Wahlen:
Sicher online abstimmen


[13.6.2022] Der Bedarf von Kommunen, digitale Veranstaltungen und Online-Abstimmungen durchzuführen, ist im Zuge der Corona-Pandemie massiv gestiegen. Doch wie lässt sich angesichts wachsender Cyber-Bedrohungen die Sicherheit gewährleisten?

Bei der Digitalisierung von Wahlen und Abstimmungen ist der Informationssicherheit großes Gewicht beizumessen. Freie Wahlen und Abstimmungen sind ein wesentliches Merkmal jeder Demokratie. Sie prägen nicht nur den politischen Diskurs, sondern das gesamte gesellschaftliche Leben. Ob bei Vereins- oder Aktionärsversammlungen, Unternehmensmeetings oder Plenarsitzungen – Wahlen und Abstimmungen sind fester Bestandteil des Alltags. Entsprechend rasant ist im Zuge der Corona-Pandemie die Nachfrage nach digitalen Lösungen gestiegen, mit denen sich virtuell Versammlungen abhalten und Wahlen online durchführen lassen.
Gerade in den Kommunen spiegelt sich diese Entwicklung besonders deutlich wider. Vom Gemeinderat und den verschiedenen Ausschüssen über Bürgerforen bis hin zum Funktionieren der Vereine und Freiwilligen-Institutionen vor Ort sind Zusammenkünfte und Veranstaltungen sowie die Möglichkeit, Abstimmungen vornehmen zu können von fundamentaler Bedeutung. Viele Vertreter aus dem kommunalen Bereich stehen somit vor der Frage, wie sich digitale Versammlungen und Abstimmungen sicher organisieren lassen. Denn dem Bedarf nach solchen Online-Formaten steht eine wachsende Bedrohungslage im Cyber-Raum gegenüber.

Tools auf Sicherheit prüfen

Tools für Videokonferenzen, Online-Meetings und den Austausch von Nachrichten gibt es inzwischen verschiedene am Markt, die sich vor allem durch ihre Funktionalität unterscheiden. Bei der Auswahl sollten jedoch in jedem Fall wesentliche Faktoren zur Informationssicherheit berücksichtigt werden.
So braucht es geeignete Authentisierungsmechanismen – dazu gehört gegebenenfalls auch eine Multi-Faktor-Authentisierung, damit nur Befugte den jeweiligen Veranstaltungen und Online-Meetings beiwohnen. Das Tool sollte zudem ein Gruppen-Management und eine Zutrittskontrolle erlauben. Zudem ist eine geeignete Verschlüsselung notwendig, idealerweise als Ende-zu-Ende-Verschlüsselung. Auch die Möglichkeit, die Software nicht in einer öffentlichen Cloud, sondern auf einem eigenen Server zu betreiben, kann sicherheitsrelevant sein. Eine Auditierung durch unabhängige Stellen garantiert die Spezifikationen des Produkts. Dass die Lösung datenschutzrechtlichen Anforderungen genügen muss, versteht sich bei alldem fast schon von selbst. Welche weiteren Auswahlkriterien es zu beachten gibt, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Kompendium Videokonferenzsysteme ausgeführt.

Digitale Abstimmungen ermöglichen

In vielen digitalen Veranstaltungen werden auch Abstimmungen erforderlich sein. Im Rahmen kleinerer Sitzungen dürfte dies per Handzeichen funktionieren – ohne dass zusätzliche technische Maßnahmen notwendig sind. Doch gerade bei größeren virtuellen Abstimmungen und spätestens bei offiziellen Wahlvorgängen führt kein Weg an einer weitergehenden Digitalisierung der Vorgänge vorbei. Das ist nur mit einem entsprechenden Sicherheitsregime möglich, das gerade bei politischen Wahlen auch die Wahlrechtsgrundsätze zu berücksichtigen hat. Insbesondere die Grundsätze einer geheimen und zugleich öffentlichen Wahl stehen dabei in einem Spannungsverhältnis zueinander sowie zum Urteil des Bundesverfassungsgerichts, dem zufolge für die Wählerinnen und Wähler nachvollziehbar sein muss, ob die Online-Stimme wie angegeben in der (elektronischen) Wahlurne gespeichert wurde. Eine Ende-zu-Ende-Verifizierbarkeit ist somit geboten, um diesen Aspekten Rechnung zu tragen.
Beim Blick auf die Sicherheit geht es vor allem um drei konkrete Ziele, die es zu schützen gilt: die Verfügbarkeit der Wahl, deren Authentizität sowie Integrität. System- und Kommunikationsausfälle sind also zu verhindern, für Wahlberechtigte muss es die Möglichkeit geben, sich für die Teilnahme an der Wahl zu authentifizieren, gleichzeitig muss eine unverfälschte Übertragung beispielsweise von Redebeiträgen oder Abstimmungsvoten sichergestellt sein.
Wie kann das gelingen? Zunächst müssen die spezifischen rechtlichen Rahmenbedingungen der Abstimmungen oder Wahlen geklärt sein. Welche Anforderungen ergeben sich beispielsweise aus den verschiedenen Verordnungen? In einem zweiten Schritt hat die Online-Wahlleitung die passende Wahlanwendung zu bestimmen. Die Anbieter geben zwar stets an, dass ihr Produkt sicher sei. Dass tatsächlich bestimmte Sicherheitsziele abgedeckt sind, belegt hingegen erst eine IT-Sicherheitszertifizierung des entsprechenden Produkts, die den Prozessverantwortlichen die Auswahlentscheidung deutlich erleichtert.

