Anhang VEleS Ziff. 14. Feststellung und Meldung von Sicherheitsereignissen und -schwächen; Handhabungen

[dune73]

Wortlaut der Vorlage

14. Feststellung und Meldung von Sicherheitsereignissen und -schwächen; Handhabung von Sicherheitsereignissen und -verbesserungen

14.1 Ein Monitoringsystem der Infrastruktur erkennt die Zwischenfälle, die die Sicherheit oder die Verfügbarkeit des Systems gefährden könnten, und alarmiert das zuständige Personal. Das Personal behandelt Zwischenfälle gemäss vordefinierten Verfahren. Krisenszenarien und Rettungspläne dienen als Leitlinie (darin inbegriffen ist ein Plan, der gewährleistet, dass die auf den Urnengang bezogenen Aktivitäten weitergeführt werden können) und kommen bei Bedarf zur Anwendung.

Fehler bei der Registrierung der Stimme in den Kontrollkomponenten und in der Urne müssen erkannt werden. Dabei müssen weitere Informationen im Zusammenhang mit dem Fehler verfügbar sein, um die Ursache zu erkennen und zu beheben. Festgestellte Vorfälle sind der auf kantonaler Ebene verantwortlichen Stelle zu melden.

14.2 Auf der Infrastruktur werden Protokolle erstellt, deren Erfassung, Übertragung und Speicherung gegen Manipulationen resistent sind (Systemprotokolle). Die Protokolle sind untereinander konsistent und ermöglichen bei der Untersuchung von vermuteten Manipulationen oder Fehlern die Rückverfolgung der relevanten Ereignisse. Sie dienen als Belege für die vollständige, unverfälschte und ausschliessliche Berücksichtigung systemkonform abgegebener Stimmen sowie für die Einhaltung des Stimmgeheimnisses und das Fehlen vorzeitiger Teilergebnisse.

Der Inhalt der Protokolle umfasst mindestens die folgenden Ereignisse:

• Start und Ende der Audit-, Identifizierungs- und Authentisierungsprozesse;
• Start, Neustart und Ende der Abstimmungs- oder Wahlphase;
• Start der Auszählung mit der Ergebnisermittlung;
• Durchführung und Ergebnisse allfälliger Selbsttests;
• festgestellte Störungen in den Elementen der IT-Infrastruktur, die die Betriebsfähigkeit beeinträchtigen.

Von jedem Ereignis werden das Datum und die Uhrzeit, die Art des Ereignisses, den möglichen Verursacher und das Ergebnis im Sinne von Misserfolg oder Erfolg dokumentiert.

Die Systemprotokolle werden der auf kantonaler Ebene verantwortlichen Stelle so zur Verfügung gestellt, dass diese die Informationen interpretieren kann.

14.3 Das Monitoring und die Erfassung von Systemprotokollen unterliegen einem ständigen Verbesserungsprozess. Der Verbesserungsprozess beinhaltet einen offenen Dialog zwischen den beteiligten Akteurinnen und Akteuren sowie eine regelmässige und objektive Beurteilung der Wirksamkeit der eingesetzten Instrumente und Prozesse. Die Ergebnisse dieser Evaluationen werden dabei berücksichtigt.

14.4 Das Monitoring und die Erfassung von Systemprotokollen beeinträchtigen die Wirksamkeit der Massnahmen zur Gewährleistung des Stimmgeheimnisses in keiner Weise.

14.5 Es ist gewährleistet, dass im Falle einer Panne die Stimmen und die Daten, die ein reibungsloses Funktionieren des Verfahrens bei der Auszählung der Stimmen belegen, unversehrt auf der Infrastruktur gespeichert werden.

14.6 Nach einer Panne des Systems oder einem Ausfall von Kommunikations- oder Speichermedien, geht das System in einen Wartungsmodus über, in dem die Möglichkeit besteht, in einen sicheren Zustand zurückzukehren. Begonnene Stimmvorgänge werden unterbrochen. Die stimmende Person kann die Stimmabgabe erst dann wieder aufnehmen, wenn sich das System wieder in einem sicheren Zustand befindet.

