1 |
Art. 2 Allgemeine Voraussetzungen für die Zulassung der elektronischen Stimmabgabe pro Urnengang
Die Zulassung der elektronischen Stimmabgabe pro Urnengang wird erteilt, wenn folgende Voraussetzungen erfüllt sind:
|
Art. 3 Risikobeurteilung
1 Mit einer Risikobeurteilung muss der Kanton ausführlich und verständlich dokumentieren, dass sich jegliche Sicherheitsrisiken in einem ausreichend tiefen Rahmen bewegen. Die Beurteilung bezieht sich auf folgende Sicherheitsziele:
2 Jedes Risiko muss mit Bezug auf die Sicherheitsziele, allfällige mit ihnen verbundene Datensätze, Bedrohungen, Schwachstellen und die Dokumentation zum System und zu dessen Betrieb identifiziert und klar beschrieben werden. Der Kanton muss auf dieser Grundlage begründen, weshalb er die Risiken als hinreichend gering einschätzt. 3 Die Minimierung von Risiken darf sich nicht darauf abstützen, sicherheitsrelevante Informationen zum System und dessen Betrieb geheim zu halten. |
Art. 4 Anforderungen an die Zulassung von mehr als 30 Prozent des kantonalen Elektorats
1 Soll ein System für den Einbezug von mehr als 30 Prozent des kantonalen Elektorats zugelassen werden, so müssen die Stimmenden die Möglichkeit haben, zu erkennen, ob ihre Stimme auf der Benutzerplattform oder auf dem Übertragungsweg manipuliert oder abgefangen worden ist (individuelle Verifizierbarkeit, Anhang Ziff. 4.1 und 4.2). 2 Zur individuellen Verifizierung muss die stimmende Person einen Beweis erhalten, dass das serverseitige System die Stimme so, wie sie die stimmende Person in die Benutzerplattform eingegeben hat, als systemkonform abgegeben registriert hat. Der Beweis muss für jede Teilstimme die korrekte Registrierung bestätigen. 3 Wird das clientseitige Authentisierungsmerkmal elektronisch zugestellt, so müssen die Stimmberechtigten, die ihre Stimme nicht elektronisch abgegeben haben, nach der Schliessung des elektronischen Stimmkanals innert der gesetzlichen Beschwerdefristen einen Beweis anfordern können, dass das System keine Stimme registriert hat, die unter Verwendung ihres clientseitigen Authentisierungsmerkmals abgegeben wurde. 4 Die Stichhaltigkeit eines Beweises darf nicht von der Vertrauenswürdigkeit der Benutzerplattform oder des Übertragungswegs abhängen. 5 Sie darf auf folgenden Elementen basieren:
|
Art. 5 Anforderungen an die Zulassung von mehr als 50 Prozent des kantonalen Elektorats
1 Soll ein System für den Einbezug von mehr als 50 Prozent des kantonalen Elektorats zugelassen werden, so muss sichergestellt sein, dass Stimmende oder die Prüferinnen und Prüfer unter Einhaltung des Stimmgeheimnisses die Möglichkeit haben, jede Manipulation zu erkennen, die zu einer Verfälschung des Ergebnisses führt (vollständige Verifizierbarkeit, Anhang Ziff. 4.3 und 4.4). 2 Die vollständige Verifizierbarkeit ist gegeben, wenn erweiterte Anforderungen an die individuelle Verifizierbarkeit (Abs. 3) und Anforderungen an die universelle Verifizierbarkeit (Abs. 4‒6) erfüllt sind. 3 Zur individuellen Verifizierung sind zusätzlich zu Artikel 4 die folgenden Anforderungen zu erfüllen:
4 Zur universellen Verifizierung erhalten die Prüferinnen und Prüfer einen Beweis der korrekten Ergebnisermittlung. Sie müssen den Beweis in einem beobachtbaren Prozess auswerten. Dazu müssen sie technische Hilfsmittel verwenden, die vom Rest des Systems unabhängig und isoliert sind. Der Beweis muss bestätigen, dass das ermittelte Ergebnis:
5 Die Stichhaltigkeit des Beweises darf nur von der Vertrauenswürdigkeit des vertrauenswürdigen Systemteils und des zur Überprüfung eingesetzten technischen Hilfsmittels abhängen. Gleichzeitig dürfen die Gewährleistung des Stimmgeheimnisses und der Ausschluss vorzeitiger Teilergebnisse innerhalb der Infrastruktur nur von der Vertrauenswürdigkeit des vertrauenswürdigen Systemteils abhängen. 6 Der vertrauenswürdige Systemteil umfasst entweder eine oder wenige Gruppen von durch besondere Massnahmen gesicherten, unabhängigen Komponenten (Kontrollkomponenten). Ihr Einsatz muss auch dann jeden Missbrauch erkennbar machen, wenn pro Gruppe nur eine der Kontrollkomponenten korrekt funktioniert und insbesondere nicht unbemerkt manipuliert wird. Für die Vertrauenswürdigkeit des vertrauenswürdigen Systemteils ist die unterschiedliche Ausgestaltung der Kontrollkomponenten sowie die Unabhängigkeit von deren Betrieb und deren Überwachung massgebend. |
