E-Voting: Bund legt externe Prüfungsberichte offen

20. April 2022, 13:08
image
Foto: Claudio Schwarz / Unsplash

Seit Juli 2021 untersuchten unabhängige Expertinnen und Experten das E-Voting-System der Post. Dieses sei zwar verbessert worden, aber immer noch nicht gut.

Die Überprüfung habe "Pioniercharakter", lobt sich die Bundeskanzlei in einer Mitteilung selbst. Es sei das erste Mal, dass sie "eine unabhängige Überprüfung im Sinn der Neuausrichtung des Versuchsbetriebs der elektronischen Stimmabgabe" durchführe. Im Juli 2021 hatte die Bundeskanzlei Expertinnen und Experten aus der Schweiz und anderen Ländern damit beauftragt, das E-Voting System der Post zu testen.
Es ging um vier Untersuchungsfelder: das kryptografische Protokoll des Systems; die zum Einsatz gelangende Software; die Infrastruktur und den Betrieb bei der Post; ein Intrusiontest des Systems. Die meisten Tests wurden im zweiten Halbjahr 2021 durchgeführt. Die finalen Berichte wurden bis Anfang April 2022 als PDF eingereicht.

Hohes Sicherheitsniveau, aber...

Im Bereich Kryptografie attestiert Aleksander Essex von der Western University in Ontario, Kanada der Post, er könne zwar nicht behaupten, dass das System frei von Schwachstellen sei, aber er habe keine "ernsthafte" gefunden. Weiter sei auf Empfehlungen, die er bezüglich Algorithmen in seinem Papier formuliert hatte, eingegangen worden.
Im gemeinsamen Papier von Thomas Haines, Olivier Pereira und Vanessa Teagu heisst es, das System sei viel besser als die Version von 2020, aber es würden "ernste Fragen" offen bleiben. Sie schreiben zum Beispiel: "Dem Code fehlt derzeit eine umfangreiche Dokumentation (Kommentare), um seine Übereinstimmung mit der Protokollspezifikation zu demonstrieren."
Gleich mehrere Papiere hat das Waadtländer Cybersecurity-Unternehmen SCRT eingereicht. Zum Intrusiontest heisst es, das Sicherheitsniveau sei insgesamt "sehr hoch". In der vorgegebenen Zeit habe man keine Schwachstellen mit einem praktischen Ausnutzungsszenario gefunden. "Der Intrusiontest zeigte, dass keiner der in diesem Rahmen durchgeführten Angriffe erfolgreich war", fasst die Bundeskanzlei in ihrer Mitteilung die verschiedenen Berichte zusammen.

Weitere Verbesserungen nötig

Auch die Post selber hatte im letzten Jahr externe Security-Experten zum Test ihres E-Voting-Systems eingeladen, wobei bis Ende Oktober 2021 drei Meldungen zu Schwachstellen der Stufe "hoch", aber keine zu kritischen Lücken eingingen. Gleichzeitig legte das Unternehmen sukzessive den Quellcode offen.
Ist nun also alles vorbereitet für das System? Nicht unbedingt, so die Mitteilung der Bundeskanzlei. "Die Berichte zeigen aber auch, dass weitere, zum Teil wesentliche Verbesserungen am System nötig sind. Die festgestellten Mängel betreffen u.a. das kryptografische Protokoll, das die Verifizierbarkeit unter Wahrung des Stimmgeheimnisses gewährleisten soll." Insbesondere seien für die Sicherheit mitentscheidende Aspekte teilweise noch nicht genügend klar dokumentiert – es bleibe offen, wie das E-Voting in den bemängelten Punkten funktionieren solle.
Die konkreten Befunde seien der Post gemeldet worden, "damit sie die nötigen Verbesserungsmassnahmen unverzüglich in Angriff nehmen konnte", so die Bundeskanzlei. Nach der Umsetzung der "nun geplanten Verbesserungen" werde das System erneut unabhängig überprüft.
"Wenn die neuen Rechtsgrundlagen und die finalen Berichte der unabhängigen Überprüfung vorliegen, können die Kantone dem Bundesrat eine Grundbewilligung beantragen für den Einsatz des neuen E-Voting-Systems der Post bei eidgenössischen Urnengängen", heisst es weiter. Die Beurteilung der Risiken und die Verantwortung für einen allfälligen Einsatz bleibe Sache der Kantone als Verantwortliche für die Durchführung der Urnengänge sowie des Bundes als Bewilligungsbehörde.
In der im November 2021 abgeschlossenen Vernehmlassung zu einer Wiederaufnahme des E-Votings hatten sich bereits die politischen Parteien und Kantone geäussert.

Loading

Mehr zum Thema

image

EU wirft wohl einen Blick auf VMware-Übernahme

Befürchtet wird eine eingehende Prüfung durch die Wettbewerbshüter, die den 69-Milliarden-Deal stark verzögern könnte.

publiziert am 24.6.2022
image

E-Umzug soll in allen Berner Gemeinden eingeführt werden

Nach einem Pilot zieht der Kanton Bern eine positive Bilanz: In allen Gemeinden soll die An- und Abmeldung bald auch auf digitalem Wege möglich sein.

publiziert am 24.6.2022
image

EJPD hat sich Java-Entwickler ausgewählt

Die 5 Anbieter, die den IT-Dienstleister des Departements von Karin Keller-Sutter bei der Java-Entwicklung von Individualsoftware unterstützen werden, sind gefunden.

publiziert am 24.6.2022
image

Zürich: "Schweizerische oder europäische Clouds sind zu bevorzugen"

Richtlinien des Kantons zeigen, was bei der Auswahl und der Nutzung von Cloud-Diensten zu berücksichtigen ist.

publiziert am 24.6.2022