Quellmaterial: * Blogpost Post Schweiz: https://www.evoting-blog.ch/de/pages/2019/die-demokratie-wird-einem-privaten-unternehmen-anvertraut-und-weitere-missverstaendnisse * Hintergrund, Republik-Artikel: https://www.republik.ch/2019/01/31/das-heikle-geschaeft-mit-der-demokratie * Kommentare Republik-Artikel (auch von Hernani & Julian): https://www.republik.ch/dialog?t=article&id=73414939-ca36-46d7-b662-1f9018837651 * Twitter-Profil CCC-CH mit laufender Kritik: https://twitter.com/ccc_ch Wiederlegungen nachfolgend - unten - einbauen; stichpunktartige Kritik reicht! Einleitung Post Die Post begrüsst die vertiefende Berichterstattung und die gesellschaftliche Debatte rund um E-Voting und möchte ihre Perspektive teilen, indem sie zu wiederkehrenden Missverständnissen Stellung nimmt. In der politischen Auseinandersetzung kommt der freien Meinungsäusserung ein hoher Stellenwert zu. Gleichzeitig sind immer auch Fakten gefragt, um eine sachliche Diskussion zu ermöglichen. Seitdem sich der Kanton Genf entschieden hat, sein E-Voting-Angebot aufzugeben, liegt der Fokus der kritischen Stimmen in Politik, traditionellen Medien und Social Media auf dem System der Post und ihrem spanischen Technologiepartner Scytl. Die Post ist sich ihrer Verantwortung, ein transparenter Anbieter zu sein von Anfang bewusst, und freut sich deshalb über das öffentliche Interesse an Ihrem E-Voting-System und die dadurch sich ergebende Möglichkeit, sich zum Thema E-Voting als glaubwürdiger und kompetenter Gesprächspartner zu äussern. Die Post ergreift die Initiative, um ein paar in den Debatten immer wieder gehörte Missverständnisse zu klären. Kritik: * Zeile 13: Transparenz gegenüber Stimmbürger lässt zu wünschen übrig. Es ist mir zudem ein Rätsel, warum die Post hier kommuniziert und nicht die Verantwortlichen Stellen der Kantone. Ich muss davon ausgehen, dass diese hier die Kontrolle verloren haben. Ist es der Auftrag der Post, Missverständnisse zu klären? Warum schweigen die Kantone? * Ich glaube, die Kantone wissen selber nicht, was sie da benutzen und können demensprechend auch nicht kompetent darauf auskunft geben. * Naja, verantwortlich für die Wahl von Scytl ist ja die Post als Systemanbieter. Dann ist es auch sinnvoll, wenn der Systemanbieter Stellung nimmt, und nicht 4 Kantone die dann eh nur auf die Post verweisen... * ... * ... Missverständnis 1: Mit dem E-Voting-System der Post wird die Demokratie einem privaten Unternehmen anvertraut Die Post ist zu 100 % im Besitz der Eidgenossenschaft. Die Kombination von demokratischer Kontrolle und wirtschaftlicher Eigenständigkeit ist ein Vorteil – gerade wenn es um die Entwicklung von digitalen Dienstleistungen von Behörden geht. Die bundesrechtlichen Anforderungen an E-Voting Systeme sind derart ausgestaltet, dass die ultimative Kontrolle letztlich beim Kanton liegt, der das System einsetzt. Transparenzmassnahmen sind auf allen Ebenen verankert. Das System der Post wahrt die Souveränität der Kantone. Sämtliche Prozessschritte (Urnenvorbereitung, Entschlüsselung, Auszählung etc.) werden durch den jeweiligen Kanton durchgeführt. Die Post transportiert nur die Stimmen, ohne eine Möglichkeit zu haben, sie zu lesen oder zu entschlüsseln. Für die kryptographischen Kernkomponenten arbeitet die Post mit Scytl zusammen, einem Spin-off der Universität Barcelona. Die Partnerschaft mit Scytl wurde nach einer sorgfältigen Marktanalyse geschlossen. Scytl lieferte vor der