Manipulationssichere Abstimmungen? - Eine Analyse mit Lösungsansätzen

14.11.2021 / Oliver Wittwer / PDF

GesellschaftAnalysen

Das Vertrauen in das Wahl- und Abstimmungsverfahren in der Schweiz scheint in der breiten Bevölkerung ungebrochen hoch zu sein. Jedoch dürfte für die wachen Bürger in der Schweiz spätestens seit den Massnahmenverschärfungen des Bundesrates klar geworden sein, dass dieses Vertrauen keine soliden Grundlagen mehr haben dürfte. Immer mehr Menschen bemerken, dass der Bundesrat entweder wie gedruckt lügt oder nicht die Kompetenzen besitzt, einfachste Fakten zu bewerten und sich an die eigene Verfassung zu halten, denen er ja besonders verpflichtet sein sollte. 

Vor diesem Hintergrund und dem Hintergrund der kommenden Abstimmung zum Covid-19-Gesetz scheint es für mich an der Zeit zu sein, unser Abstimmungsverfahren in der Schweiz zu beleuchten und potenzielle Lücken zu identifizieren und aufzuzeigen. Sowie mögliche Verbesserungsmassnahmen aufzuzeigen, die es manipulationssicherer machen würden. 

Als promovierter Physiker mit einem Mathematik-Grundstudium, wissenschaftlicher Tätigkeit im Rahmen meiner Doktorarbeit, IT-Consultant mit Schwerpunkt Business Analyse und Testing, sowie als Gründer eines Startups, in dem ich die Technik aufgebaut und die Software geschrieben habe, verstehe bin ich mit den Aspekten vertraut, welche bei einer Abstimmung oder Wahl relevant sind, um eine Manipulation zu unterbinden. Auch bin ich mir den Techniken der verschlüsselten Datenübertragung, der Signierung von elektronischen Dokumenten sowie verschiedenen Authentifizierungsmethoden vertraut und habe einige davon bereits selber implementiert.

Ich möchte mich in diesem Artikel auf Abstimmungen in der Schweiz beschränken. Die meisten Überlegungen dürften sich jedoch auch auf Wahlen anwenden lassen. Dass Wahlen manipuliert werden dürfte jedem wachen und informierten Menschen spätestens seit den letzten Präsidentschaftswahlen in den USA klar sein. Die Indizien und Beweise sind überwältigend. Das Wahlsystem in den USA, wo man mit einem Touchscreen seine Stimme in einen Computer eingibt, wo sogar Verstorbene gewählt haben und Wahlzettel vielfach gezählt wurden, ist so löchrig wie ein Schweizer Käse. Anders als eine Farce kann man es kaum bezeichnen. 

Das Abstimmungs- und Wahlsystem in der Schweiz ist da schon bedeutend zuverlässiger. Zumindest in einigen Aspekten. Ich habe jedoch einige potenzielle Lücken entdeckt, die grundsätzlich punktuelle oder auch flächendeckende Manipulation ermöglichen. Da ich noch nie an einer Abstimmung vor Ort war, kenne ich mich über die Details der gängigen Praxis nicht aus. Daher kann es sein, dass einige Lücken durch die gängige Praxis gar nicht existieren. Daher habe ich die Aspekte, besonders diejenigen bei denen mir das Wissen über die Praxis fehlt, in Wenn-Dann-Form formuliert. Die Relevanz der Aspekte wird so trotzdem aufgezeigt. 

Zuerst möchte ich die Grundprinzipien bei Abstimmungen in der Schweiz kurz umreissen und dazu Kommentare zur Zuverlässigkeit oder Sicherheit abgeben:

  • Jeder stimmberechtigter Bürger in der Schweiz erhält die Abstimmungsunterlagen per Post zugesandt. Dass nur stimmberechtigte Menschen diese Unterlagen bekommen, dafür sorgen die zuverlässig geführten Einwohnerregister, die in jeder Gemeinde selber verwaltet werden. 
  • Die Stimmen werden von jedem stimmberechtigten Bürger einzeln pro Vorlage auf einen anonymen Zettel geschrieben und zusammen in ein anonymes Couvert gesteckt. 
  • Es wird so zumindest theoretisch dafür gesorgt, dass die Stimmen nicht der jeweiligen Person zugeordnet werden können. Die Anonymität der Abstimmung ist also theoretisch und vermutlich auch in der Praxis gewährleistet.
  • Um die Gültigkeit der Stimmen zu verifizieren, muss das anonyme Stimmen-Couvert zusammen mit dem unterschriebenen personenbezogenen Stimmrechtsausweis abgegeben oder per Post versendet werden. 
  • Das anonyme Couvert kommt dann in die Wahlurne. Spätestens ab diesem Zeitpunkt sind die Stimmen nicht mehr den einzelnen Bürger zuzuordnen. 
  • In jeder Gemeinde werden die Stimmen am Tag der Abstimmung von einem Team von Wahlhelfern vor Ort in der Gemeinde gezählt und das Ergebnis am selben Tag gemeldet und veröffentlicht. 
  • Zudem wird jeder Stimmrechtsausweis auf seine Gültigkeit geprüft, damit nur gültige Stimmen in der Urne landen. 

