Bei grossen Gesetzen wie OR und ZGB kann dies bis zu 30 Sekunden dauern

Verordnung der BK
über die elektronische Stimmabgabe
(VEleS)

vom 25. Mai 2022 (Stand am 1. Juli 2022)

Die Schweizerische Bundeskanzlei (BK),

gestützt auf die Artikel 27e Absatz 1bis, 27g Absatz 2, 27i Absatz 3
und 27l Absätze 3 und 4 der Verordnung vom 24. Mai 19781
über die politischen Rechte (VPR),

verordnet:

1 SR 161.11

Anhang

(Art. 2 Abs. 1 Bst. k und 2, 9, 10 Abs. 1 und 2 sowie 16 Abs. 1)

1

Art. 1 Gegenstand  

Die­se Ver­ord­nung re­gelt die Vor­aus­set­zun­gen für die Er­tei­lung der Zu­las­sung von Ver­su­chen mit der elek­tro­ni­schen Stimm­ab­ga­be.
Art. 2 Begriffe  

1 Die fol­gen­den Aus­drücke be­deu­ten:

a.
Sys­tem: Ge­samt­heit der Soft­wa­re und der In­fra­struk­tu­ren, die für die Durch­füh­rung von elek­tro­ni­schen Ur­nen­gän­gen ver­wen­det wer­den;
b.
On­li­ne-Sys­tem: Teil des Sys­tems, der zur Stimm­rechts­prü­fung, zur Ab­ga­be der ver­schlüs­sel­ten Stim­me und zur Auf­be­wah­rung der ver­schlüs­sel­ten Stim­me ver­wen­det wird;
c.
ver­trau­ens­wür­di­ger Sys­tem­teil: Teil des Sys­tems, der ei­ne oder meh­re­re Grup­pen von Kon­troll­kom­po­nen­ten um­fasst; die Ver­trau­ens­wür­dig­keit die­ses Sys­tem­teils er­gibt sich da­durch, dass Miss­bräu­che auch dann auf­ge­deckt wer­den kön­nen, wenn nur ei­ne der Kon­troll­kom­po­nen­ten ei­ner Grup­pe kor­rekt funk­tio­niert;
d.
Kon­troll­kom­po­nen­ten: un­ab­hän­gi­ge Kom­po­nen­ten des Sys­tems, die un­ter­schied­lich aus­ge­stal­tet sind, von un­ter­schied­li­chen Per­so­nen be­trie­ben wer­den und durch be­son­de­re Mass­nah­men ge­si­chert sind;
e.
Sys­tem­be­trei­ber: Be­hör­den oder Pri­vat­un­ter­neh­men, die auf Wei­sung des Kan­tons bei ei­nem Ur­nen­gang das On­li­ne-Sys­tem be­trei­ben und die­ses war­ten;
f.
Be­trieb: al­le Hand­lun­gen mit tech­ni­schem, ad­mi­nis­tra­ti­vem oder recht­li­chem Be­zug so­wie die ent­spre­chen­den Füh­rungs­tä­tig­kei­ten ei­nes Kan­tons, ei­nes Sys­tem­be­trei­bers oder ei­ner Dru­cke­rei, die für die Durch­füh­rung von elek­tro­ni­schen Ur­nen­gän­gen er­for­der­lich sind, ein­sch­liess­lich der War­tung;
g.
Be­triebs­stel­len: die für den Be­trieb zu­stän­di­gen Or­ga­ni­sa­tio­nen oder Or­ga­ni­sa­ti­ons­ein­hei­ten, wie ei­ne Staats­kanz­lei, ein Sys­tem­be­trei­ber oder ei­ne Dru­cke­rei;
h.
Prü­fe­rin­nen und Prü­fer: Per­so­nen, die im Auf­trag des Kan­tons den kor­rek­ten Ab­lauf des Ur­nen­gangs prü­fen;
i.
In­fra­struk­tur: Hard­wa­re, Soft­wa­re von Dritt­kom­po­nen­ten nach Ar­ti­kel 11 Ab­satz 2 Buch­sta­be a, Netz­wer­k­ele­men­te, Räum­lich­kei­ten, Ser­vices und Be­triebs­mit­tel jeg­li­cher Art bei al­len Be­triebs­stel­len, die zum si­che­ren Be­trieb der elek­tro­ni­schen Stimm­ab­ga­be er­for­der­lich sind;
j.
Soft­wa­re: ge­sam­te Im­ple­men­tie­rung aus­ge­hend vom kryp­to­gra­fi­schen Pro­to­koll für die voll­stän­di­ge Ve­ri­fi­zier­bar­keit, die durch die Soft­wa­re­ent­wick­le­rin oder den Soft­wa­re­ent­wick­ler für die elek­tro­ni­sche Stimm­ab­ga­be vor­ge­nom­men wur­de;
k.
kryp­to­gra­fi­sches Pro­to­koll: Pro­to­koll mit kryp­to­gra­fi­schen Si­cher­heits­funk­tio­nen zur Er­rei­chung der An­for­de­run­gen im An­hang Zif­fer 2; das kryp­to­gra­fi­sche Pro­to­koll ist in der Mo­del­le­be­ne an­ge­sie­delt und ent­hält so­mit kei­ne di­rek­ten An­wei­sun­gen für die Im­ple­men­tie­rung, son­dern ab­strak­te Si­cher­heits­funk­tio­nen;
l.
Be­nut­zer­platt­form: mul­ti­funk­tio­na­les, pro­gram­mier­ba­res Ge­rät, das mit dem In­ter­net ver­bun­den ist und zur Stimm­ab­ga­be ver­wen­det wird, wie ein han­dels­üb­li­cher Com­pu­ter, ein Smart­pho­ne oder ein Ta­blet;
m.
re­gis­trier­te Stim­me: Stim­me, die vom ver­trau­ens­wür­di­gen Sys­tem­teil als end­gül­tig ab­ge­ge­be­ne Stim­me zur Kennt­nis ge­nom­men wor­den ist;
n.
Teil­stim­me:
1.
bei Ab­stim­mun­gen: Stim­me für ei­ne Vor­la­ge, einen Ge­gen­vor­schlag
oder ei­ne Stich­fra­ge,
2.
bei Wahlen: die Wahl ei­ner Lis­te oder ei­ner kan­di­die­ren­den Per­son;
o.
sys­tem­kon­form ab­ge­ge­be­ne Stim­me:Stim­me:
1.
die ei­ner vor­ge­se­he­nen Art ent­spricht, einen Stimm- oder Wahl­zet­tel aus­zu­fül­len,
2.
die ei­ne Ab­sen­de­rin oder ein Ab­sen­der end­gül­tig ab­ge­ge­ben hat,
3.
de­ren ver­wen­de­ten cli­ent­sei­ti­gen Au­then­ti­sie­rungs­merk­ma­le be­zie­hungs­wei­se de­ren dar­aus re­sul­tie­ren­den Au­then­ti­sie­rungs­nach­rich­ten den ser­ver­sei­ti­gen Au­then­ti­sie­rungs­merk­ma­len ent­spre­chen, die in der Vor­be­rei­tungs­pha­se des Ur­nen­gangs fest­ge­legt und ei­ner stimm­be­rech­tig­ten Per­son zu­ge­wie­sen wur­den, und
4.
die un­ter Ver­wen­dung von Au­then­ti­sie­rungs­merk­ma­len ab­ge­ge­ben wird, die nicht be­reits für ei­ne an­de­re ab­ge­ge­be­ne Stim­me ver­wen­det wur­den, die der ver­trau­ens­wür­di­ge Sys­tem­teil des On­li­ne-Sys­tems be­reits re­gis­triert hat;
p.
cli­ent­sei­ti­ges Au­then­ti­sie­rungs­merk­mal: für die ein­zel­nen stimm­be­rech­tig­ten Per­so­nen in­di­vi­du­ell be­reit­ge­stell­te In­for­ma­ti­on, wie ein PIN, die die­se Per­so­nen – al­len­falls zu­sam­men mit wei­te­ren cli­ent­sei­ti­gen Au­then­ti­sie­rungs­merk­ma­len – brau­chen, um ei­ne Stim­me ab­ge­ben zu kön­nen;
q.
ser­ver­sei­ti­ges Au­then­ti­sie­rungs­merk­mal: In­for­ma­ti­on, die es – al­len­falls zu­sam­men mit wei­te­ren ser­ver­sei­ti­gen Au­then­ti­sie­rungs­merk­ma­len – braucht, um mit­hil­fe von Au­then­ti­sie­rungs­nach­rich­ten die Ab­sen­de­rin oder den Ab­sen­der ei­ner Stim­me als stimm­be­rech­tig­te Per­son zu au­then­ti­sie­ren;
r.
Au­then­ti­sie­rungs­nach­rich­ten: In­for­ma­tio­nen, die ei­ne Be­nut­zer­platt­form nach der Ein­ga­be des cli­ent­sei­ti­gen Au­then­ti­sie­rungs­merk­mals an das On­li­ne-Sys­tem über­mit­telt, da­mit die­ses die Ab­sen­de­rin oder den Ab­sen­der ei­ner Stim­me als stimm­be­rech­tig­te Per­son au­then­ti­siert;
s.
Zer­ti­fi­kat: Do­ku­ment, das be­stä­tigt, dass ein Prü­f­ob­jekt mit ei­nem Re­fe­renz­rah­men oder ei­nem Stan­dard kon­form ist;
t.
elek­tro­ni­sches Zer­ti­fi­kat: Da­ten­satz, der be­stimm­te Merk­ma­le von Per­so­nen oder Ob­jek­ten be­stä­tigt, und des­sen Au­then­ti­zi­tät und In­te­gri­tät durch kryp­to­gra­fi­sche Ver­fah­ren ge­prüft wer­den kön­nen; das elek­tro­ni­sche Zer­ti­fi­kat wird haupt­säch­lich zur Iden­ti­fi­zie­rung und Au­then­ti­fi­zie­rung der In­ha­be­rin oder des In­ha­bers und zur Ver­schlüs­se­lung von Nach­rich­ten ver­wen­det;
u.
kri­ti­sche Hand­lun­gen und Ope­ra­tio­nen: Vor­gän­ge, bei de­nen kri­ti­sche Da­ten be­ar­bei­tet wer­den;
v.
kri­ti­sche Da­ten: Da­ten, de­ren In­te­gri­tät oder Ver­trau­lich­keit für die Er­fül­lung der An­for­de­run­gen an das kryp­to­gra­fi­sche Pro­to­koll mass­ge­blich ist.

2 Im Üb­ri­gen gel­ten die Be­grif­fe im An­hang Zif­fer 1.
Art. 3 Grundvoraussetzungen für die Zulassung der elektronischen Stimmabgabe pro Urnengang  

Die Zu­las­sung der elek­tro­ni­schen Stimm­ab­ga­be er­folgt pro Ur­nen­gang; sie wird er­teilt, wenn fol­gen­de Vor­aus­set­zun­gen er­füllt sind:

a.
Das Sys­tem ist so aus­ge­stal­tet und wird so be­trie­ben, dass ei­ne ve­ri­fi­zier­ba­re, si­che­re und ver­trau­ens­wür­di­ge elek­tro­ni­sche Stim­mab­ga­be ge­währ­leis­tet ist.
b.
Das Sys­tem ist für die stimm­be­rech­tig­ten Per­so­nen ein­fach zu hand­ha­ben; die be­son­de­ren Be­dürf­nis­se mög­lichst al­ler stimm­be­rech­tig­ten Per­so­nen sind be­rück­sich­tigt.
c.
Das Sys­tem und die be­trieb­li­chen Ab­läu­fe sind so aus­ge­stal­tet und do­ku­men­tiert, dass die tech­ni­schen und or­ga­ni­sa­to­ri­schen Ab­läu­fe im De­tail über­prüft und nach­voll­zo­gen wer­den kön­nen.
d.
Der Öf­fent­lich­keit wer­den adres­sa­ten­ge­rech­te In­for­ma­tio­nen zur Funk­ti­ons­wei­se des Sys­tems und zu den be­trieb­li­chen Ab­läu­fen zu­gäng­lich ge­macht und An­rei­ze zur Mit­wir­kung von fach­kun­di­gen Per­so­nen aus der Öf­fent­lich­keit sind vor­han­den.
Art. 4 Risikobeurteilung  

1 Der Kan­ton führt ei­ne Ri­si­ko­be­ur­tei­lung durch, mit der er nach­weist und be­grün­det, dass die Si­cher­heits­ri­si­ken in sei­nem Ver­ant­wor­tungs­be­reich hin­rei­chend ge­ring sind. Da­bei sind auch das Ver­trau­en und die Ak­zep­tanz der Öf­fent­lich­keit in die elek­tro­ni­sche Stimm­ab­ga­be zu be­rück­sich­ti­gen.

2 Er prüft, ob er Ri­si­ken im Auf­ga­ben­be­reich sei­ner Dienst­leis­ter sel­ber be­ur­tei­len kann und in­wie­fern se­pa­ra­te Ri­si­ko­be­ur­tei­lun­gen durch die­se nö­tig sind. Ge­ge­be­nen­falls for­dert er die­se se­pa­ra­ten Ri­si­ko­be­ur­tei­lun­gen ein.

3 Die Ri­si­ko­be­ur­tei­lun­gen be­zie­hen sich auf fol­gen­de Si­cher­heits­zie­le:

a.
Kor­rekt­heit des Er­geb­nis­ses;
b.
Wah­rung des Stimm­ge­heim­nis­ses und Aus­schluss von vor­zei­ti­gen Teil­er­geb­nis­sen;
c.
Er­reich­bar­keit und Funk­ti­ons­fä­hig­keit des Stimm­ka­nals;
d.
Schutz der per­sön­li­chen In­for­ma­tio­nen über die stimm­be­rech­tig­ten Per­so­nen;
e.
Schutz der für die stimm­be­rech­tig­ten Per­so­nen be­stimm­ten In­for­ma­tio­nen vor Ma­ni­pu­la­tio­nen;
f.
kei­ne miss­bräuch­li­che Ver­wen­dung von Be­wei­sen zum Stimm­ver­hal­ten.

