Sicherheit des POLYAS Wahlsystems auf einen Blick

Detaillierte Informationen über Sicherheit

und Zertifizierungen des

POLYAS Online-Wahlsystems

Erhalten Sie einen umfassenden Überblick über die wichtigsten

und am meistengefragten Themen rund um die Sicherheit des POLYAS Wahlsystems.

Zertifizierungen und BSI Richtlinie

Ja, POLYAS ist gemäß ISO/IEC 27001 zertifiziert, einer international anerkannten Norm für das Management von Informationssicherheitssystemen. Dadurch gewährleisten wir höchsten Datenschutz für Ihre Daten. Wir handhaben diese mit größter Sorgfalt und setzen Sicherheitskontrollen, Zugriffsbeschränkungen und Verschlüsselungstechnologien ein, um Ihre Datensicherheit zu gewährleisten. Mehr dazu >

Im Juni 2021 hat POLYAS CORE 2.5.0 nach seiner erstmaligen Zertifizierung im Jahr 2016 erneut die internationalen Common Criteria Standards des BSI erfolgreich durchlaufen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Frühjahr 2024 ein aktualisiertes Schutzprofil für Online-Wahlen veröffentlicht. POLYAS strebt aktiv danach, auch dieses neue Schutzprofil des BSI zu erfüllen und sich entsprechend zertifizieren zu lassen.

Das BSI-Zertifikat (Bundesamt für Sicherheit in der Informationstechnik) ist für Online-Wahlen aus mehreren Gründen von großer Bedeutung:

  1. Sicherheitsstandards: Das BSI legt hohe Sicherheitsstandards fest, die sicherstellen, dass die Technologie und die Verfahren für Online-Wahlen vor Bedrohungen wie Hacking, Datenmanipulation oder unbefugtem Zugriff geschützt sind. Ein Anbieter, der das BSI-Zertifikat erhält, hat nachgewiesen, dass er diese Standards erfüllt.
  2. Vertrauen der Wähler: Ein BSI-zertifizierter Anbieter vermittelt den Wählern ein Gefühl der Sicherheit und des Vertrauens. Wähler sind eher bereit, an Online-Wahlen teilzunehmen, wenn sie wissen, dass die Technik von einer renommierten Behörde geprüft und zertifiziert wurde.
  3. Rechtliche Anforderungen: In vielen Ländern, einschließlich Deutschland, können bestimmte gesetzliche Anforderungen vorschreiben, dass Wahlverfahren bestimmte Sicherheitsstandards erfüllen müssen. Das BSI-Zertifikat hilft, die Einhaltung dieser Anforderungen nachzuweisen.
  4. Transparenz: Die Zertifizierung durch das BSI kann zu mehr Transparenz im Wahlprozess beitragen. Anbieter müssen ihre Sicherheitskonzepte und Verfahren offenlegen, was die Nachvollziehbarkeit und Überprüfbarkeit der Wahlabläufe erhöht.
  5. Risikominimierung: Mit dem BSI-Zertifikat wird auch das Risiko von Wahlbetrug oder -fehlern reduziert. Die Sicherheitsmaßnahmen, die im Rahmen des Zertifizierungsprozesses implementiert werden, helfen, potenzielle Schwachstellen zu identifizieren und zu beheben.

Insgesamt spielt das BSI-Zertifikat eine entscheidende Rolle dabei, die Integrität und Sicherheit von Online-Wahlen zu gewährleisten und das Vertrauen der Öffentlichkeit in digitale Abstimmungsverfahren zu stärken.

Die POLYAS BSI-Zertifizierung basiert auf den Schutzprofil BSI-CC-PP-0037-2008, das mittlerweile vom BSI archiviert wurde. Dies bedeutet, dass das Schutzprofil nicht mehr für neue Produktzertifizierungen, einschließlich neuer Wahlprodukte, verwendet wird. Dennoch bleibt die Gültigkeit und Bedeutung unseres aktuellen Zertifikats erhalten. Der POLYAS CORE 2.5.4 ist damit ein bis 2026 gültiges BSI-zertifiziertes Wahlprodukt. Mehr dazu >

2023 hat das BSI, ergänzend zu dem neuen Schutzprofil, eine technische Richtlinie für Online-Wahlen veröffentlicht, die sich in erster Linie an Wahlvorstände richtet. Nach aktuellem Stand sind die Vorgaben der Richtlinie nur für Wahlen zur Gleichstellungsbeauftragten in Bundesbehörden verbindlich. Körperschaften des öffentlichen Rechts wie Hochschulen, Kammern und Genossenschaften haben hingegen in der Regel Satzungsfreiheit und können daher selbst entscheiden, ob sie die Richtlinie anwenden möchten.

