Sicherheit des POLYAS Wahlsystems auf einen Blick

Ja, POLYAS ist gemäß ISO/IEC 27001 zertifiziert, einer international anerkannten Norm für das Management von Informationssicherheitssystemen. Dadurch gewährleisten wir höchsten Datenschutz für Ihre Daten. Wir handhaben diese mit größter Sorgfalt und setzen Sicherheitskontrollen, Zugriffsbeschränkungen und Verschlüsselungstechnologien ein, um Ihre Datensicherheit zu gewährleisten. Mehr dazu >  

Im Juni 2021 hat POLYAS CORE 2.5.0 nach seiner erstmaligen Zertifizierung im Jahr 2016 erneut die internationalen Common Criteria Standards des BSI erfolgreich durchlaufen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) plant, im Frühjahr 2024 ein aktualisiertes Schutzprofil für Online-Wahlen zu veröffentlichen. POLYAS strebt aktiv danach, auch dieses neue Schutzprofil des BSI zu erfüllen und sich entsprechend zertifizieren zu lassen. Das Zertifikat BSI-DSZ-CC-0862-V2-2021 für den POLYAS Software CORE 2.5 bzw. die aktuelle Version, CORE 2.5.4, ist bis zum 24.06.2026 gültig.

Die POLYAS BSI-Zertifizierung basiert auf den Schutzprofil BSI-CC-PP-0037-2008, das mittlerweile vom BSI archiviert wurde. Dies bedeutet, dass das Schutzprofil nicht mehr für neue Produktzertifizierungen, einschließlich neuer Wahlprodukte, verwendet wird. Dennoch bleibt die Gültigkeit und Bedeutung unseres aktuellen Zertifikats erhalten. Der POLYAS CORE 2.5.4 ist damit ein bis 2026 gültiges BSI-zertifiziertes Wahlprodukt. Mehr dazu >

2023 hat das BSI, ergänzend zu dem neuen Schutzprofil, eine technische Richtlinie für Online-Wahlen veröffentlicht, die sich in erster Linie an Wahlvorstände richtet. Nach aktuellem Stand sind die Vorgaben der Richtlinie nur für Wahlen zur Gleichstellungsbeauftragten in Bundesbehörden verbindlich. Körperschaften des öffentlichen Rechts wie Hochschulen, Kammern und Genossenschaften haben hingegen in der Regel Satzungsfreiheit und können daher selbst entscheiden, ob sie die Richtlinie anwenden möchten. 

Hintergrund: Das Wahlsystem POLYAS CORE 2.5.4 oder seine neueste Version ist gemäß dem Zertifikat BSI-DSZ-CC-0862-V2-2021 bis zum 24.06.2026 zertifiziert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im März 2024 ein neues Schutzprofil für Online-Wahlen in Deutschland mit dem Titel "BSI-CC-PP-0121 Protection Profile for e-voting systems" veröffentlicht. Das Schutzprofil ist seit dem 25.03.2024 öffentlich einsehbar. 

Es ist das erklärte Ziel von POLYAS, sich auch nach dem neuen Schutzprofil des BSI zertifizieren zu lassen. Basierend auf unseren bisherigen Erfahrungen gehen wir davon aus, dass die Zertifizierung gemäß dem neuen Schutzprofil ab Beginn des Zertifizierungsprozesses mindestens zwei Jahre dauern wird. 

Zudem besteht für Online-Wahlen-Anbieter wie POLYAS die Möglichkeit, durch eine Selbstauskunft die Konformität mit dem Schutzprofil zu proklamieren, und so die Zeit bis zur Ausstellung des Zertifikats zu überbrücken. Wir planen, eine Konformitätserklärung vorzulegen, sobald die Konformität mit dem noch nicht veröffentlichten Schutzprofil BSI-CC-PP-0121 erreicht ist. 