4 Je­des Ri­si­ko wird mit Be­zug auf die fol­gen­den Ei­gen­schaf­ten an­hand der Do­ku­men­ta­ti­on zum Sys­tem und zu des­sen Be­trieb iden­ti­fi­ziert und klar be­schrie­ben:

a.
Si­cher­heits­zie­le;
b.
all­fäl­li­ge mit den Si­cher­heits­zie­len ver­bun­de­nen Da­ten­sät­ze;
c.
Be­dro­hun­gen;
d.
Schwach­stel­len.
Art. 5 Anforderungen an die vollständige Verifizierbarkeit  

1 Es ist si­cher­ge­stellt, dass je­de Ma­ni­pu­la­ti­on, die zu ei­ner Ver­fäl­schung des Er­geb­nis­ses führt, un­ter Wah­rung des Stimm­ge­heim­nis­ses er­kannt wer­den kann (voll­stän­di­ge Ve­ri­fi­zier­bar­keit). Dies gilt als ge­ge­ben, wenn die An­for­de­run­gen an die in­di­vi­du­el­le und an die uni­ver­sel­le Ve­ri­fi­zier­bar­keit er­füllt sind.

2 Es be­ste­hen die fol­gen­den An­for­de­run­gen an die in­di­vi­du­el­le Ve­ri­fi­zier­bar­keit:

a.
Der stim­men­den Per­son wird die Mög­lich­keit ge­ge­ben zu er­ken­nen, ob ih­re Stim­me, wie sie sie in die Be­nut­zer­platt­form ein­ge­ge­ben hat,auf der Be­nut­zer­platt­form oder auf dem Über­tra­gungs­weg ma­ni­pu­liert oder ab­ge­fan­gen wor­den ist; da­zu er­hält die stim­men­de Per­son einen Be­weis, dass der ver­trau­ens­wür­di­ge Sys­tem­teil (Art. 8) die Stim­me so, wie sie die stim­men­de Per­son in die Be­nut­zer­platt­form ein­ge­ge­ben hat, als sys­tem­kon­form ab­ge­ge­ben re­gis­triert hat; der Be­weis be­stä­tigt für je­de Teil­stim­me die kor­rek­te Re­gis­trie­rung.
b.
Ei­ne stimm­be­rech­tig­te Per­son, die ih­re Stim­me nicht elek­tro­nisch ab­ge­ge­ben hat, kann nach der Schlies­sung des elek­tro­ni­schen Stimm­ka­nals in­nert der ge­setz­li­chen Be­schwer­de­fris­ten einen Be­weis an­for­dern, dass der ver­trau­ens­wür­di­ge Sys­tem­teil kei­ne Stim­me re­gis­triert hat, die un­ter Ver­wen­dung des cli­ent­sei­ti­gen Au­then­ti­sie­rungs­merk­mals der stimm­be­rech­tig­ten Per­son ab­ge­ge­ben wur­de.

3 Es be­ste­hen die fol­gen­den An­for­de­run­gen an die uni­ver­sel­le Ve­ri­fi­zier­bar­keit:

a.
Zur uni­ver­sel­len Ve­ri­fi­zie­rung er­hal­ten die Prü­fe­rin­nen und Prü­fer einen Be­weis der kor­rek­ten Er­geb­ni­ser­mitt­lung; der Be­weis be­stä­tigt, dass das er­mit­tel­te Er­geb­nis fol­gen­de Stim­men be­rück­sich­tigt:
1.
al­le sys­tem­kon­form ab­ge­ge­be­nen Stim­men, die durch den ver­trau­ens­wür­di­gen Sys­tem­teil re­gis­triert wur­den;
2.
aus­sch­liess­lich sys­tem­kon­form ab­ge­ge­be­ne Stim­men;
3.
al­le Teil­stim­men ge­mä­ss des im Rah­men der in­di­vi­du­el­len Ve­ri­fi­zie­rung ge­ne­rier­ten Be­wei­ses.
b.
Die Prü­fe­rin­nen und Prü­fer wer­ten den Be­weis in ei­nem be­ob­acht­ba­ren Pro­zess aus; da­zu müs­sen sie tech­ni­sche Hilfs­mit­tel ver­wen­den, die vom Rest des Sys­tems un­ab­hän­gig und iso­liert sind.
Art. 6 Stichhaltigkeit der Beweise  

Für die Stich­hal­tig­keit der Be­wei­se nach Ar­ti­kel 5 mass­ge­bend ist die Ver­trau­ens­wür­dig­keit:

a.
des ver­trau­ens­wür­di­gen Sys­tem­teils für Be­wei­se nach Ar­ti­kel 5 Ab­sät­ze 2 und 3;
b.
des Ver­fah­rens bei der Ge­ne­rie­rung und beim Druck des Stimm­ma­te­ri­als für Be­wei­se nach Ar­ti­kel 5 Ab­satz 2; und
c.
des tech­ni­schen Hilfs­mit­tels, das von den Prü­fe­rin­nen und Prü­fern zur Über­prü­fung ein­ge­setzt wird, für Be­wei­se nach Ar­ti­kel 5 Ab­satz 3.
Art. 7 Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen  

Für die Wah­rung des Stimm­ge­heim­nis­ses und den Aus­schluss von vor­zei­ti­gen Teil­er­geb­nis­sen in­ner­halb der In­fra­struk­tur mass­ge­bend ist die Ver­trau­ens­wür­dig­keit:

a.
des ver­trau­ens­wür­di­gen Sys­tem­teils;
b.
des Ver­fah­rens bei der Ge­ne­rie­rung und beim Druck des Stimm­ma­te­ri­als.
Art. 8 Anforderungen an den vertrauenswürdigen Systemteil  

1 Der ver­trau­ens­wür­di­ge Sys­tem­teil um­fasst ei­ne oder meh­re­re Grup­pen von Kon­troll­kom­po­nen­ten.

2 Be­wei­se sind auch dann stich­hal­tig (Art. 6) und das Stimm­ge­heim­nis ist auch dann ge­wahrt (Art. 7), wenn pro Grup­pe nur ei­ne der Kon­troll­kom­po­nen­ten kor­rekt funk­tio­niert.

3 Die Ver­trau­ens­wür­dig­keit des ver­trau­ens­wür­di­gen Sys­tem­teils wird über die un­ter­schied­li­che Aus­ge­stal­tung der Kon­troll­kom­po­nen­ten so­wie die Un­ab­hän­gig­keit von de­ren Be­trieb und de­ren Über­wa­chung si­cher­ge­stellt.
Art. 9 Zusätzliche Massnahmen zur Risikominimierung  

Sind die Ri­si­ken trotz der er­grif­fe­nen Mass­nah­men nicht hin­rei­chend ge­ring, so müs­sen zu­sätz­li­che Mass­nah­men zur Ri­si­komi­ni­mie­rung er­grif­fen wer­den. Dies gilt ins­be­son­de­re auch dann, wenn sämt­li­che An­for­de­run­gen des An­hangs be­reits um­ge­setzt sind.
Art. 10 Anforderungen an die Überprüfung  

1 Un­ab­hän­gi­ge Stel­len prü­fen im Auf­trag der Bun­des­kanz­lei:

a.
das kryp­to­gra­fi­sche Pro­to­koll (An­hang Ziff. 26.1);
b.
die Soft­wa­re des Sys­tems (An­hang Ziff. 26.2);
c.
die Si­cher­heit von In­fra­struk­tur und Be­trieb (An­hang Ziff. 26.3);
d.
den Schutz ge­gen Ver­su­che, in die In­fra­struk­tur ein­zu­drin­gen (An­hang Ziff. 26.4).

2 Der Kan­ton stellt si­cher, dass der Sys­tem­be­trei­ber über ein In­for­ma­ti­ons­si­cher­heits­ma­na­ge­ment-Sys­tem (ISMS) ver­fügt und die­ses von un­ab­hän­gi­gen Stel­len ge­prüft wird (An­hang Ziff. 26.5). Das ISMS um­fasst min­des­tens die Pro­zes­se und die In­fra­struk­tur des Sys­tem­be­trei­bers, die für die Er­rei­chung der Si­cher­heits­zie­le re­le­vant sind.

3 Der Kan­ton stellt si­cher, dass die Bun­des­kanz­lei und die von ihr be­auf­trag­ten un­ab­hän­gi­gen Stel­len für die Durch­füh­rung der Prü­fun­gen nach Ab­satz 1 Zu­gang zum Sys­tem und den not­wen­di­gen Un­ter­la­gen er­hal­ten.

4 Die nach den Ab­sät­zen 1 und 2 für die Prü­fun­gen zu­stän­di­gen Be­hör­den pu­bli­zie­ren die Be­le­ge und die Zer­ti­fi­ka­te. Zu­sätz­lich sind wei­te­re Un­ter­la­gen zu pu­bli­zie­ren, so­fern sie für die Nach­voll­zieh­bar­keit re­le­vant sind. Nicht pu­bli­ziert wer­den müs­sen Do­ku­men­te oder Tei­le von Do­ku­men­ten, für die ei­ne be­grün­de­te Aus­nah­me ins­be­son­de­re ge­stützt auf das Öf­fent­lich­keits- oder das Da­ten­schutz­recht vor­liegt.
Art. 11 Offenlegung des Quellcodes und der Dokumentation zum System und dessen Betrieb  

1 Der Kan­ton sorgt da­für, dass fol­gen­de Un­ter­la­gen of­fen­ge­legt wer­den:

a.
der Quell­co­de der Soft­wa­re des Sys­tems ein­sch­liess­lich der Da­tei­en mit re­le­van­ten Pa­ra­me­tern;
b.
ein Nach­weis, dass die ma­schi­nen­les­ba­ren Pro­gram­me aus dem pu­bli­zier­ten Quell­co­de der Soft­wa­re er­stellt wor­den sind;
c.
die Do­ku­men­ta­ti­on der Soft­wa­re;
d.
die Do­ku­men­ta­ti­on des Ent­wick­lungs­pro­zes­ses;
e.
An­lei­tun­gen und er­gän­zen­de Do­ku­men­ta­tio­nen, die fach­kun­di­ge Per­so­nen be­nö­ti­gen, um das Sys­tem aus­ge­hend vom Quell­co­de in der ei­ge­nen In­fra­struk­tur kom­pi­lie­ren, in Be­trieb neh­men und ana­ly­sie­ren zu kön­nen;
f.
die tech­ni­schen Spe­zi­fi­ka­tio­nen der wich­ti­gen Kom­po­nen­ten des Sys­tems;
g.
die Do­ku­men­ta­ti­on der Pro­zes­se für den Be­trieb, die War­tung und die Si­che­rung des Sys­tems;
h.
In­for­ma­tio­nen und Be­schrei­bun­gen zu be­kann­ten Män­geln.

2 Nicht of­fen­ge­legt wer­den müs­sen:

a.
der Quell­co­de von Dritt­kom­po­nen­ten wie Be­triebs­sys­te­men, Da­ten­ban­ken, Web- und Ap­pli­ka­ti­ons­ser­vern, Rech­te­ver­wal­tungs­sys­te­men, Fi­re­walls oder Rou­tern, so­fern die­se weit ver­brei­tet sind und lau­fend ak­tua­li­siert wer­den;
b.
der Quell­co­de von Be­hör­den­por­ta­len, die mit dem Sys­tem ver­bun­den sind;
c.
Do­ku­men­te oder Tei­le von Do­ku­men­ten, für die ei­ne be­grün­de­te Aus­nah­me von ei­ner Pu­bli­ka­ti­on ins­be­son­de­re ge­stützt auf das Öf­fent­lich­keits- oder das Da­ten­schutz­recht vor­liegt.
Art. 12 Modalitäten der Offenlegung  

1 Die nach Ar­ti­kel 11 of­fen­zu­le­gen­den Un­ter­la­gen müs­sen so auf­be­rei­tet und do­ku­men­tiert sein, dass sich das Le­sen und Ana­ly­sie­ren mög­lichst ein­fach ge­stal­tet.

2 Um ei­ne Über­prü­fung durch die Öf­fent­lich­keit zu er­mög­li­chen, müs­sen die Un­ter­la­gen:

a.
ein­fach, un­ent­gelt­lich und oh­ne Re­gis­trie­rung über das In­ter­net be­zieh­bar sein; und
b.
recht­zei­tig vor dem ge­plan­ten Ein­satz des Sys­tems ver­füg­bar sein.

3 Je­de Per­son darf den Quell­co­de zu ide­el­len Zwe­cken un­ter­su­chen, ver­än­dern, kom­pi­lie­ren und aus­füh­ren so­wie Stu­di­en da­zu ver­fas­sen. Sie darf Stu­di­en und Er­kennt­nis­se zu Män­geln pu­bli­zie­ren. Sie darf sich ins­be­son­de­re für die Feh­ler­su­che mit wei­te­ren Per­so­nen aus­tau­schen und da­bei aus den of­fen­ge­leg­ten In­for­ma­tio­nen zi­tie­ren.

4 Die In­ha­be­rin oder der In­ha­ber des Quell­co­des kann:

a.
die Nut­zung des Quell­co­des zu an­de­ren Zwe­cken er­lau­ben;
b.
für die Ein­rei­chung von Hin­wei­sen zur Ver­bes­se­rung des Sys­tems spe­zi­fi­sche Be­din­gun­gen fest­le­gen; da­bei kann sie oder er da­zu auf­for­dern, Män­gel um­ge­hend zu mel­den und für Pu­bli­ka­tio­nen zu ver­mu­te­ten Män­geln ei­ne be­stimm­te Frist ein­zu­hal­ten.

5 Stellt sie oder er Nut­zungs­be­din­gun­gen für den Quell­co­de und die Do­ku­men­ta­ti­on oder Be­din­gun­gen nach Ab­satz 4 Buch­sta­be b auf, so darf sie oder er Ver­stös­se da­ge­gen nur dann zi­vil- oder straf­recht­lich ver­fol­gen, wenn ei­ne Per­son den Quell­co­de oder Tei­le da­von kom­mer­zi­ell ver­wen­det oder pro­duk­tiv ein­setzt. In den Nut­zungs­be­din­gun­gen und den Be­din­gun­gen ist dar­auf hin­zu­wei­sen.
Art. 13 Einbezug der Öffentlichkeit  

1 Der Kan­ton be­zeich­net ei­ne Stel­le, bei der in­ter­es­sier­te Per­so­nen Hin­wei­se zur Ver­bes­se­rung des Sys­tems ein­rei­chen kön­nen, dar­un­ter:

a.
Hin­wei­se zu Män­geln in den of­fen­ge­leg­ten Un­ter­la­gen nach Ar­ti­kel 11;
b.
Hin­wei­se auf der Grund­la­ge von Ver­su­chen zum Ein­drin­gen in das On­li­ne-Sys­tem im Rah­men von öf­fent­li­chen Tests.

