Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht noch im Sommer 2023 den Entwurf eines neuen Schutzprofil für Online-Wahlen. Warum es dafür an der Zeit ist, was das für alte und neue BSI-Zertifikate bedeutet und wie die Wahlexpert:innen von POLYAS den Prozess begleiten, erfahren Sie in diesem FAQ.
Update: Seit dem 25.03.2024 ist das neue Schutzprofil des BSI für nichtpolitische Online-Wahlen öffentlich und kann auf der Seite des BSI eingesehen werden. Eine Zertifizierung kann nun vorgenommen werden. POLYAS strebt eine Zertifizierung an und geht davon aus, das der Zertifizierungsprozess rund zwei Jahre in Anspruch nehmen wird.
2008 veröffentlichte das BSI das erste Schutzprofil für Online-Wahlen nach internationalen Common Criteria Standards. Wer sich zurückerinnert, wird merken, dass das schon recht lange her ist – die Zeit ist also reif für ein Schutzprofil, das den technologischen Stand von heute wiedergibt. Nicht zuletzt aufgrund der Corona-Pandemie und der dadurch verstärkten Nachfrage nach digitalen Wahlen und Abstimmungen hat das BSI erkannt, dass ein neuer Standard benötigt wird. POLYAS stand im Rahmen der offiziellen Kommentierungsphase im regelmäßigen Austausch mit der Bundesbehörde und ist sich sicher, dass das neue Profil die Art des Online-Wählens in Deutschland nachhaltig prägen wird. Im folgenden FAQ fassen wir die wichtigsten Fragen und Antworten für Sie zusammen.
Was hat sich seit dem ersten Schutzprofil technologisch geändert?
In den 15 Jahren seit Veröffentlichung des ersten Schutzprofils hat sich technologisch enorm viel getan. Wichtige Elemente für eine sichere und nachvollziehbare Online-Wahl, die aus wissenschaftlicher Sicht heute als entscheidend angesehen werden, gab es damals noch nicht. Dazu zählt vor allem die Ende-zu-Ende-Verifikation, mit der sowohl Wahlbeobachtende als auch Wählende die Korrektheit der Abläufe überprüfen können. POLYAS hat den technologischen Wandel als einer der größten Anbieter von Online-Wahlen in Deutschland selbst vorangetrieben und begrüßt daher die Entwicklung des neuen Schutzprofils sehr.
Wann wird POLYAS sich gegen das neue Schutzprofil zertifizieren?
Es ist POLYAS erklärtes Ziel, sich auch gegen das neue Schutzprofil des BSI zertifizieren zu lassen. Unsere Kunden dürfen weiterhin den bestmöglichen technischen Standard zum Schutz Ihrer Online-Wahl von POLYAS erwarten. Wir gehen aufgrund unserer bisherigen Erfahrung davon aus, dass die Zertifizierung nach dem neuen Schutzprofil ab Start des Zertifizierungsprozesses mindestens zwei Jahre betragen wird.
Ich habe von einem Anbieter gehört, dass er das neue Zertifikat bereits hat oder bald erwerben wird. Ist das möglich?
Das Schutzprofil ist erst im März 2024 veröffentlicht worden und eine Zertifizierung beansprucht erwartungsgemäß rund zwei Jahre. Außerdem hat das neue Schutzprofil eine höhere Evaluierungsklasse als jenes aus dem Jahr 2006. Je höher die Klasse, desto aufwendiger ist der Zertifzierungsprozess. Das alte Schutzprofil, nach dem POLYAS erstmals 2016 zertifiziert wurde, hatte die Evaluierungsklasse EAL2+. In Zukunft wird das Schutzprofil nach EAL4+ evaluiert werden. Dies bedeutet im Wesentlichen, dass neben der Einreichung der Dokumentation auch eine Prüfung des gesamten Quellcodes der Online-Wahlsoftware erfolgen wird. Aufgrund dieser Tatsachen, hält POLYAS es für nahezu ausgeschlossen, dass es noch im Jahr 2024 erste zertifizierte Online-Wahlen-Produkte geben wird.
Kann auch schon vor der Ausstellung des Zertifikats gemäß den Anforderungen des neuen Schutzprofils gewählt werden?
