E-Voting-PIT: Welche Security-Standards ein Hacker überwinden muss

Wer zertifiziert die Sicherheit des E-Votings der Post? Nach welchen Standards? Wir haben nachgeforscht.
 
"Das System für die elektronische Stimmabgabe ist so ausgestaltet und wird so betrieben, dass eine sichere und vertrauenswürdige Stimmabgabe gewährleistet ist", so die Verordnung der Bundeskanzlei, die für bisherige E-Votings gelten, als auch für die neue Lösung. Das neue Kernsystem der Post - es wurde noch nie zugelassen - wird aktuell einem Public Intrusion Test (PIT) ausgesetzt. Dieser begann gestern mit Präzisierungen.
 
Die Sicherheitsanforderungen seien "detailliert geregelt" und "hoch", so definiert es ein Faktenblatt der Bundeskanzlei. Als zentrale Sicherheitsmassnahme gilt die Verifizierbarkeit, dass also die Stimmabgabe und das Ergebnis systemunabhängig nachvollziehbar ist.
 
Etwas konkreter wird gefordert: "Die Stichhaltigkeit des Beweises darf nur von der Vertrauenswürdigkeit des vertrauenswürdigen Systemteils und des zur Überprüfung eingesetzten technischen Hilfsmittels abhängen. Gleichzeitig dürfen die Gewährleistung des Stimmgeheimnisses und der Ausschluss vorzeitiger Teilergebnisse innerhalb der Infrastruktur nur von der Vertrauenswürdigkeit des vertrauenswürdigen Systemteils abhängen", so die Verordnung.
 
Soweit die grundlegenden Vorgaben. Der laufende PIT sei nur eine Sicherheitsmassnahme unter vielen so Oliver Spycher, Stellvertretender Projektleiter Vote électronique der Bundeskanzlei vor Medien.
 
In den Begleitunterlagen zum PIT wird betont, dass autorisierte externe Stellen zugelassene E-Voting-Systeme zuerst auditieren und zertifizieren. Aber wer zertifiziert was und nach welchen Standards, so eine Frage, die Security-Experten umtreibt.
 
Zur Rolle von KPMG und Hochschul-Prüfern
Zu den Prüfstellen: Die Post sagt, dass sie mit dem Quellcode die Teile der insbesondere kryptographischen Komponenten ihres Systems publiziere. Dies "macht den Kern der Lösung aus". Dabei mussten vor dem PIT gemäss Vorgaben von Bund und Kantone zwei Bedingungen erfüllt werden: Die eine lautete, dass eine unabhängige Analyse des Source Code durchgeführt wurde. Diese Analyse war laut Post umfangreich und wurde von KPMG durchgeführt und zertifiziert. Allerdings wurden nur die Deckblätter des Audits publiziert. Dafür seien vertragliche Bestimmungen verantwortlich, hiess es vor Medien.
 
Zum zweiten musste das kryptographische Protokoll, also der Kern, durch eine unabhängige akademische Institution überprüft werden. "In unserem Fall war das die ETH", so ein Post-Sprecher auf Anfrage. Die Hochschulen seien speziell geeignet, so erklärte Oliver Spycher von der Bundeskanzlei, weil es in der Privatwirtschaft wenig Erfahrung in Kryptographie beim E-Voting geben, während an Hochschulen seit langem daran geforscht werde.
 
Wie sehen die grundliegenden Zertifizierungs-Standards des E-Votings konkret aus? Die Anforderungen würden vom Bund formuliert, so Denis Morel, Leiter E-Voting der Post, auf die Frage von inside-it.ch. Spycher präzisiert seitens der Bundeskanzlei, neben ISO 27001 werde je nach System-Komponente auch nach den internationalen Standards von Common Criteria zertifiziert.
 
Konkret, so präzisiert Morel im Gespräch, wird die Server-Software nach EAL2 (Evaluation Assurance Level EAL) zertifiziert und die Kontrollkomponenten nach EAL4.
 
Exkurs: Common-Criteria-Standards
Die Vertrauenswürdigkeit (EAL) nach Common Criteria wird in sieben Stufen gemessen. Je höher die EAL-Nummer, desto höher die Anforderungen an geprüften Umfang, wie vertieft geprüft wird und mit welchen Methoden. So bedeutet EAL2 "strukturell getestet" und EAL4 "methodisch entwickelt, getestet und durchgesehen". Oder wie es das deutsche BSI erklärt: "Bei EAL4 muss beispielsweise der Sourcecode evaluiert werden, was beim Evaluator Entwicklerkenntnisse des Produktes voraussetzt!"
 
Inwiefern das genügend ist, wird sich zeigen.
 
Die Rolle und Ausgestaltung von Kontrollkomponenten
Interessant ist dabei speziell der sensibelste Teil einer E-Voting-Plattform, die Verifikation und die Kontrollkomponenten: "Der vertrauenswürdige Systemteil umfasst entweder eine oder wenige Gruppen von durch besondere Massnahmen gesicherten, unabhängigen Komponenten (Kontrollkomponenten). Ihr Einsatz muss auch dann jeden Missbrauch erkennbar machen, wenn pro Gruppe nur eine der Kontrollkomponenten korrekt funktioniert und insbesondere nicht unbemerkt manipuliert wird. Für die Vertrauenswürdigkeit des vertrauenswürdigen Systemteils ist die unterschiedliche Ausgestaltung der Kontrollkomponenten sowie die Unabhängigkeit von deren Betrieb und deren Überwachung massgebend."
 
Das heisst: Wenn jede Abstimmungs-Kontrollkomponente funktioniert wie definiert, sollten sie im Zusammenspiel aufdecken können, wenn eine Komponente manipuliert wurde, so das Konzept.
 
Aus Securitysicht können Kontrollkomponenten eine Gruppe Menschen mit definierten Rechten, Rollen und Prozessen sein, Standard-Computer sowie Hardware Security Modules (HSM). Morel erklärt inside-it.ch, in diesem Kontext seien Hardware unterschiedlicher Hersteller und unterschiedliche Teams im Einsatz. Weitere Details sind unbekannt.
 
Vereinfacht (und wenn wir das bei den verfügbaren Informationen richtig verstanden haben) gibt es vier technische Stimm-Kontrollkomponenten sowie Auditoren, welche die Konfiguration, die Urne und die Kontrollkomponenten prüfen. Dazu kriegen sie zum Teil wiederum technische Hilfsmittel.
 
Zu den weiteren Sicherheitsmassnahmen, die nicht im Scope des PIT sind, gehören Penetrationtests. Oliver Spycher von der Bundeskanzlei erklärte, dass bereits vor dem PIT ein solcher durchgeführt worden sei. Details dazu sind unbekannt.
 
Bei nicht öffentlichen Pentests sei der Bund offen, nach welchen Regeln diese exakt durchgeführt werden, ergänzt Spycher im Gespräch. Er nennt Basis Open Web Application Security Project (OWASP) als Rahmen. Die involvierten Druckereien würden üblicherweise nach ISO 27001 zertifiziert.
 
Stellt sich die Frage, wieviel Security-Knowhow bei der Bundeskanzlei vorhanden ist, um den Rahmen richtig zu setzen. In der Zukunft, kündigte Mirjam Hostettler, Projektleiterin Vote électronique der Bundeskanzlei vor Medien an, soll auch Security-Knowhow von Melani, VBS und dem Nachrichtendienst institutionalisiert in die E-Voting-Überlegungen des Bundes einfliessen. "Aber wie genau kann man noch nicht im Detail sagen", so Hostettler. (Marcel Gamma)