Zertifizierung erforderlich

Online-Wahlanwendungen nutzen meist ein komplexes Zusammenspiel verschiedener kryptografischer Mechanismen. Die richtige Kombination dieser Methoden sowie weiterer Sicherheitsmaßnahmen entscheidet am Ende darüber, ob und wie sicher eine Online-Wahl funktionieren kann. Daher ist für den Einsatz solcher Produkte immer eine gründliche Prüfung oder Zertifizierung erforderlich, die durch die Vorarbeiten des BSI möglich ist. Das BSI ist dabei, neue Common-Criteria-Profile für Produktzertifizierungen zu erarbeiten, um stets den aktuellen Entwicklungsstand abzubilden.
Je nach Größe und Komplexität des Wahlvorhabens umfasst eine Online-Wahl allerdings viele Aufgaben und Prozesse, die außerhalb der eigentlichen Anwendung durchgeführt werden. Es sind also organisatorische und betriebliche Vorkehrungen zu treffen, die sich naturgemäß nicht in der Produktzertifizierung wiederfinden lassen. Die Umsetzung des IT-Grundschutzes hilft, das allgemeine Sicherheitsniveau zu erhöhen.
Darüber hinaus entwickelt das BSI die Technische Richtlinie TR-03169 der sicherheitstechnischen Anforderungen zur Durchführung einer elektronischen Wahl. Dazu gehört beispielsweise das Sammeln von Daten und die Abstimmung von Inhalten zu Terminfestlegungen für den Wahlzeitraum, Wahlkennzeichen beziehungsweise Wählerverzeichnisse. Bei der Entwicklung der Schutzprofile und der Technischen Richtlinie hat das BSI nicht-politische Wahlen im Blick, um erste Erfahrungen zu sammeln.

Mindeststandards setzen

Politische Wahlen sind so etwas wie der Lackmustest der IT-Sicherheit im Bereich digitaler Veranstaltungen und Wahlen. Allein durch die gesetzlichen Vorgaben sind die Herausforderungen besonders hoch, weshalb sich auch alle Maßnahmen, die bei einfachen Abstimmungen zum Tragen kommen – beispielsweise in örtlichen Vereinen – an der Durchführung politischer Online-Wahlen orientieren.
Im Rahmen des Modellprojekts Online-Sozialwahlen 2023 leistet das BSI dafür wichtige Grundlagenarbeit. Erstmals haben die Krankenkassen bei den Sozialversicherungswahlen im Jahr 2023 die Möglichkeit, neben der klassischen Stimmabgabe per Briefwahl auch Online-Wahlen durchzuführen. Die dafür notwendigen Vorgaben an die Informationssicherheit hat das BSI mit der Technischen Richtlinie TR-03162 formuliert. Mithilfe dieser und weiterer Technischer Richtlinien sowie von Schutzprofilen kann das BSI künftig effektive Leitlinien zur Absicherung von Wahlen und Abstimmungen vorgeben.
Auf Grundlage der dabei entwickelten Schutzprofile für Online-Wahlprodukte wiederum entwickelt das BSI nun Zertifizierungen, um die Mindeststandards für die Sicherheit von Online-Wahlen zu setzen. Aus den Erfahrungen, die im Projekt Online-Sozialwahlen 2023 gesammelt werden konnten, lassen sich allgemeingültige sicherheitstechnische Anforderungen für andere Wahlen ableiten – so verschieden diese in der Durchführung oder hinsichtlich ihrer rechtlichen Rahmenbedingungen auch sein mögen.

