E-Voting sicherer machen gegen Nötigung und Stimmenkauf

Am Ende eines Jahres, in dem die Hälfte der Weltbevölkerung an die Urnen ging, haben EPFL-Forschende eine bahnbrechende neue Technologie entwickelt und in der Praxis getestet, um die elektronische Fernabstimmung (E-Voting) vor Wählernötigung und Stimmenkauf zu schützen.

Tanya Petersen 20.12.2024

Im Jahr 2024 wurden in Ländern, in denen fast die Hälfte der Weltbevölkerung lebt, nationale oder regionale Wahlen abgehalten. Diese Wahlen fanden vor dem Hintergrund wachsender geopolitischer Herausforderungen und der Sorge in vielen Ländern statt, ob die Wahlen frei, fair und transparent sind.

Weltweit ist die persönliche Stimmabgabe mit gekennzeichneten Stimmzetteln die bei weitem häufigste Form der Wahl. Die persönliche Stimmabgabe ist zwar nicht perfekt, aber sie ist der derzeit modernste Standard, wenn es darum geht, sich gegen Nötigung zu wehren. Der Wähler zeigt seinen Ausweis vor, betritt eine geschützte Kabine, markiert seinen Stimmzettel und wirft ihn in die Wahlurne, wobei der gesamte Vorgang normalerweise von unabhängigen Beobachtern beobachtet wird.

Die Online-Stimmabgabe aus der Ferne ist aufgrund ihres Komforts und der potenziell höheren Wahlbeteiligung attraktiv. Die moderne Technologie macht die elektronische Stimmabgabe universell überprüfbar, so dass jeder, nicht nur Wahlhelfer und Beobachter, die korrekte Auszählung der Stimmen überprüfen kann. Die meisten Online-Wahlsysteme sind jedoch anfälliger für Stimmenkauf und Wählernötigung als die persönliche Stimmabgabe, etwa wenn eine andere Person neben dem Wähler sitzt und ihm sagt, wie er seine Stimme abgeben soll.

Gefälschte Berechtigungsnachweise für sicheres E-Voting

So bizarr es auch klingen mag, eine vielversprechende Strategie zur Überwindung dieser Anfälligkeit für Nötigung ist die offiziell genehmigte digitale Fälschung. Experimentelle E-Voting-Systeme ermöglichen es den Wählern, gefälschte Wahlberechtigungsnachweise zu erstellen, die sie einem Nötiger geben – oder verkaufen – können, der keine Möglichkeit hat, zu erkennen, ob diese Berechtigungsnachweise gültig sind oder nicht. Stimmen, die mit gefälschten Wahlberechtigungsnachweisen abgegeben werden, werden stillschweigend verworfen und zählen bei der Wahl nicht.

Es bleiben jedoch wichtige Fragen offen. Sind sich die normalen Wähler der Gefahr der Nötigung bei der Online-Wahl bewusst? Halten sie sie für wichtig? Würden sie eine Abschwächungstechnologie mit gefälschten Ausweisen verstehen und richtig anwenden?

Um diese Fragen zu beantworten, haben EPFL-Forschende der Fakultät für Computer- und Kommunikationswissenschaften eine systematische Studie mit 150 Teilnehmenden in Boston, in den Vereinigten Staaten, durchgeführt, die sich bei einer Scheinwahl «registriert» und «gewählt» haben. In ihrer auf dem 45th IEEE Symposium on Security and Privacy präsentierten Arbeit beschreiben die Forschenden, wie 120 der Teilnehmeruinnen und Teilnehmer mit gefälschten Zugangsdaten konfrontiert wurden, während der Rest eine Kontrollgruppe bildete.

«In unserem System müssen die Wähler ihre legitimen und gefälschten Wahlberechtigungsnachweise immer noch persönlich erstellen, um einen vertrauenswürdigen Kommunikationskanal zwischen dem Wähler und der überwachenden Behörde zu etablieren – dies ist der Bootstrap-Punkt, an dem das ursprüngliche Vertrauen aufgebaut wird», erklärte Professor Bryan Ford, Leiter des Decentralized and Distributed Systems Laboratory (DEDIS). «Aber die Wähler müssen dies nur einmal alle paar Jahre tun, nicht bei jeder Wahl», fuhr er fort. «Sobald die Wähler ihre Anmeldeinformationen erstellt haben, können sie auf jedem Gerät installiert werden, mit dem sie wählen wollen, und sie können ihre Stimme abgeben, wo immer sie wollen.»

Modernste kryptografische Technologie

Zur Erstellung ihrer Wahlberechtigungsnachweise verwendeten die Teilnehmenden TRIP, ein von Ford und seinem Team entwickeltes Prototypsystem für die zwangsfreie Online-Wahl mit gefälschten Wahlberechtigungsnachweisen. Das System nutzt eine etablierte kryptografische Technologie namens interaktive Null-Wissens-Beweise, um echte und gefälschte Papierausweise zu erstellen, so dass der Wähler weiss, welcher Ausweis echt ist, dies aber niemandem sonst beweisen kann.

«Mit dem TRIP-System können die Wählenden sowohl einen echten Ausweis als auch eine beliebige Anzahl von gefälschten Ausweisen ausdrucken, die QR-Codes verwenden. Jeder Ausweis enthält einen interaktiven Zero-Knowledge-Beweis, der bei echten Ausweisen stichhaltig und bei gefälschten Ausweisen nicht stichhaltig ist. Nur der Wähler, der den Ausweis erstellt hat, kennt den Unterschied, indem er die Reihenfolge der Druckschritte beobachtet. Sobald sie die Wahlkabine verlassen, sind die Ausweise nicht mehr voneinander zu unterscheiden», so Louis-Henri Merino, Doktorand bei DEDIS und Hauptautor der Forschungsarbeit.