2 Die Stel­le nach Ab­satz 1 wer­tet die Hin­wei­se aus und in­for­miert die hin­weis­ge­ben­de Per­son über ih­re Ein­schät­zung und all­fäl­li­ge Mass­nah­men, die ge­stützt auf den Hin­weis ge­trof­fen wer­den. Die­se In­for­ma­tio­nen wer­den pu­bli­ziert.

3 Der Kan­ton sorgt da­für, dass Hin­wei­se, die einen Be­zug zur Si­cher­heit ha­ben und die zu Ver­bes­se­run­gen des Sys­tems bei­tra­gen, an­ge­mes­sen fi­nan­zi­ell ver­gü­tet wer­den.
Art. 14 Verantwortung und Zuständigkeiten für den korrekten Ablauf des Urnengangs mit der elektronischen Stimmabgabe  

1 Der Kan­ton trägt die Ge­samt­ver­ant­wor­tung für den kor­rek­ten Ab­lauf des Ur­nen­gangs mit der elek­tro­ni­schen Stimm­ab­ga­be.

2 Er muss wich­ti­ge Auf­ga­ben selbst aus­füh­ren. Er kann die Ent­wick­lung der ein­ge­setz­ten Soft­wa­re, Auf­ga­ben des Be­triebs und die Kom­mu­ni­ka­ti­on zu Fra­gen der Funk­ti­ons­wei­se an ex­ter­ne Or­ga­ni­sa­tio­nen de­le­gie­ren.

3 Er be­stimmt ei­ne auf kan­to­na­ler Ebe­ne ver­ant­wort­li­che Stel­le, die die Ge­samt­ver­ant­wor­tung trägt und ins­be­son­de­re die fol­gen­den Auf­ga­ben wahr­nimmt:

a.
Fest­le­gung ei­ner über­ge­ord­ne­ten In­for­ma­ti­ons­si­cher­heits­richt­li­nie;
b.
Fest­le­gung ei­ner In­for­ma­ti­ons­klas­si­fi­zie­rungs- und Ver­ar­bei­tungs­richt­li­nie für die iden­ti­fi­zier­ten In­for­ma­ti­ons­be­stän­de;
c.
Fest­le­gung ei­ner Ri­si­ko­ma­na­ge­men­t­richt­li­nie;
d.
De­fi­ni­ti­on und Um­set­zung von Mass­nah­men zur Ein­hal­tung der Richt­li­ni­en nach den Buch­sta­ben a–c;
e.
Be­auf­tra­gung ei­nes Sys­tem­be­trei­bers und Fest­le­gung der An­for­de­run­gen an des­sen Über­wa­chung und Über­prü­fung;
f.
Fest­le­gung von Fris­ten für die Durch­füh­rung von kri­ti­schen Hand­lun­gen und Ope­ra­tio­nen;
g.
Über­wa­chung und Über­prü­fung der Ar­bei­ten des Sys­tem­be­trei­bers;
h.
Be­glei­tung und In­struk­ti­on der Prü­fe­rin­nen und Prü­fer;
i.
Be­ur­tei­lung und Kom­mu­ni­ka­ti­on der Kor­rekt­heit des Er­geb­nis­ses des Ur­nen­gangs ge­stützt auf die Be­wei­se nach Ar­ti­kel 5 und wei­te­re In­di­ka­to­ren.

4 Bei ei­nem Ur­nen­gang tra­gen die Be­triebs­stel­len für die Be­reit­stel­lung und die Hand­ha­bung der tech­ni­schen Aspek­te der elek­tro­ni­schen Stimm­ab­ga­be die Ver­ant­wor­tung ge­gen­über dem Kan­ton.

5 Die nach kan­to­na­lem Recht zu­stän­di­gen Prü­fe­rin­nen und Prü­fer über­neh­men die Ver­ant­wor­tung für den Be­trieb ih­rer tech­ni­schen Hilfs­mit­tel.
Art. 15 Unterlagen zu den Gesuchen  

1 Den Ge­su­chen nach Ar­ti­kel 27e VPR sind In­for­ma­tio­nen zum ge­plan­ten Ein­satz der elek­tro­ni­schen Stimm­ab­ga­be und Un­ter­la­gen dar­über, wie die recht­li­chen An­for­de­run­gen er­füllt wer­den, bei­zu­le­gen. Da­zu ge­hö­ren ins­be­son­de­re:

a.
ak­tu­el­le Ri­si­ko­be­ur­tei­lun­gen nach Ar­ti­kel 4 ein­sch­liess­lich der Grund­la­gen, die für die Nach­voll­zieh­bar­keit not­wen­dig sind;
b.
Zer­ti­fi­ka­te und de­ren An­hän­ge, die im Rah­men von Prü­fun­gen nach Ar­ti­kel 10 Ab­satz 2 er­stellt wur­den und In­for­ma­tio­nen zu de­ren Of­fen­le­gung nach Ar­ti­kel 10 Ab­satz 4;
c.
In­for­ma­tio­nen zur Of­fen­le­gung der Un­ter­la­gen nach Ar­ti­kel 11 und zu Hin­wei­sen aus der Öf­fent­lich­keit nach Ar­ti­kel 13;
d.
Pro­to­kol­le von Tests, die der Kan­ton durch­ge­führt hat, und Hin­wei­se auf be­ste­hen­de Män­gel im Sys­tem;
e.
die Be­grün­dung und all­fäl­li­ge Mass­nah­men für Aus­nah­men nach Ar­ti­kel 16 Ab­satz 2.

2 Auf Un­ter­la­gen nach Ab­satz 1, die die Bun­des­kanz­lei be­reits er­hal­ten hat und die noch gül­tig sind, kann ver­wie­sen wer­den.
Art. 16 Weitere Bestimmungen  

1 Die de­tail­lier­ten tech­ni­schen und ad­mi­nis­tra­ti­ven An­for­de­run­gen an die elek­tro­ni­sche Stimm­ab­ga­be sind im An­hang ge­re­gelt.

2 Die Bun­des­kanz­lei kann in Aus­nah­me­fäl­len einen Kan­ton von der Er­fül­lung ein­zel­ner An­for­de­run­gen be­frei­en, so­fern:

a.
die nicht er­füll­ten An­for­de­run­gen im Ge­such be­zeich­net sind;
b.
ei­ne nach­voll­zieh­ba­re Be­grün­dung für den Aus­nah­me­fall vor­liegt; und
c.
der Kan­ton all­fäl­li­ge al­ter­na­ti­ve Mass­nah­men be­schreibt und mit Be­zug auf die Ri­si­ko­be­ur­tei­lung be­grün­det, wes­halb er die Ri­si­ken als hin­rei­chend ge­ring ein­schätzt.
Art. 17 Aufhebung eines anderen Erlasses  

Die Ver­ord­nung der BK vom 13. De­zem­ber 20132 über die elek­tro­ni­sche Stimm­ab­ga­be wird auf­ge­ho­ben.

2 [AS 2013 5371; 2018 2279]
Art. 18 Inkrafttreten  

Die­se Ver­ord­nung tritt am 1. Ju­li 2022 in Kraft.

Technische und administrative Anforderungen an die elektronische Stimmabgabe

1. Begriffsbestimmungen

Zusätzlich zu Artikel 2 bedeuten die folgenden Ausdrücke:

1.1
WahrungdesStimmgeheimnisses: Situation, wenn keiner Person oder Komponente folgende Daten vorliegen:
1.1.1
abgegebene Stimmen oder Daten, die auf den Inhalt abgegebener Stimmen schliessen lassen,
1.1.2
Daten, die es erlauben, die stimmenden Personen zu identifizieren (Daten über die stimmberechtigten Personen), und
1.1.3
Daten, die es erlauben, die Daten über die stimmberechtigten Personen den abgegebenen Stimmen zuzuordnen;
1.2
Ausschlussvon vorzeitigenTeilergebnissen: Situation, wenn keiner Person oder Komponente die abgegebenen Stimmen oder Daten, die auf die abgegebenen Stimmen schliessen lassen, vorzeitig vorliegen;
1.3
Verifizierungsreferenz: eine mit dem Stimmmaterial zugestellte Grundlage, damit die stimmberechtigten Personen nach Artikel 5 Absatz 2 in Verbindung mit Ziffer 2.5 des Anhangs prüfen können, ob ihre Stimme korrekt abgegeben wurde (z. B. eine Liste, auf der für jede Antwortmöglichkeit ein Code aufgeführt ist);
1.4
externer Angreifer: Person oder Gruppe von Personen, die nicht mit der Entwicklung und dem Betrieb des Systems vertraut ist, die über durchschnittliche Ressourcen und Fachkenntnisse verfügt und von der ein Angriff ausgeht; ihre Beweggründe können Aktivismus oder finanziellen Gewinn umfassen;
1.5
interner Angreifer: Person oder Gruppe von Personen, die an der Entwicklung oder am Betrieb des Systems beteiligt ist und von der ein Angriff ausgeht; ihre Beweggründe können Aktivismus, finanziellen Gewinn oder die Absicht, ihrem Arbeitgeber zu schaden, umfassen;
1.6
feindliche Organisation:Gruppe von Personen, die über umfangreiche Ressourcen und überdurchschnittliche Fachkenntnisse verfügt und von der ein Angriff ausgeht; sie kann dabei auch von einem Staat unterstützt werden; ihre Beweggründe können das Erlangen von Daten zu Profiling-Zwecken, die Störung eines Urnengangs oder die Beeinflussung der Ergebnisse des Urnengangs sein;
1.7
Angreifer:eine Person, Gruppe von Personen oder Organisation nach den Ziffern 1.4–1.6;
1.8
elektronische Urne:ein Speicherbereich, in dem die abgegebenen Stimmen bis zur Entschlüsselung und Auszählung gespeichert werden können;
1.9
Systemprotokoll: Protokoll, das von den Bestandteilen der Infrastruktur erstellt wird, um den Betrieb des Systems zu überwachen und Vorfälle zu untersuchen.

3. Anforderungen an vertrauenswürdige Komponenten nach Ziffer 2 und an deren Betrieb

3.1
Der Betrieb der Setup-Komponente und mindestens einer Kontrollkomponente der Gruppe, die einen Teil des Schlüssels zur Entschlüsselung der Stimmen enthält, gehört in die direkte Zuständigkeit des Kantons und muss in dessen Infrastruktur erfolgen. Die Auslagerung an einen privaten System­betreiber ist unzulässig.
3.2
Für die Wahl von Zufallswerten namentlich für Setup-Komponenten und Kontrollkomponenten ist die Verwendung von genügend Entropie sicherzustellen.
3.3
Prüferinnen und Prüfer müssen die Beweise nach Ziffer 2.6 mindestens einmal prüfen und dazu ein technisches Hilfsmittel nach Ziffer 2 einsetzen.
3.4
Die betrieblichen Anforderungen für Setup-Komponenten nach Ziffer 3 gelten auch für technische Hilfsmittel der Prüferinnen und Prüfer. Die Prüferinnen und Prüfer können im Rahmen ihrer Verantwortung, die durch das kantonale Recht festgelegt wird, Abweichungen vorsehen.
3.5
Der Kanton kann mit Ausnahme der unter den Ziffern 3.1 und 3.3 genannten Komponenten den Betrieb beliebiger Teile des Systems, einschliesslich der Kontrollkomponenten sowie der Druckkomponente, an private Dienstleister delegieren. Ein privater Betreiber der Druckkomponente darf ausschliesslich betriebliche Aufgaben wahrnehmen, die für die Aufbereitung, Verpackung und Zustellung eine Voraussetzung bilden.
3.6
Vertrauenswürdige Komponenten (Setup-Komponenten, Druckkomponenten, technische Hilfsmittel der Prüferinnen und Prüfer sowie Kontrollkomponenten) müssen in einem beobachtbaren Prozess aufgesetzt, aktualisiert, konfiguriert und abgesichert werden.
3.7
Vor der Installation einer Software ist für sämtliche Programme anhand einer offiziellen vertrauenswürdigen Grundlage zu prüfen, ob es sich bei den Dateien um die korrekte und unverfälschte Version handelt.
3.8
Bei der Installation elektronischer Zertifikate anderer Systemteilnehmender muss die Authentizität gewährleistet sein. Dazu ist ein manueller Prozess vorzusehen, bei dem Personen die elektronischen Zertifikate via einen physischen Datenträger nach Ziffer 3.13 von einer Maschine zur anderen bringen.
3.9
Der Zeitpunkt für die Aktualisierung der gesamten Software von vertrauenswürdigen Komponenten ist so zu wählen, dass die dadurch erwarteten Vorteile gegenüber den möglichen Gefahren überwiegen.
3.10
Setup-Komponenten, Druckkomponenten und technische Hilfsmittel der Prüferinnen und Prüfer, die in irgendeiner Form an der Bearbeitung von kritischen Daten beteiligt sind, müssen während der gesamten Rechenzeit und bis zur Löschung allfälliger kritischer Daten oder bis zur sicheren Aufbewahrung im Vieraugenprinzip physisch überwacht werden. Sie dürfen höchstens über sichtbare physische Kabel untereinander verbunden sein, damit bis zur Vernichtung der vertraulichen Daten möglichst ersichtlich ist, dass keine weiteren Maschinen auf sie zugreifen können.
3.11
Für die Installation oder die Aktualisierung von Software dürfen vertrauenswürdige Komponenten nicht mit dem Internet verbunden werden.
3.12
Im Grundsatz müssen kritische Daten nach ihrer Verwendung vernichtet werden. Beim Vorliegen guter Gründe ist als Alternative auch eine sichere Aufbewahrung des Datenträgers erlaubt.
3.13
Datenträger für den Datenaustausch oder die Aufbewahrung von Daten, wie USB-Sticks, müssen nach dem Aufspielen der Daten in die vertrauenswürdige Komponente entfernt werden und dürfen vor der Vernichtung der Daten nur dann wiederverwendet werden, wenn sich auf der vertrauenswürdigen Komponente vor dem Aufspielen der Daten keine kritischen Daten befunden haben.
Datenträger für den Datenaustausch müssen vor der Verwendung mithilfe einer Komponente, die entsprechend den Anforderungen an vertrauenswürdige Komponenten betrieben wird, neu formatiert und allfällige Daten darauf müssen vernichtet werden.
3.14
Es darf kein logischer Zugriff auf oder physischer Zugang zu vertrauenswürdigen Komponenten oder Datenträgern mit kritischen Daten möglich sein, ohne dass eine andere Person dies bemerkt, beispielsweise indem sie für die Gewährung des Zugriffs mitwirken muss (strenges Vieraugenprinzip).
3.15
Ein geglückter unerlaubter Zugriff auf eine Kontrollkomponente soll möglichst keinen Vorteil beim Versuch verschaffen, auf eine weitere Kontrollkomponente unbemerkt zuzugreifen. Zusätzlich zu den übrigen Anforderungen nach Ziffer 3 gelten dahingehend die folgenden Anforderungen:
Hat eine Person einen physischen oder logischen Zugriff auf eine Kontrollkomponente, so darf sie keinen Zugriff auf eine andere Kontrollkomponente haben.
Die Hardware, die Betriebssysteme und die Überwachungssysteme der Kontrollkomponenten sollen sich möglichst unterscheiden.
Die Kontrollkomponenten sollen an unterschiedliche lokale Netzwerke angeschlossen sein.
Eine Kontrollkomponente muss durch ein physisches Gerät realisiert werden. Die Virtualisierung über mehrere physische Geräte ist nicht zulässig.
3.16
Kontrollkomponenten müssen darauf ausgerichtet sein, unerlaubte Zugriffe zu erkennen und die verantwortlichen Personen zu alarmieren. Die verantwortlichen Personen sollen externe Überwachungsmassnahmen vorsehen, wie beispielsweise die Überwachung und die manipulationsresistente Protokollierung des Netzverkehrs oder die physische Überwachung mit Kameras, die ihrer Kontrolle unterliegen. Die verantwortlichen Personen müssen als besonders vertrauenswürdig und zuverlässig gelten.
3.17
Vertrauenswürdige Komponenten dürfen ausschliesslich die vorgesehenen Operationen durchführen.
3.18
Die Software des technischen Hilfsmittels der Prüferinnen und Prüfer muss von einem anderen Systementwickler bezogen werden als jenem, der den grössten Teil der Software der übrigen Systembestandteile entwickelt hat. Die Publikation der Software des technischen Hilfsmittels unter einer Lizenz, die die Kriterien nach Open Source Software4 erfüllt, kann eine Ausnahme begründen. Bringen Prüferinnen und Prüfer mehrere technische Hilfsmittel zum Einsatz, so gilt diese Bestimmung für mindestens eines der Hilfsmittel.
3.19
Alle Abläufe im Umgang mit vertrauenswürdigen Komponenten müssen schriftlich und für die betroffenen Personen leicht verständlich dokumentiert sein.
3.20
Jeder Zugriff und jede Verwendung einer vertrauenswürdigen Komponente oder eines Datenträgers mit kritischen Daten müssen protokolliert werden.