Gute Portion Pragmatismus

Natürlich sollen Online-Abstimmungen und -Wahlen in vielen Fällen bestehende Prozesse ablösen oder ergänzen. Gleichwohl bietet die Umstellung auch die Chance, Abläufe neu zu denken und auf den Prüfstand zu stellen. Das trägt dazu bei, die Komplexität solcher Veranstaltungen zu reduzieren – und damit gleichzeitig das Risiko von Angriffen zu verringern.
Verantwortliche sollten sich also immer fragen, für welchen der Schritte, die virtuell abgebildet werden sollen, es in der Online-Welt tatsächlich ein rechtssicheres Äquivalent braucht – und wann auf dieses verzichtet werden kann. Bei der Digitalisierung von Wahlen und Abstimmungen ist also auch eine gute Portion Pragmatismus gefragt, wenn die Sicherheit bestmöglich gewährleistet sein soll.

Matthias Gärtner ist Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Das BSI-Kompendium Videokonferenzsysteme zum Download (PDF; 2,4 MB) (Deep Link)
Die Technische Richtlinie TR-03162 des BSI zum Download (PDF; 1,3 MB) (Deep Link)
https://www.bsi.bund.de

Stichwörter: IT-Sicherheit, Videokonferenzen, Wahlen, BSI

Bildquelle: markoaliaksandr/123rf.com

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
ECOS Technology: VS-NfD-konforme Videokonferenzen
[14.7.2022] Der IT-Security-Spezialist ECOS Technology hat eine vielseitige und besonders sichere Videokonferenz-Lösung entwickelt, die nun auch vom BSI zugelassen wurde. Ein Boot-Stick erlaubt den Einsatz bis zum Geheimhaltungsgrad VS-NfD. Auch der Betrieb On-Premises ist möglich. mehr...
Mithilfe eines Boot-Sticks kann das BSI-zertifizierte Videoconferencing-Tool von ECOS Technology bis zum Geheimhaltungsgrad VS-NfD genutzt werden.
Cyber-Agentur: Forschung für den Schutz von KRITIS
[30.6.2022] Die Cyber-Agentur startet ihr bislang größtes, europaweites Ausschreibungsverfahren: 30 Millionen Euro sollen für Forschung zum Schutz kritischer Systeme in Deutschland vergeben werden. Genutzt wird die vorkommerzielle Auftragsvergabe zur Beschaffung von Forschungsleistungen. mehr...
Studie: E-Mail-Sicherheit per Cloud
[28.6.2022] Eine vom Software-Haus Net at Work beauftragte Studie über die E-Mail-Sicherheit im öffentlichen Sektor zeigt, dass viele Verwaltungen hierfür keine eigenen Ressourcen haben. Maßgeschneiderte Cloud-Lösungen – mit engmaschigem Support – können Abhilfe schaffen. mehr...
Kommunen: Neues IT-Grundschutzprofil
[27.6.2022] In Version 3.0 steht nun das IT-Grundschutzprofil für die Basis-Absicherung von Kommunalverwaltungen zur Verfügung. Insbesondere kleinere und mittlere Kommunen können von der Blaupause profitieren. mehr...
Sachsen: Datenschutzbericht 2021 vorgelegt
[20.6.2022] Die neue Sächsische Datenschutzbeauftrage Juliane Hunderte hat den Datenschutzbericht 2021 vorgelegt. Wie schon im Vorjahr war ein hoher Beratungsbedarf und – infolge der zunehmenden Digitalisierung – ein Anstieg bei gemeldeten Datenpannen zu beobachten. mehr...
Sachsens Datenschutzbeauftragte Juliane Hunderte hat ihren Tätigkeitsbericht für das Jahr 2021 vorgestellt.
Weitere FirmennewsAnzeige

Interview mit Professor Robert A. Sedlák: Transformation in der kommunalen Wirtschaft
[19.7.2022] Im Interview erläutert der systemische Organisationsberater Robert A. Sedlák, inwiefern Institutionen der kommunalen Wirtschaft und insbesondere Stadtwerke die aktuellen Herausforderungen im Kontext gesellschaftlicher, politischer und technologischer Transformationsprozesse nutzen können, um zu einem proaktiven Gestalter der Trends unserer Zeit zu werden. mehr...
Suchen...

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 08/2022
Kommune21, Ausgabe 07/2022
Kommune21, Ausgabe 06/2022
Kommune21, Ausgabe 05/2022

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GmbH
04425 Taucha bei Leipzig
procilon GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
Aktuelle Meldungen