Anhang VEleS Ziff. 13. Bedrohungen

[dune73]

Wortlaut der Vorlage

13. Bedrohungen

13.1 Die in den Ziffern 13.3–13.39 aufgelisteten Bedrohungen sind allgemeiner Art und bilden eine minimale Grundlage. Sie beziehen sich auf die Sicherheitsziele und sind bei der Identifizierung von Risiken zu berücksichtigen. In Abhängigkeit der identifizierten Schwachstellen des Systems und bei der Risikobeurteilung der verschiedenen Stellen ist die Liste entsprechend der konkreten Konstellation und in Abhängigkeit der spezifischen Bedrohung zu konkretisieren und zu ergänzen.

13.2 Als mögliche Bedrohung gelten:

• versehentlich oder absichtlich verursachte Bedrohungen, die von in ternen oder externen Akteurinnen und Akteuren ausgehen, die elektronische oder physische Mittel einsetzen;
• Bedrohungen, die auf eine Fehlfunktion des Systems oder der systemunterstützenden Elemente zurückzuführen sind.

	Beschreibung	Betroffenes Sicherheitsziel (nach Art. 4 Abs. 3)
13.3	Malware verändert die Stimme auf der Benutzerplattform.	Korrektheit des Ergebnisses
13.4	Ein externer Angreifer leitet die Stimme mittels Domain-Name-Server-Spoofing (DNS-Spoofing) (Auch DNS-Poisoning genannt. Bezeichnet einen Angriff, bei dem es gelingt, die Zuordnung zwischen einem Hostnamen und der zugehörigen IP-Adresse zu fälschen.) um.	Korrektheit des Ergebnisses
13.5	Ein externer Angreifer verändert die Stimme mit einer Man-in-the-middle-Technik (MITM - Technik(Bezeichnet den Angreifer in einem Man-in-the-middle-Angriff. Es handelt sich dabei um eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physisch oder logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmerinnen und -teilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren.)).	Korrektheit des Ergebnisses
13.6	Ein externer Angreifer schickt mittels MITM bösartig veränderte Stimmzettel.	Korrektheit des Ergebnisses
13.7	Ein interner Angreifer manipuliert die Software, diese speichert die Stimmen nicht.	Korrektheit des Ergebnisses
13.8	Ein interner Angreifer verändert die Stimmen.	Korrektheit des Ergebnisses
13.9	Ein interner Angreifer fügt Stimmen ein.	Korrektheit des Ergebnisses
13.10	Eine feindliche Organisation dringt in das System ein mit dem Ziel, das Ergebnis zu fälschen.	Korrektheit des Ergebnisses
13.11	Ein interner Angreifer kopiert Stimmunterlagen und benutzt sie.	Korrektheit des Ergebnisses
13.12	Ein externer Angreifer nutzt Social - Engineering-Methoden, um die Aufmerksamkeit der stimmenden Person an den Sicherheitsvorkehrungen vorbeizulenken (individuelle Verifizierbarkeit).	Korrektheit des Ergebnisses
13.13	Ein externer Angrei fer dringt elektronisch, physisch oder mittels Social Engineering in die Infrastruktur des Kantons ein und entnimmt sicherheitsrelevante Daten während der Einstellung der Parameter des Urnengangs.	Korrektheit des Ergebnisses
13.14	Ein externer Angreifer dringt elektronisch, physisch oder mittels Social Engineering in die Infrastruktur der Druckerei ein und entnimmt die Codes der Stimmrechtsausweise.	Korrektheit des Ergebnisses
13.15	Ein externer Angreifer dringt elektronisch, physisch oder mittels Social Engineering in die Infrastruktur der Post ein und entwendet Stimmrechtsausweise.	Korrektheit des Ergebnisses
13.16	In der individuellen Verifizierbarkeit tritt ein Fehler auf.	Korrektheit des Ergebnisses
13.17	In der universellen Verifizierbarkeit tritt ein Fehler auf.	Korrektheit des Ergebnisses
13.18	Ein technisches Hilfsmittel der Prüferinnen und Prüfer weist einen Fehler auf.	Korrektheit des Ergebnisses
13.19	Eine Backdoor (Backdoor bezeichnet einen Teil einer Software, der es ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.) wird über eine Softwareabhängigkeit in das System eingeführt und von einem externen Angreifer ausgenutzt, um auf das System zuzugreifen.	Korrektheit des Ergebnisses, Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse, Erreichbarkeit und Funktionsfähigkeit des Stimmkanals, Schutz der für die Stimmberechtigten bestimmten Informationen vor Manipulationen, keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten
