Blog

Ist E-Voting sicher?

  • 10. März 2019

Die Schweizerische Post stellt ihr künftiges E-Voting-System vom 25. Februar bis am 24. März 2019 für einen öffentlichen Intrusionstest zur Verfügung. Es handelt sich um das erste schweizerische System, das vollständig verifizierbar ist. Interessierte Personen aus aller Welt können das System angreifen und so einen Beitrag zu seiner Sicherheit leisten.

Die Kantone führen seit 2004 gestützt auf das Bundesrecht für eidgenössische Urnengänge Versuche mit der elektronischen Stimmabgabe durch. Nun hat die Schweizerische Post ein System mit vollständiger Verifizierbarkeit entwickelt. Die vollständige Verifizierbarkeit erlaubt einen breiteren Einsatz von E-Voting. Sie gewährleistet, dass systematische Fehlfunktionen infolge von Softwarefehlern, menschlichen Fehlleistungen oder Manipulationsversuchen erkannt werden. Gemäss den Anforderungen des Bundesrechts muss dieses System vor dem Ersteinsatz zertifiziert werden und der Quellcode ist offen zu legen.

Zusätzlich haben Bund und Kantone entschieden, dass vollständig verifizierbare E-Voting-Systeme vor dem Ersteinsatz einem öffentlichen Intrusionstest unterzogen werden müssen. Bei einem Intrusionstest (auch Pentest genannt) wird die Sicherheit geprüft, indem das System angegriffen wird. Ein Intrusionstest wird bereits im Rahmen der Zertifizierung durch eine akkreditierte Stelle durchgeführt. Mit dem öffentlichen Intrusionstest kann die Sicherheit nun zusätzlich durch eine Vielzahl von Personen geprüft werden.

Hacker sollen testen

Bund und Kantone haben für den öffentlichen Intrusionstest gemeinsame Anforderungen erlassen. Diese verpflichten die Systemanbieter, ihr System während vier Wochen für den Test zur Verfügung zu stellen. Die Hacker-Community soll versuchen, Stimmen zu manipulieren, abgegebene Stimmen zu lesen sowie Sicherheitsvorkehrungen ausser Kraft zu setzen oder zu umgehen, die die Stimmen und sicherheitsrelevante Daten schützen. Als Grundlage für diese Tests müssen die Systemdokumentation sowie der Quellcode vorgängig veröffentlicht werden.

Die Schweizerische Post stellt ihr System vom 25. Februar bis am 24. März 2019 für einen öffentlichen Intrusionstest zur Verfügung. Die auf Intrusionstests spezialisierte Firma SCRT wird im Auftrag von Bund und Kantonen die Teilnehmenden registrieren. Sie bewertet auch die Rückmeldungen und nimmt zu ihnen sobald als möglich Stellung.

Bund und Kantone leisten über den Schwerpunktplan von E-Government Schweiz einen Beitrag von CHF 250’000.- an den öffentlichen Intrusionstest. Davon sind CHF 150’000.- als Beitrag an die Gesamtkosten der Schweizerischen Post vorgesehen. Die Aufwände von SCRT werden mit CHF 100’000.- entgolten. Besonders wertvolle Meldungen von Sicherheitslücken sollen finanziell entschädigt werden. Die Schweizerische Post legt die Höhe möglicher Entschädigungen fest und ist für die Auszahlung zuständig.

Deine Spende. Vielen Dank.