Eine Technologie, die erst noch eingeführt werden muss

Von den 120 Studienteilnehmenden, die mit gefälschten Ausweisen konfrontiert waren, verstanden fast alle (96 %) deren Verwendung, während etwas mehr als die Hälfte angab, dass sie in einem realen Wahlszenario gefälschte Ausweise erstellen würden, wenn sie die Möglichkeit dazu hätten. 10 % der Teilnehmer stimmten jedoch irrtümlich mit einem gefälschten Ausweis ab.

22 % der Studienteilnehmenden berichteten, dass sie entweder persönliche Erfahrungen mit Nötigung oder Stimmenkauf gemacht haben oder direkt davon wussten. Die letztgenannten Teilnehmenden bewerteten das manipulationssichere System im Wesentlichen als genauso vertrauenswürdig wie die persönliche Stimmabgabe mit handschriftlich markierten Papierstimmzetteln.

Von den insgesamt 150 Teilnehmenden, die das System nutzten, erstellten 87 % ihre Zugangsdaten erfolgreich ohne Hilfe und 83 % erstellten ihre Zugangsdaten erfolgreich und nutzten sie ordnungsgemäss. Die Teilnehmenden bewerteten die Benutzerfreundlichkeit des Systems mit 70,4 Punkten, was leicht über dem Branchendurchschnitt von 68 Punkten liegt.

Aufwertung der Demokratie

«Ich konzentriere mich auf die elektronische Stimmabgabe, weil ich ein langfristiges Interesse an der Demokratie mit regelmässigerer Beteiligung bei gleichzeitiger Gewährleistung von Vertrauen und Datenschutz habe. Damit die Demokratie besser funktioniert, können wir die aktuellen Technologien nicht wirklich nutzen, wenn wir nicht die Probleme im Zusammenhang mit Transparenz und Zwang lösen», sagte Ford. «Unsere Ergebnisse scheinen die Bedeutung des Zwangsproblems im Allgemeinen und das Versprechen von gefälschten Anmeldedaten als mögliche Abhilfe zu unterstützen, aber die Benutzerfehlerraten bleiben eine wichtige Herausforderung für die künftige Arbeit.»

Obwohl die Studie in den Vereinigten Staaten durchgeführt wurde, sind die EPFL-Forschenden der Meinung, dass es wichtige Anwendungen in der näheren Umgebung geben könnte. Sie sind der Meinung, dass das Schweizer Briefwahlsystem, ebenso wie die E-Voting-Systeme, nicht die Anforderung erfüllt, keinen Wählerzwang auszuüben, da die Briefwähler ebenfalls in einem unkontrollierten Umfeld wählen.

«Die Schweiz vertritt grundsätzlich die Haltung, dass Nötigung illegal ist und die Schweizer sich an die Gesetze halten, weshalb sie offensichtlich nicht vorkommt. Ich würde gerne eine Studie darüber sehen, was die Schweizer über die Nötigung von Wählern denken und wie sie mögliche Lösungen dafür sehen. Und schließlich würde ich mir wünschen, dass auf der Grundlage einer solchen Plattform mehr partizipative Ansätze für die Demokratie entwickelt werden. Können wir die Demokratie mit einer wirklich sicheren Lösung grundlegend verbessern?», schloss Ford.

Wie TRIP in der Praxis funktionieren würde

Andrea (fiktiver Name), die gerade 18 geworden ist, wählt zum ersten Mal. Ihr Land organisiert eine Online-Wahl: Der erste Schritt für Andrea besteht darin, persönlich zu hinzugehen, um ihre Wahlberechtigungsnachweise in einem speziellen Bereich zu erstellen, der mit Privatsphäre-Kabinen und dem TRIP-System ausgestattet ist.

Andrea entscheidet sich dafür, neben ihrer echten Wahlberechtigung auch zwei gefälschte Wahlberechtigungsnachweise zu erstellen. Um jeden dieser Ausweise zu erstellen, druckt Andrea an einem Kiosk in der Wahlkabine eine Papierquittung aus und steckt sie in einen speziellen Umschlag, den sie ebenfalls in der Kabine erhält. Noch in der Kabine markiert Andrea mit einem Stift den Umschlag, der ihren echten Ausweis enthält, auf eine Weise, die nur sie kennt und an die sie sich später erinnern wird. Wenn sie die Wahlkabine verlässt, hat sie drei Umschläge dabei, die jeweils einen ihrer Ausweise enthalten – aber nur Andrea weiss, welcher Ausweis der echte ist, mit dem die Stimmen abgegeben werden, die bei der Wahl zählen. Mit ihren beiden gefälschten Ausweisen kann sie zwar Stimmen abgeben, aber diese Stimmen werden nicht gezählt.

Andrea lebt bei ihren Eltern, die sie unter Druck gesetzt haben, für die von ihnen unterstützte Partei zu stimmen. Am Wahltag muss Andrea zusammen mit ihren Eltern online wählen, wie es in ihrer Familie Tradition ist. Für diese Wahl benutzt sie jedoch einen ihrer gefälschten Ausweise. Die Stimme, die sie unter der Aufsicht ihrer Eltern abgibt, wird später bei der Auszählung der Stimmen gelöscht, da sie mit einem gefälschten Ausweis abgegeben wurde und nicht auf sie zurückgeführt werden kann. Um frei und ohne Wissen ihrer Eltern für die Partei ihrer Wahl zu stimmen, benutzt Andrea ihren echten Ausweis zu einem anderen Zeitpunkt, wenn sie eine enge Freundin besucht, der sie vertraut, und gibt mit ihrem echten Wahlausweis online eine Stimme ab, um ihre wahre Präferenz auszudrücken. Nur diese echte Stimme wird bei der Wahl gezählt.