Verordnung der BK vom 25. Mai 2022 über die elektronische Stimmabgabe (VEleS)

Die Schweizerische Bundeskanzlei (BK),

gestützt auf die Artikel 27e Absatz 1^bis, 27g Absatz 2, 27i Absatz 3 und 27l Absätze 3 und 4 der Verordnung vom 24. Mai 1978[^1] über die politischen Rechte (VPR),

verordnet:

Art. 1 Gegenstand

Diese Verordnung regelt die Voraussetzungen für die Erteilung der Zulassung von Versuchen mit der elektronischen Stimmabgabe.

Art. 2 Begriffe

¹ Die folgenden Ausdrücke bedeuten:

• a. System: Gesamtheit der Software und der Infrastrukturen, die für die Durchführung von elektronischen Urnengängen verwendet werden;

• b. Online-System: Teil des Systems, der zur Stimmrechtsprüfung, zur Abgabe der verschlüsselten Stimme und zur Aufbewahrung der verschlüsselten Stimme verwendet wird;

• c. vertrauenswürdiger Systemteil: Teil des Systems, der eine oder mehrere Gruppen von Kontrollkomponenten umfasst; die Vertrauenswürdigkeit dieses Systemteils ergibt sich dadurch, dass Missbräuche auch dann aufgedeckt werden können, wenn nur eine der Kontrollkomponenten einer Gruppe korrekt funktioniert;

• d. Kontrollkomponenten: unabhängige Komponenten des Systems, die unterschiedlich ausgestaltet sind, von unterschiedlichen Personen betrieben werden und durch besondere Massnahmen gesichert sind;

• e. Systembetreiber: Behörden oder Privatunternehmen, die auf Weisung des Kantons bei einem Urnengang das Online-System betreiben und dieses warten;

• f. Betrieb: alle Handlungen mit technischem, administrativem oder rechtlichem Bezug sowie die entsprechenden Führungstätigkeiten eines Kantons, eines Systembetreibers oder einer Druckerei, die für die Durchführung von elektronischen Urnengängen erforderlich sind, einschliesslich der Wartung;

• g. Betriebsstellen: die für den Betrieb zuständigen Organisationen oder Organisationseinheiten, wie eine Staatskanzlei, ein Systembetreiber oder eine Druckerei;

• h. Prüferinnen und Prüfer: Personen, die im Auftrag des Kantons den korrekten Ablauf des Urnengangs prüfen;

• i. Infrastruktur: Hardware, Software von Drittkomponenten nach Artikel 11 Absatz 2 Buchstabe a, Netzwerkelemente, Räumlichkeiten, Services und Betriebsmittel jeglicher Art bei allen Betriebsstellen, die zum sicheren Betrieb der elektronischen Stimmabgabe erforderlich sind;

• j. Software: gesamte Implementierung ausgehend vom kryptografischen Protokoll für die vollständige Verifizierbarkeit, die durch die Softwareentwicklerin oder den Softwareentwickler für die elektronische Stimmabgabe vorgenommen wurde;

• k. kryptografisches Protokoll: Protokoll mit kryptografischen Sicherheitsfunktionen zur Erreichung der Anforderungen im Anhang Ziffer 2; das kryptografische Protokoll ist in der Modellebene angesiedelt und enthält somit keine direkten Anweisungen für die Implementierung, sondern abstrakte Sicherheitsfunktionen;

• l. Benutzerplattform: multifunktionales, programmierbares Gerät, das mit dem Internet verbunden ist und zur Stimmabgabe verwendet wird, wie ein handelsüblicher Computer, ein Smartphone oder ein Tablet;

• m. registrierte Stimme: Stimme, die vom vertrauenswürdigen Systemteil als endgültig abgegebene Stimme zur Kenntnis genommen worden ist;

Teilstimme:

• 1. bei Abstimmungen: Stimme für eine Vorlage, einen Gegenvorschlag oder eine Stichfrage,

• 1. bei Wahlen: die Wahl einer Liste oder einer kandidierenden Person;

• n.

systemkonform abgegebene Stimme: Stimme:

