E-Voting: Bund legt externe Prüfungsberichte offen

20. April 2022, 13:08
image
Foto: Claudio Schwarz / Unsplash

Seit Juli 2021 untersuchten unabhängige Expertinnen und Experten das E-Voting-System der Post. Dieses sei zwar verbessert worden, aber immer noch nicht gut.

Die Überprüfung habe "Pioniercharakter", lobt sich die Bundeskanzlei in einer Mitteilung selbst. Es sei das erste Mal, dass sie "eine unabhängige Überprüfung im Sinn der Neuausrichtung des Versuchsbetriebs der elektronischen Stimmabgabe" durchführe. Im Juli 2021 hatte die Bundeskanzlei Expertinnen und Experten aus der Schweiz und anderen Ländern damit beauftragt, das E-Voting System der Post zu testen.
Es ging um vier Untersuchungsfelder: das kryptografische Protokoll des Systems; die zum Einsatz gelangende Software; die Infrastruktur und den Betrieb bei der Post; ein Intrusiontest des Systems. Die meisten Tests wurden im zweiten Halbjahr 2021 durchgeführt. Die finalen Berichte wurden bis Anfang April 2022 als PDF eingereicht.

Hohes Sicherheitsniveau, aber...

Im Bereich Kryptografie attestiert Aleksander Essex von der Western University in Ontario, Kanada der Post, er könne zwar nicht behaupten, dass das System frei von Schwachstellen sei, aber er habe keine "ernsthafte" gefunden. Weiter sei auf Empfehlungen, die er bezüglich Algorithmen in seinem Papier formuliert hatte, eingegangen worden.
Im gemeinsamen Papier von Thomas Haines, Olivier Pereira und Vanessa Teagu heisst es, das System sei viel besser als die Version von 2020, aber es würden "ernste Fragen" offen bleiben. Sie schreiben zum Beispiel: "Dem Code fehlt derzeit eine umfangreiche Dokumentation (Kommentare), um seine Übereinstimmung mit der Protokollspezifikation zu demonstrieren."
Gleich mehrere Papiere hat das Waadtländer Cybersecurity-Unternehmen SCRT eingereicht. Zum Intrusiontest heisst es, das Sicherheitsniveau sei insgesamt "sehr hoch". In der vorgegebenen Zeit habe man keine Schwachstellen mit einem praktischen Ausnutzungsszenario gefunden. "Der Intrusiontest zeigte, dass keiner der in diesem Rahmen durchgeführten Angriffe erfolgreich war", fasst die Bundeskanzlei in ihrer Mitteilung die verschiedenen Berichte zusammen.

Weitere Verbesserungen nötig

Auch die Post selber hatte im letzten Jahr externe Security-Experten zum Test ihres E-Voting-Systems eingeladen, wobei bis Ende Oktober 2021 drei Meldungen zu Schwachstellen der Stufe "hoch", aber keine zu kritischen Lücken eingingen. Gleichzeitig legte das Unternehmen sukzessive den Quellcode offen.
Ist nun also alles vorbereitet für das System? Nicht unbedingt, so die Mitteilung der Bundeskanzlei. "Die Berichte zeigen aber auch, dass weitere, zum Teil wesentliche Verbesserungen am System nötig sind. Die festgestellten Mängel betreffen u.a. das kryptografische Protokoll, das die Verifizierbarkeit unter Wahrung des Stimmgeheimnisses gewährleisten soll." Insbesondere seien für die Sicherheit mitentscheidende Aspekte teilweise noch nicht genügend klar dokumentiert – es bleibe offen, wie das E-Voting in den bemängelten Punkten funktionieren solle.
Die konkreten Befunde seien der Post gemeldet worden, "damit sie die nötigen Verbesserungsmassnahmen unverzüglich in Angriff nehmen konnte", so die Bundeskanzlei. Nach der Umsetzung der "nun geplanten Verbesserungen" werde das System erneut unabhängig überprüft.
"Wenn die neuen Rechtsgrundlagen und die finalen Berichte der unabhängigen Überprüfung vorliegen, können die Kantone dem Bundesrat eine Grundbewilligung beantragen für den Einsatz des neuen E-Voting-Systems der Post bei eidgenössischen Urnengängen", heisst es weiter. Die Beurteilung der Risiken und die Verantwortung für einen allfälligen Einsatz bleibe Sache der Kantone als Verantwortliche für die Durchführung der Urnengänge sowie des Bundes als Bewilligungsbehörde.
In der im November 2021 abgeschlossenen Vernehmlassung zu einer Wiederaufnahme des E-Votings hatten sich bereits die politischen Parteien und Kantone geäussert.

Loading

Mehr zum Thema

image

Für Gemeinden ist IT-Sicherheit ohne Dienstleister nicht zu haben

Gemeinden sind keine Unternehmen, aber müssen – und wollen – ihre IT ebenso modernisieren, sagt Marco Petoia vom Gemeinde-RZ-Betreiber RIZ in Wetzikon. Fällanden und Bauma erklären uns, warum.

publiziert am 7.12.2022
image

Beschluss für europaweit einheitliche E-ID gefasst

Die eIDAS-Verordnung der EU verpflichtet alle Mitgliedstaaten, eine einheitliche digitale Identität anzubieten. Europa scheint nicht aus den Fehlern der Schweiz gelernt zu haben.

publiziert am 7.12.2022 1
image

Bundesratswahl: Gülle statt Gever

Das Parlament hat heute eine neue Bundesrätin und einen neuen Bundesrat gewählt. Dabei liess die Bundesversammlung aber Weitsicht vermissen. Ein Kommentar von Chefredaktor Reto Vogt.

publiziert am 7.12.2022 1
image

EU reguliert Künstliche Intelligenz

Die Staatengemeinschaft will dafür sorgen, dass KI-Systeme sicher sind und Grundrechte einhalten.

publiziert am 7.12.2022