E-Voting: Transparent, sicher, überprüfbar

Eigentlich ist es ja ganz einfach, möchte man meinen: Entscheiden, Stimme abgeben, auszählen, fertig ist das Wahlresultat. Wer aber mit E-Voting-Experte und BFH-Dozent über das Thema spricht, merkt schnell, dass selbst eine traditionelle Abstimmung längst nicht einfach so funktioniert. Und im digitalen Raum wird alles noch etwas schwieriger. 

Beobachtbarkeit schafft Vertrauen

«Abstimmungen oder Wahlen müssen transparent, sicher und überprüfbar sein», fasst Eric Dubuis das Ziel von Abstimmungs- und Wahlmechaniken zusammen. Denn nur so könnten Wähler*innen darauf vertrauen, dass ihre Stimme in Entscheide eingeflossen und richtig gewichtet wurde. 

An der Urne ist dies relativ leicht zu bewerkstelligen: Neutrale Beobachter*innen überprüfen vor Ort, wer wahlberechtigt ist, sodass keine Unberechtigten abstimmen können. Wahlberechtigte bringen ihren Entscheid in einem blickgeschützten Raum zu Papier, sodass nicht nachvollziehbar ist, wie sie abgestimmt haben. Sie werfen ihre Stimmzettel in eine transparente Urne, die unter ständiger Beobachtung steht. Eingegangene Wahlberechtigungen und Stimmzettel werden separat ausgezählt, sodass Unstimmigkeiten sofort auffallen (z.B. wenn mehr Stimmzettel als Wahlberechtigungen vorliegen).

Auf der Suche nach dem perfekten System

Bei der physischen Abstimmung «ist das allermeiste beobachtbar und nachvollziehbar», erklärt Eric Dubuis. Dadurch wächst das Vertrauen in den Abstimmungsprozess: «Es ist eigentlich das perfekte System.» Natürlich gibt es auch hier Risiken. «Es kommt vor, dass Personen der Zugang zum Wahllokal verwehrt wird», gibt Eric Dubuis zu bedenken. Und es gibt Gemeinschaften, die geografisch so weit verstreut leben, dass eine physische Wahl oder Abstimmung schlicht nicht infrage kommt.

Hier zeigen sich die Vorteile von elektronischen Wahlen. Anwender*innen können ihren demokratischen Pflichten von irgendwo auf der Welt aus nachkommen. Dieser Vorteil bewog denn auch die Auslandschweizer-Organisation (ASO) dazu, zusammen mit Eric Dubuis ein digitales Wahlprozedere aufzusetzen. Der Bedarf nach einer Alternative zu traditionellen Abstimmungsverfahren ist gross, denn die Mitglieder der ASO sind über die ganze Welt verteilt. Für die Wahlen in den Auslandschweizerrat im April 2025 nutzten etliche Länder das E-Voting-System UniVote der BFH.

Er habe die Verantwortlichen von Anfang an immer wieder darauf hingewiesen, dass jedes Wahlsystem mit Risiken behaftet sei, so Dubuis. «Wenn du eine Wahl digitalisierst», erklärt er, «stellt sich die Frage, wie wir Wahlberechtigte verifizieren, das Prozedere beobachten können, ohne den Datenschutz und die Anonymität der Nutzenden zu verletzen.» Und weil alles remote ablaufe, eröffneten sich Risiken, die im Wahllokal einfach auszumerzen sind: Weil die eigentliche Stimmabgabe nicht überwacht werde, «können [wir] bei einer digitalen Wahl nicht ausschliessen, dass Wahlberechtigte bei der Stimmabgabe beeinflusst werden.»

Einfach, sicher, gesetzeskonform

Heute gibt es mehrere digitale Wahlsysteme in der Schweiz, die diese Probleme auf unterschiedliche Art zu lösen versuchen. Alle suchen nach einem Kompromiss zwischen einfacher Anwendbarkeit, minimalen Risiken und rechtlichen Vorgaben.

Das Team um Eric Dubuis experimentiert beispielsweise damit, wie Sicherheitscodes für die Verifizierung der Wahlberechtigung nicht mehr eingetippt, sondern via QR-Code eingelesen werden können. «Gute Usability vereinfacht die Nutzung eines Systems», begründet Eric Dubuis, «und führt dazu, dass mehr gültige Stimmen in einen Entscheid einfliessen.» Wo andere Systeme für gewisse Schritte noch analoge, per Briefpost zugestellte Sicherheitselemente nutzen, setzen Eric Dubuis und sein Team Mechanismen ein, die ganz und gar digital funktionieren.

«Für Organisationen wie die ASO kommt ein Verfahren, das auf Briefpost basiert, aus praktischen Gründen nicht infrage», begründet Dubuis diese Haltung. Ausserdem müssen E-Voting-Systeme – zumindest auf Bundes- und Kantonsebene – vorgeschriebene Kriterien erfüllen. So müssen Entscheide individuell sowie universell verifizierbar sein (siehe Kasten) und das Stimmgeheimnis muss gewahrt bleiben. Gerade die Privacy ist im digitalen Raum schwierig sicherzustellen. Einerseits werden digitale Wahltools oft via Browser genutzt, die von Dritten möglicherweise kontrolliert und überwacht werden.

Sicherheit auf Zeit

Andererseits beruht E-Voting darauf, dass nur die Stimmen wahlberechtigter Personen in das Wahlergebnis einfliessen und dass Wahlentscheide kryptografisch verschlüsselt werden. Kryptografie gibt aber – anders als die physische Trennung von Wahlberechtigung und Stimmzettel im Wahllokal – keine endgültige Privatsphäre. Wer genügend Rechenpower und Zeit zur Verfügung habe, so Dubuis, könne die Verschlüsselung knacken. «Allerdings», relativiert er, «würde man dafür heute mindestens 20 Jahre benötigen.»  

Klar ist, dass kein Wahlsystem risikofrei ist. Wie abgestimmt wird, hängt auch davon ab, wie folgenschwer und potenziell profitträchtig eine Manipulation sein könnte. Bei der Wahl des amerikanischen Präsidenten sind die Folgen und die möglichen Gewinne aus einem Betrug enorm hoch. Bei der Wahl des Auslandschweizerrates sind die zu erwartenden Folgen und Benefits einer Manipulation im Vergleich deutlich kleiner. Entsprechend ist es vertretbar, bei den ASO-Wahlen ein E-Voting-Tool einzusetzen, das Praktikabilität höher gewichtet als minimales Risiko.

Das Wahlsystem muss also zur Wahl passen. Es muss einfach anwendbar, nachvollziehbar und vertrauenswürdig sein. Darin sieht Eric Dubuis die grösste Herausforderung für die Digitalisierung demokratischer Prozesse: «Wie E-Voting funktioniert, ist für Laien nur schwer zugänglich», sagt er, «und entsprechend leicht ist es, Zweifel an den Verfahren zu säen und demokratische Entscheide infrage zu stellen.»