Die sichere E-Voting-Infrastruktur der Post

Die digitale Transformation schreitet unaufhaltsam voran. So ist absehbar, dass auch der zurzeit in der Schweiz noch weitgehend papierbasierte Abstimmungs- und Wahlprozess mittelfristig digitalisiert wird. Als etablierte vertrauenswürdige Transporteurin von Abstimmungsinformationen in der physischen Welt sieht die Post E-Voting als natürliche Evolution eines Teils ihres Kerngeschäfts.

Die Schweizerische Post befasst sich bereits seit 2012 mit dem Thema der elektronischen Stimmabgabe. Im November 2014 begann die Abteilung Entwicklung und Innovation zusammen mit dem Technologiepartner Scytl, mit der Entwicklung einer eigenständigen E-Voting-Lösung der letzten Generation für die Schweiz. Im November 2016 hat der Kanton Freiburg das System der Post zum ersten Mal für eidgenössische Abstimmungen und kantonale Wahlen eingesetzt. Seit Anfang 2017 nutzen die Kantone Freiburg und Neuenburg das System für jeden Urnengang. Im Januar 2017 hat zudem der Kanton Basel-Stadt entschieden, sich dem Modell der Post anzuschliessen. Die Lösung der Post wurde in einem aufwändigen Audit im März 2017 als gesetzeskonform bestätigt und ist die erste Lösung in der Schweiz, die jenseits der historischen Grenze von 30% der Stimmbürgerschaft eingesetzt werden kann.

E-Voting-Software
Die E-Voting-Kern-Software, die bei der Schweizerischen Post eingesetzt wird, wurde von der Firma Scytl in Zusammenarbeit mit der Post entwickelt. Das dafür eingesetzte Stimmabgabeprotokoll der letzten Generation besitzt eine individuelle Verifizierbarkeit und ist end-to-end-verschlüsselt. Detailliertere Informationen zur Software können dem Whitepaper «Swiss-Post Online Voting Protocol Explained» ([2]) entnommen werden.

Die Software selber erfüllt bereits hohe Anforderungen an die Sicherheit und ist von der Stimmabgabe bis zur Auswertung vollständig verschlüsselt. Die Infrastruktur ist katastrophensicher aufgebaut und kann nicht autorisierte Zugriffe von aussen wie von innen verlässlich abwehren.

IT-Infrastruktur

Die Schweizerische Post verfügt über zwei geografisch getrennte Rechenzentren, die FINMA-konform und ISO-27001- und ISO-22301-zertifiziert sind. Die Post stellt vollständige Redundanzen kritischer Versorgungssysteme und stark authentifizierte Zutrittskontrolle sicher.

Alle E-Voting-Systeme sind in beiden Rechenzentren standortredundant vorhanden. Somit ist Business Continuity jederzeit gewährleistet. Der E-Voting-Service ist (ausser der Reverse-Proxy- und der Datenbank-Infrastruktur) vollständig virtualisiert.

Das System besteht aus einer Computer-, Netzwerk- und Storage-Infrastruktur, welche gemeinsam in einer Box (Datacenter in a Box) bereitgestellt wird. Solche Systeme können modular auf- und ausgebaut werden.

Die E-Voting-Datenbankinfrastruktur besteht aus drei produktiven und zwei integrativen, dedizierten Systemen. Die Wahlurne befindet sich verschlüsselt und signiert auf der Datenbank. Die Daten werden dreifach und synchron gespeichert.

Jeder Kanton verfügt über eine eigene E-Voting-Umgebung, die logisch komplett von den Umgebungen der anderen Kantone getrennt ist. Neben der Kantonstrennung gibt es einen dedizierten Access Layer (Reverse-Proxy-Infrastruktur), der für Stimmbürgerinnen und -bürger sowie für Kantonsadministratoren aufgebaut worden ist.

Das E-Voting-Setup pro Kanton umfasst zwei getrennte Teile. Den öffentlichen Voter-Teil sowie den Admin-Teil. Die beiden Ausprägungen sind komplett getrennt, Querverbindungen sind nicht zugelassen und durch Firewalls verunmöglicht. Sowohl der öffentliche Voter-Teil wie auch der Admin-Teil bestehen aus mehreren hintereinander gestaffelten Servern in unterschiedlichen, durch Firewalls getrennten Netzwerk Areas und Layer.