13.20	Malware auf der Benutzerplattform schickt die Stimme an eine feindliche Organisation.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.21	Die Stimme wird mittels DNS-Spoofing umgeleitet.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.22	Ein externer Angreifer liest die Stimme mittels MITM.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.23	Ein interner Angreifer benutzt den Schlüssel und entschlüsselt nichtanonyme Stimmen.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.24	Bei der Prüfung auf Korrektheit der Verarbeitung und der Auszählung wird das Stimmgeheimnis gebrochen.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.25	Ein interner Angreifer liest die Stimmen vorzeitig, ohne die Stimmen entschlüsseln zu müssen.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.26	Eine feindliche Organisation dringt ins System ein mit dem Ziel, das Stimmgeheimnis zu brechen oder vorzeitige Teilergebnisse zu erheben.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.27	Ein Fehler im Verschlüsselungsprozess macht diesen funktionsunfähig oder reduziert seine Wirksamkeit.	Wahrung des Stimmgeheimnisses und Ausschluss vorzeitiger Teilergebnisse
13.28	Malware auf der Benutzer plattform macht die Stimmabgabe unmöglich.	Erreichbarkeit und Funktionsfähigkeit des Stimmkanals
13.29	Eine feindliche Organisation führt einen Denial-of-Service-Angriff (DOS-Angriff)(Englisch für Dienstverweigerung. Bezeichnet in der digitalen Datenverarbeitung die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte.) durch.	Erreichbarkeit und Funktionsfähigkeit des Stimmkanals
13.30	Ein interner Angreifer nimmt eine fehlerhafte Konfiguration vor; es kommt nicht bis zur Auszählung.	Erreichbarkeit und Funktionsfähigkeit des Stimmkanals
13.31	Ein interner Angreifer fälscht die kryptografischen Beweise der universellen Verifizierbarkeit.	Erreichbarkeit und Funktionsfähigkeit des Stimmkanals
13.32	Ein technischer Fehler des Systems führt dazu, dass das System zum Zeitpunkt der Auszählung nicht verfügbar ist.	Erreichbarkeit und Funktionsfähigkeit des Stimmkanals
13.33	Ein technisches Hilfsmittel der Prüferinnen und Prüfer funktioniert zum Zeitpunkt der Auszählung nicht.	Erreichbarkeit und Funktionsfähigkeit des Stimmkanals
13.34	Eine feindliche Organisation dringt ins System ein mit dem Ziel, den Betrieb zu stören, die Informationen für die Stimmberechtigten zu manipulieren oder Beweise zum Stimmverhalten der stimmenden Personen zu stehlen.	Erreichbarkeit und Funktionsfähigkeit des Stimmkanals, Schutz der für die Stimmberechtigten bestimmten Informationen vor Manipulationen, keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten
13.35	Ein interner Angreifer stiehlt Adressdaten der Stimmberechtigten.	Schutz der persönlichen Informationen über die Stimmberechtigen
13.36	Malware beeinflusst Stimmberechtigte bei der Meinungsbildung.	Schutz der für die Stimmberechtigten bestimmten Informationen vor Manipulationen
13.37	Ein interner Angreifer manipuliert die Informationswebsite bzw. das Abstimmungsportal und täuscht so die Stimmberechtigten.	Schutz der für die Stimmberechtigten bestimmten Informationen vor Manipulationen
13.38	Ein interner Angreifer schreibt Stimmberechtigten vor, ob und wie sie abzustimmen oder zu wählen haben. Nach der Entschlüsselung findet er in der Infrastruktur Belege, dass sich die Stimmberechtigten an die Instruktionen gehalten haben.	Keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten
13.39	Ein externer Angreifer schreibt Stimmberechtigten vor, ob und wie sie abzustimmen oder zu wählen haben und verlangt von ihnen einen Beleg, dass sie sich an die Instruktionen gehalten haben.	Keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten

Referenzen

• Bericht der Bundeskanzlei, S. 28:

Ziff. 13 Bedrohungen

Die Sicherheitsziele (vgl. Art. 4 Abs. 3) lassen sich nicht mit hundertprozentiger Gewissheit erreichen. In jedem Fall lassen sich Sicherheitsrisiken identifizieren. Auf der Basis einer methodischen Risikobeurteilung (Art. 4 Abs. 1) ist der Nachweis zu erbringen, dass sich jegliche Sicherheitsrisiken in einem ausreichend tiefen Rahmen bewegen.

Ein Risiko lässt sich über Bedrohungen und Schwachstellen des Systems identifizieren. Ein Risiko entsteht, wenn eine Schwachstelle des Systems durch eine Bedrohung ausgenutzt werden kann und dadurch die Erfüllung eines Sicherheitsziels potentiell in Frage gestellt wird. Zur Risikominimierung kommen Sicherheitsmassnahmen zum Einsatz. Sicherheitsmassnahmen müssen die Sicherheitsanforderungen auf den Ebenen Infrastruktur, Funktionalität und Betrieb soweit erfüllen, dass die identifizierten Risiken hinreichend minimiert werden.

Die Liste der Bedrohungen wurde entsprechend den neuen Erkenntnissen aus den letzten Jahren sowie an den Einsatz von vollständig verifizierbaren Systemen angepasst. Es wurde eine neue Definition und Benennung der Akteure bei Bedrohungen eingeführt, um die Szenarien zu verdeutlichen.

Ziff. 13.12: Das Protokoll verlangt, dass die Stimmenden die Beweise nach Ziffer 2.5 prüfen. Gemäss der Bestimmung muss das Risiko beurteilt werden, dass ein externer Angreifer die vom Kanton zur Verfügung gestellten Informationen verändert, um Stimmende dazu zu bringen, von den für die Prüfung zu befolgenden Schritten abzuweichen. Es geht hier nicht darum, falsche Informationen zu berücksichtigen, die in sozialen Netzwerken verbreitet werden könnten.

Ziff. 13.13, 13.14 und 13.15: Unter einem elektronischen Mittel wird hier ein Mittel verstanden, das den Zugriff auf wichtige Informationen ermöglicht, ohne dass der Angreifer physisch vor Ort sein muss. Es kann sich dabei beispielsweise um eine Malware handeln. Unter einem physischen Mittel wird hier ein Mittel verstanden, das den Zugriff auf wichtige Informationen ermöglicht, indem sich der Angreifer persönlich vor Ort begibt. Mit Social Engineering ist ein Vorgehen gemeint, durch das sich ein Angreifer Zugang zu wichtigen Informationen verschafft, indem er eine Person so in die Irre führt, dass sie die gewünschten Informationen direkt zur Verfügung stellt oder den Zugang auf physischem oder elektronischem Weg gewährt.

Ziff. 13.16, 13.17 und 13.18: Das kryptografische Protokoll definiert bestimmte Parameter, Algorithmen und Abläufe. Die hier genannten Bedrohungen würden eine Schwachstelle in einem oder mehreren dieser Elemente ausnutzen.

[melchl]

Zwei zusätzliche Risikoszenarien:

• Angreifer schüren in der Öffentlichkeit Zweifel an der Korrektheit des Ergebnisses.
• Angreifer manipulieren mittels physischem Zugang die Setup-Komponente.