Neues Bundesgesetz über politische Rechte

Vernehmlassung über das neue Gesetz zu den politischen Rechten

02.03.2019 12:25

Genereller Kommentar zum Gesetz
I. Der Bundesrat regelt die Anforderungen an die Systeme für die elektronische Stimmabgabe und deren Betrieb. Im Prinzip nichts gegen den Satz einzuwenden, aber die Erfahrung bei Cyberdedrohungen zeigt, dass solche einmal definierten Anforderungen bei weitem nicht den realen Bedrohungen auf Dauer genügen. Zertifizierungen der bisherigen Art sind wertlos, da sie nicht den höchsten Ansprüchen entsprechen, die es für die elektronische Stimmabgabe benötigte. An die Heimgeräte der Benutzer und das Internet im allgemeinen z.B. werden gar keine Anforderungen gestellt, wohl weil eine Umsetzung davon juristisch und technisch schwierig wäre und die Kostenfolgen jemand zu tragen hätte. Die Sicherheit muss aber immer ganzheitlich konzipiert, realisiert, geprüft und permanent überwacht werden, denn das schwächste Glied bestimmt im Wesentlichen die Sicherheit. Den dafür notwendigen Aufwänden wird nirgendwo effektiv Rechnung getragen und es darf deshalb bezweifelt werden, dass sie geleistet werden würden. Der Bund, der als einziger dies könnte, hat sich schon vorsorglich aus diese Pflicht entlassen.(Erl. Pkt. 1.4)
Die Kantone kriegen (lediglich) die Auflage die erforderlichen Bestimmungen zu erlassen, damit die Sicherheit gewährleistet wird. Sie sind dazu nicht in der Lage, denn es wird Unmögliches verlangt. Interessant ist dies im Zusammenhang damit, dass die Zertifizierungen für die Auswertungs-Systeme, die der Bund ausgibt, allein eben offenbar doch nicht zu genügen scheinen, denn das nicht vernachlässigbare Restrisiko gegen den Missbrauch müssen die Kantone mit Vorschriften abdecken. Falls es solche gäbe, müsste die Einhaltung derselben aber rigoros überprüft werden, was enorme Aufwände für die Kantone bedeutete. Der Bund lässt hier Spielraum: Wenn sie das nicht tun oder wenn es keine oder zu wenige Kontrollen gibt, geht es auf Kosten der Sicherheit. Dann stellt sich die Frage, wer trägt die Verantwortung für zu spät oder gar nicht aufgedeckte Missbrauchsfälle. Die Geschädigte ist die Gesellschaft als Ganzes. Das Vertrauen, das sie den Institutionen entgegenbringt darf nicht aufs Spiel gesetzt werden.
II. Das Gesetz müsste unbedingt dem obligatorischen Referendum unterstellt werden, denn es betrifft eine derart einschneidende Änderung der politischen Rechte und Verantwortungen, dass es eigentlich verfassungsrelevant ist.


Vernehmlassungsantwort des IK "E-Voting Moratorium":
Das neue Gesetz mit dem neuen elektronischen Stimmkanal bietet offenbar Raum für eine E-Voting Lösung wie sie heute zur Verfügung steht. Es ist deshalb abzulehnen und zwar im Einzelnen aus folgenden Gründen:

(Kommentare erwünscht bzw. Mitunterzeichner gesucht aus Politik, Wirtschaft, Wissenschaft und Bildung)

Argumente

1. Die Gesetzesänderung stellt eine demokratiefeindliche Erneuerung dar.

1a. Eine elektronische Erstellung und Auszählung von Stimmen ohne die Möglichkeit einer Nachzählung der Gesamtheit aller willentlich abgegebenen JA- und NEIN-Stimmen durch den Stimmbürger stellt für diesen - und das ist neu - einen intransparenten und daher nicht vertrauenswürdigen Prozess dar und widerspricht so den Anforderungen der Demokratie aus den Menschenrechten.