4 vgl. dazu die Definition im Praxis-Leitfaden Open Source Software in der Bundesverwaltung, Version 1.0 vom 19.12.2019, Kap. 1; beziehbar bei: Schweizerische Bundeskanzlei, CH-3003 Bern; www.bk.admin.ch > Digitale Transformation und IKT Lenkung > Bundesarchitektur > Open Source Software (OSS).

4. Stimmvorgang

4.1
Die stimmende Person erklärt, dass sie die Regeln der elektronischen Stimmabgabe und ihre Verantwortlichkeit zur Kenntnis genommen hat.
4.2
Die stimmende Person wird, bevor sie ihre Stimme abgibt, darauf aufmerksam gemacht, dass sie damit am Urnengang teilnimmt, wie wenn sie brieflich oder persönlich an der Urne abstimmen würde. Die stimmende Person kann ihre Stimme erst abgeben, nachdem sie bestätigt hat, dies zur Kenntnis genommen zu haben.
4.3
Die stimmende Person wird bei der Stimmabgabe aufgefordert, die Beweise nach Ziffer 2.5 anhand der Verifizierungsreferenz zu prüfen und allfällige Zweifel an deren Korrektheit beim Kanton zu melden.
4.4
Vor der definitiven elektronischen Stimmabgabe kann die stimmberechtigte Person ihre Stimme weiterhin über einen konventionellen Stimmkanal abgeben.
4.5
Das clientseitige System, wie es sich der stimmenden Person präsentiert, beeinflusst diese nicht in ihrer Entscheidungsfindung.
4.6
Die Benutzerführung verleitet nicht zu einer übereilten oder unüberlegten Stimmabgabe.
4.7
Das System bietet der stimmenden Person keine Funktion zum Ausdrucken oder Abspeichern der Stimme.
4.8
Der stimmenden Person wird nach Abschluss der Stimmabgabe keinerlei Information zum Inhalt der abgegebenen verschlüsselten Stimme angezeigt.
4.9
Einer stimmberechtigten Person, die keine Stimme abgeben kann, weil Drittpersonen unter missbräuchlicher Verwendung ihres Stimmmaterials eine Stimme abgegeben haben, kann der Kanton die Stimmabgabe weiterhin ermöglichen, indem er die missbräuchlich abgegebene Stimme für nichtig erklärt. Das Stimmgeheimnis nach Ziffer 2.7 ist zu wahren.
4.10
Für eine stimmberechtigte Person mit einer Behinderung dürfen Erleichterungen zur Überprüfung der Beweise vorgesehen werden. Ausschliesslich in einem solchen Fall darf von den Anforderungen nach Ziffer 2.9.1 abgewichen werden.
4.11
Solange das System keine Bestätigung der definitiven elektronischen Stimmabgabe registriert hat, kann eine stimmberechtigte Person ihre Stimme weiterhin über einen konventionellen Stimmkanal abgeben.
4.12
Die Verwendung eines von der elektronischen Stimmabgabe unabhängigen Authentisierungsmittels ist erlaubt. Auswirkungen auf die Integrität der Stimmrechtsprüfung sowie die Wahrung des Stimmgeheimnisses sind im Rahmen der Risikobeurteilung vertieft zu prüfen.

5. Vorbereitung des Urnengangs

5.1
Werden die Stimmregisterdaten aus einem Drittsystem importiert, das sich ausserhalb der Kontrolle des Kantons befindet, so müssen die Daten verschlüsselt und signiert werden. Die Signatur muss bei Erhalt solcher Daten überprüft werden. Für die Zustellung an die Druckerei gehen die Bestimmungen nach Ziffer 7 vor.
5.2
Die Daten, die für die Prüfung der Beweise nach Ziffer 2.6 notwendig sind, werden an die Prüferinnen und Prüfer übergeben.

6. Anforderungen an die Stimmrechtsausweise

6.1
Die Stimmrechtsausweise sind nach Möglichkeit so auszugestalten, dass sie Stimmberechtigten mit einer Behinderung einen barrierefreien Zugang zur elektronischen Stimmabgabe erlauben.
6.2
Sicherheitselemente auf dem Stimmrechtsausweis (z. B. Rubbelfelder) dürfen nur verwendet werden, wenn ein Nachweis vorliegt, dass die verdeckte Information gut vor unerlaubtem Lesen geschützt ist.
6.3
Wird auf die Verwendung von Sicherheitselementen zum Schutz vertraulicher Informationen auf dem Stimmrechtausweis verzichtet, so müssen Organisationsabläufe zur Gewährleistung der Sicherheit vorhanden sein.

7. Anforderungen an Druckereien

7.1
Die Druckdaten zur Produktion der Stimmrechtsausweise werden verschlüsselt und signiert zugestellt. Alternativ kann auch ein Datenträger mit den entsprechenden Daten persönlich überbracht werden. In diesem Fall erfolgt die Übergabe des Datenträgers an die Druckerei, einschliesslich des Transports, durch zwei Personen und wird von diesen gemeinsam überwacht (Vieraugenprinzip).
7.2
Die Verschlüsselung muss den Anforderungen aus dem eCH-Standard 00145, Kapitel 7.5 genügen. Bei symmetrischer Verschlüsselung wird das Geheimelement zur Entschlüsselung den Verantwortlichen der Druckerei auf einem sicheren Zweitweg zugestellt.
7.3
Die Verantwortlichen der Druckerei, die den Datenträger entgegennehmen, unterschreiben eine Empfangsbestätigung.
7.4
Für den Datenträger mit den Druckdaten, die Komponente, auf der die kritischen Daten entschlüsselt werden, sowie alle Komponenten, die die kritischen Daten verarbeiten, gelten die Bestimmungen nach Ziffer 3 an die Druckkomponente.
7.5
Die Verantwortlichen der Druckerei nehmen eine Material­mengenkontrolle vor.
7.6
Nach dem Drucken der Stimmrechtsausweise vernichtet die Druckerei die erhaltenen Daten.
7.7
Nimmt die Druckerei auch die Verpackung und den Versand der Stimmrechtsausweise vor, so sind diese unverzüglich nach dem Druck zusammen mit dem Stimmmaterial zu verpacken.
7.8
Die Vertrauenswürdigkeit des Kanals zwischen der Druckerei und den stimmberechtigten Personen darf nur dann als gegeben erachtet werden, wenn die nach kantonalem Recht zuständigen Stellen das verpackte Stimmmaterial den stimmberechtigten Personen brieflich zustellen oder die persönliche Übergabe sicherstellen.

5 eCH-0014: Standards und Architekturen für eGovernment Anwendungen Schweiz (SAGA.ch), Version 9.0 vom 09.12.2019; der Standard kann kostenlos bezogen und eingesehen werden beim Verein eCH, Mainaustrasse 30, Postfach, 8034 Zürich, www.ech.ch.

8. Informationen und Anleitungen

8.1
Die auf kantonaler Ebene verantwortliche Stelle erstellt ein Konzept zur Information der Bürgerinnen und Bürger über die elektronische Stimmabgabe.
8.2
Das Konzept gewährleistet, dass die Informationen von den zuständigen Gremien autorisiert werden.
8.3
Auf dem Internet finden sich Ratschläge und Anleitungen zur Stimmabgabe sowie Informationen zur Verantwortlichkeit der stimmberechtigten Personen. Diese wirken einer überstürzten oder unüberlegten Handlungsweise entgegen.
8.4
Den stimmberechtigten Personen werden die Verifizierbarkeit, weitere Sicherheitsmassnahmen sowie das Vorgehen bei Anomalien auf zugängliche Weise erklärt.
8.5
Den stimmberechtigten Personen wird erklärt, worauf sie achten müssen, damit sie ihre Stimme sicher abgeben können.
8.6
Den stimmberechtigten Personen wird erklärt, wie die Stimme in der zur Stimmeingabe verwendeten Benutzerplattform nach der Stimmabgabe auf allen Speichern gelöscht werden kann.
8.7
Die stimmberechtigten Personen können bei Fragen zur elektronischen Stimmabgabe Unterstützung anfordern.
8.8
Die stimmberechtigten Personen werden aufgerufen, falsch angezeigte Beweise nach Ziffer 2.5, wie Prüfcodes, oder weitere Prüfungen mit negativem Ergebnis bei der auf kantonaler Ebene verantwortlichen Stelle zu melden. Dieser Aufruf wird auch mit dem Stimmmaterial verbreitet.
8.9
Die stimmberechtigten Personen werden aufgerufen, das Stimmmaterial mit den Sicherheitselementen, die in Erfüllung von Ziffer 2.5 stehen, bis zur definitiven Stimmabgabe oder bis zum Abschluss des Urnengangs unter Verschluss zu halten.
8.10
Die stimmberechtigten Personen erhalten die nötigen Angaben, um die Authentizität der zur Stimmabgabe benutzten Internetseite, des Servers und der Software zu kontrollieren. Die Aussagekraft einer erfolgreichen Kontrolle muss durch den Einsatz kryptografischer Mittel gemäss besten Praktiken unterstützt werden.
8.11
Die für die sichere Stimmabgabe wesentlichen Informationen werden mit dem Stimmmaterial verschickt. Den stimmberechtigten Personen wird erklärt, dass sie sich im Zweifelsfall an die Informationen des Stimmmaterials halten sollen und nicht an die Informationen, die auf der Benutzerplattform angezeigt werden.
8.12
Den stimmberechtigten Personen wird erklärt, durch welche Vorkehrungen die Wahrung des Stimmgeheimnisses sichergestellt ist.
8.13
Bekannte Mängel und der mit ihnen verbundene Handlungsbedarf werden transparent kommuniziert.
8.14
Die Prüferinnen und Prüfer werden zu Prozessen, denen die Korrektheit des Ergebnisses, die Wahrung des Stimmgeheimnisses und den Ausschluss von vorzeitigen Teilergebnissen unterliegen (beispielsweise Schlüsselgenerierung, Druck des Stimmmaterials, Entschlüsselung und Auszählung), angemessen informiert und geschult. Sie sind in der Lage, die Vorgänge und ihre Bedeutung in den Kernpunkten zu verstehen.

9. Öffnen und Schliessen des elektronischen Stimmkanals

Der elektronische Stimmkanal steht nur im erlaubten Zeitraum zur Verfügung.

10. Konformitätskontrolle und Ablage endgültig abgegebener Stimmen

Eine nicht systemkonform abgegebene Stimme wird nicht in der elektronischen Urne abgelegt.

11. Auszählung der elektronischen Urne

11.1
Die Entschlüsselung der Stimmen und deren Auszählung dürfen frühestens am Abstimmungs- oder Wahlsonntag beginnen.
11.2
Der Kanton führt die Entschlüsselung und die Auszählung in der eigenen Infrastruktur durch.
11.3
Der Kanton sorgt für die Protokollierung der Entschlüsselung der Stimmen und deren Auszählung. Die Freigabe des Protokolls erfolgt durch die auf kantonaler Ebene verantwortliche Stelle.
11.4
Von der Entschlüsselung der Stimmen bis zur Übermittlung des Ergebnisses des Urnengangs erfolgt jeder Zugriff auf das System oder auf eine seiner Komponenten durch mindestens zwei Personen gemeinsam; er wird schriftlich aufgezeichnet und muss von den Prüferinnen und Prüfern kontrolliert werden können.
11.5
Werden die Ergebnisdaten an ein Drittsystem übermittelt, das sich ausserhalb der Kontrolle des Kantons befindet, werden die Daten verschlüsselt und signiert.
11.6
Das System ermöglicht es, dass anhand des Stimmrechtsausweises festgestellt werden kann, ob jemand eine elektronische Stimme abgegeben hat.
11.7
Bei der Entschlüsselung und Auszählung sind Prüferinnen und Prüfer anwesend. Die Kantone können zusätzlich Prüfarbeiten aus der Ferne ermöglichen.
11.8
Sind Komponenten, die zur Auszählung der Stimmen verwendet werden, nach Ziffer 2.4 nicht vertrauenswürdig, so gelten für diese dieselben Anforderungen wie für Setup-Komponenten nach Ziffer 3.
11.9
Die Prüferinnen und Prüfer nehmen bei der Prüfung der Beweise nach Ziffer 2.6 ihre Verantwortung nach Massgabe des kantonalen Rechts wahr.
11.10
Die auf kantonaler Ebene verantwortliche Stelle unterbreitet den Prüferinnen und Prüfern sämtliche relevanten Indikatoren für die Korrektheit des Ergebnisses. Dazu gehören nebst den Beweisen nach Ziffer 2.6 insbesondere auch die Zahl und die Art von Anomalien, die durch stimmberechtigte Personen beim Kanton gemeldet wurden.
11.11
Der Kanton antizipiert allfällige Anomalien und erstellt dahingehend in Absprache mit den betroffenen Stellen einen Notfallplan, der das jeweilige Vorgehen festlegt. Er schafft Transparenz gegenüber der Öffentlichkeit.
11.12
Zur Plausibilisierung des Ergebnisses sollen statistische Methoden eingesetzt werden, soweit sie verfügbar sind und soweit die Datenbasis dies erlaubt.

