E-Voting-Vernehmlassung: Stellungnahmen aus der ICT

19. August 2021 um 12:44
image

Die Vernehmlassung ist abgeschlossen. Digitalswitzerland äussert sich zufrieden, Cybersecurity-Experten zeigen sich deutlich kritischer.

Im April 2021 hatte der Bund das Vernehmlassungsverfahren für die Neuausrichtung des E-Voting eröffnet. Der Bundesrat überarbeitete die Anforderungen für weitere Tests und insbesondere für die Sicherheit.
So will die Regierung neu, dass nur noch vollständig verifizierbare E-Voting-Systeme zum Einsatz kommen sollen. Eine vollständige Verifizierbarkeit soll es erlauben, Manipulationen an den elektronisch abgegebenen Stimmen festzustellen. Weiter wurde eine Erhöhung der Transparenz, Bug-Bounty-Programme und der Zuzug externer Experten in den Richtlinien definiert. Der Bundesrat will E-Voting weiterhin landesweit einschränken. So möchte die Regierung pro Kanton maximal 30% und schweizweit maximal 10% der Stimmberechtigten für den E-Voting-Versuchsbetrieb zulassen.
Die Vernehmlassungsfrist ist am 18. August abgelaufen. Unter anderem haben sich die Standortinitiative Digitalswitzerland und das Advisory Board Cybersecurity der Schweizerischen Akademie der Technischen Wissenschaften (SATW) zur Neuausrichtung des E-Voting geäussert.

Digitalswitzerland: Open Source und dezentraler Ansatz

Digitalswitzerland begrüsse das Vorhaben des Bundes, E-Voting weiterzuentwickeln und "den Versuchsbetrieb mit begrenztem Elektorat von national höchstens 10% und kantonal höchstens 30% wieder aufzunehmen", heisst es in der Stellungnahme. Auch die technische Umsetzung der Vorlage und das Vorgehen mit Einbezug von Expertinnen und Experten unterstütze Digitalswitzerland.
Insbesondere unterstütze Digitalswitzerland die hohen Transparenzansprüche und notwendigen Bug-Bounty-Programme. Auch die Vorgaben zu Open Source und der dezentrale Ansatz würden begrüsst. "Als am heikelsten beurteilt wird die Verifizierbarkeit, die aufgrund des Stimmgeheimnisses naturgemäss nicht von der Abgabe an bis hin zur Zählung und Analyse möglich sein darf."

SATW: Bug-Bounty-Programme allein reichen nicht

Die Cybersecurity-Expertinnen und -Experten der SATW begrüssen ebenfalls die allgemeine Stossrichtung zur Neuausrichtung des E-Voting, äussern sich aber auch zu einigen Punkten kritisch.
Zum Thema Sicherheit heisst es in der Stellungnahme: "Wir sind beunruhigt, dass sich die vorgeschlagenen Massnahmen zur Minimierung der Risiken praktisch ausschliesslich auf die Systeme beziehen, die unmittelbar dem E-Voting zugeordnet werden können sowie vorwiegend technischer Natur sind."
Der Einsatz eines Bug-Bounty-Programmes sei sehr zu begrüssen, greife jedoch zu kurz. "Weitergehende und umfassendere Tests wie Model Checking und Verifikation für Kryptokomponenten, White-Box- und Black-Box-Tests etc. müssen auch ins Auge gefasst und transparent gemacht werden." Die SATW fordert "Red-Team-Tests, die weiter gehen als normale Penetration Tests und die ohne eng definierte Spielregeln stattfinden".
Generell heisst es zum Projekt E-Voting: "Aus Sicht der SATW erreichen heute weder die verfolgten Ansätze noch die öffentliche Diskussion einen Reifegrad, der es zulassen würde, die wichtigste Säule der direkten Demokratie darauf aufzubauen." Zuerst müsse der Fokus im Bereich E-Government auf Projekten liegen, "deren Umsetzung für die Schweiz von grösserer Bedeutung, Dringlichkeit oder grösserem direkten Nutzen sind".

Loading

Mehr zum Thema

image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Luzerner Regierung gibt grünes Licht für kantonale E-ID

Gedacht ist das Angebot als Übergangslösung, bis die staatliche E-ID verfügbar ist. Ausserdem führt der Kanton das Behördenlogin "Agov" ein.

publiziert am 1.3.2024
image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024