E-Voting: Bund legt externe Prüfungsberichte offen

20. April 2022 um 13:08
image
Foto: Claudio Schwarz / Unsplash

Seit Juli 2021 untersuchten unabhängige Expertinnen und Experten das E-Voting-System der Post. Dieses sei zwar verbessert worden, aber immer noch nicht gut.

Die Überprüfung habe "Pioniercharakter", lobt sich die Bundeskanzlei in einer Mitteilung selbst. Es sei das erste Mal, dass sie "eine unabhängige Überprüfung im Sinn der Neuausrichtung des Versuchsbetriebs der elektronischen Stimmabgabe" durchführe. Im Juli 2021 hatte die Bundeskanzlei Expertinnen und Experten aus der Schweiz und anderen Ländern damit beauftragt, das E-Voting System der Post zu testen.
Es ging um vier Untersuchungsfelder: das kryptografische Protokoll des Systems; die zum Einsatz gelangende Software; die Infrastruktur und den Betrieb bei der Post; ein Intrusiontest des Systems. Die meisten Tests wurden im zweiten Halbjahr 2021 durchgeführt. Die finalen Berichte wurden bis Anfang April 2022 als PDF eingereicht.

Hohes Sicherheitsniveau, aber...

Im Bereich Kryptografie attestiert Aleksander Essex von der Western University in Ontario, Kanada der Post, er könne zwar nicht behaupten, dass das System frei von Schwachstellen sei, aber er habe keine "ernsthafte" gefunden. Weiter sei auf Empfehlungen, die er bezüglich Algorithmen in seinem Papier formuliert hatte, eingegangen worden.
Im gemeinsamen Papier von Thomas Haines, Olivier Pereira und Vanessa Teagu heisst es, das System sei viel besser als die Version von 2020, aber es würden "ernste Fragen" offen bleiben. Sie schreiben zum Beispiel: "Dem Code fehlt derzeit eine umfangreiche Dokumentation (Kommentare), um seine Übereinstimmung mit der Protokollspezifikation zu demonstrieren."
Gleich mehrere Papiere hat das Waadtländer Cybersecurity-Unternehmen SCRT eingereicht. Zum Intrusiontest heisst es, das Sicherheitsniveau sei insgesamt "sehr hoch". In der vorgegebenen Zeit habe man keine Schwachstellen mit einem praktischen Ausnutzungsszenario gefunden. "Der Intrusiontest zeigte, dass keiner der in diesem Rahmen durchgeführten Angriffe erfolgreich war", fasst die Bundeskanzlei in ihrer Mitteilung die verschiedenen Berichte zusammen.

Weitere Verbesserungen nötig

Auch die Post selber hatte im letzten Jahr externe Security-Experten zum Test ihres E-Voting-Systems eingeladen, wobei bis Ende Oktober 2021 drei Meldungen zu Schwachstellen der Stufe "hoch", aber keine zu kritischen Lücken eingingen. Gleichzeitig legte das Unternehmen sukzessive den Quellcode offen.
Ist nun also alles vorbereitet für das System? Nicht unbedingt, so die Mitteilung der Bundeskanzlei. "Die Berichte zeigen aber auch, dass weitere, zum Teil wesentliche Verbesserungen am System nötig sind. Die festgestellten Mängel betreffen u.a. das kryptografische Protokoll, das die Verifizierbarkeit unter Wahrung des Stimmgeheimnisses gewährleisten soll." Insbesondere seien für die Sicherheit mitentscheidende Aspekte teilweise noch nicht genügend klar dokumentiert – es bleibe offen, wie das E-Voting in den bemängelten Punkten funktionieren solle.
Die konkreten Befunde seien der Post gemeldet worden, "damit sie die nötigen Verbesserungsmassnahmen unverzüglich in Angriff nehmen konnte", so die Bundeskanzlei. Nach der Umsetzung der "nun geplanten Verbesserungen" werde das System erneut unabhängig überprüft.
"Wenn die neuen Rechtsgrundlagen und die finalen Berichte der unabhängigen Überprüfung vorliegen, können die Kantone dem Bundesrat eine Grundbewilligung beantragen für den Einsatz des neuen E-Voting-Systems der Post bei eidgenössischen Urnengängen", heisst es weiter. Die Beurteilung der Risiken und die Verantwortung für einen allfälligen Einsatz bleibe Sache der Kantone als Verantwortliche für die Durchführung der Urnengänge sowie des Bundes als Bewilligungsbehörde.
In der im November 2021 abgeschlossenen Vernehmlassung zu einer Wiederaufnahme des E-Votings hatten sich bereits die politischen Parteien und Kantone geäussert.

Loading

Mehr erfahren

Mehr zum Thema

image

Zürcher Justizdirektion beschafft IT-Unterstützung

Die Direktion schliesst mit zahlreichen IT-Dienstleistern Rahmenverträge über mehrere Millionen Franken für Personalressourcen ab.

publiziert am 10.6.2024
image

Schwyzer Kantonsratsdebatten können im Internet übertragen werden

Die Regierung war zwar dagegen, das Volk hat sich aber dafür entschieden.

publiziert am 10.6.2024 1
image

Neuer Leitfaden für den M365-Einsatz in Gemeinden

Die Zürcher Datenschutzbeauftragte erklärt, was bei der Einführung von Microsoft 365 berücksichtigt werden sollte, etwa mit Blick auf den Cloud Act.

publiziert am 7.6.2024 2
image

Neuer Steuerungsausschuss Cyberstrategie steht

Das Gremium soll die Nationale Cyberstrategie prüfen und weiterentwickeln. Maya Bundt übernimmt das Präsidium.

publiziert am 7.6.2024 2