Die Feuertaufe bestanden

Die Medienvertreterinnen und -vertreter im Medienzimmer des Kantons St. Gallen und jene an ihren Bildschirmen liessen sich von Paul Roth, Staatsschreiber des Kantons Thurgau und von Staatssekretär Benedikt van Spyke von St. Gallen über den Stand des neuen Ergebnisermittlungssystems informieren, das voraussichtlich im Frühling 2023 das bestehende ablösen soll, das am Ende seiner «Lebenszeit» angelangt ist.

Worum geht es? Um mehr als nur um eine neue Software. Es geht um das Vertrauen in die digitale Verantwortung des Staates.

Das ging fast unter im Zuge der Ankündigung des privaten Abraxas Bug-Bounty-Programms: Die neue Ergebnisermittlungssoftware hat ihre Feuertaufe schon tags zuvor bestanden. Die Gemeinden und die beiden Kantone waren zufrieden mit der Funktionalität, der Bedienerfreundlichkeit und den Resultaten der Software, die von jenen des offiziellen Systems nicht abwichen. Während weiterer Abstimmungs- und Wahlsonntage wird das System noch parallel eingesetzt, ehe es nach Abschluss der Sicherheitstests die Ergebnisse in Gemeinden und Kanton auch offiziell ermitteln darf.

Die Durchführung eines Sicherheitstests war eine zentrale Anforderung in der Ausschreibung. Mit dem Abraxas Bug-Bounty-Programm hat das Unternehmen einen Test lanciert, der in zwei Phasen verläuft. In der ersten nehmen handverlesene Security Researcher teil, die bereits die ersten Findings eingeliefert haben – jedoch noch kein besonders gravierendes im Kernsystem.

Was macht denn das Ergebnisermittlungssystem so schützenswert? Es hängt zwar im Betrieb nicht am öffentlichen Internet, dennoch darf die Software keine Schwachstellen enthalten, durch die staatliche und andere Hacker Zugriff auf die Ergebnisse erhalten und Stimmen und Berechnungen manipulieren könnten – und damit die Glaubwürdigkeit und das Vertrauen in die direkte Demokratie der Schweiz beschädigen würden.

Die Auszählung der Stimmen erfolgt dezentral in den Gemeinden. Die Resultate werden an den Kanton übermittelt, wo die Berechnungen angestellt und die Plausibilität der Ergebnisse geprüft wird.

Die Kantone SG und TG haben zu Recht hohe Sicherheitserwartungen an das neue Ergebnisermittlungssystem formuliert. Eine davon ist Transparenz: Der Quellcode des Systems soll offen liegen, um Security Researchern die Jagd nach Sicherheitslücken zu erleichtern. Das Ergebnisermittlungssystem soll mit Vertrauen aufgeladen und den Willen der Stimmberechtigten wiedergeben und dabei einwandfrei den gesetzlichen Vorgaben entsprechen.

Die Medienorientierung vom 16. Mai 2022 endete mit einer Fragerunde; die Journalistinnen und Journalisten – vor Ort und zugeschaltet per Webex – hakten in Details nach. Persönliche Interviews draussen auf dem Flur und im Eingangsbereich zum Kantonsratssaal ermöglichten weitere Fragen und präzise Antworten.