Diskussion zu einer gemeinsamen Antwort zur eidgenössischen Vernehmlassung 2021/61: Änderung der Verordnung über die politischen Rechte (VPR) und der Verordnung der BK über die elektronische Stimmabgabe (VEleS)
Creative Commons Zero v1.0 Universal
13
stars
1
forks
source link
Anhang VEleS Ziff. 23. Zuteilung, Verwaltung und Entzug von Zugangs- und Zugriffsrechten #58
Zuteilung, Verwaltung und Entzug von Zugangs- und Zugriffsrechten
23.1 Es muss gewährleistet sein, dass während des Urnengangs jede nachträgliche Änderung von Zugangs- und Zugriffsrechten nur mit der Zustimmung der auf kantonaler Ebene verantwortlichen Stelle erfolgt.
23.2 Der Zugang zu und der Zugriff auf die Infrastruktur und die Software werden auf der Basis einer Risikobeurteilung detailliert geregelt und dokumentiert. In Hochrisikobereichen sowie für alle manuellen Operationen im Zusammenhang mit der elektronischen Urne (z. B. Öffnung des Stimmkanals, Schliessung des Stimmkanals, Start der Auszählung) gilt das Vieraugenprinzip. Manuelle Operationen im Zusammenhang mit der elektronischen Urne (z. B. Öffnung des Stimmkanals, Schliessung des Stimmkanals, Start der Auszählung) werden explizit authentifiziert.
23.3 Es muss gewährleistet sein, dass Informationen auf der Website zur elektronischen Stimmabgabe und diesbezügliche Informationsseiten nicht ohne Berechtigung geändert werden können.
23.4 Während des Urnengangs m üssen sachfremde Zugriffe jeglicher Art auf die Infrastruktur ausgeschlossen sein.
23.5 Es muss sichergestellt sein, dass keines der Elemente der clientseitigen Authentisierungsmerkmale bei der Zustellung systematisch abgefangen, verändert oder umgeleitet werden kann. Zur Authentisierung müssen Massnahmen und Technologien zum Einsatz kommen, die das Risiko des systematischen Missbrauchs durch Dritte hinreichend minimieren.
Wortlaut der Vorlage
23.1 Es muss gewährleistet sein, dass während des Urnengangs jede nachträgliche Änderung von Zugangs- und Zugriffsrechten nur mit der Zustimmung der auf kantonaler Ebene verantwortlichen Stelle erfolgt.
23.2 Der Zugang zu und der Zugriff auf die Infrastruktur und die Software werden auf der Basis einer Risikobeurteilung detailliert geregelt und dokumentiert. In Hochrisikobereichen sowie für alle manuellen Operationen im Zusammenhang mit der elektronischen Urne (z. B. Öffnung des Stimmkanals, Schliessung des Stimmkanals, Start der Auszählung) gilt das Vieraugenprinzip. Manuelle Operationen im Zusammenhang mit der elektronischen Urne (z. B. Öffnung des Stimmkanals, Schliessung des Stimmkanals, Start der Auszählung) werden explizit authentifiziert.
23.3 Es muss gewährleistet sein, dass Informationen auf der Website zur elektronischen Stimmabgabe und diesbezügliche Informationsseiten nicht ohne Berechtigung geändert werden können.
23.4 Während des Urnengangs m üssen sachfremde Zugriffe jeglicher Art auf die Infrastruktur ausgeschlossen sein.
23.5 Es muss sichergestellt sein, dass keines der Elemente der clientseitigen Authentisierungsmerkmale bei der Zustellung systematisch abgefangen, verändert oder umgeleitet werden kann. Zur Authentisierung müssen Massnahmen und Technologien zum Einsatz kommen, die das Risiko des systematischen Missbrauchs durch Dritte hinreichend minimieren.
Referenzen