IT-Sicherheit bei Ihrer virtuellen Abstimmung
Spätestens seit Corona ist die Frage nach der IT-Sicherheit bei virtuellen Abstimmungen noch wichtiger geworden. Auch uns erreichen immer wieder Fragen, wie wir die Daten der Wahlberechtigten schützen und die Sicherheit der Wahl stärken. Daher haben wir jemanden gefragt, der es wissen muss: Unser Kollege Vasko Hristov ist seit langem Mitglied des POLYAS-Datenschutz-Teams und kennt sich hervorragend aus mit IT-Sicherheit.
Ein Verein entscheidet sich dazu, eine Online-Abstimmung während Corona mit POLYAS durchzuführen. Aber was ist mit der IT-Sicherheit bei virtuellen Abstimmungen was passiert mit den Daten? Wo werden die Daten bei POLYAS gespeichert?
Der Schutz von personenbezogenen Daten hat einen hohen Stellenwert bei uns. Daher liegen die Daten der Wahlberechtigten ausschließlich auf den Servern zertifizierter Rechenzentren in der EU. Generell werden Zugriffsberechtigungen durch ein Rollenkonzept eingeschränkt.
Wer kann alles sehen, wen die Wahlberechtigten gewählt haben?
Niemand. Wenn die Stimmzettel in der Wahlurne gelandet sind, liegen sie ohne personenbezogene Daten ab. Die Identität der Wahlberechtigten wird nach erfolgreicher Authentifizierung am POLYAS-Wahlsystem über ein Token anonymisiert. Das bedeutet, dass bei einer geheimen Wahl nicht mehr nachvollziehbar ist, wie die einzelnen Wähler:innen gewählt haben. Die Wahlleitung kann lediglich sehen, wer gewählt hat.
Welche Daten erhebt POLYAS bei einer Online-Wahl?
Grundsätzlich arbeitet POLYAS nach dem Prinzip der Datensparsamkeit. Dementsprechend werden stets nur so viele Daten erhoben, wie wirklich unbedingt notwendig sind, um eine Wahl oder ein Live Voting durchzuführen. Diese sind:
- Identifikationsdaten (z. B. Ihre Wähler-ID und Passwort)
- Die Angabe, wer gewählt hat
- Der Stimmzettel, jedoch ohne Verbindung zu den übrigen Daten
Die Identifikationsdaten sowie die Angabe, wer gewählt hat, werden ausschließlich dazu verwendet, um eine einmalige Stimmabgabe sicherzustellen und die Höhe der Wahlbeteiligung zu ermitteln.
Auch die Wahlleitung hat zu keinem Zeitpunkt die Möglichkeit, das Wahlverhalten einzelner Wähler:innen in Erfahrung zu bringen.
Sie wollen mehr über Datenschutz bei POLYAS erfahren?
Wie sichert POLYAS die Daten der Kunden und Wahlberechtigten?
Sobald wir einen klar lesbaren Text erhalten, der sensible Daten oder Daten mit Personenbezug enthält, wird dieser mit Hilfe eines Verschlüsselungsverfahrens in eine unlesbare Zeichenfolge (Geheimtext) umgewandelt. Zudem löschen wir Daten nach Ablauf der gesetzlichen Fristen, um das Risiko für unerlaubte Zugriffe effektiv zu reduzieren.
Im Wahlsystem selbst erfolgt die Verschlüsselung der Stimmzettel bereits im Browser der Wahlberechtigten. Das Votum wird über TLS-Verbindungen gesichert übertragen an POLYAS und in der Wahlurne wiederum verschlüsselt gespeichert. Diese End-to-End Verschlüsselung erfolgt bei allen Abstimmungssystemen von POLYAS.
Eine Entschlüsselung erfolgt erst nach kryptografischen Shuffling Methoden nach der virtuellen Abstimmung, sodass keine Manipulationen von außen möglich sind.
Welche Sicherheitsrisiken können mit POLYAS reduziert werden?
Ein möglicher Angriffsvektor besteht in der Nutzung schadhafter Software auf dem Endgerät. Wird dieses Risiko als hoch eingestuft, bietet POLYAS Überprüfungsmethoden mit alternativen Geräten an, so kann beispielsweise die Stimmabgabe auf dem Laptop mit dem Smartphone gegengeprüft werden. Zudem empfehlen wir immer, die Betriebssoftware und die Browserversion stets aktuell zu halten, so können eventuell bekannte Softwarelücken der Hersteller geschlossen werden.
Erfahren Sie mehr über die Schutzziele virtueller Versammlungen und Abstimmungen
Was kann die Wahlleitung beachten, damit Datenschutz und Datensicherheit eingehalten werden können auf der Online-Abstimmung?
Idealerweise beachten Sie bei der Einrichtung des Wählerverzeichnisses im POLYAS-Online-Wahlmanager, dass Sie nur die Daten der Wahlberechtigten verwenden, die tatsächlich für die Wahldurchführung notwendig sind.
Außerdem sollten Sie sicherstellen, dass die E-Mail-Adressen, an die die Wahleinladungen verschickt werden, sich auf einem aktuellen Stand befinden.
Und last but not least: Beschränken Sie den Zugriff auf Ihre Wahlkonfiguration im POLYAS-Online-Wahlmanager auf so wenige User wie möglich. Zudem raten wir Ihnen, die Zwei-Faktor-Authentifizierung Ihres Accounts. Diese Funktion finden Sie in Ihrem Profil.
Ab welcher Mitgliederzahl lohnt sich IT-Sicherheit?
Für den Schutz sensibler Daten gibt es keine Untergrenze. Für kleine und große Vereine über Hochschulen, Unternehmen, Kommunen und auch große Parteien sind alle dabei. POLYAS steht dafür, dass eine Online-Mitgliederversammlung für jeden möglich ist. Es gibt also keine bestimmte Mitgliederzahl, die ein Verein, ein Unternehmen oder eine Partei haben sollte, um eine Wahl mit uns durchführen zu können.
Sie wollen eine Online-Wahl mit POLYAS durchführen? Hier entlang >