BSI-Schutzziele für virtuelle Abstimmungen
Seitdem viele Abstimmungen auf virtuellen Wegen stattfinden, ist die Frage nach deren IT-Sicherheit stärker ins Zentrum gerückt. Vor allem Vereine und Unternehmen stehen plötzlich vor der Frage, wie sie ihre Mitgliederversammlung bzw. Hauptversammlung digital und rechtssicher abhalten können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2020 einen praxisbezogenen Leitfaden für Virtuelle Veranstaltungen und Abstimmungen (ViVA) herausgegeben. Darin werden vier Säulen der Sicherheit genannt, anhand derer sich der komplexe Begriff der Cyber Security am besten erläutern lässt:
1. Vertraulichkeit
Geheime Inhalte sollen geheim bleiben und dürfen nur über sichere Übertragungswege transportiert werden. Generell sollen so wenig Daten wie möglich gesammelt werden.
2. Verfügbarkeit:
Das Wahlsystem, die Übertragungswege und die Endgeräte der Nutzer:innen müssen während des Abstimmungszeitraumes verfügbar sein, damit alle berechtigten Personen ihre Stimme abgeben können.
3. Integrität:
Die Stimmzettel dürfen nicht von außen hinzugefügt, geändert oder gelöscht werden. Das System muss nachweislich integer sein. Unerwartetes Systemverhalten muss unverzüglich zu entsprechenden Benachrichtigungen bis hin zum Wahlabbruch führen.
4. Authentizität:
Alle teilnehmenden Personen müssen eindeutig für die Stimmabgabe authentifiziert werden können. Hierfür stehen verschiedene Sicherheitsniveaus von Authentifizierungsverfahren zur Auswahl – von der Übermittlung von ID/Passwort-Kombinationen bis hin zur Anbindung an den neuen Personalausweis.
Das POLYAS Live Voting ist so aufgebaut, dass es für sichere digitale Abstimmungen eingesetzt werden kann. Auf dieser Seite stellen wir die Sicherheitsmechanismen des POLYAS Live Votings vor, die auf den vier BSI-Schutzzielen für virtuelle Abstimmungen basieren.
Vertraulichkeit für virtuelle Abstimmungen
Um das BSI-Schutzziel Vertraulichkeit zu erfüllen, dürfen für die Öffentlichkeit bestimmte Informationen nur durch sichere Übertragungswege nach außen gelangen. Bei geheimen Abstimmungen muss zudem das Stimmgeheimnis gewährleistet sein. Hierfür muss die Authentisierung des Abstimmenden (zur Überprüfung der Stimmberechtigung) von der authentisierten Information (dem Abstimmungsvotum) entkoppelt werden. Und grundsätzlich sollte die digitale Umsetzung der Abstimmung nicht mehr Informationen erheben als die analoge Variante.
Geheime Abstimmungen
Zur Wahrung des Wahlgeheimnisses wird im POLYAS Live Voting eine End-to-End-Verschlüsselung der Stimmzettel angewandt. Die Abstimmung wird auf dem Gerät des Stimmberechtigten verschlüsselt, gesichert übertragen und erst nach einem kryptographischen Shuffeling-Prozess in der Wahlurne entschlüsselt.
Sichere Kommunikation der Systemkomponenten
Die Kommunikation zwischen allen Komponenten des Live Voting Systems wird mit Kommunikationsschlüsseln gesteuert. Dadurch haben nur die autorisierten Komponenten Zugriff auf die von anderen Komponenten angebotenen Funktionen, wobei dieser Zugriff durch feinkörnige Zugriffsrichtlinien nach dem Prinzip der geringsten Privilegien geregelt wird.
Datenschutz bei der Wahlumsetzung
POLYAS geht strikt nach dem Prinzip der Datensparsamkeit vor. Dabei richten wir uns selbstverständlich nach den Vorgaben der Europäischen Datenschutzgrundverordnung (EU-DSGVO). Zudem steht es den Kunden offen, mit einem anonymisierten Wählerverzeichnis ohne personenbezogene Daten zu arbeiten.
Verfügbarkeit der virtuellen Stimmabgabe
Die Verfügbarkeit muss beim Abstimmungssystem selbst, der Kommunikationsverbindung sowie den dezentralen Endgeräten (Mobiltelefone, PCs, Laptops) sichergestellt werden. An allen Punkten müssen System- und Kommunikationsausfälle verhindert werden.
