Ist die digitale Urne dicht?

25. September 2020, Mattias Greuter
Wahltag ist Zähltag: Analoge Wahlen sind nicht automatisch sicher.
Wahltag ist Zähltag: Analoge Wahlen sind nicht automatisch sicher.

Die ­Software, die am Wahlsonntag das ­Resultat errechnet, hat Sicher­heitslücken und wird von freiwilligen Schülern bedient.

In drei Tagen wird der Kantonsrat gewählt. Dabei kommt eine Software mit gravierenden Sicherheitsmängeln zum Einsatz. Ist das Schaffhauser Wahlresultat ausreichend gegen eine Cyberattacke geschützt?

In der aktuellen Debatte über die Sicherheit von E-Voting wird gerne darauf verwiesen, «analoge» Wahlen mit Wahlzettel, Stimmcouvert und Kugelschreiber seien sicher. Dies sei «ein Mythos», schreibt die Republik: Ihre monatelangen Recherche zeigt Mängel in der Software zur Ermittlung der Wahlresultate auf. Eine Mehrheit der Kantone arbeitet mit veralteten und unsicheren Systemen. Als Reaktion auf diese Recherche fordert die Bundeskanzlei die Kantone auf, ihre Systeme zu prüfen und Schwachstellen zu beheben.

Ungenügend vor Angriffen geschützt ist auch die Software Sesam, die bei Nationalrats- und Kantonsratswahlen im Kanton Schaffhausen zum Einsatz kommt. Es geht dabei um die Ermittlung des Wahlresultats: Ein Programm erledigt die komplexe Berechnung der Sitzansprüche der Parteien.

Völlig unsicheres Standardpasswort

Die Republik liess Sesam durch unabhängige Experten prüfen, welche eine empfindliche Schwachstelle fanden. Darüber hinaus liefert die Firma Sesam ihre Software mit einem Standardpasswort, das in der Installationsanleitung öffentlich verfügbar ist. Es lautet: «Wahlen».

Der stellvertretende Staatsschreiber Christian Ritzmann kann die grösste Sorge entkräften: Das Passwort «Wahlen» sei schon vor dem ersten Einsatz von Sesam geändert worden; das sei bei Softwarekäufen Vorschrift.

Im Gegensatz zu anderen Kantonen, so Ritzmann, würden im Kanton Schaffhausen keine Resultate über das Internet übermittelt, sondern in ein internes Netz ohne Internetverbindung eingespeist. Damit sind Angriffe praktisch ausgeschlossen. Mit anderen Worten: Der Kanton Schaffhausen arbeitet zwar mit veralteter und unsicherer Software, hat aber die notwendigen Kontrollmechanismen eingesetzt, um die Wahlen vor Manipulationsversuchen zu schützen. Zugriff auf das System haben lediglich die Staatskanzlei, die KSD sowie Wahlhelferinnen und Wahlhelfer.

Ohne demokratische Legitimation

Dieser letzte Punkt offenbart jedoch ein weiteres Kuriosum.

Am Wahlsonntag werden in den Wahlbüros der Gemeinden die Wahlzettel gezählt, bereinigt und kontrolliert. Danach werden sie dem Kanton zugestellt, wo die erwähnten Wahlhelferinnen und Wahlhelfer die einzelnen Stimmen von panaschierten Listen manuell ins System eintragen.

Diese Personen sind jedoch keine demokratisch gewählten Mitglieder des Wahlbüros, sondern Freiwillige, die von der Stadt Schaffhausen rekrutiert und geschult werden.

Der AZ liegt ein Brief vor, mit dem Schülerinnen und Schüler zur Unterstützung gesucht werden. Interessierte müssen volljährig sein und «gewohnt, regelmässig am PC zu arbeiten» – weitere Vorgaben gibt es nicht. Der Lohn beträgt 30 Franken pro Stunde.

Für Claudio Kuster, Stiftungsrat der Stiftung für direkte Demokratie, ist es «stossend», dass hier nicht die gewählten Mitglieder der Wahlbüros im Einsatz stehen: «Es geht um eine diffizile und verantwortungsvolle Arbeit: Diese Personen ordnen die einzelnen Stimmen den Kandidierenden zu.»

Kuster erinnert daran, dass eine einzelne falsch eingetragene Stimme das Resultat verändern könne: Vor vier Jahren musste ein Neuhauser Kantonsratssitz wegen Stimmengleichstands per Münzwurf vergeben werden.

Ausserdem sind diese Helferinnen und Helfer im Gegensatz zu den gewählten Wahlbüros nicht nach Parteienproporz zusammengesetzt, und der Bevölkerung ist ihre Identität nicht bekannt. «Das ist intransparent», moniert Kuster, und: «Dafür gibt es keine Rechtsgrundlage.»

Christian Ritzmann widerspricht. Er verweist auf das Wahlgesetz, wonach die reine Erfassung der Resultate im Wahlermittlungssystem nicht durch das gewählte Wahlbüro durchgeführt werden müsse. «Es handelt sich nicht um eine Stimmenzähleraufgabe, denn die Kontrolle und Bereinigung der Listen, also beispielsweise der Entscheid, ob eine Stimme gültig ist, wird von den Wahlbüros in den Gemeinden abgeschlossen, bevor der Kanton die Listen zur Erfassung erhält.»

Damit gibt sich Claudio Kuster nicht zufrieden. Das Erfassen der Resultate sei «eindeutig Teil des Auszählvorgangs». Um das Vertrauen der Bevölkerung «in diesen wichtigen Vorgang sicherzustellen, braucht es Transparenz und demokratische Legitimation».

Dieser Artikel entstand in Zusammenarbeit mit der Republik, welche der AZ vor Publikation Einblick in ihre Recherche gab. Hier geht’s zum Artikel der Republik und zum technischen Hintergrundbericht über die verschiedenen unsicheren Wahlermittlungsprogramme.