12. Vertrauliche Daten

12.1
Es ist sichergestellt, dass weder Mitarbeitende noch externe Personen Daten kennen, die einen Bezug zwischen der Identität der stimmenden Person und ihrer Stimme zulassen.
12.2
Es ist sichergestellt, dass weder Mitarbeitende noch externe Personen vor dem Zeitpunkt der Entschlüsselung der Stimmen Daten kennen, die die vorzeitige Erhebung von Teilergebnissen erlauben.
12.3
Der Kanton darf seinen Teil des Schlüssels zur Entschlüsselung der Stimmen, der ihm nach Ziffer 3.1 auf der von ihm betriebenen Kontrollkomponente vorliegt, nicht an private Unternehmen weiterleiten.
12.4
Der Kanton behandelt die Ergebnisse des Urnengangs zwischen dem Zeitpunkt der Entschlüsselung der Stimmen und dem Zeitpunkt der Publikation vertraulich.
12.5
Der Kanton sorgt dafür, dass Daten vertraulich behandelt werden, die es erlauben festzustellen, ob eine stimmberechtigte Person auf dem elektronischen Weg eine Stimme abgegeben hat.
12.6
Der Kanton behandelt die einzelnen Stimmen nach der Auszählung vertraulich.
12.7
Der Kanton sorgt dafür, dass Abstimmungs- und Wahlergebnisse kleiner Wahlkreise vertraulich behandelt werden.
12.8
Nach der Erwahrung werden gemäss einem vorgegebenen und dokumentierten Prozess sämtliche Daten vernichtet, die im Rahmen des elektronischen Urnengangs angefallen sind, in Bezug zu den einzelnen eingegangenen Stimmen stehen und als vertraulich klassifiziert sind.

13. Bedrohungen

13.1
Die in den Ziffern 13.3–13.40 aufgelisteten Bedrohungen sind allgemeiner Art und bilden eine Grundlage, die zu ergänzen ist. Sie beziehen sich auf die Sicherheitsziele und sind bei der Identifizierung von Risiken zu berücksichtigen. In Abhängigkeit der identifizierten Schwachstellen des Systems und bei der Risikobeurteilung der verschiedenen Stellen ist die Liste entsprechend der konkreten Konstellation und in Abhängigkeit der spezifischen Bedrohung zu konkretisieren und zu ergänzen.
13.2
Als mögliche Bedrohung gelten:
versehentlich oder absichtlich verursachte Bedrohungen, die von internen oder externen Akteurinnen und Akteuren ausgehen, die elektronische oder physische Mittel einsetzen;
Bedrohungen, die auf eine Fehlfunktion des Systems oder der systemunterstützenden Elemente zurückzuführen sind.

Beschreibung

Betroffenes Sicherheitsziel (nach Art. 4 Abs. 3)

13.3

Malware verändert die Stimme auf der Benutzerplattform.

Korrektheit des Ergebnisses

13.4

Ein externer Angreifer leitet die Stimme mittels Domain-Name-Server-Spoofing (DNS-Spoofing)6 um.

Korrektheit des Ergebnisses

13.5

Ein externer Angreifer verändert die Stimme mit einer Man-in-the-
middle-Technik (MITM7-Technik).

Korrektheit des Ergebnisses

13.6

Ein externer Angreifer schickt mittels MITM bösartig veränderte Daten, die für die Stimmabgabe notwendig sind und aus dem Online-System stammen (z. B. Javascript-Datei).

Korrektheit des Ergebnisses

13.7

Ein interner Angreifer manipuliert die Software, diese speichert die Stimmen nicht.

Korrektheit des Ergebnisses

13.8

Ein interner Angreifer verändert, löscht oder vervielfacht die Stimmen.

Korrektheit des Ergebnisses

13.9

Ein interner Angreifer fügt Stimmen ein.

Korrektheit des Ergebnisses

13.10

Eine feindliche Organisation dringt in das System ein mit dem Ziel, das
Ergebnis zu fälschen.

Korrektheit des Ergebnisses

13.11

Ein interner Angreifer kopiert Stimmunterlagen und benutzt sie.

Korrektheit des Ergebnisses

13.12

Ein externer Angreifer nutzt Social-Engineering-Methoden, um die Aufmerksamkeit der stimmenden Person an den Sicherheitsvorkehrungen vorbeizulenken (individuelle Verifizierbarkeit).

Korrektheit des Ergebnisses

13.13

Ein externer Angreifer dringt elektronisch, physisch oder mittels Social Engineering in die Infrastruktur des Kantons ein und manipuliert die Setup-Komponente oder entwendet sicherheitsrelevante Daten.

Korrektheit des Ergebnisses

13.14

Ein externer Angreifer dringt elektronisch, physisch oder mittels Social Engineering in die Infrastruktur der Druckerei ein und entnimmt die Codes der Stimmrechtsausweise.

Korrektheit des Ergebnisses

13.15

Ein externer Angreifer dringt elektronisch, physisch oder mittels Social Engineering in die Infrastruktur der Post ein und entwendet Stimmrechtsausweise.

Korrektheit des Ergebnisses

13.16

In der individuellen Verifizierbarkeit tritt ein Fehler auf.

Korrektheit des Ergebnisses

13.17

In der universellen Verifizierbarkeit tritt ein Fehler auf.

Korrektheit des Ergebnisses

13.18

Ein technisches Hilfsmittel der Prüferinnen und Prüfer weist einen Fehler auf.

Korrektheit des Ergebnisses

13.19

Eine Backdoor8 wird über eine Softwareabhängigkeit in das System eingeführt und von einem externen Angreifer ausgenutzt, um auf das System zuzugreifen.

Korrektheit des Ergebnisses, Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen, Erreichbarkeit und Funktionsfähigkeit des Stimmkanals, Schutz der für die stimmberechtigten Personen bestimmten Informationen vor Manipulationen, keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten

13.20

Malware auf der Benutzerplattform schickt die Stimme an eine feindliche Organisation.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.21

Die Stimme wird mittels DNS-Spoofing umgeleitet.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.22

Ein externer Angreifer liest die Stimme mittels MITM.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.23

Ein interner Angreifer benutzt den Schlüssel und entschlüsselt nicht-anonyme Stimmen.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.24

Bei der Prüfung auf Korrektheit der Verarbeitung und der Auszählung wird das Stimmgeheimnis gebrochen.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.25

Ein interner Angreifer liest die Stimmen vorzeitig, ohne die Stimmen entschlüsseln zu müssen.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.26

Eine feindliche Organisation dringt ins System ein mit dem Ziel, das Stimmgeheimnis zu brechen oder Teilergebnisse vorzeitig zu erheben.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.27

Ein Fehler im Verschlüsselungsprozess macht diesen funktionsunfähig oder reduziert seine Wirksamkeit.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.28

Ein interner Angreifer manipuliert die Software und diese legt die Stimmen offen.

Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

13.29

Malware auf der Benutzerplattform macht die Stimmabgabe unmöglich.

Erreichbarkeit und Funktions­­fähigkeit des Stimmkanals

13.30

Eine feindliche Organisation führt einen Denial-of-Service-Angriff (DOS-Angriff)9 durch.

Erreichbarkeit und Funktionsfähigkeit des Stimmkanals

13.31

Ein interner Angreifer nimmt eine fehlerhafte Konfiguration vor; es kommt nicht bis zur Auszählung.

Erreichbarkeit und Funktionsfähigkeit des Stimmkanals

13.32

Ein interner Angreifer fälscht die kryptografischen Beweise der universellen Verifizierbarkeit.

Erreichbarkeit und Funktionsfähigkeit des Stimmkanals

13.33

Ein technischer Fehler des Systems führt dazu, dass das System zum Zeitpunkt der Auszählung nicht verfügbar ist.

Erreichbarkeit und Funktionsfähigkeit des Stimmkanals

13.34

Ein technisches Hilfsmittel der Prüferinnen und Prüfer funktioniert zum Zeitpunkt der Auszählung nicht.

Erreichbarkeit und Funktionsfähigkeit des Stimmkanals

13.35

Eine feindliche Organisation dringt ins System ein mit dem Ziel, den Betrieb zu stören, die Informationen für die stimmberechtigten Personen zu manipulieren oder Beweise zum Stimmverhalten der stimmenden Personen zu stehlen.

Erreichbarkeit und Funktionsfähigkeit des Stimmkanals, Schutz der für die stimmberechtigten Personen bestimmten Informationen vor Manipulationen, keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten

13.36

Ein interner Angreifer stiehlt Adressdaten der stimmberechtigten Personen.

Schutz der persönlichen Informationen über die Stimmberechtigen

13.37

Malware beeinflusst stimmberechtigte Personen bei der Meinungsbildung.

Schutz der für die stimmberechtigten Personen bestimmten Informationen vor Manipulationen

13.38

Ein interner Angreifer manipuliert die Informationswebsite bzw. das Abstimmungsportal und täuscht so die stimmberechtigten Personen.

Schutz der für die stimmberechtigten Personen bestimmten Informationen vor Manipulationen

13.39

Ein interner Angreifer schreibt stimmberechtigten Personen vor, ob und wie sie abzustimmen oder zu wählen haben. Nach der Entschlüsselung findet er in der Infrastruktur Belege, dass sich die stimmberechtigten Personen an die Instruktionen gehalten haben.

Keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten

13.40

Ein externer Angreifer schreibt stimmberechtigten Personen vor, ob und wie sie abzustimmen oder zu wählen haben und verlangt von ihnen einen Beleg, dass sie sich an die Instruktionen gehalten haben.

Keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten

6 Auch DNS-Poisoning genannt. Bezeichnet einen Angriff, bei dem es gelingt, die Zuordnung zwischen einem Hostnamen und der zugehörigen IP-Adresse zu fälschen.

7 Bezeichnet den Angreifer in einem Man-in-the-middle-Angriff. Es handelt sich dabei um eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physisch oder logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmerinnen und -teilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren.

8 Backdoor bezeichnet einen Teil einer Software, der es ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.

9 Englisch für Dienstverweigerung. Bezeichnet in der digitalen Datenverarbeitung die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte.

14. Feststellung und Meldung von Sicherheitsereignissen und -schwächen; Handhabung von Sicherheitsereignissen und -verbesserungen

14.1
Ein Monitoringsystem der Infrastruktur erkennt die Zwischenfälle, die die Sicherheit, einschliesslich der Verfügbarkeit, des Systems gefährden könnten, und alarmiert das zuständige Personal. Das Personal behandelt Zwischenfälle gemäss vordefinierten Verfahren. Krisenszenarien und Rettungspläne dienen als Leitlinie (darin inbegriffen ist ein Plan, der gewährleistet, dass die auf den Urnengang bezogenen Aktivitäten weitergeführt werden können) und kommen bei Bedarf zur Anwendung.
Fehler bei der Registrierung der Stimme in den Kontrollkomponenten und in der Urne müssen erkannt werden. Dabei müssen weitere Informationen im Zusammenhang mit dem Fehler verfügbar sein, um die Ursache zu erkennen und zu beheben. Festgestellte Vorfälle sind der auf kantonaler Ebene verantwortlichen Stelle zu melden.
14.2
Auf der Infrastruktur werden Protokolle erstellt, deren Erfassung, Übertragung und Speicherung gegen Manipulationen resistent sind (Systemprotokolle). Die Protokolle sind untereinander konsistent und ermöglichen bei der Untersuchung von vermuteten Manipulationen oder Fehlern die Rückverfolgung der relevanten Ereignisse. Sie dienen als Belege für die vollständige, unverfälschte und ausschliessliche Berücksichtigung systemkonform abgegebener Stimmen sowie für die Wahrung des Stimmgeheimnisses und den Ausschluss von vorzeitigen Teilergebnissen.
Der Inhalt der Protokolle umfasst mindestens die folgenden Ereignisse:
Start und Ende der Audit-, Identifizierungs- und Authentisierungsprozesse
Start, Neustart und Ende der Abstimmungs- oder Wahlphase
Start der Auszählung mit der Ergebnisermittlung
Durchführung und Ergebnisse allfälliger Selbsttests
festgestellte Störungen in den Elementen der IT-Infrastruktur, die die Betriebsfähigkeit beeinträchtigen
Von jedem Ereignis werden das Datum und die Uhrzeit, die Art des Ereignisses, der mögliche Verursacher und das Ergebnis im Sinne von Misserfolg oder Erfolg dokumentiert.
Die Systemprotokolle werden der auf kantonaler Ebene verantwortlichen Stelle so zur Verfügung gestellt, dass diese die Informationen interpretieren kann.
14.3
Das Monitoring und die Erfassung von Systemprotokollen unterliegen einem ständigen Verbesserungsprozess. Der Verbesserungsprozess beinhaltet einen offenen Dialog zwischen den beteiligten Akteurinnen und Akteuren sowie eine regelmässige und objektive Beurteilung der Wirksamkeit der eingesetzten Instrumente und Prozesse. Die Ergebnisse dieser Evaluationen werden dabei berücksichtigt.
14.4
Das Monitoring und die Erfassung von Systemprotokollen beeinträchtigen die Wirksamkeit der Massnahmen zur Wahrung des Stimmgeheimnisses in keiner Weise.
14.5
Es ist gewährleistet, dass im Falle einer Panne die Stimmen und die Daten, die ein reibungsloses Funktionieren des Verfahrens bei der Auszählung der Stimmen belegen, unversehrt auf der Infrastruktur gespeichert werden.
14.6
Nach einer Panne des Systems oder einem Ausfall von Kommunikations- oder Speichermedien geht das System in einen Wartungsmodus über, in dem die Möglichkeit besteht, in einen sicheren Zustand zurückzukehren. Begonnene Stimmvorgänge werden unterbrochen. Die stimmende Person kann die Stimmabgabe erst dann wieder aufnehmen, wenn sich das System wieder in einem sicheren Zustand befindet.
14.7
Es ist möglich, mit Hilfe von Authentisierungsmerkmalen Kontrollstimmen abzugeben, die keiner stimmberechtigten Person zugewiesen sind. Der Inhalt dieser Kontrollstimmen wird protokolliert. Die Auszählung der Kontrollstimmen wird mit den Protokollen verglichen.
Es ist sichergestellt, dass die Kontrollstimmen möglichstähnlich gehandhabt werden wie systemkonform abgegebene Stimmen, gleichzeitig ist sichergestellt, dass sie nicht gezählt werden.
14.8
Die Verfügbarkeit der Infrastruktur wird in gewählten Zeitabständen überprüft und protokolliert.
14.9
Durch einen vorgegebenen und dokumentierten Prozess werden alle Teile des Systems regelmässig aktualisiert, um bekanntgewordene Schwachstellen zu eliminieren.
14.10
Die Massnahmen für das Monitoring und zur Protokollierung der Systembenutzung, der Tätigkeiten von Administratoren und zur Störungsprotokollierung werden detailliert beschrieben, umgesetzt, überwacht und überprüft.

