sticks unbrauchbar zu machen, muss die weitere Analyse zeigen. Fast noch spannender dürften dann die Massnahmen sein, mit welchen wie Post und Kantone das entsprechende Problem in Zukunft vermeiden wollen.
Was heisst das fürs E-Voting in der Schweiz?
Auch wenn es schlussendlich ohne Folge fürs Endergebnis blieb: Die politischen Rechte der Stimmbürgerinnen und Stimmbürger, deren Stimmen unlesbar auf dem E-Voting-System liegen, wurden in der Abstimmung am 8.3. verletzt. Bei einem System, welches unter anderem mit dem Anspruch lanciert wurde, eben auch die politischen Rechte von Auslandschweizerinnen und Bürgern mit Behinderungen zu sicher, ist das schlicht nicht akzeptabel. Dass die politische Reaktion dazu in den letzten 2-3 Tagen noch ausblieb, dürfte primär darin liegen, dass sich die Parteien auf den Abstimmungssonntag fokussierten. Forderungen nach einem Marschhalt oder direkt einem Übungsabbruch dürften in den nächsten Tagen von Seiten der E-Voting-Kritiker mit Sicherheit gestellt werden.
Über die Bücher gehen muss auch die Bundeskanzlei. Diese erstellt zwar mehrmals im Jahr eine Risikobeurteilung, diese hat sich allerdings seit unserem Bericht in 2023 nicht wesentlich geändert.
Auffällig ist, dass sich die Risiken primär auf Einflüsse von Aussen und auf Fehler/Schwächen in der Software beziehen. Risiken im Ablauf der Abstimmung und durch Fehlbedienung/Systemfehler sind zumindest auf der Übersicht gar nicht erst aufgeführt. Und das Risiko 15 (Systemausfall während Urnengang) bezieht sich primär auf die Fähigkeit des Systemanbieters (d.h. der Post), das System während einer Abstimmung verfügbar zu halten. Es ist zu hoffen, dass diese Risikomatrix aufgrund des Ausfalls in Basel-Stadt Änderungen erfahren wird, sowohl inhaltlich wie auch bezüglich der zugehörigen Massnahmen: Was bei diesen momentan völlig fehlt, ist die zeitliche Dimension: Ein Ausfall der E-Voting-Plattform vier Wochen vor dem Termin ist (zumindest für die in der Schweiz wohnhafte Stimmbevölkerung) unproblematisch (sprich hat tiefe Auswirkungen), ein Ausfall am Freitag abend ist nicht mehr korrigierbar und hat entsprechend hohe Auswirkungen.
Interessant allerdings, dass der Passwort-Verlust in der Risikobeurteilung der Kantone in 2023 als „signifikant“ eingestuft wurde. Aus der uns vorliegenden Risikobeurteilung:
Ohne Quorum (Admin-Board) ist es nicht mehr möglich, die Urne zu entschlüsseln. Die elektronischen Stimmen sind nicht auszählbar und können nicht berücksichtigt werden
Als Massnahme wurde damals die Ablage der Passwörter in einem Safe festgelegt, um auch bei vordergründigem Passwort-Verlust noch Zugriff auf die abgegebenen Stimmen zu haben. Es wäre mehr als ironisch, wenn die in 2023 auf Papier abgelegten Passwort-Backups unterdessen durch drei USB-Sticks ersetzt wurden. USB-Sticks, deren Ausfall jetzt unter Umständen zu genau dem Problem führten, welche sie eigentlich verhindern sollten …
Dass die Bundeskanzlei das Experiment E-Voting aufgrund der Vorfälle in Basel-Stadt einstellen wird, ist unrealistisch, zu viel politisches und finanzielles Kapital wurde in den letzten Jahren ins Thema gesteckt. Es ist aber zu hoffen, dass sich Bundeskanzlei und Kantone für einem Marschhalt entscheiden können. Einerseits um die Schwachstelle (und damit verwandte Probleme) nachhaltig zu beheben, andererseits um der Bevölkerung zu zeigen, dass das vorhandene Vertrauen ins E-Voting gerechtfertigt ist.
Denn auch wenn es diesmal glimpflich ausgegangen ist: Die nächste Panne kann schwerwiegender sein. Und allzu viele Experimente mit dem Vertrauen der BürgerInnen in Abstimmungsresultate erträgt auch die Schweizer Demokratie nicht ohne Schaden.