Zusammenarbeit mit der Schweizerischen Post bereits seit 2005 die technologischen Grundlagen für das E-Voting-System im Kanton Neuenburg. Scytl ist Weltmarktführer im Bereich des sicheren Online-Votings und verfügt über rund 20 Jahre Erfahrung in dem Gebiet. Kritik: * Zeile 23: Die Post ist eine spezialgesetzliche Aktiengesellschaft. Einen Vorteil zwischen demokratischer Kontrolle und wirtschaftlicher Eigentständigkeit kann ich nicht erkennen. * Gemäss https://www.admin.ch/opc/de/classified-compilation/19760323/index.html Artikel 10 Absatz 2: "Jeder Kanton führt die Abstimmung auf seinem Gebiet durch und erlässt die erforderlichen Anordnungen." Wäre wohl dank e-Voting Geschichte. Ich nehme an, die Server sind in dem Fall auf Kantonsgebiet. -> Geographische Redundanz ist damit nicht möglich? * Nein, ich glaube die Kantone wären nach wie vor zuständig für die Abstimmung und die Auszählung. Zumindest gemäss ihrer Kommunikation. Die Frage ist, ob das auch wirklich so ist, oder ob das nur ein Security-Theater ist bei dem die Post die effektive Hoheit hat... Ich hab's jedoch so verstanden, dass die Kantone die Keys selber managen und die Post keinen Zugriff darauf hat. * So wie ich das aus dem recht mageren Infrastruktur Dokument der Post entnehme sind die Server eben nicht auf Kantonsgebiet sondern in den beiden Datacentern der Post untergebracht. Es gibt aber eine logische Aufteilung der Systeme, wahrscheinlich VMs, pro Kanton * Lustiger Angriffsvektor: Könnte mit VMs ein Kanton den anderen hacken? :D * xD das wissen wir wohl erst, wenn die post etwas mehr publiziert * Zeile 24: Die Post hat keine Möglichkeit, die verschlüsselten Daten anzuschauen: Dies wäre nur dann der Fall, wenn die Keys von keinem Postmitarbeiter verwaltet werden. Ansonsten ist dies eine reine Behauptung. Der Systemeigner muss ja irgendwie sein System testen. Vermutlich macht er dies 1x unverschlüsselt und 1x mit eigenen Keys. Die Kantone schweigen zum Thema. Mindestens ein "Chef Schlüssel" hätte sich melden sollen zum Thema. * Antwort geht am Thema vorbei: Es ist doch völlig unerheblich, wem die Post gehört und wer die ultimative Kontrolle über die Durchführung hat. Entscheidend ist, dass die ganzen mit einer Abstimmung verbundenen Prozesse und Programme von einem privaten Unternehmen kommen, welches gewinnorientiert operiert und das Gemeinwohl erst an zweiter Stelle als Ziel hat. * Marktanalyse -> gibt es eine Möglichkeit herauszufinden, welche Unternehmen die Post neben Scytl noch angeschaut hat? * Die im Post *versuchte* Analogie ist wohl etwas in Richtung SBB, bei der die Lok ja auch nicht von der SBB selber produziert wird, und man sich trotzdem für die Fahrt von Zürich nach Lugano nicht einem privaten Unternehmen anvertrauen muss. Ist halt aufgrund der Risiken eines IT-Systems ein bisschen dünnes Eis (aber nicht ganz einfach zu erklären/kontern) * ... Missverständnis 2: In Australien wurde eine Verschlüsselung der E-Voting-Technologie gehackt, die die Post auch einsetzt Es stimmt, dass 2015 in Australien bei einem E-Voting-System eine Schwachstelle durch zwei Forscher aufgezeigt wurde. In diesem System, das im Teilstaat New South Wales im Einsatz war, war auch Technologie von Scytl im Einsatz. Die Schwachstelle hatte aber nichts mit der Kryptographie oder Verschlüsselung von Scytl zu tun, sondern mit einer anderen Komponente (Piwik Software; eine Open-Source-Webanalytik-Plattform). Das E-Voting-System