15. Einsatz von kryptografischen Massnahmen und Schlüsselverwaltung

15.1
Elektronische Zertifikate werden nach besten Praktiken verwaltet.
15.2
Zur Sicherstellung der Integrität von Datensätzen, der die Korrektheit des Ergebnisses sowie die Geheimhaltung kritischer Daten unterliegt, einschliesslich der Identifikations- und Authentifizierungsdaten der Behörden, kommen wirksame kryptografische Massnahmen zum Einsatz, die dem Stand der Technik entsprechen.
15.3
Zur Sicherstellung der Geheimhaltung kritischer Daten kommen in der Infrastruktur wirksame kryptografische Massnahmen zum Einsatz, die dem Stand der Technik entsprechen. Solche Daten werden auf Datenträgern immer verschlüsselt abgespeichert.
15.4
Kryptografische Grundkomponenten kommen nur dann zur Anwendung, wenn die Schlüssellängen und Algorithmen den gängigen Standards entsprechen (z. B. NIST, ECRYPT, ZertES). Die elektronische Signatur erfüllt die Anforderungen an eine fortgeschrittene elektronische Signatur nach dem Bundesgesetz vom 18. März 201610 über die elektronische Signatur (ZertES). Die Verifikation der Signatur erfolgt mittels eines elektronischen Zertifikats, das von einem nach dem ZertES anerkannten Anbieter von Zertifizierungsdiensten ausgestellt wird.

10 SR 943.03

16. Sicherer elektronischer und physischer Informationsaustausch

16.1
Sämtliche Komponenten der Infrastruktur werden in einer separaten Netzwerkzone betrieben. Diese Netzwerkzone wird durch eine angemessene Routingkontrolle gegenüber dem übrigen Netzwerk geschützt.
16.2
Die elektronische Stimmabgabe ist von sämtlichen anderen Anwendungen grundsätzlich klar getrennt.

17. Tests des Systems

17.1
Die Funktionen, die für die Sicherheit des Systems relevant sind (Sicherheitsfunktionen), werden getestet. Die Tests werden mit Testplänen sowie mit erwarteten und tatsächlichen Testergebnissen dokumentiert.
Der Testplan:
legt die auszuführenden Tests fest;
beschreibt die Szenarien für jeden Test, einschliesslich allfälliger Abhängigkeiten von den Ergebnissen anderer Tests.
Die erwarteten Ergebnisse müssen die Ergebnisse aufzeigen, die bei erfolgreicher Testausführung erwartet werden.
Die tatsächlichen Ergebnisse müssen mit den erwarteten Ergebnissen übereinstimmen.
17.2
Es wird eine Analyse der Testabdeckung erstellt. Diese umfasst den Nachweis, dass:
die in der Testdokumentation definierten Tests und die funktionalen Spezifikationen der Schnittstellen übereinstimmen;
alle Schnittstellen vollständig getestet wurden.
17.3
Es wird eine Analyse der Testtiefe durchgeführt. Diese umfasst den Nachweis, dass:
die in der Testdokumentation definierten Tests und die Teilsysteme, die sich auf Sicherheitsfunktionen und Module beziehen, die eine Rolle bei der Gewährleistung der Sicherheit spielen, übereinstimmen;
alle Teilsysteme, die mit den in den Spezifikationen genannten Sicherheitsfunktionen zusammenhängen, getestet wurden;
alle Module, die bei der Gewährleistung der Sicherheit eine Rolle spielen, getestet wurden.

18. Organisation der Informationssicherheit

18.1
Alle Rollen und Verantwortlichkeiten für den Betrieb des Systems werden präzise definiert, zugeordnet und kommuniziert.
18.2
Die initiale Konfiguration der Infrastruktur, sei es in Bezug auf die Hardware, die Software oder die Zugriffsrechte, sowie jede Änderung müssen vorher genehmigt werden.
18.3
Die Risiken im Zusammenhang mit Dritten (Auftragnehmer wie Lieferanten und Dienstleister) werden identifiziert und über angemessene vertragliche Vereinbarungen soweit nötig reduziert. Die Einhaltung der Vereinbarungen wird während ihrer Laufzeit angemessen überwacht und überprüft.

19. Verwaltung der immateriellen und materiellen Ressourcen

19.1
Alle immateriellen und materiellen Ressourcen im Sinne des Begriffs Asset in der Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements11, die im Zusammenhang mit der elektronischen Stimmabgabe relevant sind (Organisation als Ganzes, insbesondere die Organisationsprozesse und die in diesen Prozessen bearbeiteten Informationen, Datenträger, Einrichtungen zur Informationsverarbeitung der Infrastruktur und Räumlichkeiten der Infrastruktur) werden in einem Inventar erfasst. Über das Personal wird eine Liste geführt. Das Inventar und die Personalliste sind aktuell zu halten. Jeder immateriellen und materiellen Ressource wird eine Person zugewiesen, die dafür die Verantwortung übernimmt.
19.2
Der zulässige Gebrauch von immateriellen und materiellen Ressourcen wird definiert.
19.3
Für Informationen werden Klassifizierungsleitlinien erlassen und kommuniziert.
19.4
Für die Kennzeichnung und Handhabung von Informationen werden Verfahren eingerichtet.

11 Die Norm kann gegen Bezahlung eingesehen oder bezogen werden beim Zentralsekre­tariat der Internationalen Organisation für Normung (ISO), Chemin de Blandonnet 8, CP 401, 1214Vernier, www.iso.org.

20. Vertrauenswürdigkeit des Personals

20.1
Zur Gewährleistung der Vertrauenswürdigkeit des Personals vor, während und nach Beendigung der Anstellung oder bei Rollenwechseln werden angemessene Richtlinien und Verfahren eingerichtet und kommuniziert.
20.2
Für die Gewährleistung der Vertrauenswürdigkeit des Personals übernehmen die Personalverantwortlichen die volle Verantwortung.
20.3
Das gesamte Personal verfügt über ein ausgeprägtes Informationssicherheitsbewusstsein. Dazu wird ein aufgabengerechtes Ausbildungs- und Trainingsprogramm eingerichtet und betrieben.

21. Physische und umgebungsbezogene Sicherheit

21.1
Die Sicherheitsperimeter der verschiedenen Räumlichkeiten der Infrastruktur sind klar definiert.
21.2
Für den physischen Zugang zu diesen verschiedenen Räumlichkeiten der Infrastruktur werden Zugangsberechtigungen definiert, eingerichtet und angemessen kontrolliert.
21.3
Zur Gewährleistung der Sicherheit von Geräten innerhalb und ausserhalb der Räumlichkeiten der Infrastruktur werden angemessene Richtlinien und Verfahren definiert und deren Einhaltung überwacht und überprüft.
21.4
Sämtliche Daten werden ausschliesslich in der Schweiz bearbeitet und insbesondere aufbewahrt.

22. Management der Kommunikation und des Betriebs

22.1
Pflichten und Verantwortlichkeitsbereiche werden so aufgeteilt, dass die mit dem Betrieb und der Kommunikation verbundenen Risiken personellen Ursprungs auf Restrisiken reduziert werden, die mit den Risikoakzeptanzkriterien kompatibel sind.
22.2
Zum Schutz vor Schadsoftware werden angemessene Massnahmen getroffen.
22.3
Es wird ein detaillierter Plan für die Datensicherung erstellt und umgesetzt. Die korrekte Funktion der Datensicherung wird regelmässig überprüft.
22.4
Es werden angemessene Massnahmen zum Schutz des Netzwerks vor Bedrohungen, die in der Risikobeurteilung nach Artikel 4 in Verbindung mit Ziffer 13 ausgewiesen werden, und zur Sicherheit von Netzwerkservices definiert und umgesetzt.
22.5
Die Verfahren zur Handhabung von Wechseldatenträgern und zur Entsorgung von Datenträgern werden detailliert geregelt.

23. Zuteilung, Verwaltung und Entzug von Zugangs- und Zugriffsrechten

23.1
Es ist gewährleistet, dass während des Urnengangs jede nachträgliche Änderung von Zugangs- und Zugriffsrechten nur mit der Zustimmung der auf kantonaler Ebene verantwortlichen Stelle erfolgt.
23.2
Der Zugang zu und der Zugriff auf die Infrastruktur und die Software werden auf der Basis einer Risikobeurteilung detailliert geregelt und dokumentiert. In Hochrisikobereichen sowie für alle manuellen Operationen im Zusammenhang mit der elektronischen Urne (z. B. Öffnung des Stimmkanals, Schliessung des Stimmkanals, Start der Auszählung) gilt das Vieraugenprinzip.
Manuelle Operationen im Zusammenhang mit der elektronischen Urne (z. B. Öffnung des Stimmkanals, Schliessung des Stimmkanals, Start der Auszählung) werden explizit authentifiziert.
23.3
Es ist gewährleistet, dass Informationen auf der Website zur elektronischen Stimmabgabe und diesbezügliche Informationsseiten nicht ohne Berechtigung geändert werden können.
23.4
Während des Urnengangs sind sachfremde Zugriffe jeglicher Art auf die Infrastruktur ausgeschlossen.
23.5
Es ist sichergestellt, dass keines der Elemente der clientseitigen Authentisierungsmerkmale bei der Zustellung systematisch abgefangen, verändert oder umgeleitet werden kann. Zur Authentisierung kommen Massnahmen und Technologien zum Einsatz, die das Risiko des systematischen Missbrauchs durch Dritte hinreichend minimieren.