• 1. die einer vorgesehenen Art entspricht, einen Stimm- oder Wahlzettel auszufüllen,

• 1. die eine Absenderin oder ein Absender endgültig abgegeben hat,

• 1. deren verwendeten clientseitigen Authentisierungsmerkmale beziehungsweise deren daraus resultierenden Authentisierungsnachrichten den serverseitigen Authentisierungsmerkmalen entsprechen, die in der Vorbereitungsphase des Urnengangs festgelegt und einer stimmberechtigten Person zugewiesen wurden, und

• 1. die unter Verwendung von Authentisierungsmerkmalen abgegeben wird, die nicht bereits für eine andere abgegebene Stimme verwendet wurden, die der vertrauenswürdige Systemteil des Online-Systems bereits registriert hat;

• o.

• p. clientseitiges Authentisierungsmerkmal: für die einzelnen stimmberechtigten Personen individuell bereitgestellte Information, wie ein PIN, die diese Personen – allenfalls zusammen mit weiteren clientseitigen Authentisierungsmerkmalen – brauchen, um eine Stimme abgeben zu können;

• q. serverseitiges Authentisierungsmerkmal: Information, die es – allenfalls zusammen mit weiteren serverseitigen Authentisierungsmerkmalen – braucht, um mithilfe von Authentisierungsnachrichten die Absenderin oder den Absender einer Stimme als stimmberechtigte Person zu authentisieren;

• r. Authentisierungsnachrichten: Informationen, die eine Benutzerplattform nach der Eingabe des clientseitigen Authentisierungsmerkmals an das Online-System übermittelt, damit dieses die Absenderin oder den Absender einer Stimme als stimmberechtigte Person authentisiert;

• s. Zertifikat: Dokument, das bestätigt, dass ein Prüfobjekt mit einem Referenzrahmen oder einem Standard konform ist;

• t. elektronisches Zertifikat: Datensatz, der bestimmte Merkmale von Personen oder Objekten bestätigt, und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden können; das elektronische Zertifikat wird hauptsächlich zur Identifizierung und Authentifizierung der Inhaberin oder des Inhabers und zur Verschlüsselung von Nachrichten verwendet;

• u. kritische Handlungen und Operationen: Vorgänge, bei denen kritische Daten bearbeitet werden;

• v. kritische Daten: Daten, deren Integrität oder Vertraulichkeit für die Erfüllung der Anforderungen an das kryptografische Protokoll massgeblich ist.

² Im Übrigen gelten die Begriffe im Anhang Ziffer 1.

Art. 3 Grundvoraussetzungen für die Zulassung der elektronischen Stimmabgabe pro Urnengang

Die Zulassung der elektronischen Stimmabgabe erfolgt pro Urnengang; sie wird erteilt, wenn folgende Voraussetzungen erfüllt sind:

• a. Das System ist so ausgestaltet und wird so betrieben, dass eine verifizierbare, sichere und vertrauenswürdige elektronische Stimmabgabe gewährleistet ist.

• b. Das System ist für die stimmberechtigten Personen einfach zu handhaben; die besonderen Bedürfnisse möglichst aller stimmberechtigten Personen sind berücksichtigt.

• c. Das System und die betrieblichen Abläufe sind so ausgestaltet und dokumentiert, dass die technischen und organisatorischen Abläufe im Detail überprüft und nachvollzogen werden können.

• d. Der Öffentlichkeit werden adressatengerechte Informationen zur Funktionsweise des Systems und zu den betrieblichen Abläufen zugänglich gemacht und Anreize zur Mitwirkung von fachkundigen Personen aus der Öffentlichkeit sind vorhanden.

Art. 4 Risikobeurteilung

¹ Der Kanton führt eine Risikobeurteilung durch, mit der er nachweist und begründet, dass die Sicherheitsrisiken in seinem Verantwortungsbereich hinreichend gering sind. Dabei sind auch das Vertrauen und die Akzeptanz der Öffentlichkeit in die elektronische Stimmabgabe zu berücksichtigen.

² Er prüft, ob er Risiken im Aufgabenbereich seiner Dienstleister selber beurteilen kann und inwiefern separate Risikobeurteilungen durch diese nötig sind. Gegebenenfalls fordert er diese separaten Risikobeurteilungen ein.