1b. Individuelle Verifizierbarkeit im Sinne der heutigen Implementation als Sicherung gegen Manipulation ist nicht demokratietauglich, weil sie unrealistische, zu hohe Ansprüche an den Einzelnen stellt. Es kann von diesem nicht erwartet werden, dass er erkennt, ob sein Gerät manipuliert wird. Und selbst wenn, kann er es nicht beweisen und keinen zählbaren Beitrag an die öffentliche Aufklärung liefern.


2. Privatisierung von hoheitlichen Staatsaufgaben wie Volksabstimmungen und Wahlen sind nicht zulässig. Auch wenn Kantone formell zuständig bleiben, verlieren sie die für die Sicherheit nötige technische Kompetenz an den Hersteller.

2a. Die Sicherstellung der Demokratie wird hiermit an Private und gar an ausländische Einflussnehmer (Scytl) ausgelagert werden. Ein privater Anbieter E-Voting kann die Sicherheit alleine nicht gewährleisten und eine hoheitliche Kontrolle bedingte viel mehr technische Kompetenz und Aufwand bei Bund und Kantonen als heute Ressourcen vorhanden.









2b. Der einzige Anbieter einer solchen E-Voting Anlage (Schweizerische POST) bietet keine Gewähr für Vergleichbarkeit und Plausibilisierung von Resultaten.


3. Das Gesetz verhindert nicht, dass es an Sicherheitsvorkehrungen gegen eine Manipulation des Ergebnisses und gegen den Bruch des Abstimmungsgeheimnisses mangelt. Es sind für die Öffentlichkeit keine geeigneten konkreten Kriterien sichtbar.

3a. Personenabhängige individuelle Verifizierbarkeit ist kein genügendes Cyberabwehr Dispositiv. Die sog. „universelle Verifizierbarkeit“ der Schweizerischen POST erfüllt die Anforderungen dieses Begriffes nicht, sondern höchstens das ungenügende Regulativ der Bundeskanzlei mit dem Neu-Begriff "vollständige Verifizierbarkeit".

3b. Mit der ungesicherten Internet Infrastruktur des Stimmbürgers ist das Abstimmgeheimnis nicht zu wahren. Dieser kann nicht zuverlässig erkennen, ob er durch einen Schadcode Datenabfluss erleidet.

3c. Keine Planung für Sicherheitskosten in der Zukunft. Eine für E-Voting notwendige permanente Sicherung der sich dynamisch ändernden Internet-Infrastruktur zentral und lokal beim Benutzer würde möglicherweise unvorhersehbare und inakzeptable Ressourcen verschlingen. Sie ist hier aber weder gefordert noch vorgesehen.





















4. Die Bedarfsabklärungen sind mit falschen Vorzeichen versehen worden.

4a. Ungenügender Bedarfwichtige Versprechungen als Grundlage für die Bedarfsabklärung für E-Voting sind nicht erfüllbar und widerlegt. Diese Erkenntnisse werden in der öffentlichen Kommunikation unterdrückt. Der Öffentlichkeit werden auch die Risiken nicht aufgezeigt und es wird auf unqualifizierte Umfragen abgestützt.


5. Der Vertrauensverlust selbst ohne fremde Einflussnahme auf die Ermittlung des Volkswillens.
5a. Der Vertrauensverlust in den demokratischen Prozess ist unter den heute gegebenen Voraussetzungen ausgesprochen leicht möglich selbst ohne die unter Ziff. 3 beschriebenen effektiven Risiken. Es reicht dafür aus, dass z.B. mit einem Defacement auf der Webseite selbst oder sogar nur auf dem lokalen Gerät des Benutzers der demokratische Prozess der Lächerlichkeit preisgegeben wird.
5b. Es ist mittlerweile durch diverse Beispiele international bekannt, dass Grossmächte, speziell solche mit wenig demokratischer Kultur, immer wieder versuchen, westliche Demokratien zu diskreditieren. Mit dem heutigen E-Voting-Konzept wird es ihnen besonders leicht gemacht.

