In der Schweiz gab es zwischen 2003 und 2019 mehr als 300 Versuche mit E-Voting. In den letzten Jahren kamen dabei Systeme zum Einsatz, welche die individuelle Verifizierbarkeit gewährleisten. Damit konnten die Stimmberechtigten prüfen, ob ihre Stimme korrekt in der elektronischen Urne angekommen ist.
E-Voting-System der nächsten Generation
Für die Wiederaufnahme von E-Voting erfolgt nun der nächste Entwicklungsschritt. Erstmals soll ein System mit vollständiger Verifizierbarkeit zum Einsatz kommen. Das E-Voting-Team der Post hat deshalb eine Verifikationssoftware entwickelt. Mit der Software können die kantonalen Wahlprüferinnen und -prüfer nach der Schliessung der elektronischen Urne allfällige unterschlagene oder veränderte Stimmen nachweisen. Damit ist der gesamte elektronische Urnengang überprüfbar, gleichzeitig bleibt die Stimme jedes Einzelnen geheim. Die Post wird damit den Kantonen für die Wiederaufnahme von E-Voting ein System der nächsten Generation zur Verfügung stellen.
Open Source für Know-how-Transfer
Die Post veröffentlicht den Quellcode der Verifikationssoftware unter einer freizügigen Open-Source-Lizenz. Dritte haben so die Möglichkeit, die Software weiterzuentwickeln, anzupassen und in der Folge auch kommerziell zu vertreiben. Zudem ist die Architektur des Tools modular aufgebaut, was die Weiterentwicklung für Dritte vereinfacht. Dies begünstigt, dass Kantone zukünftig Verifikationssoftwares oder Teile davon unabhängig von der Post bei einem anderen Anbieter beziehen können.
Alle Komponenten offengelegt, Community-Programm läuft weiter
Die Post hat Anfang 2021 damit begonnen, die Komponenten und relevanten Dokumentationen ihres E-Voting-Systems im Rahmen eines Community-Programms zu publizieren. Mit der Veröffentlichung der Verifikationssoftware liegen nun alle wesentlichen Teile der Betaversion des E-Voting-Systems der Post öffentlich auf.
Das Community-Programm läuft dennoch weiter, dazu gehört auch das Bug-Bounty-Programm: Das System soll auch nach der Bereitstellung für den Betrieb bzw. nach einer Zulassung durch den Bund für den Versuchsbetrieb kontinuierlich weiterentwickelt werden. Diese Anpassungen veröffentlicht die Post fortlaufend und Fachleute können diese prüfen.
Die Post versteht Cyber-Security als partizipativen Prozess. Sie wird sich daher weiterhin mit unabhängigen Expertinnen und Experten austauschen. Einerseits in Bezug auf Befunde. Andererseits für den Know-how-Transfer an Fachwebinaren oder bei Treffen mit führenden Spezialisten, wie dem Forscherteam der Université de Lorraine. So will die Post zusammen mit der internationalen Fachwelt jede Schwachstelle aufdecken, korrigieren und das System stets auf möglichst hohem Sicherheitslevel halten.
Aktuelles aus dem Community-Programm
- Seit Januar 2021 haben E-Voting-Expertinnen und -Experten aus der Schweiz und dem Ausland insgesamt 111 Meldungen zur Betaversion des E-Voting-Systems eingegeben. Auch die vom Bund eingesetzten unabhängigen Expertinnen und Experten prüfen das System und melden Verbesserungen. Unter allen Meldungen sind 3 Befunde mit dem zweithöchsten Schweregrad. Eine Beschreibung dieser Befunde ist auf dem E-Voting-Blog zu finden. Befunde vom höchsten Schweregrad «kritisch» sind noch nicht eingegangen.
- Die Post hat im Rahmen des Bug-Bounty-Programmes zu E-Voting bisher 71 650 Euro für die bestätigten Schwachstellen bezahlt.