

E-Voting: Bund legt externe Prüfungsberichte offen
20. April 2022 um 13:08Seit Juli 2021 untersuchten unabhängige Expertinnen und Experten das E-Voting-System der Post. Dieses sei zwar verbessert worden, aber immer noch nicht gut.
Die Überprüfung habe "Pioniercharakter", lobt sich die Bundeskanzlei in einer Mitteilung selbst. Es sei das erste Mal, dass sie "eine unabhängige Überprüfung im Sinn der Neuausrichtung des Versuchsbetriebs der elektronischen Stimmabgabe" durchführe. Im Juli 2021 hatte die Bundeskanzlei Expertinnen und Experten aus der Schweiz und anderen Ländern damit beauftragt, das E-Voting System der Post zu testen.
Es ging um vier Untersuchungsfelder: das kryptografische Protokoll des Systems; die zum Einsatz gelangende Software; die Infrastruktur und den Betrieb bei der Post; ein Intrusiontest des Systems. Die meisten Tests wurden im zweiten Halbjahr 2021 durchgeführt. Die finalen Berichte wurden bis Anfang April 2022 als PDF eingereicht.
Hohes Sicherheitsniveau, aber...
Im Bereich Kryptografie attestiert Aleksander Essex von der Western University in Ontario, Kanada der Post, er könne zwar nicht behaupten, dass das System frei von Schwachstellen sei, aber er habe keine "ernsthafte" gefunden. Weiter sei auf Empfehlungen, die er bezüglich Algorithmen in seinem Papier formuliert hatte, eingegangen worden.
Im gemeinsamen Papier von Thomas Haines, Olivier Pereira und Vanessa Teagu heisst es, das System sei viel besser als die Version von 2020, aber es würden "ernste Fragen" offen bleiben. Sie schreiben zum Beispiel: "Dem Code fehlt derzeit eine umfangreiche Dokumentation (Kommentare), um seine Übereinstimmung mit der Protokollspezifikation zu demonstrieren."
Gleich mehrere Papiere hat das Waadtländer Cybersecurity-Unternehmen SCRT eingereicht. Zum Intrusiontest heisst es, das Sicherheitsniveau sei insgesamt "sehr hoch". In der vorgegebenen Zeit habe man keine Schwachstellen mit einem praktischen Ausnutzungsszenario gefunden. "Der Intrusiontest zeigte, dass keiner der in diesem Rahmen durchgeführten Angriffe erfolgreich war", fasst die Bundeskanzlei in ihrer Mitteilung die verschiedenen Berichte zusammen.
Weitere Verbesserungen nötig
Auch die Post selber hatte im letzten Jahr externe Security-Experten zum Test ihres E-Voting-Systems eingeladen, wobei bis Ende Oktober 2021 drei Meldungen zu Schwachstellen der Stufe "hoch", aber keine zu kritischen Lücken eingingen. Gleichzeitig legte das Unternehmen sukzessive den Quellcode offen.
Ist nun also alles vorbereitet für das System? Nicht unbedingt, so die Mitteilung der Bundeskanzlei. "Die Berichte zeigen aber auch, dass weitere, zum Teil wesentliche Verbesserungen am System nötig sind. Die festgestellten Mängel betreffen u.a. das kryptografische Protokoll, das die Verifizierbarkeit unter Wahrung des Stimmgeheimnisses gewährleisten soll." Insbesondere seien für die Sicherheit mitentscheidende Aspekte teilweise noch nicht genügend klar dokumentiert – es bleibe offen, wie das E-Voting in den bemängelten Punkten funktionieren solle.
Die konkreten Befunde seien der Post gemeldet worden, "damit sie die nötigen Verbesserungsmassnahmen unverzüglich in Angriff nehmen konnte", so die Bundeskanzlei. Nach der Umsetzung der "nun geplanten Verbesserungen" werde das System erneut unabhängig überprüft.
"Wenn die neuen Rechtsgrundlagen und die finalen Berichte der unabhängigen Überprüfung vorliegen, können die Kantone dem Bundesrat eine Grundbewilligung beantragen für den Einsatz des neuen E-Voting-Systems der Post bei eidgenössischen Urnengängen", heisst es weiter. Die Beurteilung der Risiken und die Verantwortung für einen allfälligen Einsatz bleibe Sache der Kantone als Verantwortliche für die Durchführung der Urnengänge sowie des Bundes als Bewilligungsbehörde.
In der im November 2021 abgeschlossenen Vernehmlassung zu einer Wiederaufnahme des E-Votings hatten sich bereits die politischen Parteien und Kantone geäussert.
Loading
Bund sucht einen neuen IT-Sicherheitsbeauftragten
Die Person soll für das NCSC die IT-Sicherheit der Bundesverwaltung verbessern.
EFK leistet sich Schnitzer bei IT-Ausschreibung
Die Finanzkontrolle sucht externe IT-Security-Power. Ein Fehler machte glauben, es ginge um bloss 30'000 Franken. Dabei knackt der Auftrag die Millionengrenze.
Frauenfeld will seine ICT komplett auslagern
Die Infrastruktur- und Betriebs-Services der Stadt Frauenfeld sollen von einem externen Partner betrieben werden. Aktuell läuft die Ausschreibung.
Schweiz und USA arbeiten bei Cybersicherheit verstärkt zusammen
Bei einem Treffen der beiden Länder ging es unter anderem um das Völkerrecht im Cyberraum und die Rolle der Schweiz als Gaststaat in der Digitalisierung.