Erläuterungen




[1a] Spezifisch verhinderte JA bzw. NEIN Stimmen, bei welchen die Manipulation vom Einzelnen nicht erkannt wurde, können nachträglich auf keine Art und Weise nachgezählt werden. Interessant ist, dass bei klassischen Stimmkanälen bis auf jeden Handgriff gesetzlich vorgeschrieben ist, wer was wie zu machen hat, damit alles korrekt abläuft. Bei den elektronischen Mitteln wird die Korrektheit einfach stillschweigend angenommen. In einer unzulässigen, stillschweigenden Beweislastumkehr wird jetzt offenbar verlangt, dass Inkorrektheiten nachgewiesen werden müssen.



[1b]Wie reagiert der Benutzer auf einen Angriffsfall?








[2a]Mit der Auslagerung von elektronischen Systemen - insbesondere in dieser Komplexität - in die Industrie, geht die Hoheit über das Wissen und die Kompetenz für Betrieb und Weiterentwicklung aus der hoheitlichen Umgebung weg. Die Sicherheit ist aber angewiesen auf vollständiges Wissen über Konzeption, Funktionalität, Architektur mit all ihren Schwachstellen und Gegenmassnahmen. Die Sicherheit wird jetzt ausschliesslich den Experten der Industrie überlassen. Angesichts der Tatsache, dass selbst diese auf Experten im Ausland - nämlich die vom Hersteller - angewiesen sind, kann die Sicherheit auf gar keine Weise hoheitlich gewährleistet werden. Es reicht nämlich nicht aus, Quellcode zu veröffentlichen. (vgl. Erfahrungen von norwegischen Experten) Zudem ist dies noch gar nicht erfolgt und es gibt nach wie vor keine Gewähr dafür, dass es überhaupt vollständig erfolgt. Erschwerend hinzu kommt, dass selbst wenn der Quellcode vollständig veröffentlicht würde, einem Bürger weder erlaubt ist noch zugemutet werden kann, sicherzustellen, dass dieser Quellcode ohne jede Veränderung auf den realen Abstimmungssystemen als effektives Programm - d.h. unverändert seit der Kontrolle, -und das für alle Zukunft- im Einsatz ist. Namentlich kann eine Manipulation des effektiven Programmes durch einen internen oder externen Angreifer so erfolgen, dass nicht einmal den Administratoren dies auffällt. Damit können wichtige Sicherheitsfunktionen aufgehoben werden bzw. Datenabflüsse erfolgen. Keine demokratisch legitimierte Wahlkommission hat eine Chance, so etwas zu entdecken, auch wenn anwesend bei der Stimmauszählung.
Eine lückenlose Überwachung der Druckereien, die die Codes für die Stimmbürger herstellen, um sicherzustellen, dass solche Codes nicht wie Passwörter von renommierten IT Unternehmen in aller Welt durchs Internet gestohlen (swisscom, yahoo etc.) oder durch Korruption von Beteiligten missbraucht werden können, würde ein Vielfaches dessen kosten, was die Kantone als Aufwand dafür vorgesehen haben. Sie sind weder in der Lage noch willens, einen solchen als unverhältnismässig angesehenen Sicherungsaufwand zu leisten. Es kann daher vom Stimmbürger kein Vertrauen abverlangt werden, dass alle Stimmeingaben immer von authentischen Stimmbürgern stammen.
Die lange Versuchsphase kann lediglich als Argument dafür verwendet werden, dass die zuständigen kantonalen Stellen jetzt Erfahrung mit den administrativen Abläufen besitzen. Erfahrungen mit Cyberattacken und Sicherheitsproblemen haben sie keine. Es fehlt an der Sensorik und an praktischen Beispielen. Zu klein war bisher in der Versuchsphase der Anreiz für einen Gegner, einzugreifen.