Hintergrund: Das Wahlsystem POLYAS CORE 2.5.4 oder seine neueste Version ist gemäß dem Zertifikat BSI-DSZ-CC-0862-V2-2021 bis zum 24.06.2026 zertifiziert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im März 2024 ein neues Schutzprofil für Online-Wahlen in Deutschland mit dem Titel “BSI-CC-PP-0121 Protection Profile for e-voting systems” veröffentlicht. Das Schutzprofil ist seit dem 25.03.2024 öffentlich einsehbar.

Es ist das erklärte Ziel von POLYAS, sich auch nach dem neuen Schutzprofil des BSI zertifizieren zu lassen.

Zudem besteht für Online-Wahlen-Anbieter wie POLYAS die Möglichkeit, durch eine Selbstauskunft die Konformität mit dem Schutzprofil zu proklamieren, und so die Zeit bis zur Ausstellung des Zertifikats zu überbrücken. Bitte nehmen Sie diesbezüglich Kontakt mit uns auf.

Es besteht aber schon heute die Möglichkeit, Ihre Online-Wahl mit unserem auf das neue Schutzprofil zugeschnittenen POLYAS CORE 3 Wahlsystem umzusetzen. In der Version CORE 3 Verifiable deckt unsere neueste Wahlsoftware gegenwärtig weite Teile des Entwurfs des neuen BSI-Schutzprofils ab, wie zum Beispiel die Ende-zu-Ende-Verifikation.
Mehr über diese Software erfahren Sie in unserem Whitepaper Status Quo und Ausblick zur Sicherheit bei Online-Wahlen.

Sicherheit und Eigenschaften des POLYAS Online-Wahlsystems

Mindestens einmal jährlich führen externe Prüfpartner Penetrationstests am POLYAS Wahlsystem durch. Die Prüfer schlüpfen dabei in die Rolle von Angreifern, die versuchen, in das System einzudringen. In einem mehrwöchigen Zeitraum werden alle sicherheitsrelevanten Komponenten in verschiedenen Nutzungsszenarien und Userrollen überprüft. Mehr dazu >

Ja, die Sicherheit der Online-Wahlsysteme von POLYAS wird kontinuierlich von unabhängigen externen Parteien überprüft und bestätigt. Die Online-Wahlsoftware POLYAS CORE 2.5.0 wurde erfolgreich vom Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf die Einhaltung der Anforderungen für sichere Online-Wahlprodukte gemäß internationalen Common Criteria Standards geprüft.

Das POLYAS Online-Wahlsystem für Ihre Wahl wird auf den mehrfach zertifizierten Servern der Open Telekom Cloud (OTC) gehostet. Für alle Kunden, die den Election Management-Service gebucht haben, ist das Hosting in Deutschland standardmäßig inklusive.
Die OTC-Plattform wird ausschließlich in deutschen Rechenzentren des Konzerns der Telekom AG bereitgestellt. Bei einer üblichen Online-Wahl hosten auch alle weiteren Subdienstleister ihre Systeme in Deutschland, sofern nicht anders vereinbart oder besondere Leistungen gebucht werden. Mehr Informationen finden Sie hier.

Ja. Es ist ein vorrangiges Ziel von POLYAS, sicherzustellen, dass die Anmeldung und Stimmabgabe bei Online-Wahlen auch für technisch unerfahrene Personen oder Menschen mit Behinderungen zugänglich sind. Um dieses Ziel zu erreichen, legt die POLYAS Online-Wahlsoftware besonderen Wert auf:

– Verständlichkeit und Benutzerfreundlichkeit,
– eine klare Benutzerführung mit erklärenden Texten,
– ein einfaches Design mit leicht bedienbaren Navigationselementen,
– einen angemessenen Farbkontrast zwischen Text-, Hintergrund- und Schaltflächenfarben und
– (Fehler-)Rückmeldungen in einer leicht verständlichen Sprache.

Wir führen regelmäßig verschiedene Zugänglichkeitstests für barrierefreies Design, allgemeines Design, Updates oder Funktionen durch. Wir bemühen uns stets um eine barrierefreie Entwicklung. Insbesondere die Anwendungsoberfläche für Wahlberechtigte orientiert sich an den BITV-Kriterien. Der BIK BITV-Test ist ein Verfahren zur umfassenden und zuverlässigen Prüfung der Barrierefreiheit von Websites, Webanwendungen und Apps.

Da der WCAG-Test (ein weiteres Verfahren für die umfassende Prüfung der Barrierefreiheit von Websites auf Basis der Web Content Accessibility Guidelines WCAG 2.1) mit seinen 60 Prüfpunkten eine Teilmenge des BITV-Tests mit seinen 92 Prüfpunkten ist, werden die Web Content Accessibility Guidelines durch die BITV-Kriterien abgedeckt.

Unser Ziel ist es, unser Wahlsystem auch zukünftig zu verbessern, indem wir uns langfristig an der EU-Norm EN 301 549 orientieren. Dies entspricht entweder den WCAG-Kriterien 2.0 Level A oder den erweiterten Kriterien der WCAG-Kriterien 2.1 Level AA.