Sicherheitslücken im Bereich von Wahlen und Abstimmungen
- ShortId
-
20.4129
- Id
-
20204129
- Updated
-
01.07.2023 10:13
- Language
-
de
- Title
-
Sicherheitslücken im Bereich von Wahlen und Abstimmungen
- AdditionalIndexing
-
04;34;1236
- 1
-
- PriorityCouncil1
-
Nationalrat
- Texts
-
- <p>Die Kantone führen eidgenössische Wahlen und Abstimmungen auf ihrem Gebiet durch. Die dezentrale Durchführung ist sachgerecht und hat sich bewährt. Die Kantone sind für die Beschaffung und den Betrieb von technischen Systemen zur Unterstützung der Ergebnisermittlung beziehungsweise -übermittlung und für deren Integration in den gesamten Prozess inklusive begleitender Sicherheitsmassnahmen und Kontrollprozesse verantwortlich. Bund und Kantone haben aber ein gemeinsames Interesse an einer zuverlässigen und sicheren Ergebnisermittlung. Entsprechend erwartet der Bundesrat, dass mögliche Mängel an den technischen Systemen und deren Betrieb analysiert und wo nötig behoben werden. Der Bundesrat begrüsst es, wenn die Kantone den Austausch pflegen. Die Bundeskanzlei unterstützt sie dabei. Sie wird im kommenden Jahr zudem unter Einbezug der Kantone eine Analyse der Wahl- und Abstimmungsprozesse vornehmen. Zu den einzelnen Fragen nimmt der Bundesrat wie folgt Stellung:</p><p>1.) Der Ergebnisermittlungsprozess ist weitgehend im kantonalen Recht geregelt. Der gegenwärtige bundesgesetzliche Rahmen eignet sich nicht dazu, umfassende Bestimmungen betreffend die Ergebnisermittlung zu erlassen. </p><p>2.) Gemäss Kreisschreiben des Bundesrates vom 30. November 2018 (BBl 2018 7683) werden unter dem Begriff E-Counting Verfahren mit elektronischer Erfassung und Auszählung von Stimmzetteln verstanden. Für diese Verfahren sieht das Kreisschreiben eine Pflicht zur Plausibilisierung der Ergebnisse mittels Stichproben vor (Ziff. 3.4 Bst. e), wie sie von der GPK-N empfohlen wurde. Die technischen Systeme zur Unterstützung der Ergebnisermittlung beziehungsweise -übermittlung sind vom Kreisschreiben nicht erfasst und waren auch nicht Gegenstand der Untersuchung der GPK-N. Insofern diesen Systemen eine Auszählfunktion zukommt, ist aber auch bei deren Einsatz die Plausibilisierung der Ergebnisse von besonderer Bedeutung. Dies ist etwa bei Proporzwahlen der Fall.</p><p>3.) Wie unter Ziffer 2 dargelegt, besteht für E-Counting-Verfahren bereits die Vorgabe, dass Ergebnisse zu plausibilisieren sind. Die Vernehmlassungsvorlage vom Dezember 2018 zu einer Teilrevision des BPR sah vor, diese Pflicht auf Gesetzesstufe zu verankern und dem Bundesrat die Kompetenz einzuräumen, Anforderungen an die Wahl- und Abstimmungsverfahren mit technischen Mitteln festzulegen. Die Anwendung von Artikel 84 BPR auf technische Systeme zur Übermittlung oder Zusammenführung von Abstimmungs- und Wahlergebnissen war aber nicht vorgesehen. An der bestehenden Aufgabenteilung möchte der Bundesrat festhalten, weshalb eine entsprechende Gesetzesrevision aktuell nicht vorgesehen ist.</p><p>Sollte der Ergebnisermittlungsprozess künftig umfassend durch den Bund geregelt werden (vgl. Frage 1), wäre das ein bedeutender Eingriff in die heutige Verteilung der Aufgaben und Verantwortlichkeiten zwischen Bund und Kantonen.</p>
