Lexipedia

Thurnherr Walter · 2018-03-07

Thurnherr Walter · Aargau · 2018-03-07

Wortprotokoll

Intrusionstests sind eine gute Sache. Sie sind auch keine neue Idee. Nichtöffentliche Intrusionstests werden in der Schweiz schon seit Längerem durchgeführt. Die Verordnung der Bundeskanzlei über die elektronische Stimmabgabe fordert explizit die Durchführung eines externen Intrusionstests für den Einsatz in Kantonen, die E-Voting für mehr als 30 Prozent ihres Elektorats einsetzen wollen. Dieser Test muss durch eine von der Schweizerischen Akkreditierungsstelle anerkannte Institution in regelmässigen Abständen durchgeführt werden. Zusätzlich führen auch die Systembetreiber eigene Intrusionstests durch. Der Bundesrat hatte entschieden - im April des letzten Jahres hat man das kommuniziert -, dass auch die Systeme mit vollständiger Verifizierbarkeit, also die Systeme, die wir angehen wollen, die höhere Sicherheitsansprüche stellen, einen öffentlichen Intrusionstest durchlaufen müssen.

Wie von Herrn Dobler bereits ausgeführt, und das ist auch unsere Meinung, ist die Durchführung eines öffentlichen Intrusionstests, wie auch die ebenfalls bereits kommunizierte Anforderung des Zugangs zum Quellcode, eine Massnahme, die Transparenz schafft und mittelbar dazu beitragen kann, das Vertrauen in die elektronische Stimmabgabe zu erhöhen. Bundesrat und Motionär verfolgen also das gleiche Ziel: Die Systeme sollen dem höchsten Stand der Sicherheit entsprechen.

Die Haltung des Bundesrates weicht jedoch von jener des Motionärs ab, weil der Bundesrat es als nicht zielführend erachtet, einen öffentlichen Intrusionstest während eines Urnengangs durchzuführen. Das ist etwas, was ich nicht verstanden habe: was der Vorteil ist, wenn man ihn während eines Urnengangs macht. Ich sehe allerdings Nachteile. In [PAGE 284] diesem Zeitraum müssen sämtliche Ressourcen bei den Behörden auf allen drei Staatsebenen und bei den Systembetreibern alleine im Interesse einer korrekten Durchführung des Urnengangs eingesetzt werden. Dies sollte nicht noch zusätzlich mit einem Intrusionstest belastet werden. Es ist auch besser, wenn die Tests vor den Abstimmungen durchgeführt werden, damit aus den Tests gewonnene Erkenntnisse rechtzeitig berücksichtigt werden können. Zeitpunkt und Dauer der öffentlichen Intrusionstests sind daher auf eine möglichst effiziente Zielerreichung auszulegen, dies auch in Anbetracht des nicht zu unterschätzenden Aufwands, der in erster Linie bei den Kantonen und bei den Systembetreibern anfällt.

Der Bundesrat müsste aber wahrscheinlich auch noch eine gesetzliche Grundlage schaffen, damit man die Tests überhaupt entgelten könnte. Es gibt im Ausland zwar schon auch Intrusionstests, für die Geld bezahlt wird, aber nicht in dieser Höhe, das sind viel kleinere Summen. Abgesehen davon hätte man dann auch keine Garantien, dass die kriminellen Hacker sich an einem solchen Intrusionstest beteiligen würden.

Aus diesen Gründen empfiehlt der Bundesrat Ihnen die Ablehnung der Motion.

Thurnherr Walter · 2018-03-07 | Lexipedia | Lexipedia