VEleS Art. 4 Risikobeurteilung

[christiankiller]

Wortlaut der Vorlage

Art. 4 Risikobeurteilung 1 Der Kanton führt eine Risikobeurteilung durch, mit der er nachweist und begründet, dass die Sicherheitsrisiken in seinem Verantwortungsbereich hinreichend gering sind. Dabei sind auch das Vertrauen und die Akzeptanz der Öffentlichkeit in die elektronische Stimmabgabe zu berücksichtigen.

2 Er prüft, ob er Risiken im Aufgabenbereich seiner Dienstleister selber beurteilen kann und inwiefern separate Risikobeurteilungen durch diese nötig sind. Gegebenenfalls fordert er diese separaten Risikobeurteilungen ein.

3 Die Risikobeurteilungen beziehen sich auf folgende Sicherheitsziele: a. Korrektheit des Ergebnisses; b. Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse; c. Erreichbarkeit und Funktionsfähigkeit des Stimmkanals; d. Schutz der persönlichen Informationen über die Stimmberechtigten; e. Schutz der für die Stimmberechtigten bestimmten Informationen vor Manipulationen; f. keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten.

4 Jedes Risiko wird mit Bezug auf die folgenden Eigenschaften anhand der Dokumentation zum System und zu dessen Betrieb identifiziert und klar beschrieben: a. Sicherheitsziele; b. allfällige mit den Sicherheitszielen verbundenen Datensätze; c. Bedrohungen; d. Schwachstellen.

Referenzen

• Vernehmlassungbericht S. 14

Art. 4 Risikobeurteilung

Abs. 1: Um eine Zulassung zu erhalten, müssen die Kantone wie bisher Beurteilungen für die Risiken in ihrem Verantwortungsbereich erstellen. Sämtliche Risiken, die sich für die Erfüllung der Sicherheitsziele ergeben, müssen über eine Risikobeurteilung bestimmt werden. Ferner müssen auch Risiken beurteilt werden, die das Umfeld der elektronischen Stimmabgabe in Administration und Öffentlichkeit betreffen. Bei den Risikobeurteilungen sind auch das Vertrauen und die Akzeptanz der Öffentlichkeit in die elektronische Stimmabgabe zu berücksichtigen. Dabei handelt es sich um ein übergreifendes Ziel und muss als Querschnittsthema in Bezug auf alle Sicherheitsziele und Risiken einfliessen. Anwendungsbeispiele:

• Beispiel 1: Um Zweifeln an der Korrektheit der Ergebnisse möglichst zuvorzukommen, wird der Prozess, der definiert, wie vorgegangen wird, wenn die Prüfung des Ergebnisses auf Korrektheit negativ ausfällt, im Detail aufgezeigt und vermittelt.
• Beispiel 2: Um dem Risiko eines materiell unbegründeten Vertrauensverlusts entgegenzuwirken, der aus der Entdeckung eines unerheblichen Mangels im System resultieren könnte, werden für die Beurteilung und die Kommunikation unabhängige Expertinnen und Experten beigezogen. Die Beurteilung muss gemäss einer Methodik erfolgen, die die Einhaltung folgender Tätigkeiten vorsieht: Risiken identifizieren, Risiken analysieren und Risiken bewerten. Die Details der verwendeten Methodik sowie die vom Kanton vorgegebenen Risikoakzeptanzkriterien müssen dokumentiert werden. Die Risikobeurteilungen sind mindestens jährlich sowie bei wesentlichen Änderungen des Systems zu überarbeiten. Ausserdem ist vor jedem Urnengang zu prüfen, ob sich neue Risiken stellen oder bestehende Risiken erhöht sind. Die BK kann im Rahmen ihrer Beurteilung der Situation eine eigene Beurteilung der Risiken in ihrem Zuständigkeitsbereich erstellen. Das Vorliegen einer Risikobeurteilung der BK ist keine Zulassungsbedingung, die sich an die Kantone richtet; sie kann jedoch bei der Entscheidung über die Erteilung der Zulassung berücksichtigt werden. Sie wird den Kantonen zur Kenntnisnahme zugestellt, damit diese die Einschätzung der BK einbeziehen können. Die BK zieht die Risikobeurteilungen der Kantone für die eigene Risikobeurteilung bei. Die BK stellt den Kantonen einen Leitfaden zur Verfügung, nach dem sich die Risikobeurteilungen richten müssen. Alle Risikobeurteilungen müssen die jeweils aktuelle Situation widerspiegeln und neuste Entwicklungen und Erkenntnisse sind fortlaufend in die Beurteilung einzubeziehen.