[2b]Dies widerspricht der Forderung aus der gutgeheissenenen parl. Initiative 18.427. Dort heisst es: "Es müssen mindestens 2 E-Voting Systeme zur Verfügung stehen".











[3a]Fehlerhafte Interpretation des absoluten Begriffes „Verifizierbarkeit“ bei E-Voting CH aufgrund ungenügender Vorgaben für deren Umsetzung.





[3b]Ein Trojaner auf dem System des Benutzers kann ungehindert die noch unverschlüsselte Dateneingabe am E-Voting an irgendeinen Ort der Welt kopieren. Das ist ein alltäglicher Vorgang in der Cyberkriminalität. Der Benutzer hat keine Chance, dies zu verhindern. Der Fall des CCC mit dem CHVote vom 3.11.2018 hat gezeigt, dass es sogar ohne Trojaner geht. Mit irgendwelchen Vorschriften an die Stimmbürger ist da nichts zu machen. Man kann lediglich die Wahrscheinlichkeit etwas reduzieren mit ein paar Vorsichtsmassnahmen. Aber ist damit dem Art. 6.1.b Genüge getan?
[3c]Um Sicherheit im ganzen Prozess der Stimmabgabe und Resultatermittlung gewährleisten zu können, müsste man sämtliche Schwachstellen des Gesamtsystems unter Kontrolle haben. Davon sind wir mit der heutigen Lösung weit entfernt. Die Abbildung „Systemschwachstellen“ zeigt, wo überall durch eine geeignete Kombination von
- (a) Fehlverhalten von Mensch und Maschine,
- (b) Inkompetenz,
- (c) ungenügender Ressourcierung von Ausrüstung und Sicherheitspersonal sowie durch
- (d) Korruption,
mögliche Angreifer via Cyberkriminalität und Social Engineering hochskalierbar Einfluss in die Resultatermittlung nehmen könnten. Um solche Vorgänge lückenlos zu erkennen, müssten an allen diesen Schnittstellen automatisierte UND personelle Überwachungen eingesetzt werden, die sich gegenseitig kontrollieren müssten und dazu auch noch jeweils in der Lage sein, d.h. gleichartige Kompetenzen müssten mehrfach besetzt werden. Das ist heute in der IT ein nirgends praktizierter Ansatz, nicht einmal beim äusserst heiklen Nachrichtendienst, wie der vor einigen Jahren aufgetretene Fall gezeigt hat.
Ausserdem müssten Versuche, Stimmen (insbesondere von Nichtwählern) zu kaufen oder zu verkaufen, entdeckt und geahndet werden können. Das ist mit den heutigen Möglichkeiten nahezu ausgeschlossen. (S. Studie ETH)
Leider verheisst auch die künftige Entwicklung nicht automatisch Gutes. Weil die Möglichkeiten immer komplexer und vielfältiger werden, sind die Angreifer schneller als die Verteidiger, denn sie müssen jeweils nur mit einer Methode überlegen sein, während die Verteidiger immer eine grösser werdende Angriffsfläche verteidigen müssen. Zukunftsaussichten im Umfeld des Cyberwars.Der Kt GE hat diese These durch die Aufgabe von CHVote bereits bestätigt.