Jetzt möchte ich die potenziellen Lücken beleuchten, welche eine Manipulation ermöglichen und Bemerkungen zum Schwierigkeitsgrad dazu geben. Ob diese potenziellen Lücken aufgrund der gängigen Praxis überhaupt zum Tragen kommen, kann ich wie bereits erwähnt, aufgrund meines lückenhaften Wissensstandes vor Ort nicht abschliessend beurteilen:  

  • Ob das Auszählen der Stimmzettel von Bürgern beobachtet werden darf, ist mir nicht bekannt. Dieser Umstand entscheidet jedoch darüber, ob es möglich ist, unliebsame Stimmzettel während der Auszählung verschwinden zu lassen, durch andere gefälschte zu ersetzen oder weitere hinzuzufügen. Auch wenn die danach gezählten Stimmzettel aufbewahrt werden und grundsätzlich nachgezählt werden können, kann die Frage, ob vor oder während der Auszählung Stimmen entfernt, getauscht oder hinzugefügt wurden, später nicht mehr überprüft werden. 
  • Wenn die Stimmrechtsausweise aufbewahrt werden, kann jeder Bürger theoretisch nachträglich überprüfen, ob seine Stimme (per Post) angekommen ist. Jedoch nicht, ob seine Stimmen überhaupt, respektive korrekt gezählt wurden. Bei einer Aufbewahrungspflicht für sowohl Stimmrechtsausweise als auch Stimmzettel könnte man nachträglich die Anzahl Ausweise mit Stimmzetteln vergleichen. Da man sich aber einer Wahl enthalten kann, sollte die Anzahl Stimmzettel kleiner oder gleich der Anzahl Stimmrechtsausweise betragen. Eine solche Überprüfung würde nicht so viel hergeben. 
  • Wichtig bei der Aufbewahrung ist, dass nichts nachträglich verändert werden kann. 
  • Bei der Stimmabgabe per Post entstehen weitere potenzielle Manipulationslücken. Einerseits könnten Stimmen gezielt vernichtet werden, bevor sie bei der jeweiligen Gemeinde ankommen. Da ich davon ausgehe, dass die Couverts nicht von Postbeamten geöffnet werden, ist es schwieriger, an den Inhalt der Stimmen zu kommen, jedoch möglicherweise nicht unmöglich. Ich behandle diesen Aspekt, weil ich kürzlich eine Nachricht von jemandem gelesen habe, der behauptete, Postbeamte wären angewiesen, Stimmzettel zu vernichten, und man könne durch den Umschlag trotz Muster erkennen, ob jemand mit Ja oder Nein gestimmt habe. Ich habe das auf die Schnelle überprüft und meine Stimmen durch das Couvert nicht sehen können. Daher halte ich eine solche Art der Manipulation aktuell für eher unwahrscheinlich. 

Nach diesen Überlegungen müsste ein zuverlässiges und fälschungssicheres Wahlverfahren folgende Bedingungen und Massnahmen erfüllen resp. befolgen: 