- <p>Eine Recherche der REPUBLIK hat gezeigt, dass es in verschiedenen Kantonen im Bereich Ergebnisermittlung von Wahl- und Abstimmungsresultaten gravierende Sicherheitslücken gibt. Über zehn Kantone verwenden offenbar Software, die mehrere Fehlkonfigurationen von Servern beinhaltet, fehlende Sicherheitsvorkehrungen enthält und auf schwachen Verschlüsselungen basiert. Betroffen sind gemäss dem Bericht vor allem zwei Standardprodukte von privaten Softwareanbietern sowie Eigenentwicklungen von drei Kantonen.</p><p>Zu den schwerwiegendsten Schwachstellen zählen:</p><p>a. potenzielle Insider-Attacken durch Angreifer, die sich Zugriff zum Netz einer Wahlbehörde verschafft haben</p><p>b. schwache Standardpasswörter</p><p>c. mögliche Man-in-the-middle-Angriffe, bei denen sich eine Hackerin zwischen ein Wahllokal und die Zentrale schaltet</p><p>In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung der folgenden Fragen:</p><p>1. Sieht der Bundesrat eine Möglichkeit, im Rahmen des aktuellen gesetzlichen Rahmens entsprechende Bestimmungen zu erlassen, welche sicherstellen, dass Kantone im ganzen Prozess der Auszählung, Ermittlung und Auswertung von Wahl- und Abstimmungsresultaten genügend hohe Sicherheitsstandarts einhalten und Sicherheitslücken rasch schliessen müssen?</p><p>2. Sieht der Bundesrat eine Möglichkeit, im Rahmen des aktuellen gesetzlichen Rahmens die Kantone im</p><p>Falle eines Einsatzes von E-Counting-Verfahren zu verpflichten, die ermittelten Ergebnisse mittels statistisch relevanter Stichproben zu plausibilisieren, wie dies die GPK empfohlen hat?</p><p>3. Falls dazu die gesetzlichen Grundlagen fehlen: ist er bereit, deren Schaffung rasch an die Hand zu nehmen und eine entsprechende Vorlage zu unterbreiten, allenfalls durch eine "kleine Revision" des Bundesgesetzes über die politischen Rechte (BPR), nachdem die geplante grosse Revision mit der definitiven Einführung von eVoting aufgrund der Vernehmlassung gestoppt wurde?</p>
- Sicherheitslücken im Bereich von Wahlen und Abstimmungen
- State
-
Erledigt
- Related Affairs
-
- Drafts
-
-
- Index
- 0
- Texts
-
- <p>Die Kantone führen eidgenössische Wahlen und Abstimmungen auf ihrem Gebiet durch. Die dezentrale Durchführung ist sachgerecht und hat sich bewährt. Die Kantone sind für die Beschaffung und den Betrieb von technischen Systemen zur Unterstützung der Ergebnisermittlung beziehungsweise -übermittlung und für deren Integration in den gesamten Prozess inklusive begleitender Sicherheitsmassnahmen und Kontrollprozesse verantwortlich. Bund und Kantone haben aber ein gemeinsames Interesse an einer zuverlässigen und sicheren Ergebnisermittlung. Entsprechend erwartet der Bundesrat, dass mögliche Mängel an den technischen Systemen und deren Betrieb analysiert und wo nötig behoben werden. Der Bundesrat begrüsst es, wenn die Kantone den Austausch pflegen. Die Bundeskanzlei unterstützt sie dabei. Sie wird im kommenden Jahr zudem unter Einbezug der Kantone eine Analyse der Wahl- und Abstimmungsprozesse vornehmen. Zu den einzelnen Fragen nimmt der Bundesrat wie folgt Stellung:</p><p>1.) Der Ergebnisermittlungsprozess ist weitgehend im kantonalen Recht geregelt. Der gegenwärtige bundesgesetzliche Rahmen eignet sich nicht dazu, umfassende Bestimmungen betreffend die Ergebnisermittlung zu erlassen. </p><p>2.) Gemäss Kreisschreiben des Bundesrates vom 30. November 2018 (BBl 2018 7683) werden unter dem Begriff E-Counting Verfahren mit elektronischer Erfassung und Auszählung von Stimmzetteln verstanden. Für diese Verfahren sieht das Kreisschreiben eine Pflicht zur Plausibilisierung der Ergebnisse mittels Stichproben vor (Ziff. 3.4 Bst. e), wie sie von der GPK-N empfohlen wurde. Die technischen Systeme zur Unterstützung der Ergebnisermittlung beziehungsweise -übermittlung sind vom Kreisschreiben nicht erfasst und waren auch nicht Gegenstand der Untersuchung der GPK-N. Insofern diesen Systemen eine Auszählfunktion zukommt, ist aber auch bei deren Einsatz die Plausibilisierung der Ergebnisse von besonderer Bedeutung. Dies ist etwa bei Proporzwahlen der Fall.