Die gegenüber realen Verhältnissen stark eingeschränkten Intrusion Tests vom 24.2.19 bis zum 25.3.19 nehmen nur gerade 2 der 10 Schwachstellenbereiche unter die Lupe und sind daher in keiner Weise geeignet, Prognosen über die künftige ganzheitliche betriebliche Sicherheit abzugeben.
• Die gefundenen Fehlimplementationen bei der Quellcodeprüfung zeigen auf, dass sowohl der Betreiber POST nicht in der Lage ist, solches zu entdecken als auch den Prüfstellen jegliche nötige Kompetenz dafür fehlt. Zudem darf dieser „Erfolg“ als Zufallstreffer gebucht werden, denn ohne das Engagement einer Einzelperson auf einem fremden Kontinent hätte man wohl den Quellcode als sicher eingestuft.
• Da jedermann weiss, dass sich Quellcodes immer wieder ändern, müsste man ja, um wenigstens diese Schwachstelle zu sichern, solche Reviews periodisch durchführen.
• Die Grundkonzeption dieses Intrusion Tests, basierend auf der Annahme, dass mächtige Institutionen der internationalen Cyberkriminalität uns bei der Entdeckung von Schwachstellen helfen würden, ist an Naivität nicht mehr zu überbieten. Die bescheidenen Hinweise auf Unregelmässigkeiten legen Zeugnis ab von der Mittelmässigkeit der „Angreifer“ und nicht von der Sicherheit des Systems






[4a]Bedarfserhebung mit falschen Versprechungen









[5a]Man stelle sich z.B. vor, dass während des Stimmabgabe-Vorgangs auf dem Bildschirm plötzlich das Bild des russischen oder amerikanischen Präsidenten erscheint mit einem passenden Spruch. Das würde blitzartig die Demokratie in eine Showveranstaltung diskreditieren, was u.U. auch von ausländischen Mächten erwünscht oder gesteuert sein kann. Aber selbst übermütige Jugendliche könnten auf eine solche Idee kommen und sie für lustig halten. Für einen solchen Eingriff braucht es relativ wenige Hacker Kompetenzen. Eine Sicherheitslücke auf Ebene des Webservers reicht. Solche Sicherheitslücken können überdies auf dem Schwarzmarkt eingekauft werden - mit Angriffscode dergestalt, dass ohne erhöhte Kenntnisse erfolgreich Angriffe ausgeführt werden können. Überdies können Sicherheitslücken in kriminellen oder staatlichen Kreisen vorliegen, die über Jahre auch in Schwarzmärkten unbekannt sind. Als paradigmatisch gilt der Fall Wannacry, wo eine dem amerikanischen Auslandsgeheimdienst NSA seit fünf Jahren (!) bekannte Sicherheitslücke mit dem Namen „Eternal-Blue“ im Zentrum war, die von der NSA durch mutmassliche Inside-Akteure wiederum im Internet geleakt wurde. Dieser Code wurde von unbekannten Angreifern als Herzstück des Wannacry-Virus verbaut und hat sich sodann über Wochen in zahlreichen Firmen (einschliesslich Spitälern) verbreitet und Infrastrukturen lahmgelegt. Geheim gehalten, können solche Sicherheitslücken mitsamt Angriffscode gezielt dafür werden, kritische Infrastrukturen und auch E-Voting-Systeme anzugreifen und entsprechend auch gezielte Defacements auszuführen, die rein darauf bedacht sind, das Vertrauen in das politische System zu zerstören.



Weitere Vernehmlassungen


Die SVP bezieht klar Stellung gegen den politischen Aktionismus des E-Voting ohne vertretbare technische Lösungen.

Die SP betont die Wichigkeit von E-Voting für Auslandschweizer, fordert aber wesentliche Verbesserungen in den Bereichen Datensicherheit, Rolle des Staates, und Zuverlässigkeit des Stimmergebnisses für eine dauerhafte Einführung.

Die FDP betont die Wichtigkeit eines E-Voting, sieht aber "Unklarheiten" bei der Sicherheit des einzigen zur Zeit verfügbaren Systems. Deshalb möchte sie den Testbetrieb bis auf weiteres weiterführen.

Die CVP bemängelt die Sicherheit des vorliegenden Systems und möchte aber E-Voting weiter fördern unter der Priorität des Sicherheitsaspektes.

Die GPS fordert ein sicheres, staatliches und nachvollziehbares E-Voting mit der Wahrung des Stimmgeheimnisses und sehen das zur Zeit nicht erfüllt. Sie plädieren für eine spezielle Übergangslösung bei den Auslandschweizern.