³ Die Risikobeurteilungen beziehen sich auf folgende Sicherheitsziele:

• a. Korrektheit des Ergebnisses;

• b. Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen;

• c. Erreichbarkeit und Funktionsfähigkeit des Stimmkanals;

• d. Schutz der persönlichen Informationen über die stimmberechtigten Personen;

• e. Schutz der für die stimmberechtigten Personen bestimmten Informationen vor Manipulationen;

• f. keine missbräuchliche Verwendung von Beweisen zum Stimmverhalten.

⁴ Jedes Risiko wird mit Bezug auf die folgenden Eigenschaften anhand der Dokumentation zum System und zu dessen Betrieb identifiziert und klar beschrieben:

• a. Sicherheitsziele;

• b. allfällige mit den Sicherheitszielen verbundenen Datensätze;

• c. Bedrohungen;

• d. Schwachstellen.

Art. 5 Anforderungen an die vollständige Verifizierbarkeit

¹ Es ist sichergestellt, dass jede Manipulation, die zu einer Verfälschung des Ergebnisses führt, unter Wahrung des Stimmgeheimnisses erkannt werden kann (vollständige Verifizierbarkeit). Dies gilt als gegeben, wenn die Anforderungen an die individuelle und an die universelle Verifizierbarkeit erfüllt sind.

² Es bestehen die folgenden Anforderungen an die individuelle Verifizierbarkeit:

• a. Der stimmenden Person wird die Möglichkeit gegeben zu erkennen, ob ihre Stimme, wie sie sie in die Benutzerplattform eingegeben hat,auf der Benutzerplattform oder auf dem Übertragungsweg manipuliert oder abgefangen worden ist; dazu erhält die stimmende Person einen Beweis, dass der vertrauenswürdige Systemteil (Art. 8) die Stimme so, wie sie die stimmende Person in die Benutzerplattform eingegeben hat, als systemkonform abgegeben registriert hat; der Beweis bestätigt für jede Teilstimme die korrekte Registrierung.

• b. Eine stimmberechtigte Person, die ihre Stimme nicht elektronisch abgegeben hat, kann nach der Schliessung des elektronischen Stimmkanals innert der gesetzlichen Beschwerdefristen einen Beweis anfordern, dass der vertrauenswürdige Systemteil keine Stimme registriert hat, die unter Verwendung des clientseitigen Authentisierungsmerkmals der stimmberechtigten Person abgegeben wurde.

³ Es bestehen die folgenden Anforderungen an die universelle Verifizierbarkeit:

Zur universellen Verifizierung erhalten die Prüferinnen und Prüfer einen Beweis der korrekten Ergebnisermittlung; der Beweis bestätigt, dass das ermittelte Ergebnis folgende Stimmen berücksichtigt:

• 1. alle systemkonform abgegebenen Stimmen, die durch den vertrauenswürdigen Systemteil registriert wurden;

• 1. ausschliesslich systemkonform abgegebene Stimmen;

• 1. alle Teilstimmen gemäss des im Rahmen der individuellen Verifizierung generierten Beweises.

• a.

• b. Die Prüferinnen und Prüfer werten den Beweis in einem beobachtbaren Prozess aus; dazu müssen sie technische Hilfsmittel verwenden, die vom Rest des Systems unabhängig und isoliert sind.

Art. 6 Stichhaltigkeit der Beweise

Für die Stichhaltigkeit der Beweise nach Artikel 5 massgebend ist die Vertrauenswürdigkeit:

• a. des vertrauenswürdigen Systemteils für Beweise nach Artikel 5 Absätze 2 und 3;

• b. des Verfahrens bei der Generierung und beim Druck des Stimmmaterials für Beweise nach Artikel 5 Absatz 2; und

• c. des technischen Hilfsmittels, das von den Prüferinnen und Prüfern zur Überprüfung eingesetzt wird, für Beweise nach Artikel 5 Absatz 3.