24. Entwicklung und Wartung von Informationssystemen

24.1
Entwicklung
24.1.1
Es wird ein Lebenszyklusmodell definiert. Das Lebenszyklusmodell:
wird für die Entwicklung und Wartung der Software verwendet;
sieht die notwendigen Kontrollen bei der Entwicklung und Wartung der Software vor;
wird dokumentiert.
24.1.2
Es wird eine Liste der eingesetzten Entwicklungswerkzeuge sowie der Konfigurationsoptionen, die für den Einsatz der einzelnen Entwicklungswerkzeuge gewählt wurden, erstellt.
24.1.3
Die Dokumentation der Entwicklungswerkzeuge umfasst:
eine Definition des Entwicklungswerkzeugs;
eine Beschreibung aller Konventionen und Richtlinien, die bei der Implementierung des Entwicklungswerkzeugs verwendet werden;
eine eindeutige Beschreibung der Bedeutung aller Konfigurationsoptionen für die Anwendung des Entwicklungswerkzeugs.
24.1.4
Es wird festgelegt, welche Implementierungsstandards angewendet werden.
24.1.5
Die Software wird so spezifiziert und implementiert, dass die Sicherheitsfunktionen nicht umgangen werden können.
24.1.6
Die Sicherheitsfunktionen werden so spezifiziert und implementiert, dass sie vor Manipulation geschützt sind.
24.1.7
Die Sicherheitsarchitektur der Software wird dokumentiert. Die Dokumentation:
weist einen Detaillierungsgrad auf, der der Beschreibung der Sicherheitsfunktionen entspricht;
beschreibt die Sicherheitsdomänen, auf die sich die Sicherheitsfunktionen richten;
beschreibt, wie die Initialisierungsprozesse gesichert werden;
weist die Erfüllung der Ziffern 24.1.5 und 24.1.6 nach.
24.1.8
Die funktionalen Spezifikationen werden dokumentiert. Die Dokumentation:
bildet die gesamte Software ab;
beschreibt den Zweck und die Anwendung aller Schnittstellen;
identifiziert und beschreibt alle Parameter, die mit den Schnittstellen verbunden sind;
beschreibt alle Aktionen, die mit Schnittstellen verbunden sind;
beschreibt alle direkten Fehlermeldungen, die durch den Aufruf der einzelnen Schnittstellen entstehen können.
24.1.9
Die Nachvollziehbarkeit zwischen funktionalen Spezifikationen und Sicherheitsanforderungen wird bis auf die Ebene der Schnittstellen sichergestellt.
24.1.10
Alle Sicherheitsfunktionen sind im Quellcode implementiert.
24.1.11
Die Nachvollziehbarkeit zwischen dem gesamten Quellcode und den Spezifikationen der Sicherheitsfunktionen ist sichergestellt und deren Übereinstimmung ist ersichtlich.
24.1.12
Die Sicherheitsfunktionen werden so konzipiert und implementiert, dass sie gut strukturiert sind. Die interne Struktur wird beschrieben und enthält eine Begründung, die:
die Merkmale angibt, die zur Beurteilung von «gut strukturiert» und von «komplex» verwendet werden;
aufzeigt, dass alle Sicherheitsfunktionen gut strukturiert und nicht zu komplex sind.
24.1.13
Die Spezifikationen umfassen folgende Aspekte:
eine Beschreibung der Struktur der Software in Form von Teilsystemen;
eine Beschreibung der Sicherheitsfunktionen als Module sowie für jedes Modul die Zielsetzung und eine Beschreibung, wie das Modul zu den anderen Modulen in Beziehung steht; die Beschreibung der sicherheitsrelevanten Module umfasst auch die verfügbaren Schnittstellen, die Rückgabewerte dieser Schnittstellen und die Schnittstellen der anderen Module, die sie zur Interaktion mit ihnen verwenden;
eine Beschreibung aller Teilsysteme, die mit den Sicherheitsfunktionen zusammenhängen einschliesslich der möglichen Wechselwirkungen untereinander;
eine übersichtliche Darstellung der mit Sicherheitsfunktionen verbundenen Teilsysteme für den Nachweis, dass alle Schnittstellen dem in der Spezifikation beschriebenen Verhalten entsprechen; die Darstellung muss einen Detaillierungsgrad mindestens bis zu den Modulen aufweisen.
24.1.14
Die Software wird mit einer eindeutigen Kennzeichnung versehen.
24.1.15
Die Dokumentation des Konfigurationsmanagements enthält:
eine Beschreibung, wie Konfigurationselemente identifiziert werden;
einen Konfigurationsmanagementplan, der beschreibt, wie das Konfigurationsmanagementsystem bei der Entwicklung der Software eingesetzt wird und welche Verfahren für die Übernahme von Änderungen oder neuen Elementen angewendet werden;
einen Nachweis, dass die Verfahren für die Übernahme eine angemessene Prüfung der Änderungen für alle Konfigurationselemente vorsehen.
24.1.16
Das Konfigurationsmanagementsystem:
identifiziert alle Konfigurationselemente eindeutig;
stellt automatisierte Massnahmen bereit, damit nur autorisierte Änderungen an Konfigurationselementen vorgenommen werden;
unterstützt die Entwicklung der Software durch automatisierte Verfahren;
stellt sicher, dass die Person, die für die Abnahme des Konfigurationselements verantwortlich ist, nicht dieselbe Person ist, die es entwickelt hat;
identifiziert die Konfigurationselemente, aus denen sich die Sicherheitsfunktionen zusammensetzen;
unterstützt die Prüfung aller Änderungen an der Software mit automatisierten Verfahren, einschliesslich der Protokollierung des Verfassers sowie des Datums und der Uhrzeit der Änderung;
stellt ein automatisiertes Verfahren zur Identifizierung aller Konfigurationselemente bereit, die von einer Änderung an einem bestimmten Konfigurationselement betroffen sind;
kann die Version des Quellcodes identifizieren, auf dessen Basis die Software generiert wird.
24.1.17
Alle Konfigurationselemente werden im Konfigurationsmanagementsystem inventarisiert.
24.1.18
Das Konfigurationsmanagementsystem wird in Übereinstimmung mit dem Konfigurationsmanagementplan verwendet.
24.1.19
Es wird eine Konfigurationsliste erstellt, die die folgenden Elemente enthält:
die Software;
Nachweise der erforderlichen Überprüfungen zur Einhaltung der Sicherheit;
die Teile, aus denen die Software besteht;
den Quellcode;
die Commit-History12;
Berichte über Sicherheitsmängel und über den Stand der Behebung.
Für jedes Element, das für Sicherheitsfunktionen relevant ist, wird die Entwicklerin oder der Entwickler genannt. Jedes Element wird eindeutig identifiziert.
24.1.20
Die Dokumentation zur Sicherheit der Softwareentwicklung umfasst:
die Beschreibung der physischen, verfahrenstechnischen, personellen und sonstigen Sicherheitsmassnahmen, die zum Schutz und zur Integrität der Ausgestaltung und der Implementierung der Software in ihrer Entwicklungsumgebung erforderlich sind;
den Nachweis, dass die Sicherheitsmassnahmen das erforderliche Schutzniveau bieten, um die Integrität der Software zu wahren.
24.2
Betrieb
24.2.1
Es wird ein Betriebshandbuch erstellt, das für jede Benutzerrolle folgende Aspekte enthält:
eine Beschreibung der Funktionen, auf die die Benutzerin oder der Benutzer zugreifen kann, und der Berechtigungen, die in einer sicheren Umgebung kontrolliert werden müssen, einschliesslich entsprechender Warnungen;
eine Beschreibung, wie die verfügbaren Schnittstellen auf sichere Weise genutzt werden können;
eine Beschreibung der verfügbaren Funktionen und Schnittstellen, insbesondere aller Sicherheitsparameter, die unter der Kontrolle der Benutzerin oder des Benutzers stehen unter Hervorhebung der für die Sicherheit relevanten Werte;
eine präzise Darstellung aller Typen von Sicherheitsereignissen in Bezug auf die auszuführenden, für die Benutzerin oder den Benutzer zugänglichen Funktionen, einschliesslich der Anpassungen der Sicherheitseigenschaften von Elementen, die der Kontrolle der Sicherheits­funktionen unterliegen;
eine Beschreibung der Sicherheitsmassnahmen, die umzusetzen sind, um die betrieblichen Sicherheitsziele zu erreichen.
24.2.2
Das Betriebshandbuch zeigt alle möglichen Betriebsarten der Software auf, dies einschliesslich der Wiederaufnahme des Betriebs nach der Entdeckung von Fehlern sowie die Beschreibung der Folgen und Auswirkungen von Fehlern auf die Aufrechterhaltung des sicheren Betriebs.
24.2.3
Das Betriebshandbuch ist präzise und zweckmässig.
24.3
Zuverlässige und nachvollziehbare Kompilierung und zuverlässiges und nachvollziehbares Deployment
24.3.1
Der Vorbereitungsprozess beschreibt alle Schritte, die notwendig sind für:
eine sichere Abnahme der Systembestandteile in Übereinstimmung mit dem Verfahren für die Bereitstellung;
eine sichere Aufbereitung der Betriebsumgebung in Übereinstimmung mit den betrieblichen Sicherheitszielen;
eine sichere Installation der Software in der Betriebsumgebung.
24.3.2
Die Bereitstellung der Software oder von Teilen des Systems wird dokumentiert und umfasst alle Prozesse, die zur Aufrechterhaltung der Sicherheit bei der Bereitstellung der Software erforderlich sind.
24.3.3
Es wird eine zuverlässige und überprüfbare Kompilierung mit angemessenen Sicherheitsmassnahmen durchgeführt, die sicherstellt, dass der ausführbare Code eine überprüfbare und getreue Darstellung des Quellcodes ist, der einer öffentlichen Kontrolle und unabhängigen Überprüfungen unterzogen wurde. Die Kompilierung erlaubt es, eine Beweiskette für die Überprüfung der Software anzulegen, und umfasst insbesondere:
den Nachweis, dass die Kompilierumgebung so ausgestaltet ist, wie sie auf der öffentlichen Plattform beschrieben ist (Gesamtheit der Werkzeuge mit der jeweiligen Version, Betriebssystem und allfälligen Konfigurationen); allfällige Abweichungen sind zu dokumentieren und zu begründen;
den Nachweis, dass die Software gemäss den auf der öffentlichen Plattform verfügbaren Anweisungen kompiliert wurde; wird bei der Kompilierung ein Mangel in den Instruktionen festgestellt, so ist dieser zu protokollieren und die Dokumentation anschliessend anzupassen;
den Nachweis, dass der zur öffentlichen Kontrolle vorgelegte und geprüfte Quellcode tatsächlich derjenige ist, der zur Kompilierung verwendet wurde;
den Nachweis, dass keine anderen als die in den Instruktionen vorgesehenen Elemente eingeführt wurden;
den Nachweis, dass alle kryptografischen Signaturen der Abhängigkeiten gegen eine bewährte, öffentliche und vertrauenswürdige Referenz verifiziert wurden;
den Nachweis, dass eine Analyse der Schwachstellen in Bezug auf Abhängigkeiten durchgeführt wurde und dass, sofern für die Software relevante Schwachstellen vorhanden sind, diese die Software nicht angreifbar machen;
den Nachweis, dass die allenfalls eingeführten Parameter das System nicht angreifbar machen.
24.3.4
Es wird ein zuverlässiges und überprüfbares Deployment mit angemessenen Sicherheitsmassnahmen durchgeführt, das sicherstellt, dass:
1.
der produktiv eingesetzte Code eine überprüfbare und getreue Darstellung des Quellcodes ist, der einer öffentlichen Kontrolle und unabhängigen Überprüfungen unterzogen wurde; und
2.
dass die Produktionsumgebung mit derjenigen übereinstimmt, die der öffentlichen Kontrolle und unabhängigen Überprüfungen unterzogen wurde.
Das Deployment erlaubt es, eine Beweiskette für die Überprüfung der Software anzulegen, und umfasst insbesondere:
den Nachweis, dass die Produktionsumgebung mit derjenigen übereinstimmt, die der öffentlichen Kontrolle und unabhängigen Überprüfungen unterzogen wurde; allfällige Abweichungen (Firmware-Version, Konfigurationsdateien usw.) sind zu dokumentieren und zu begründen;
den Nachweis, dass die in der Produktionsumgebung eingesetzte Software tatsächlich diejenige ist, die im zuverlässigen und überprüfbaren Kompilierungsverfahren erstellt wurde;
den Nachweis, dass die allenfalls eingeführten Parameter das System nicht angreifbar machen.
24.3.5
Die Qualität der Nachweise der zuverlässigen und überprüfbaren Kompilierung und des zuverlässigen und überprüfbaren Deployments wird durch die Anwesenheit von mindestens zwei Zeuginnen oder Zeugen verschiedener Institutionen oder durch technische Verfahren zur Feststellung des Wahrheitsgehalts nach dem Stand der wissenschaftlichen Erkenntnisse und Erfahrungen bestätigt.
24.3.6
Die Nachweiskette der zuverlässigen und überprüfbaren Kompilierung und des zuverlässigen und überprüfbaren Deployments wird öffentlich zugänglich gemacht.
24.4
Systematische Behebung von Mängeln
24.4.1
Es werden Prozesse zur Behebung von Mängeln definiert. Die Prozesse umfassen:
eine Dokumentation dieser Prozesse, insbesondere im Hinblick auf die Rückverfolgbarkeit von Mängeln für alle Versionen der Software sowie der Methoden, die verwendet werden, damit die Systembenutzerinnen und -benutzer über die Informationen über die Mängel, die Korrekturen und zu möglichen Korrekturmassnahmen verfügen;
die Pflicht, die Art und die Auswirkungen aller Sicherheitsmängel, Informationen zum Stand der Arbeiten zur Lösungsfindung sowie die beschlossenen Korrekturmassnahmen zu beschreiben;
eine Beschreibung der Instrumente, mit denen die Systembenutzerinnen und -benutzer die Möglichkeit erhalten, den Softwareentwicklerinnen und -entwicklern Berichte und Anfragen zu vermuteten Mängeln in der Software bekanntzumachen;
ein Verfahren, das eine zeitnahe Reaktion und ein automatischer Versand von Berichten über Sicherheitsmängel und entsprechenden Korrekturen an registrierte Systembenutzerinnen und -benutzer, die vom Mangel betroffen sein könnten, erfordert.
24.4.2
Es wird ein Prozess für die Behandlung der gemeldeten Mängel definiert:
Dieser Prozess stellt sicher, dass alle gemeldeten und bestätigten Mängel behoben werden und dass die Prozesse zur Behebung den Systembenutzerinnen und -benutzern mitgeteilt werden.
Er sieht Vorkehrungen vor, die sicherstellen, dass eine Behebung von Sicherheitsmängeln keine neuen Sicherheitsmängel nach sich zieht.
24.4.3
Es werden Richtlinien für die Einreichung und die Behebung von Mängeln definiert. Diese umfassen:
eine Anleitung, wie Systembenutzerinnen und -benutzer vermutete Sicherheitsmängel an die Entwicklerin oder den Entwickler melden können;
eine Anleitung, wie sich Systembenutzerinnen und -benutzer bei der Entwicklerin oder beim Entwickler registrieren können, um Berichte über Sicherheitsmängel und die Behebungen zu erhalten;
die Angabe von spezifischen Kontaktstellen für alle Berichte und Anfragen zu Sicherheitsfragen, die die Software betreffen.
24.5
Qualitätssicherung

Es wird regelmässig und objektiv geprüft, ob die durchgeführten Abläufe und die dazugehörenden Arbeitsprodukte mit der Beschreibung der umzusetzenden Abläufe, Normen und Prozesse übereinstimmen. Abweichungen werden bis zu ihrer Behebung weiterverfolgt.

12 Die Commit-History besteht aus einer geordneten Liste aller Änderungen an einem Repository sowie der Begründung für die Änderung.