Die GLP bemängelt klar die Sicherheit und das Vertrauen, welche man dem gegenwärtigen E-Voting System nicht zuordnen kann. Sie sind aber für die bestehenden Lösungen für die Auslandschweizern zu haben.

Die BDP ist grundsätzlich für E-Voting, sieht aber das zur Verfügung stehende System nicht als reif an möchte somit die Einführung verschieben.


KDK: Auf 2 mageren Seiten werden die ewigen Leiern des angeblich nachgewiesenen Benutzerbedürfnisses, des Digitalisierungszwanges und der hohen Sicherheitsanforderungen wiederholt.

Der Kt. SO stimmt gegen eine Überführung in den ordentlichen Betrieb und möchte den Testbetrieb weiterfahren lassen bis zur Sicherung der Systeme.
Der Kt. GR begrüsst die Einführung von E-Voting.
Der Kt. ZG begrüsst das Gesetz für die kantonale Hoheit der Einführung von E-Voting.
Der Kt. GL hat vom Kantonsrat keine Legitimation für die Einführung bekommen.
Der Kt. SZ ist gegen die Einführung von E-Voting und bemängelt die Sicherheit.
Der Kt. UR kann keine Meldefristen für Kandidaturen einführen (abgelehnt vom Kantonsrat), deshalb ist E-Voting nicht machbar.
Der Kt. LU stimmt der Überführung in den ordentlichen Betrieb zu.
Der Kt. AI stimmt grundsätzlich der Stellungnahme der KdK zu.
Der Kt. FR begrüsst die Einführung von E-Voting.
Der Kt. VD hat vom Kantonsrat keine Legitimation für die Einführung bekommen.
Der Kt. GE begrüsst das Gesetz aber legt Wert auf die Feststellung, dass E-Voting eine hoheitliche und nationale Aufgabe ist.
Der Kt. TI begrüsst die Einführung von E-Voting.
Der Kt. OW begrüsst die kantonale Hoheit für die Einführung von E-Voting und das Prinzip Sicherheit vor Tempo.
Der Kt. ZH begrüsst das Gesetz, die kantonale Hoheit zur Einführung, betont die Verantwortung des nationalen Parlamentes bei der Behandlung der noch offenen Motionen und mahnt die Relevanz des Zertifizierungsprozederes an.





Der Gemeindeverband möchte, dass die Gemeinden auch mitreden können. Dort gibt es offenbar besonders viele Spezialisten für E-Voting.


Die Position der Bundeskanzlei gerät jetzt auch von der Wirtschaftsseite klar unter Beschuss. Zu klar sind die Mängel, die aufgetreten sind bei den jetzigen E-Voting Systemen. Man möchte wohl gern den Testbetrieb à discrétion weiterführen um die Hoffnung bei Volk und Parlament zu erhalten, dass es demnächst bald möglich wird, E-Voting sicher zu gestalten. Gute Ratschläge werden erteilt, die teilweise aber frei sind von Realitätsbezug, Machbarkeit und Kostenfragen. Ob eine solche Botschaft politisch zu verkaufen ist, nach all den Ansagen und Enttäuschungen im letzten und diesem Jahr, ist wohl mehr als fraglich. Economiesuisse mahnt explizit die staatspolitische Ausnahmesituation bei E-Voting an. Es scheint, dass es mit unserer Initiative nur eine alternative Aussicht auf den "Schrecken ohne Ende" gibt.

Für alle organisierten IT-Fachkreise fällt das Urteil ohnehin eindeutig aus: E-Voting = NO! Nutzen und Risiken stehen in keinem vernünftigen Verhältnis. Man ist sich z.T. uneinig über Zukunftsperspektiven. Aber man ist sich einig, dass dieses Projekt JETZT gar nichts bringt ausser Gefahren.

Übersicht der 4 politischen Positionen


Dies ist das Resultat am 27.6.2019:

Notbremse der Bundeskanzlei (Tagesanzeiger)