Schutz der POLYAS Infrastruktur
Durch ein skalierbares Betriebskonzept, das sich den Lasten dynamisch anpasst, sowie einem redudanten Hostingkonzept stellt POLYAS die bestmögliche Verfügbarkeit der Abstimmungssoftware sicher. Weiterhin trifft POLYAS umfassende Schutzmaßnahmen, um das System vor Angriffen von außen zu bewahren. Darunter fallen etwa regelmäßige Penetration-Tests sowie der Schutz vor DDoS- und Brute-Force-Angriffen. Weitere Informationen zur Systemsicherheit finden Sie hier.
Generell sind die Stimmzettel bei POLYAS Online-Wahlen und Live Voting so optimiert, dass nur die notwendigen Daten übermittelt werden und nicht alle Elemente bei jedem Schritt neu geladen werden müssen. So werden pro Stimmzettel nur wenige Kilobyte übertragen.
Sicherheitshinweise für Browser
Um die Sicherheit auf den Endgeräten der Nutzer zu gewährleisten, ist es besonders wichtig, dass die Stimmberechtigten die Betriebssysteme der Geräte, mit denen sie an der Wahl oder Abstimmung teilnehmen wollen, regelmäßig updaten und die aktuellste Browserversion einsetzen. Für das POLYAS Live Voting können Sie eine Übersicht über die Betriebssysteme und Browser einsehen, die unterstützt werden.
Lernen Sie den POLYAS Online-Wahlmanager kennen und richten Sie Ihr eigenes Live Voting in wenigen Schritten ein.
Zum Online-Wahlmanager >Integrität der Abstimmungssoftware
Die Integrität einer Abstimmungssoftware ist gegeben, wenn Abstimmungsvoten nachweislich unverfälscht übertragen werden. Das bedeutet, es dürfen keine Stimmzettel von außen hinzugefügt, geändert oder gelöscht werden können.
Unverfälschte Übertragung von Stimmzetteln
Im POLYAS CORE 3.0 erfolgt die Verschlüsselung der Stimmzettel bereits während der Stimmabgabe im Browser der Stimmberechtigen. Diese Verschlüsselung ist auch auf mobilen Endgeräten aktiv. Wie in allen POLYAS Systemvarianten erfolgt der Transport der abgegebenen Stimmen ausschließlich über eine TLS-verschlüsselte Verbindung via Server-Zertifikat der D-Trust GmbH. Auf diese Weise können Manipulationen am Stimmzettel während der Übertragung im Internet verhindert werden.
Die gesichert übertragenen Stimmzettel werden erst nach einem kryptographischen Shuffeling-Prozess in der Wahlurne entschlüsselt, um für das Abstimmungsergebnis ausgezählt zu werden. Zur Integritätsprüfung der Stimmzettel kommen Zero-Knowledge- Proofs zum Einsatz, ein kryptografisches Protokoll, das ohne Aufdecken der Inhalte die Wahrscheinlichkeit der Integrität der abgegebenen Stimmzettel verifizieren kann.
Bulletin Boards für ein umfassendes Audit-Protokoll
Beim POLYAS CORE 3.0 kommen Bulletin Boards zum Einsatz, die alle Daten zu speichern, die für die Sicherheit einer Wahl kritisch sind. Das POLYAS Live Voting verfügt somit über eine Datenbank, zu der jede relevante Information während der Abstimmungen hinzugefügt wird, aus der aber nichts entfernt werden kann und für die es ein vollständiges Audit-Protokoll gibt. Änderungen können nur von autorisierten Personen vorgenommen werden.
Die Richtlinien des Bulletin Board können nach der Wahl von Kontrolleuren überprüft werden, die sicherstellen können, dass alle veröffentlichten Einträge korrekt signiert sind und die Integrität der Hash-Kette gewahrt bleibt. Vergleichbar ist diese Technologie mit der Blockchain, mit dem Unterschied, dass das Bulletin Board zentral und nicht dezentral (also auf einer Vielzahl von Servern) gehostet wird.
POLYAS-Tipp: Auch beim POLYAS Live Voting können die Wahlergebnisse durch die Stimmberechtigten überprüft werden. Erfahren SIe mehr über die individuelle Verifikation einer virtuellen Abstimmung.
Authentizität der Stimmberechtigten
Für das POLYAS Live Voting stehen verschiedene Authentifizierungsverfahren zur Verfügung. Zusätzliche Funktionen für Ihre Authentifizierungsmethode erhöhen die Sicherheit der eindeutigen Authentifikation, wie die Zwei-Faktor-Authentifizierung oder die Generierung der Zugangsdaten durch einen dritten Partner.
Mit jedem Verfahren ist sichergestellt, dass die Stimmberechtigten ihr Stimmrecht jeweils nur einmal ausüben können. Die Stimmberechtigten geben ihre Stimme direkt und selbstständig über ein internetfähiges Gerät ab. Auch sehbehinderte Stimmberechtigte können mit Hilfe eines Screenreaders selbstständig abstimmen.