25 Qualität Quellcode und Dokumentation

Der Quellcode und die Dokumentation erfüllen mindestens die folgenden Qualitätskriterien:

25.1
Nachvollziehbarkeit
25.1.1
Unter Nachvollziehbarkeit wird die Stringenz von den Anforderungen bis hin zur Implementierung verstanden.
25.1.2
Alle Anforderungen an das kryptografische Protokoll sind über sämtliche Arbeitsergebnisse im Zusammenhang mit dem Softwareentwicklungsprozess hinweg nachvollziehbar.
25.1.3
Für die Verbindung zwischen den rechtlichen Anforderungen und dem kryptografischen Protokoll, den Spezifikationen sowie der Dokumentation der Architektur gibt es eine Beschreibung.
25.2
Vollständigkeit
25.2.1
Unter Vollständigkeit wird die vollständige Umsetzung der geforderten Funktionen verstanden.
25.2.2
Die Software enthält keine mehrdeutigen Verweise (Input, Funktion, Output). Wird dasselbe Element referenziert, wird dazu immer die gleiche Bezeichnung verwendet.
25.2.3
Alle referenzierten Daten und alle verwendeten Funktionen sind in den Spezifikationen definiert.
25.2.4
Es werden alle in den Spezifikationen definierten Funktionen verwendet.
25.2.5
Für jeden Entscheidungspunkt (z. B. bedingte Ausführung) sind die möglichen Alternativen in den Spezifikationen definiert.
25.2.6
Alle Parameter sind in den Spezifikationen definiert und validiert (keine implizite Parameterübergabe).
25.2.7
Alle schwerwiegenden, gemeldeten Fehler werden behoben, bevor mit dem nächsten Schritt im Entwicklungszyklus fortgefahren wird.
25.2.8
Das kryptografische Protokoll, die Spezifikation, das Design und der Quellcode sind aufeinander abgestimmt.
25.3
Kohärenz
25.3.1
Unter Kohärenz wird die Verwendung einheitlicher Verfahren und Notationen bei der Konzeption und der Implementierung verstanden.
25.3.2
Die Darstellungen in der Dokumentation entsprechen einer Konvention, die die Softwareentwicklerin oder der Softwareentwickler erstellt hat.
25.3.3
Die Funktionen und die Variablen entsprechen einer Namenskonvention, die die Softwareentwicklerin oder der Softwareentwickler erstellt hat.
25.3.4
Input und Output von Funktionen werden nach einer Konvention behan­delt, die die Softwareentwicklerin oder der Softwareentwickler erstellt hat.
25.3.5
Fehler werden nach einer Konvention behandelt, die die Software­entwickle­rin oder der Softwareentwickler erstellt hat.
25.3.6
Die verwendeten Variablentypen sind kohärent.
25.4
Einheitlichkeit der Kommunikation
25.4.1
Unter Einheitlichkeit der Kommunikation wird die Verwendung von standar­disierten Protokollen und Schnittstellenroutinen verstanden.
25.4.2
Die Regeln für die Kommunikation mit anderen Systemen sind definiert.
25.4.3
Die Kommunikation basiert auf standardisierten Kommunikations-methoden.
25.5
Einheitlichkeit der Daten
25.5.1
Unter Einheitlichkeit der Daten wird die Eigenschaft, die die Verwendung einer standardisierten Darstellung der Daten ermöglicht, verstanden.
25.5.2
Die Standarddarstellung der Daten für die Kommunikation mit anderen Systemen wird formell festgelegt.
25.5.3
Für Konvertierungen zwischen den verschiedenen Darstellungen werden Standards festgelegt.
25.5.4
Die Konvertierungsfunktionen sollten in einem Modul zentralisiert werden.
25.6
Erlernbarkeit
25.6.1
Unter Erlernbarkeit wird die Eigenschaft der Software, die es den Benutzerinnen und Benutzern ermöglicht, sich die Bedienung der Software leicht anzueignen, verstanden.
25.6.2
Personen, die das System betreiben und anwenden, werden geschult und mit der notwendigen Dokumentation bedient.
25.6.3
Die Schulung beinhaltet die Möglichkeit, an einem dafür vorgesehenen System zu trainieren.
25.6.4
Hilfestellungen zur Bedienung sind leicht zugänglich.
25.7
Bedienbarkeit
25.7.1
Unter Bedienbarkeit wird die Nutzungsqualität bei der Interaktion mit dem System verstanden.
25.7.2
Die Software ist benutzerfreundlich. Die Benutzerführung richtet sich nach allgemein bekannten Schemen.
25.7.3
Das clientseitige System, wie es sich der stimmenden Person präsentiert, entspricht mit Ausnahme der Anforderungen an alternative Kommunikationsformen in Kapitel 2.4dem Accessibility Standard eCH-005913. Die Kantone sorgen dafür, dass dies durch eine fachkompetente Stelle belegt wird.
25.8
Fehlertoleranz
25.8.1
Mit der Fehlertoleranz wird die Weiterführung des Betriebs unter Ausnahmebedingungen ermöglicht.
25.8.2
Fehler werden erkannt und behandelt, damit das Programm ohne Unter­brechung weiterlaufen kann.
25.8.3
Die Fehlerbehandlung, einschliesslich der Erfassung im Protokoll, erfolgt auf derjenigen Ebene, die für die Weiterführung des Betriebs am relevan­testen ist. Ein Fehler, der in einer Ebene nicht bearbeitet werden kann, wird in die nächsthöhere Ebene übertragen.
25.8.4
Für die Inputparameter werden Gültigkeitsbedingungen definiert.
25.8.5
Alle Inputparameter werden vor Beginn der Ausführung überprüft.
25.9
Modularität
25.9.1
Unter Modularität wird die Eigenschaft der Software, die eine Struktur von hochgradig unabhängigen Modulen bietet, verstanden.
25.9.2
Die Aufgabe der einzelnen Module wird klar definiert.
25.9.3
Die Aufgabe der einzelnen Module sollte eng und fokussiert sein. Die Aufgaben zweier Module sollten sich nicht überschneiden.
25.9.4
Die Module teilen keine Daten über einen gemeinsamen volatilen Speicher (z. B. globale Variable).
25.10
Einfachheit
25.10.1
Unter Einfachheit wird die Implementierung der Funktionen auf die verständ­lichste Art verstanden. Im Allgemeinen bedeutet dies, dass Praktiken vermieden werden, die die Komplexität erhöhen.
25.10.2
Im Design wird ein Top-Down-Ansatz (hierarchische Struktur) gewählt.
25.10.3
Das Design sieht keine Verdoppelung von Funktionen zwischen den Modulen vor.
25.10.4
Das Design sieht keine globalen Daten vor, d. h. keine Daten, die von allen verwendet werden können, ohne als Parameter übergeben zu werden.
25.10.5
Komplizierte boolesche Kombinationen im Quellcode werden so weit als möglich vermieden.
25.10.6
Im Quellcode werden keine Variablen für andere als die ursprünglich vorgesehenen Zwecke wiederverwendet.
25.10.7
Im Quellcode wird die Anzahl von Verschachtelungen so weit wie möglich beschränkt.
25.10.8
Die zyklomatische und kognitive Komplexität im Quellcode wird so weit wie möglich beschränkt.
25.11
Prägnanz
25.11.1
Unter Prägnanz wird die Implementierung der Funktionen mit einem Minimum an Instruktionen im Quellcode verstanden.
25.11.2
Die Software enthält keine überflüssigen Abschnitte im Quellcode (soge­nannter «Dead Code»).
25.11.3
Der Quellcode enthält keine überflüssigen Variablen.
25.11.4
Der Quellcode sollte keine Wiederholungen enthalten.
25.12
Verständlichkeit
25.12.1
Unter Verständlichkeit wird der Umstand verstanden, dass die Adressatin­nen und Adressaten die Ziel­setzung, die Annahmen, die Einschränkungen, den Input und Output, die Komponenten und den Status der Software erkennen können.
25.12.2
Klassen, Funktionen und komplexe Verarbeitungsschritte werden im Quell­code nach einer von der Softwareentwicklerin oder dem Softwareentwickler festgelegten Konvention kommentiert.
25.12.3
Variablen und Funktionen werden mit aussagekräftigen Namen bezeichnet.
25.12.4
Eine Anweisung sollte nur eine einzige Zeile umfassen, sofern die Lesbarkeit nicht durch die Verteilung auf mehrere Zeilen erhöht wird. Mehrere Anweisungen pro Zeile sind zu vermeiden.
25.13
Instrumentierung
25.13.1
Unter Instrumentierung wird eine Eigenschaft der Software, die es erlaubt, ihre Nutzung zu messen oder Fehler zu erkennen, verstanden.
25.13.2
Die Unit-Tests14 decken alle möglichen Pfade und die Grenzen zwischen zulässigen und unzulässigen Werten der Inputparameter ab.
25.13.3
Die Integrationstests decken alle Module ab.
25.13.4
Die Softwaretestszenarien decken alle Module ab.
25.13.5
Fehler und notwendige Informationen werden in Logs protokolliert.

13 eCH-0059: Accessibility Standard Version 3.0 vom 25.06.2020; der Standard kann kostenlos bezogen und eingesehen werden beim Verein eCH, Mainaustrasse 30, Postfach, 8034 Zürich, www.ech.ch.

14 Bei einem Unit-Test testet die Entwicklerin oder der Entwickler ein Modul unabhängig vom Rest des Programms, um sicherzustellen, dass das Modul die funktionalen Spezifikationen erfüllt und unter allen Umständen korrekt funktioniert. Diese Überprüfung wird bei kritischen Anwendungen als unerlässlich angesehen.

26. Prüfkriterien für die Systeme und ihren Betrieb

26.1
Prüfung des kryptografischen Protokolls (Art. 10 Abs. 1 Bst. a)
26.1.1
Gegenstand: Es wird geprüft:
ob die Anforderungen in Artikel 5 in Verbindung mit den Artikeln 6–8 und Ziffer 2 des Anhangs erfüllt sind; diese Beurteilung erfolgt insbesondere anhand der kryptografischen und symbolischen Konformitätsbeweise;
ob und inwiefern sich das kryptografische Protokoll auf existierende und bewährte Protokolle und Bausteine abstützt;
welche Vertiefungen und Verbesserungen zu einer Stärkung der Sicherheit beitragen könnten.
26.1.2
Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie. Die Bundeskanzlei gibt die Prüfung in Auftrag und kontrolliert die auftragsgemässe Erfüllung.
26.1.3
Zeitpunkt der Prüfung:
Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
Die Prüfung findet erneut statt:
bei jeder Änderung des kryptografischen Protokolls; und
bei relevanten neuen Erkenntnissen der Forschung bezüglich der Sicherheit von verwendeten kryptografischen Elementen und der Bedrohungslage.
26.2
Prüfung der Software des Systems (Art. 10 Abs. 1 Bst. b)
26.2.1
Gegenstand: Es wird geprüft:
ob das nach Ziffer 26.1 geprüfte kryptografische Protokoll umgesetzt ist; die korrekte Umsetzung von Funktionen vertrauenswürdiger Komponenten wird besonders eingehend geprüft;
ob die Software des Systems die Anforderungen dieser Verordnung erfüllt und die vorgegebenen Zielsetzungen adäquat unterstützt;
ob das clientseitige System, wie es sich der stimmenden Person präsentiert, gemäss Ziffer 25.7.3 mit dem Standard eCH-0059 konform ist; die Prüfung kann sich auf ein gültiges Zertifikat oder einen gültigen Prüfbericht stützen, das von einer von der Bundeskanzlei anerkannten Institution ausgestellt wurde und die Konformität mit dem Standard belegt.
26.2.2
Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie und der Softwareentwicklung. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.
26.2.3
Zeitpunkt der Prüfung:
Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
Die Prüfung findet bei jeder wesentlichen Änderung erneut statt, insbesondere:
nach jeder Änderung am kryptografischen Protokoll;
bei jeder Änderung am Quellcode der Funktionen, deren Vertrauenswürdigkeit für die Stichhaltigkeit der im Rahmen der Verifizierbarkeit vorgesehenen Beweise massgeblich sind;
bei relevanten neuen Erkenntnissen der Forschung bezüglich der Sicherheit von verwendeten kryptografischen Elementen und der Bedrohungslage;
beim Verzicht oder bei wesentlichen Anpassungen an Mechanismen, die dem sicheren Einsatz von vertrauenswürdigen Komponenten nach Ziffer 2 dienen.
26.3
Prüfung der Sicherheit von Infrastruktur und Betrieb (Art. 10 Abs. 1 Bst. c)
26.3.1
Gegenstand: Es wird geprüft, ob:
das System und sein Betrieb beim Kanton, beim Systembetreiber und bei der Druckerei die Anforderungen dieser Verordnung erfüllen und die vorgegebenen Zielsetzungen adäquat unterstützen;
die Basiskomponenten, wie die Software, die dem sicheren und unabhängigen Einsatz von Kontrollkomponenten dient, die eingesetzten Betriebssysteme oder die eingesetzten Server erwiesenermassen besten Standards entsprechen.
26.3.2
Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie und dem Betrieb von hochsicheren Systemen. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.
26.3.3
Zeitpunkt der Prüfung:
Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
Die Prüfung findet bei jeder wesentlichen Änderung erneut statt, insbesondere:
nach einer Änderung am kryptografischen Protokoll;
beim Verzicht auf oder bei wesentlichen Anpassungen an Mechanismen, die dem sicheren Einsatz von vertrauenswürdigen Komponenten nach Ziffer 2 dienen;
bei einer wesentlichen Änderung der Prozesse oder der Infrastruktur.
Werden neue Versionen von Basiskomponenten eingesetzt (neue Server, Patches zum Betriebssystem oder zur Software, die dem sicheren und unabhängigen Einsatz von vertrauenswürdigen Komponenten nach Ziffer 2 dienen), muss keine neue Kontrolle erfolgen, sofern die Basiskomponenten weiterhin erwiesenermassen besten Standards entsprechen.
26.4
Prüfung des Schutzes gegen Versuche, in die Infrastruktur einzudringen (Art. 10 Abs. 1 Bst. d)
26.4.1
Gegenstand: Es wird geprüft, ob es den Expertinnen und Experten im Auftrag der Bundeskanzlei gelingt, im Rahmen eines Tests in die Infrastruktur des Online-Systems einzudringen und sich Zugang zu wichtigen Daten zu verschaffen oder die Kontrolle über wichtige Funktionen zu übernehmen.
Die Tests werden auf der Grundlage von potenziellen Schwachstellen durchgeführt, die nach einer methodischen Analyse der öffentlich zugänglichen Unterlagen, insbesondere nach Artikel 11, entdeckt wurden.
26.4.2
Zuständigkeiten: Die Prüfung erfolgt durch Sicherheitsexpertinnen und
-experten. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.
26.4.3
Zeitpunkt der Prüfung:
Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
Die Prüfung findet bei jeder wesentlichen Änderung der Infrastruktur erneut statt.
Die Prüfung findet bei relevanten neuen Erkenntnissen bezüglich der Sicherheit der eingesetzten Betriebsmittel und der Bedrohungslage statt.
26.5
Prüfung des Informationssicherheitsmanagement-Systems (Art. 10 Abs. 2)
26.5.1
Gegenstand: Es wird geprüft, ob das ISMS des Systembetreibers mit der Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements konform ist. Der Geltungsbereich des ISMS umfasst alle Organisationseinheiten des Systembetreibers, die rechtlich, administrativ und betrieblich für das System verantwortlich sind.
26.5.2
Zuständigkeiten: Die Zertifizierungsstelle ist durch die Schweizerische Akkreditierungs­stelle für die Durchführung von Audits nach der Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements akkreditiert. Die Prüfung wird vom Kanton oder vom Systembetreiber in Auftrag gegeben; der Kanton sorgt für die Durchführung der Prüfung.
26.5.3
Dauer der Gültigkeit eines Belegs: Wiederholungsaudits werden in den durch die Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements festgelegten Abständen durchgeführt. Ein gültiges Zertifikat und die entsprechende «Statement of Applicability» liegt bei jedem Einsatz des Systems vor. Wird eine neue Version des Standards ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements publiziert, so ist spätestens nach Ablauf der Übergangsfrist der Nachweis einer gültigen Zertifizierung des ISMS nach der neuen Version zu erbringen. Der Geltungsbereich des ISMS darf dabei nicht reduziert werden.

Diese Seite ist durch reCAPTCHA geschützt und die Google Datenschutzrichtlinie und Nutzungsbedingungen gelten.

Feedback
Gesetzeskürzel Name
DE FR IT EN
DE FR IT EN
Laden