Es besteht aber schon heute die Möglichkeit, Ihre Online-Wahl mit unserem auf das neue Schutzprofil zugeschnittenen POLYAS CORE 3 Wahlsystem umzusetzen. In der Version CORE 3.0 Verifiable deckt unsere neueste Wahlsoftware gegenwärtig weite Teile des Entwurfs des neuen BSI-Schutzprofils ab, wie zum Beispiel die Ende-zu-Ende-Verifikation.
Mehr über diese Software erfahren Sie in unserem Whitepaper Status Quo und Ausblick zur Sicherheit bei Online-Wahlen.

Mindestens einmal jährlich führen externe Prüfpartner Penetrationstests am POLYAS Wahlsystem durch. Die Prüfer schlüpfen dabei in die Rolle von Angreifern, die versuchen, in das System einzudringen. In einem mehrwöchigen Zeitraum werden alle sicherheitsrelevanten Komponenten in verschiedenen Nutzungsszenarien und Userrollen überprüft. Mehr dazu >

Ja, die Sicherheit der Online-Wahlsysteme von POLYAS wird kontinuierlich von unabhängigen externen Parteien überprüft und bestätigt. Die Online-Wahlsoftware POLYAS CORE 2.5.0 wurde erfolgreich vom Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf die Einhaltung der Anforderungen für sichere Online-Wahlprodukte gemäß internationalen Common Criteria Standards geprüft.

Das POLYAS Online-Wahlsystem für Ihre Wahl wird auf den mehrfach zertifizierten Servern der Open Telekom Cloud (OTC) gehostet. Für alle Kunden, die den Election Management-Service gebucht haben, ist das Hosting in Deutschland standardmäßig inklusive.
Die OTC-Plattform wird ausschließlich in deutschen Rechenzentren des Konzerns der Telekom AG bereitgestellt. Bei einer üblichen Online-Wahl hosten auch alle weiteren Subdienstleister ihre Systeme in Deutschland, sofern nicht anders vereinbart oder besondere Leistungen gebucht werden. Mehr Informationen finden Sie hier.

Ja. Es ist ein vorrangiges Ziel von POLYAS, sicherzustellen, dass die Anmeldung und Stimmabgabe bei Online-Wahlen auch für technisch unerfahrene Personen oder Menschen mit Behinderungen zugänglich sind. Um dieses Ziel zu erreichen, legt die POLYAS Online-Wahlsoftware besonderen Wert auf:  

- Verständlichkeit und Benutzerfreundlichkeit,
- eine klare Benutzerführung mit erklärenden Texten,
- ein einfaches Design mit leicht bedienbaren Navigationselementen,
- einen angemessenen Farbkontrast zwischen Text-, Hintergrund- und Schaltflächenfarben und
- (Fehler-)Rückmeldungen in einer leicht verständlichen Sprache.   

Wir führen regelmäßig verschiedene Zugänglichkeitstests für barrierefreies Design, allgemeines Design, Updates oder Funktionen durch. Wir bemühen uns stets um eine barrierefreie Entwicklung. Insbesondere die Anwendungsoberfläche für Wahlberechtigte orientiert sich an den BITV-Kriterien. Der BIK BITV-Test ist ein Verfahren zur umfassenden und zuverlässigen Prüfung der Barrierefreiheit von Websites, Webanwendungen und Apps.
 
Da der WCAG-Test (ein weiteres Verfahren für die umfassende Prüfung der Barrierefreiheit von Websites auf Basis der Web Content Accessibility Guidelines WCAG 2.1) mit seinen 60 Prüfpunkten eine Teilmenge des BITV-Tests mit seinen 92 Prüfpunkten ist, werden die Web Content Accessibility Guidelines durch die BITV-Kriterien abgedeckt.   

Unser Ziel ist es, unser Wahlsystem auch zukünftig zu verbessern, indem wir uns langfristig an der EU-Norm EN 301 549 orientieren. Dies entspricht entweder den WCAG-Kriterien 2.0 Level A oder den erweiterten Kriterien der WCAG-Kriterien 2.1 Level AA.