Ja, es besteht schon heute die Möglichkeit, Ihre Online-Wahl mit dem POLYAS CORE 3.0 umzusetzen. In der Version CORE 3.0 Verifiable deckt unsere neueste Wahlsoftware gegenwärtig weite Teile des neuen BSI-Schutzprofils ab. Mehr dazu erfahren Sie in unserem Whitepaper Status Quo und Ausblick zur Sicherheit bei Online-Wahlen.
Zudem besteht für Online-Wahlen-Anbieter wie POLYAS die Möglichkeit, durch eine Selbstauskunft die Konformität mit dem Schutzprofil zu proklamieren. Wir planen, eine solche Konformitätserklärung vorzulegen. Sollte ein Gesetz, eine Rechtsverordnung oder die Satzung Ihrer Organisation die Konformität mit dem neuen Schutzprofil des BSI verlangen, entspricht Ihre Wahl somit den rechtlichen Anforderungen.
Welche weiteren Maßnahmen für die Sicherheit meiner Wahl setzt POLYAS dieses Jahr um?
Neben der fortwährenden Weiterentwicklung unserer Software arbeitet POLYAS derzeit daran, noch in diesem Jahr eine Zertifizierung nach dem weltweit anerkannten Standard ISO 27001 zu erhalten. Diese hat das Ziel, die Wirksamkeit unseres Informationssicherheitsmanagementsystems (ISMS) objektiv und glaubwürdig nachweisbar zu machen. Der Schutz sämtlicher bei POLYAS verarbeitete Daten und die Integrität aller IT-Systeme werden im Zuge des Zertifizierungsprozesses analysiert und durch qualifizierte Maßnahmen sichergestellt.
Update: POLYAS hat die ISO/IEC 27001 Zertifizierung im September 2023 erhalten.
Das ist das aktuelle BSI-Zertifikat von POLYAS, dass noch bis zum Juni 2026 gültig ist.
Ist das BSI-Zertifikat, das POLYAS 2021 erhalten hat, noch gültig?
Ja, das Zertifikat BSI-DSZ-CC-0862-V2-2021 für die POLYAS Software CORE 2.5 bzw. die neueste Version, den CORE 2.5.4, ist noch bis zum 24.06.2026 gültig. Grundlage für die Zertifizierung ist das Schutzprofil BSI-CC-PP-0037-2008, welches inzwischen durch das BSI archiviert wurde. Archiviert bedeutet in diesem Fall, dass das Schutzprofil für neue Produktzertifizierungen – sprich neue Wahl-Produkte, die auf den Markt kommen – nicht mehr verwendet wird. Die Gültigkeit oder der Wert unseres bestehenden Zertifikats gehen hiermit nicht verloren. Der POLYAS CORE 2.5.4 ist somit weiterhin ein vom BSI zertifiziertes Wahl-Produkt. Der CORE 2.5 entspricht allerdings nicht den Anforderungen des neuen BSI-Schutzprofils aus 2023.
Was hat es mit der neuen technischen Richtlinie des BSI auf sich?
Neben dem neuen Schutzprofil arbeitet das BSI zusätzlich an der Veröffentlichung einer technischen Richtlinie für Online-Wahlen.
Update: Die Richtlinie ist seit September 2023 online.
Das Dokument richtet sich in erster Linie an Wahlveranstalter und gibt technische Empfehlungen für die Organisation und Durchführung nicht-politischer Online-Wahlen. Die Richtlinie ist als Orientierungshilfe zu sehen, sie hat bisher – außer bei der Wahl von Gleichstellungsbeauftragten in Dienststellen des Bundes – keinen verpflichtenden Charakter. Inhaltlich geht es in der Richtlinie z. B. darum, wie man eine für das Durchführen von Online-Wahlen sichere digitale Infrastruktur herstellt oder wie ein Rollen- und Rechtekonzept aussehen sollte. Welche Empfehlungen für die eigene Organisation nützlich sein können, hängt davon ab, wie hoch der Schutzbedarf der Wahl oder Abstimmung eingeschätzt wird, die online umgesetzt werden soll. POLYAS wird seine Kunden beim Umgang mit der technischen Richtlinie unterstützen, sobald die offizielle Version vorliegt.
Wenn Sie weitere Fragen haben, dann wenden Sie sich gerne an Ihre Wahlexpert:innen von POLYAS! Gerne beraten wir Sie im Detail zu den neuen Anforderungen und unterstützen Sie bei deren Umsetzung für Ihre spezifische Wahl. Gemeinsam mit Ihnen werden wir dieses Thema angehen und Sie auf dem Laufenden halten.