Art. 6 Zusätzliche Massnahmen zur Risikominimierung
Falls die Risiken trotz der ergriffenen Massnahmen nicht hinreichend klein sind, so müssen zur Risikominimierung zusätzliche Massnahmen ergriffen werden. Dies gilt insbesondere auch dann, wenn sämtliche Anforderungen nach Anhang Ziffer 2–4 bereits umgesetzt sind. |
Art. 7 Anforderungen an die Überprüfung
1 Die Kantone sorgen dafür, dass die Erfüllung der Voraussetzungen von unabhängigen Stellen überprüft wird. Die Überprüfung findet insbesondere statt, wenn das System oder sein Betrieb so geändert worden sind, dass die Erfüllung der Voraussetzungen für die Zulassung in Frage gestellt sein könnte. 2 Falls mehr als 30 Prozent des kantonalen Elektorats zu einem Versuch zugelassen werden soll (Art. 4 und 5), so müssen das System und sein Betrieb hinsichtlich folgender Kriterien besonders eingehend geprüft werden:
3 Falls höchstens 30 Prozent des kantonalen Elektrorats zu einem Versuch zugelassen werden soll und das System die Eigenschaft der vollständigen Verifizierbarkeit nach Artikel 5 aufweist, so müssen das System und sein Betrieb hinsichtlich folgender Kriterien besonders eingehend geprüft werden:
2 Fassung gemäss Ziff. I der V der BK vom 30. Mai 2018, in Kraft seit 1. Juli 2018 (AS 2018 2279). 3 Eingefügt durch Ziff. I der V der BK vom 30. Mai 2018, in Kraft seit 1. Juli 2018 (AS 2018 2279). |
Art. 7a Offenlegung des Quellcodes 4
1 Der Quellcode der Software des Systems muss offengelegt werden. 2 Die Offenlegung findet statt, wenn das System die Eigenschaft der vollständigen Verifizierbarkeit nach Artikel 5 aufweist, und:
3 Nicht offengelegt werden muss der Quellcode von:
4 Eingefügt durch Ziff. I der V der BK vom 30. Mai 2018, in Kraft seit 1. Juli 2018 (AS 2018 2279). |
Art. 7b Modalitäten der Offenlegung des Quellcodes 5
1 Der Quellcode muss nach besten Praktiken aufbereitet und dokumentiert werden. 2 Er muss einfach und unentgeltlich über das Internet beziehbar sein. 3 Eine Dokumentation zum System und zu dessen Betrieb muss die Relevanz der einzelnen Teile des Quellcodes für die Sicherheit der elektronischen Stimmabgabe erklären. Sie ist zusammen mit dem Quellcode offenzulegen. 4 Jeder und jede darf den Quellcode zu ideellen Zwecken untersuchen, verändern, kompilieren und ausführen sowie dazu Studien verfassen und diese publizieren. Der Eigner des Quellcodes kann dessen Nutzung zu anderen Zwecken erlauben. 5 Eingefügt durch Ziff. I der V der BK vom 30. Mai 2018, in Kraft seit 1. Juli 2018 (AS 2018 2279). |
Art. 8 Belege zu den Gesuchen
1 Den nach den Artikeln 27c und 27e Absatz 1 VPR eingereichten Gesuchen sind beizulegen:
2 Auf Belege, die die Bundeskanzlei bereits erhalten hat und die noch gültig sind, kann verwiesen werden. |
Art. 9 Weitere Bestimmungen
1 Die detaillierten technischen und administrativen Anforderungen an die elektronische Stimmabgabe sind im Anhang geregelt. 2 Bis zum 30. Juni 2015 kann ein Kanton in Ausnahmefällen von der Umsetzung einzelner Anforderungen aus Anhang Ziffer 2 und 3 befreit werden, sofern:
|
Anhang |
(Art. 9 Abs. 1) |
Technische und administrative Anforderungen an die elektronische Stimmabgabe 66
6 Der Text des Anhangs zu dieser Verordnung wird in der AS nicht publiziert (AS 2018 2279). Er kann kostenlos abgerufen werden unter www.bk.admin.ch > Politische Rechte > E-Voting > Bundesrechtliche Anforderungen oder kostenlos bezogen werden bei der Bundeskanzlei, Sektion Politische Rechte, Bundeshaus West, 3003 Bern. |