</p><p>3.) Wie unter Ziffer 2 dargelegt, besteht für E-Counting-Verfahren bereits die Vorgabe, dass Ergebnisse zu plausibilisieren sind. Die Vernehmlassungsvorlage vom Dezember 2018 zu einer Teilrevision des BPR sah vor, diese Pflicht auf Gesetzesstufe zu verankern und dem Bundesrat die Kompetenz einzuräumen, Anforderungen an die Wahl- und Abstimmungsverfahren mit technischen Mitteln festzulegen. Die Anwendung von Artikel 84 BPR auf technische Systeme zur Übermittlung oder Zusammenführung von Abstimmungs- und Wahlergebnissen war aber nicht vorgesehen. An der bestehenden Aufgabenteilung möchte der Bundesrat festhalten, weshalb eine entsprechende Gesetzesrevision aktuell nicht vorgesehen ist.</p><p>Sollte der Ergebnisermittlungsprozess künftig umfassend durch den Bund geregelt werden (vgl. Frage 1), wäre das ein bedeutender Eingriff in die heutige Verteilung der Aufgaben und Verantwortlichkeiten zwischen Bund und Kantonen.</p>
- <p>Eine Recherche der REPUBLIK hat gezeigt, dass es in verschiedenen Kantonen im Bereich Ergebnisermittlung von Wahl- und Abstimmungsresultaten gravierende Sicherheitslücken gibt. Über zehn Kantone verwenden offenbar Software, die mehrere Fehlkonfigurationen von Servern beinhaltet, fehlende Sicherheitsvorkehrungen enthält und auf schwachen Verschlüsselungen basiert. Betroffen sind gemäss dem Bericht vor allem zwei Standardprodukte von privaten Softwareanbietern sowie Eigenentwicklungen von drei Kantonen.</p><p>Zu den schwerwiegendsten Schwachstellen zählen:</p><p>a. potenzielle Insider-Attacken durch Angreifer, die sich Zugriff zum Netz einer Wahlbehörde verschafft haben</p><p>b. schwache Standardpasswörter</p><p>c. mögliche Man-in-the-middle-Angriffe, bei denen sich eine Hackerin zwischen ein Wahllokal und die Zentrale schaltet</p><p>In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung der folgenden Fragen:</p><p>1. Sieht der Bundesrat eine Möglichkeit, im Rahmen des aktuellen gesetzlichen Rahmens entsprechende Bestimmungen zu erlassen, welche sicherstellen, dass Kantone im ganzen Prozess der Auszählung, Ermittlung und Auswertung von Wahl- und Abstimmungsresultaten genügend hohe Sicherheitsstandarts einhalten und Sicherheitslücken rasch schliessen müssen?</p><p>2. Sieht der Bundesrat eine Möglichkeit, im Rahmen des aktuellen gesetzlichen Rahmens die Kantone im</p><p>Falle eines Einsatzes von E-Counting-Verfahren zu verpflichten, die ermittelten Ergebnisse mittels statistisch relevanter Stichproben zu plausibilisieren, wie dies die GPK empfohlen hat?</p><p>3. Falls dazu die gesetzlichen Grundlagen fehlen: ist er bereit, deren Schaffung rasch an die Hand zu nehmen und eine entsprechende Vorlage zu unterbreiten, allenfalls durch eine "kleine Revision" des Bundesgesetzes über die politischen Rechte (BPR), nachdem die geplante grosse Revision mit der definitiven Einführung von eVoting aufgrund der Vernehmlassung gestoppt wurde?</p>
- Sicherheitslücken im Bereich von Wahlen und Abstimmungen
Back to List