Abs. 2: Insbesondere beim Beizug eines externen Systems soll der Systembetreiber bzw. Systemherstel-ler neu eine eigene Risikobeurteilung erstellen. Für weitere Dienstleister mit sicherheitsrelevanten Dienstleistungen, wie zum Beispiel Druckereien, Anbieter von technischen Hilfsmitteln für Prüferinnen und Prüfer (Verifier) oder Kontrollkomponenten, muss der Kanton prüfen, ob die Risikobeurteilung allein durch den Kanton vorgenommen werden kann oder ob eine zusätzliche Risikobeurteilung durch den Dienstleister nötig ist. Die Dienstleister erstellen die Risikobeurteilungen zu Handen des Kantons. Dieser berücksichtigt sie für die eigene Risikobeurteilung und reicht sie dem Bund im Rahmen des Bewilligungsverfahrens ein.

Abs. 3: Sprachliche Überarbeitung des Einleitungssatzes und der Sicherheitsziele in Buchstaben a-e. Das bestehende Sicherheitsziel in Buchstabe f wird präzisiert, um den Zweck zu verdeutlichen. Unter dieses Sicherheitsziel fällt beispielsweise das Thema des Stimmenkaufs.

Abs. 4: Entspricht im Wesentlichen dem bisherigen Absatz 2. Die Begründung, dass die Risiken als hinreichend gering eingeschätzt werden, wurde in Absatz 1 aufgenommen. Die ursprüngliche Bestimmung in Absatz 3 kann gestrichen werden, da die Unterlagen gemäss Artikel 11 E-VEleS umfassend offengelegt werden müssen und diese Bestimmung dadurch an Bedeutung verloren hat.

[melchl]

Dabei sind auch das Vertrauen und die Akzeptanz der Öffentlichkeit in die elektronische Stimmabgabe zu berücksichtigen.

Damit kann die BK kantonsweise evoting den Stecker ziehen. Das ist an sich positiv, weil es einen solchen Kill-Switch braucht. Im grösseren Kontext, stimmkanalübergreifend, muss das Thema vertieft erörtert werden. Es ist relevant, welche Institutionen auf welchen staatlichen Ebenen über die verwendeten Stimmkanäle entscheiden.

[dune73]

Sehr unsicher, ob sich über dieses Artikel / Mechanismus ein Übungsabbruch begründen liesse. Aber potentiell ja.

Ich bin nicht sicher, ob Art. 4 Abschnitt 3 die Probleme der Druckerei wirklich abbilden. Wenn wir annehmen, dass in der Druckerei Stimmmaterial kopiert und demnach gestohlen wird, so lassen sich so Stimmen fälschen. Vermutlich deckt 3a das über die Korrektheit des Ergebnisses ab, aber ganz sicher ist es meiner Sicht nicht. Allenfalls wäre zu prüfen, ob 3e neben dem Schutz der Informationen vor Manipulationen auch der Schutz der Informationen vor Einsichtnahme (oder einen besseren Begriff) abgedeckt werden müsste (-> CIA: Confidentiality + Integrity; bis dato spricht 3e nur von Integrity).

Art. 4 Abschnitt 4: Ich würde hier neben den beschriebenen Problemen eigentlich auch die Schutzmassnahmen erwarten. Aber vermutlich findet sich das anderswo.