der Post setzt diese Komponente nicht ein. Eine Beschreibung des Falls ist diesem Artikel zu entnehmen. Es handelte sich um eine Art nicht-skalierbares Man-in-the-middle-Szenario. Dieser Fall ist weltweit bekannt und wurde an der internationalen E-Voting-Konferenz E-Vote-ID 2015 von Vertretern aus New South Wales vorgestellt und das Problem sowie die Lösung erklärt. New South Wales setzte nach einer Ausschreibung 2018 erneut auf den Technologielieferanten Scytl (Link). Der Fall zeigt auf, dass sich beim E-Voting die Sicherheit nicht auf eine eingesetzte (Teil-)Technologie reduzieren lässt. Massgeblich ist das Gesamtsystem mit all seinen technologischen, organisatorischen, betrieblichen und menschlichen Faktoren. Kritik: * Relevanz? Das ist ja unsere Fundamentalkritik: Zusammenspiel der Komponenten und Integration. Da hielft auch Open-Code/Source nicht. * Sehr schön: Sie stützen quasi unsere Fundamentalkritik. Die Post gibt zu, dass das Gesamtsystem massgeblich ist und nicht nur einzelne Kernkomponenten. Die Verifizierbarkeit von E-Voting bezieht sich jedoch nur auf die Kernkomponenten, der Rest des Systems wird ausser Acht gelassen. Dazu gehört auch der unsichere Browser. Die Kernkomponenten können noch so sicher sein, sofern das Gesamtsystem nicht die selben Anforderungen erfüllt bringt das alles nichts. * Den Endanwender interessiert es doch nicht, ob die Schwachstelle jetzt im Kernsystem ist oder nicht. Wenn eine Schwachstelle da ist, dann ist sie auch da und schwächt das Gesamtsystem * Herrlich, mit dieser Argumentation sind sie ja schon seit einem Weilchen unterwegs. Aber hier natürlich voll der Widerspruch: Im ersten Abschnitt wird die Schuld auf eine Drittkomponente abgeschoben (faktisch sogar falsch, das Problem war die Verschlüsselung *zwischen* Browser und Piwik, nicht Piwik an sich), im letzten dann das Gesamtsystem als relevant bezeichnet. Ja eben?!? Missverständnis 3 Die Post ist intransparent und legt den Quellcode nicht offen Die bundesrechtlichen Vorgaben verlangen ein sehr hohes Mass an Transparenz. Dies wird durch bereits durch eine vollständige Quellcode-Analyse durch unabhängige Experten im Rahmen der Zertifizierung sichergestellt. Gegenüber Bund und Kantonen besteht bereits hohe Transparenz. Gegenüber der Öffentlichkeit sind ebenfalls zahlreiche Transparenzmassnahmen bereits umgesetzt und eine Reihe von weiteren sind vorgesehen: Unter www.post.ch/evoting hat die Post seit 2017 verschiedene Dokumentationen zum System publiziert (unter «Transparenz und Publikationen»). Die Post bereitet zurzeit die Offenlegung des Quellcodes sowie weiteren Transparenzdokumenten vor. Dies geschieht gemäss den Anforderungen des Bundes. Damit ermöglicht sie IT-Experten, das System auf Schwachstellen zu prüfen. Sie wird ebenfalls ihr System einem öffentlichen Intrusionstest unterziehen. Auch Scytl steht vollständig hinter dieser Transparenzstrategie. Eine Offenlegung bedeutet aber nicht, dass es sich um frei nutzbare Software handelt (Open Source). Auch nicht frei nutzbare Software kann offengelegt werden (Open Code). Kritik: * Open Code liegt bis DATO nicht vor. Ich würde erwarten, dass man das System selber aufsetzen und testen kann. Ansonsten kann nicht von Open Code gesprochen werden. * Implementation gehört doch auch zur Transparenz? Die KPMG Zertifizierung ist (auch im Hinblick zur Postauto Affäre) intrasparent. Unklar ist, was zertifiziert wurde, wann und von wem. Bei