14.7 Es ist möglich, mit Hilfe von Authentisierungsmerkmalen Kontrollstimmen abzugeben, die keiner stimmberechtigten Person zugewiesen sind. Der Inhalt dieser Kontrollstimmen wird protokolliert. Die Auszählung der Kontrollstimmen wird mit den Protokollen verglichen.

Es ist sichergestellt, dass die Kontrollstimmen möglichst ähnlich gehandhabt werden wie systemkonform abgegebene Stimmen, gleichzeitig ist sichergestellt, dass sie nicht gezählt werden.

14.8 Die Verfügbarkeit der Infrastruktur wird in gewählten Zeitabständen überprüft und protokolliert.

14.9 Statistische Methoden können, soweit sie verfügbar sind und soweit die Datenbasis dies erlaubt, zur Plausibilisierung des Ergebnisses eingesetzt werden.

14.10 Durch einen vorgegebenen und dokumentierten Prozess werden die Teile des Systems, die vom Internet erreichbar sind, regelmässig aktualisiert, um bekanntgewordene Schwachstellen zu eliminieren.

14.11 Die Massnahmen für das Monitoring und zur Protokollierung der Systembenutzung, der Tätigkeiten von Administratoren und zur Störungsprotokollierung werden detailliert beschrieben, umgesetzt, überwacht und überprüft.

Referenzen

• Bericht der Bundeskanzlei, S. 28f:

Ziff. 14 Feststellung und Meldung von Sicherheitsereignissen und -schwächen; Handhabung von Sicherheitsereignissen und -verbesserungen

E-Voting-Systeme müssen eine wirksame Erkennung und Untersuchung von Vorfällen – wie beispielsweise vermutete Manipulationen von Stimmen oder Angriffe auf das System – ermöglichen. Der Inhalt und Umfang der Protokolle müssen so definiert werden, um dies sicherzustellen. Dabei ist das Stimmgeheimnis zu gewährleisten.

Ausserdem muss ein kontinuierlicher Verbesserungsprozess bei der Erkennung und Untersuchung von Vorfällen definiert werden. Dabei sind insbesondere die folgenden Aspekte zu berücksichtigen:

• Es findet ein offener Austausch zwischen Bund, Kantonen und Systemanbieter statt.
• Es werden regelmässige Analysen der Zweckmässigkeit der Monitoring- und Untersuchungsgrundlagen durchgeführt. Die in der Krisenvereinbarung definierten Szenarien werden bei diesen Analysen berücksichtigt. Der Einbezug von Fachpersonen aus der IT-Forensik in diese Analysen ermöglicht eine effizientere Verbesserung.
• Bei der Verbesserung der Instrumente und Prozesse werden die aus der Analyse resultierenden Elemente berücksichtigt.

Ziff. 14.2: Die Audit-, Identifizierungs- und Authentisierungsprozesse sind besonders sensibel und bedürfen einer besonderen Überwachung sowohl in dem vom Kanton betriebenen Teil des Systems als auch in dem vom Systemanbieter betriebenen Teil. Als Identifikation wird der Vorgang der Identifizierung einer Person bezeichnet, beispielsweise mit einem Benutzernamen oder einer Smartcard. Die Authentifizierung ist der Vorgang, bei dem das System die Zugriffsberechtigung sicherstellen kann. Dies geschieht beispielsweise durch die Verifizierung eines Passworts.

Ziff. 14.7: Das Ziel besteht darin festzustellen, dass Stimmen korrekt verarbeitet und gezählt werden. Dazu werden die Kontrollstimmen gemäss den selben Prozeduren verarbeitet wie die systemkonform abgegebenen Stimmen. Die Kontrollstimmen dürfen nicht als systemkonform abgegebene Stimmen im Endergebnis berücksichtigt werden.

Ziff. 14.10: Diese Bestimmung betrifft nicht zwingend nur das Online-System. Es können auch Komponenten bei der Vor- oder der Nachbereitung der Urnengänge betroffen sein.

[melchl]

14.10: Weshalb beschränkt sich diese Anforderung auf "Teile des Systems, die vom Internet erreichbar sind"? Heisst das implizit, dass alle anderen Komponenten nicht regelmässig aktualisiert werden müssen?