Für Kantone gibt es zwei unterschiedliche Zugangsmöglichkeiten. Falls der Kanton über eine eigene Infrastruktur und ein eigenes Portal verfügt, können Stimmbürgerinnen und -bürger des entsprechenden Kantons den Urnengang darüber abwickeln (Variante 2 in der Grafik).

Kantone ohne eigenes Portal können für ihre Stimmbürgerinnen und -bürger das Voter-Portal der Schweizerischen Post nutzen (Variante 1 in der Grafik).

E-Voting-Sicherheitsmassnahmen
Die E-Voting-Software der Firma Scytl sichert die Wahl und die Wahlurne mittels Stimmabgabeprotokoll der letzten Generation, der individuellen Verifizierbarkeit und der End-to-End-Verschlüsselung bereits umfassend. Die Post stellt den Transport der verschlüsselten Wahlzettel und der verschlüsselten Wahlurne sicher. Dieser Transport wird auf den Systemen der Post durch zusätzliche Sicherheitsmassnahmen gewährleistet. Die nachfolgende Darstellung zeigt die sicherheitsrelevanten Aspekte auf, die für die E-Voting-Lösung umgesetzt wurden.

  • Sicherheitsmassnahmen durch Access Layer / Reverse Proxies:
    Ein grosser Teil der Sicherheitsmassnahmen konzentriert sich auf den Access Layer mit seinen Reverse Proxies. Im Kern geht es darum, Mandatory Access Control sowohl auf Betriebssystem- wie auch Applikationsebene durchzusetzen.
  • Sicherheitsmassnahmen durch Firewalls, Zonen und Areas:
    Das Zonen- und Area-Konzept trennt die Server netzwerktechnisch voneinander. Das heisst, Access Layer, Voter-Frontend, Voter-Portal, Admin-Portal, Admin-Backend und die Datenbank sind in unterschiedlichen Netzen und sehen einander nicht. Jede Zone und jede Area sind durch Firewalls geschützt. Der Access Layer ist physisch vom Rest der E-Voting-Infrastruktur getrennt.
  • Sicherheitsmassnahmen durch Hochsicherheits-Betriebssystem:
    Die Infrastruktur ist auf einem Open Source-Hochsicherheits-Betriebssystem gebaut, das den Mechanismus der Zugriffskontrolle unterstützt. Alle Server der E-Voting-Plattform haben dieses Betriebssystem im Einsatz.
    Dieses Hochsicherheits-Betriebssystem bedeutet, dass ein E-Voting-Server Prozess in einem eigenen Kontext läuft und vollständig abgekapselt wird. Das heisst, der Prozess kann nur auf die vorgesehenen Ressourcen des Systems zugreifen.
  • Sicherheitsmassnahmen durch 4-Augen-Prinzip:
    Das 4-Augen-Prinzip kontrolliert den administrativen Zugang zur kompletten E-Voting-Infrastruktur. Wenn ein System-Administrator auf eine E-Voting-Komponente zugreifen will, braucht er eine Token-Nummer, die er nach Identitäts- und Begründungsprüfung von einer anderen Person aus einer anderen Fachabteilung erhält. Diese Token-Nummer ist nur einmal gültig und verfällt, sobald sich der Administrator wieder abmeldet.

Weiterführende Informationen können dem Whitepaper «E-Voting Infrastruktur» ([3]) entnommen werden.


Referenzen:

  1. Swiss Online Voting Protocol, R&D Scytl Secure Electronic Voting.
    https://www.post.ch/-/media/post/evoting/dokumente/swiss-post-online-voting-protocol.pdf
  2. Individual Verifiability, Swiss Post E-Voting Protocol Explained.
    https://www.post.ch/-/media/post/evoting/dokumente/swiss-post-online-voting-protocol-explained.pdf
  3. Whitepaper Übersicht über die Infrastruktur des E-Votings der Schweizerischen Post.
    https://www.post.ch/-/media/post/evoting/dokumente/whitepaper-infrastruktur-post-e-voting.pdf

AUTOR/AUTORIN: Denis Morel

Leiter E-Voting, die Schweizerische Post

AUTOR/AUTORIN: Raffaele Stefanelli

IT Projektleiter E-Voting, die Schweizerische Post

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.