Postauto wird auch KPMG kritisiert * Ohne die Vollständige Veröffentlichung der Unterlagen über den Betrieb wird niemals eine relevante Prüfung stattfinden können. Zudem ist wie wir schon lange sagen, nicht sichergestellt, dass der veröffentlichte Code auch dem Produktionscode entspricht. * Lässt sich wohl erst einschätzen wenn der Source Code dann mal zugänglich ist, inklusive Build-Scripte etc. Die bisher publizierten Unterlagen geben jedenfalls nicht gerade sehr viel her, die sind für eine sinnvolle Analyse viel zu abstrakt gehalten. Und anyway, the proof of the pudding is the code. Missverständnis 4: E-Voting war in Norwegen ein Debakel Norwegen hatte 2011 und 2013 E-Voting getestet. Nach einem Regierungswechsel entschied Norwegen 2014, E-Voting nicht weiterzuführen. Der Grund lag aber nicht in der Qualität und Sicherheit der Kryptographie. Es wurde politisch argumentiert, dass es wichtig sei, dass Wähler an einem gesicherten Ort im Wahllokal abstimmen und nicht von zu Hause aus. In der Schweiz wurde ein Wechsel der Stimmabgabekultur mit der Einführung der Briefwahl bereits vor Jahrzehnten vollzogen. Im Grossen und Ganzen wurde in Norwegen für die E-Voting-Versuche ein positives Fazit gezogen. Dem norwegischen System lag ebenfalls eine Technologie von Scytl. Der Quellcode wurde offengelegt. Es ist korrekt, dass die Berner Fachhochschule den norwegischen Quellcode analysierte und eine Schwachstelle in der Kryptographie fand. Diese Schwachstelle wurde durch Scytl umgehend korrigiert. Scytl und Norwegen kommunizierten dies transparent. Das norwegische System ist nicht 1-1 auf die Schweiz übertragbar. Die Schwachstelle hatte mit der Eigenschaft des Systems zu tun, dass man als Wähler mehrmals seine Stimme abgeben kann und nur die letzte Abgabe zählt effektiv. Norwegen hatte sich für dieses Prinzip entschieden, um die Gefahr zu bekämpfen, dass Wähler in einem privaten Umfeld genötigt werden, eine bestimmte Partei zu wählen. In der Schweiz wurde entschieden, dass die erste Stimmabgabe die endgültige sein soll ohne Möglichkeit, sie zu überschreiben. Wie in Norwegen wird es für Experten möglich sein, den Quellcode zu analysieren und auf mögliche Schwachstellen hin zu prüfen. Die Post legt den Quellcode in Kürze offen. Kritik: * Gibt es dazu ein Paper? Würde mich mal genau interessieren, was das für eine Schwachstelle war * http://www.nik.no/2012/5-1-ostvold12PublicReviewOfE-votingSourceCode_LessonsLearntFromEvote2011.pdf * https://www.regjeringen.no/globalassets/upload/krd/prosjekter/e-valg/kildekode/evalg_rapport_kildekodegjennomgang.pdf * https://e-voting.bfh.ch/app/download/5045150261/oslo_spycher.pdf?t=1316890188 * Allenfalls könnte man mal thematisieren, dass auch die Systeme in NSW und Norwegen *vor* dem Einsatz bzw. der Prüfung als sicher galten und daher das Argument "kann in CH so nicht passieren da anderer Ansatz" nicht wirklich weiterhilft. Missverständnis 5: IT-Experten sind gegen E-Voting Es gibt weltweit eine grosse wissenschaftliche Szene, die seit 30 Jahren an Technologien und Kryptographie forscht, um Online-Wahlen gegen Manipulationen abzusichern. Auch in der Schweiz gibt es Institute an der ETH, EPFL und der Berner Fachhochschule, die sich intensiv mit dem Thema befassen. Jährlich findet eine internationale Konferenz für elektronisches Wählen und Abstimmen statt (www.e-vote-id.org). Für Abstimmungen und Wahlen gibt es zahlreiche elektronische Systeme mit