Überprüfung von Systemen

Die Beschaffung eines E-Voting-Systems ist Sache der Kantone und sie können ein eigenes System betreiben, das System eines anderen Kantons verwenden oder ein privates Unternehmen beiziehen (Art. 27kbis  Abs. 1 Bst. b VPR). Der Bund setzt den regulatorischen Rahmen und ist für die Bewilligungen zuständig.

Gemäss Bundesrecht werden nur vollständig verifizierbare E-Voting-Systeme zugelassen, die im Bereich der Überprüfung und Transparenz folgende Voraussetzungen erfüllen müssen:

  • Unabhängige Überprüfung im Auftrag des Bundes: E-Voting-Systeme und deren Betrieb werden einer unabhängigen Überprüfung im Auftrag des Bundes unterzogen (Art. 27l VPR und Art. 10 VEleS i.V.m. Ziff. 26 des Anhangs zur VEleS). Damit sollen eine wirksame Prüfung der Erfüllung der bundesrechtlichen Anforderungen und der Wirksamkeit von risikominimierenden Massnahmen sowie das Verbesserungspotential erörtert werden. 
  • Offenlegung von Informationen zum System und dessen Betrieb: Die Kantone sorgen dafür, dass umfassende Informationen zum System und dessen Betrieb offengelegt werden; dazu gehören insbesondere der Quellcode und die Dokumentation (Art. 27lbis VPR und Art. 11-12 VEleS).
  • Öffentliche Überprüfung: Die Öffentlichkeit und Fachkreise werden für die Verbesserung von E-Voting-Systemen einbezogen (Art. 27lter VPR). Insbesondere setzen die Kantone ein ständiges Bug-Bounty-Programm um (Art. 13 VEleS).

Unabhängige Überprüfung Post-System 2021

Einzelne Kantone beabsichtigen, die Versuche mit dem neuen E-Voting-System der Schweizerischen Post wieder aufzunehmen. Gestützt auf die revidierten Rechtsgrundlagen hat die Bundeskanzlei im Juli 2021 eine unabhängige Überprüfung dieses Systems und seines Betriebs gestartet (vgl. dazu die Medienmitteilung der BK vom 05.07.2021).

Mit der Überprüfung wurden Expertinnen und Experten aus Wissenschaft und Industrie beauftragt. Sie betrifft vier Bereiche: das kryptografische Protokoll des Systems (Scope 1), die zum Einsatz gelangende Software (Scope 2), die Infrastruktur und den Betrieb bei der Post (Scope 3) sowie einen Intrusionstest, dem das System ausgesetzt werden muss (Scope 4). Die Überprüfung dauerte von Juli 2021 bis Februar 2022. Basis dafür waren Versionen des Systems von Sommer bis Herbst 2021. Die Überprüfung der Infrastruktur und des Betriebs bei den Kantonen ist noch im Gang. 

Nun liegen die ersten Prüfberichte vor. Berichte zu weiteren nötigen Überprüfungen werden publiziert, wenn sie vorliegen.

Hinweis: Die Prüfberichte beziehen sich auf die bundesrechtlichen Anforderungen gemäss Vernehmlassungsvorlage vom 28. April 2021: https://fedlex.data.admin.ch/eli/dl/proj/2021/61/cons_1

 

Die Überprüfung erfolgte anhand dieses Auditkonzepts:

Stellungnahme der Schweizerischen Post zu den Ergebnissen der unabhängigen Überprüfung 2021:

www.evoting-blog.ch/de/pages/2022/unabhaengige-pruefung-einblick-in-die-laufenden-arbeiten-bei-der-post

Medienmitteilung der Bundeskanzlei:

20.04.2022

E-Voting: Ergebnisse der ersten unabhängigen Überprüfung liegen vor

Das E-Voting-System, das die Schweizerische Post derzeit entwickelt, wurde massgeblich verbessert. Gleichzeitig sind noch weitere zum Teil wesentliche Entwicklungsschritte nötig. Dies zeigen die ersten unabhängigen Prüfberichte, die Expertinnen und Experten im Auftrag der Bundeskanzlei erstellt haben. Die Ergebnisse der Überprüfung fliessen in die Weiterentwicklung des Systems ein.


Offenlegung des neuen Post-Systems


Frühere Überprüfungen und Transparenzmassnahmen

https://www.bk.admin.ch/content/bk/de/home/politische-rechte/e-voting/ueberpruefung_systeme.html