Auf welcher IT-Infrastruktur wird die Post ihr zukünftiges E-Voting-System betreiben und welche Sicherheitsvorkehrungen trifft sie, um Betriebsausfälle zu verhindern oder Cyberangriffe zu bewältigen? Wie setzt sie die Vorgaben des Bundes über die elektronische Stimmabgabe technisch um? Nach welchen Methoden entwickelt die Post ihr System und wie testet sie es? Detaillierte Antworten auf diese Fragen finden sich in den vier im Rahmen der Systemoffenlegung veröffentlichten Dokumentationen: Architekturdokumentation, Infrastruktur-Whitepaper, Dokumentation Softwareentwicklung, Testkonzept.
Systemarchitektur und IT-Infrastruktur
E-Voting-Systeme müssen gemäss den rechtlichen Bestimmungen des Bundes betreffend Sicherheit, Zuverlässigkeit, Stimmgeheimnis und Verifizierbarkeit hohen Anforderungen genügen. Diese bilden den Rahmen für die Architektur des Systems. Die Dokumentation zur Systemarchitektur beschreibt und analysiert die Bestimmungen für E-Voting in der Schweiz und zeigt auf, wie die Post diese technisch umsetzt.
Damit ein robuster und ausfallssicherer Betrieb bei E-Voting sichergestellt werden kann, ist die IT-Infrastruktur redundant angelegt. Dafür werden die Systeme in zwei Rechenzentren an unterschiedlichen Standorten betrieben und zusätzlich an einem Standort in zwei unterschiedlichen Räumen identisch geführt. Ausserdem wird das E-Voting-System für jeden Kanton eigens aufgesetzt, womit es jeweils eine völlig unabhängige Umgebung hat. Diese und weitere Vorkehrungen in der Infrastruktur garantieren, dass ein Ausfall, verursacht durch eine Störung im System oder auch durch eine externe Ursache wie ein Umweltereignis oder ein krimineller Angriff, kompensiert und der sichere Betrieb gewährleistet werden kann.
Dokumentation Softwareentwicklung und Testkonzept
Die Post entwickelt das E-Voting-System in agiler Projektführung. Dabei setzt ein interdisziplinäres Team das Projekt schrittweise in aufeinanderfolgenden Etappen um. Das genaue Vorgehen, die für E-Voting spezifischen Massnahmen zur Qualitätskontrolle und die eingesetzten Tools sind in der Dokumentation zur Softwareentwicklung beschrieben.
Zur Entwicklung des E-Voting-Systems gehören auch die öffentliche Überprüfung und weitere Tests. Das Testkonzept beschreibt das gesamte Vorgehen von den Testobjekten, über die verwendete Infrastruktur, bis zum Reporting und der Testorganisation.
Auf der E-Voting-Community-Webseite finden sich weiterführende Informationen und die Links zu den Dokumenten.
Aktuelles aus dem E-Voting-Community-Programm
Die Post legt seit Anfang 2021 ihr E-Voting-System in Etappen dauerhaft offen. In den kommenden Monaten startet sie zudem ein ständiges öffentliches Bug-Bounty-Programm sowie einen Internettest. Diese Methoden der öffentlichen Überprüfung sind Teil der Cybersecurity-Strategie der Post. Ziel ist es, mit der öffentlichen Überprüfung Schwachstellen, die Cyberkriminelle für Angriffe ausnützen könnten, frühzeitig zu finden und zu beheben.
- Seit dem Start der Offenlegung im Januar 2021 haben Fachleute der Post rund 20 Befunde gemeldet. Auf dieser Basis hat die Post verschiedene Verbesserungen in den offengelegten Objekten umgesetzt, u. a. im kryptografischen Protokoll, von dem sie Ende Juni eine neue Version veröffentlicht hat.
- An Anlässen für die Community präsentiert das E-Voting-Team der Post spezifische Aspekte des Systems und bietet Gelegenheit für Fragen und Diskussion. Das erste Fachwebinar zum Thema Security by Design im neuen E-Voting-System haben Expertinnen und Experten aus der ganzen Welt besucht.