unterschiedlichen Funktionen und Sicherheitslevel. So gibt es Wahlcomputer in Wahllokalen, Systeme zum Auswerten von einzelnen Stimmzetteln, zur Erfassung und Übermittlung von traditionellen Stimmzetteln und auch fortschrittliche Systeme für die vollständige digitalisierte Stimmabgabe über das Internet. (Relevanz) Der Oberbegriff E-Voting wird für alle solchen Systeme genutzt. Nicht überall, wo sich Expertinnen und Experten zu E-Voting äussern, sind Systeme gemeint, die mit dem in der Schweiz eingesetzten E-Voting vergleichbar sind. (So ein Quatsch (ich halte das für korrekt, der Begriff E-Voting (= Electronic Voting) wird auch für Wahlcomputer verwendet)) Häufig wird Kritik an Online Voting mit Hinblick auf die Situation in den USA geäussert. Die Schweizer Verhältnisse mit offiziellen Wahlregistern, etablierter Briefwahl und direkter Demokratie bieten eine andere Ausgangslage für die Sicherheit und das Potenzial von E-Voting. (Relevanz bzgl. Expertise?) Expertinnen und Experten sind in der Regel neugierig sowie offen für neue Erkenntnisse und überzeugende sachliche Argumente und ziehen sich nicht in Glaubenspositionen zurück. Kritik: * Generell fehlen Quellen um angebliche Missverständnisse zu belegen. * Der Abschnitt ist leer und ohne Inhalt, es fehlt der Bezug zum Missverständnis und macht Behauptungen die nicht belegt sind ("Nicht überall, wo sich Expertinnen und Experten zu E-Voting äussern, sind Systeme gemeint, die mit dem in der Schweiz eingesetzten E-Voting vergleichbar sind.") * Forscher/Experten sind von Natur aus neugierig -> inwiefern ist das relevant für die Aussage, dass Experten für E-Voting sind? Es geht wohl eher darum, Kritiker als "falsche Experten" zu klassifizieren. * Forscher/Experten sind von Natur aus neugierig -> wie sollen denn neugierige Experten das System prüfen können, wenn die Details nach wie vor nicht offengelegt worden sind? * Keine Namentliche Nennung der Experten. * Man kann auf einem Gebiet Forschen ohne den Kern zu unterstützten. Beispielsweise um ein Theorem zu Wiederlegen. * Man kann E-Voting auf Verwaltungsebene (z.B. Verwaltungsratssitzungen, Konsultativabstimmungen, etc) befürworten und auf Landesebene ablehnen, da die Risikoabwägung völlig unterschiedlich ausfällt. * Theoretische Ansätze für sichere Abstimmungen lassen sich oft nicht ohne Weiteres in die Praxis umsetzen. Häufig werden gewisse Grundannahmen getroffen (z.B. das Gerät der Wählerin ist sicher und nicht von Schadsoftware befallen) die den Praxisbedingungen nicht standhalten. * Wichtig: Forschung in diesem Bereich *nicht* als Bullshit abtun, sondern ernst nehmen! Es gibt da durchaus spannende Ansätze. Wir können auch explizit erwähnen, dass wir neue Ansätze begrüssen, sofern sie die Wiedereinführungs-Bedingungen des Moratoriums erfüllen. Was wir kritisieren sind die aktuellen Implementierungen. * Ditto, wir wollen ja ein Moratorium, kein Verbot. Also braucht es Forschung, um sicherzustellen, dass eVoting gleich sicher wird wie Urne. Gutes Argument *für* ein Moratorium * Ansonsten hat der Punkt ausser "es wird geforscht, Thema ist vielfältig, Fakten zäheln" wenig mit dem Titel zu tun. * Es geht ja genau nicht um Glaubensfragen. Aber bisher hat die Post nichts konkretes vorgelegt welches erlauben würde, ihre Aussagen zu verifizieren. Also muss man wohl oder übel glauben, was sie einem sagt; oder eben eine skeptische Distanz wahren. Missverständnis 6: E-Voting wird zentralistisch