  • Während dem Abstimmungstag muss es möglich sein, dass jeder Bürger grundsätzlich dem gesamten Prozess beiwohnen und den Wahlhelfern über die Schultern schauen kann. Es muss eine Situation wie bei einer Schulprüfung geschaffen werden, wo jedes Schummeln von den Beobachtern theoretisch bemerkt werden kann. Zudem sollte es erlaubt sein, Filmaufnahmen zu machen. Durch eine solche Möglichkeit der Einsicht wäre sichergestellt, das die Interessen aller Wähler vertreten sind und diese einen kontrollierenden Einfluss üben können. 
  • Folgende Schritte im Prozess müssten zwingend lückenlos beobachtet werden können: Öffnen der brieflich eingereichten Abstimmungszettel. Das Einwerfen der brieflich eingereichten Abstimmungscouverts in die Urne. Öffnen der Urne. Auszählen der Stimmzettel. Das Verfolgen der Auszählung mittels einer digitalen Anzeigetafel oder Monitor, wo man in Echtzeit sehen kann, wie sich die Stimmen hochzählen. Idealerweise mit einem zeitlichen Verlauf mit numerischer Anzeige der vergangenen Werte. 
  • Nach Abschluss der Auszählung müssen die Wahlhelfer das Resultat schriftlich und signiert den Wahlbeobachtern aushändigen und online an den Bund leiten. Zudem müssten die Namen der Wahlhelfer nachträglich genannt werden, wenn andere Bürger diese wissen wollen. 
  • Der Bund müsste die kompletten Resultate pro Gemeinde auf einer Webseite in einer Tabelle oder Excel-Liste veröffentlichen. So kann jeder die Resultate mit Excel zusammenzählen und sich von der Korrektheit der Abstimmung überzeugen. 
  • Sollte es doch mit moderatem Aufwand möglich sein, den Inhalt auf den Stimmzetteln durch das Fenstercouvert und das ungeöffnete Abstimmungscouvert hindurch zu identifizieren und den Vorlagen zuzuordnen, dann müsste man folgende Massnahmen zusätzlich umsetzen: Für jeden Stimmzettel wird ein Dummy-Duplikat geschickt, welches der Stimmbürger mit der gegenteiligen Stimme ausfüllt und gemeinsam mit den echten Stimmzetteln in das Couvert legt. Das Couvert müsste so klein sein, dass alle Stimmzettel, sowohl Dummy-Duplikate als auch gültige Stimmzettel, exakt übereinander liegen. So wäre es praktisch unmöglich, die Stimmen den Zetteln zuzuordnen, und auch kaum möglich, Wahlcouverts mit ausschliesslich Ja- oder Nein-Stimmen zu identifizieren. 

Dieser Ansatz wäre meines Erachtens ziemlich vollständig und würde potenziellen Lücken relativ zuverlässig schliessen. Er ist recht einfach umzusetzen und einiges davon wird meines Wissens in der Praxis bereits so umgesetzt.

Ich habe zusätzlich auch die Möglichkeiten und technischen Herausforderungen analysiert, welche sich mit einer digitalen Abstimmung und/oder mit einer digitalen Überprüfung einer Abstimmung ergeben würden. Ich bin zum Schluss gekommen, dass fast alle mir bekannten möglichen zuverlässigen Lösungen entweder extrem aufwändig und kostenintensiv wären, oder beim Bürger mit zu viel Aufwand verbunden wäre. Es wäre theoretisch möglich, ein sicheres Abstimmungsverfahren digital umzusetzen. Jedoch scheitert es in der Praxis entweder an der zu potenziell nicht mehr sicher gewährleisteten Anonymität (diese Variante wäre die einfachste und wird unten exemplarisch erläutert), oder bei Wahrung der Anonymität am Umstand, dass eine lückenlose Überprüfung nur dann erfolgen könnte, wenn sehr viele Bürger die Ergebnisse überprüfen würden, sowie alle Bürger einen digitalen Public-Key erzeugen und einreichen würden. Das ist leider kaum umsetzbar. Kurz zusammengefasst würden für eine zuverlässige, manipulationssichere und nachvollziehbare Abstimmung auf elektronischem Weg (oder analog mit elektronischer Überprüfungsmöglichkeit) folgende Aspekte notwendig sein. Ich verzichte auf die detaillierte Erläuterung der genannten Verschlüsselungsverfahren: 

  • Auf jeden Stimmzettel könnte man einen individuellen dem Stimmbürger und der Vorlage zugeordneten sowie mit einem dem Stimmbürger zugewiesenen Public-Key verchlüsselten Code  aufdrucken.
  • Als Zuweisung zum Stimmbürger würde sich die AHV-Nummer eignen. Für die Zuweisung zur Vorlage würde sich eine eindeutige Identifikationsummer eignen. Eine Pivate-/Public-Key-Kombination könnte man für jeden Stimmbürger per Zufall erzeugen und diese im System speichern.
  • Der Stimmbürger müsste seinen Private-Key mit den Stimmunterlagen zugeschickt bekommen. 
  • Beim Zählen der Stimmen müsste jeder Stimmzettel zusammen mit der Antwort gescannt und sowohl die Antwort als auch der verschlüsselte Code in einer Datenbank gemeinsam gespeichert werden. 
  • Sämtliche Stimmergebnisse müssten pro Vorlage auf einer Webseite veröffentlich werden, wobei jeweils der verschlüsselte Code und die Stimme in Paaren ersichtlich sind. 
  • Mit dem jedem Stimmbürger zugesenden Private-Key kann dieser nachträglich seinen Code entschlüsseln und würde seine entschlüsselte Stimme erhalten. Diese könnte er dann mit seiner Stimme auf der veröffentlichten Liste vergleichen. 
  • Auf dies Weise könnte jeder Stimmbürger sein Resultat selber überprüfen. Wenn dies jeweils genügend Bürger machen würden und es zu keiner Unstimmigkeit kommt, könnte man mit guter Sicherheit davon ausgehen, dass die Wahl korrekt und vollständig abgelaufen ist.