und undemokratisch eingeführt Das ist falsch. Im föderalen Schweizer System liegt die Hoheit über die Durchführung von Abstimmungen und Wahlen bei den Kantonen. Die Kantone entscheiden daher, ob sie E-Voting einführen möchten oder nicht. Diese Entscheidung wird in der Regel vom kantonalen Parlament getroffen und unterliegt dem fakultativen Referendum. Es gibt auch Kantone, die sich auf diesem demokratischen Weg entschieden haben, auf E-Voting zu verzichten. Der Bund gibt die Sicherheitsanforderungen an E-Voting-Systeme vor und bewilligt deren Einsatz. Dafür müssen die Kantone ein Gesuch einreichen, wenn sie E-Voting einsetzen möchten. Kritik: * Mit e-Voting verlieren die Kantone die Hoheit. Ich argumentiere das wie folgt: Ohne Systemeigner wird der Kanton nicht in der Lage sein, eine e-Voting-Abstimmung durchzuführen. * Die Post hat in diesem Punkt aber insofern recht, dass die Zustimmung zu E-Voting kantonal erfolgt, über normale demokratische Prozesse (Parlament + fakultatives Referendum). Ich würde selber diesen Kritikpunkt nie anbringen, da er eben falsch ist. * Punkt 6: Finde sehr wohl dass es undemokratisch eingeführt wird. Ja, die Kantone entscheiden ob Sie's einsetzen. aber die Gesetzesgrundlage im Bundesgesetz (Art 8.) beschreibt nur dass eVoting getestet werden darf. In der Bundesverordnung über die politischen Rechte wird bestimmt, wie der Test aussieht, und auch die 30, 50 und 100% Schritte beschrieben. Dies ist jedoch genau was es aussagt: Eine Verordnung, und damit zwar sehr wohl im politischen Prozess abgebildet, jedoch nie vom Volk gebilligt. Technisch gesehen ist der Prozess zwar Demokratisch, trotzdem jedoch nicht über ein Gesetz, sodern eine Verordnung geregelt. Verordnungen unterstehen nicht dem Referendum, können also nicht vom Volk bzw. dem Parlament gestoppt oder geändert werden, ausser wenn das zugrundeliegende Gesetz geändert wird. Wie man jedoch von "Der Bundesrat kann im Einvernehmen mit interessierten Kantonen und Gemeinden örtlich, zeitlich und sachlich begrenzte Versuche zur elektronischen Stimmabgabe zulassen." und "Er kann Kantone, die Versuche zur elektronischen Stimmabgabe über längere Zeit erfolgreich und pannenfrei durchgeführt haben, auf Gesuch hin ermächtigen, diese Versuche für eine von ihm festgelegte Dauer weiterzuführen. Er kann die Ermächtigung mit Auflagen oder Bedingungen versehen oder die elektronische Stimmabgabe in Abwägung der gesamten Umstände jederzeit örtlich, sachlich oder zeitlich ausschliessen." auf einen Test der 100% des elektorats für die Abstimmung zulösst kommt, erschliesst sich mir nicht, und kommt mir undemokratisch vor. * Und zudem ist ein "örtlich, zeitlich und sachlich" begrenzter Versuch von eVoting kaum eine 100%ige Abdeckung durch das System der Post für alle Kantone die das dann wollen... * Die Verordnung schafft jedoch nur die Möglichkeit zur Nutzung von E-Voting. Die effektive Nutzung muss über eine kantonale Gesetzesänderung erfolgen! * Eine Angelegenheit wie eVoting welche die ganze Schweiz betrifft, sollte auf einer Nationalen Ebene entschieden werden. D.h. mMn sollten Kantone eVoting nur einsetzen dürfen, wenn der Souverän entschieden hat, dass dies erlaubt werden soll. * Kritisieren kann man auch, dass über die Verordnung der Übergang in den flächendeckenden Betrieb gemacht wird, und dass das Parlament anschliessend über vollendete Tatsachen diskutieren kann... Müsste das nicht umgekehrt laufen? * ...