Art. 7 Wahrung des Stimmgeheimnisses und Ausschluss von vorzeitigen Teilergebnissen

Für die Wahrung des Stimmgeheimnisses und den Ausschluss von vorzeitigen Teilergebnissen innerhalb der Infrastruktur massgebend ist die Vertrauenswürdigkeit:

• a. des vertrauenswürdigen Systemteils;

• b. des Verfahrens bei der Generierung und beim Druck des Stimmmaterials.

Art. 8 Anforderungen an den vertrauenswürdigen Systemteil

¹ Der vertrauenswürdige Systemteil umfasst eine oder mehrere Gruppen von Kontrollkomponenten.

² Beweise sind auch dann stichhaltig (Art. 6) und das Stimmgeheimnis ist auch dann gewahrt (Art. 7), wenn pro Gruppe nur eine der Kontrollkomponenten korrekt funktioniert.

³ Die Vertrauenswürdigkeit des vertrauenswürdigen Systemteils wird über die unterschiedliche Ausgestaltung der Kontrollkomponenten sowie die Unabhängigkeit von deren Betrieb und deren Überwachung sichergestellt.

Art. 9 Zusätzliche Massnahmen zur Risikominimierung

Sind die Risiken trotz der ergriffenen Massnahmen nicht hinreichend gering, so müssen zusätzliche Massnahmen zur Risikominimierung ergriffen werden. Dies gilt insbesondere auch dann, wenn sämtliche Anforderungen des Anhangs bereits umgesetzt sind.

Art. 10 Anforderungen an die Überprüfung

¹ Unabhängige Stellen prüfen im Auftrag der Bundeskanzlei:

• a. das kryptografische Protokoll (Anhang Ziff. 26.1);

• b. die Software des Systems (Anhang Ziff. 26.2);

• c. die Sicherheit von Infrastruktur und Betrieb (Anhang Ziff. 26.3);

• d. den Schutz gegen Versuche, in die Infrastruktur einzudringen (Anhang Ziff. 26.4).

² Der Kanton stellt sicher, dass der Systembetreiber über ein Informationssicherheitsmanagement-System (ISMS) verfügt und dieses von unabhängigen Stellen geprüft wird (Anhang Ziff. 26.5). Das ISMS umfasst mindestens die Prozesse und die Infrastruktur des Systembetreibers, die für die Erreichung der Sicherheitsziele relevant sind.

³ Der Kanton stellt sicher, dass die Bundeskanzlei und die von ihr beauftragten unabhängigen Stellen für die Durchführung der Prüfungen nach Absatz 1 Zugang zum System und den notwendigen Unterlagen erhalten.

⁴ Die nach den Absätzen 1 und 2 für die Prüfungen zuständigen Behörden publizieren die Belege und die Zertifikate. Zusätzlich sind weitere Unterlagen zu publizieren, sofern sie für die Nachvollziehbarkeit relevant sind. Nicht publiziert werden müssen Dokumente oder Teile von Dokumenten, für die eine begründete Ausnahme insbesondere gestützt auf das Öffentlichkeits- oder das Datenschutzrecht vorliegt.

Art. 11 Offenlegung des Quellcodes und der Dokumentation zum System und dessen Betrieb

¹ Der Kanton sorgt dafür, dass folgende Unterlagen offengelegt werden:

• a. der Quellcode der Software des Systems einschliesslich der Dateien mit relevanten Parametern;

• b. ein Nachweis, dass die maschinenlesbaren Programme aus dem publizierten Quellcode der Software erstellt worden sind;

• c. die Dokumentation der Software;

• d. die Dokumentation des Entwicklungsprozesses;

• e. Anleitungen und ergänzende Dokumentationen, die fachkundige Personen benötigen, um das System ausgehend vom Quellcode in der eigenen Infrastruktur kompilieren, in Betrieb nehmen und analysieren zu können;

• f. die technischen Spezifikationen der wichtigen Komponenten des Systems;

• g. die Dokumentation der Prozesse für den Betrieb, die Wartung und die Sicherung des Systems;

• h. Informationen und Beschreibungen zu bekannten Mängeln.

² Nicht offengelegt werden müssen:

• a. der Quellcode von Drittkomponenten wie Betriebssystemen, Datenbanken, Web- und Applikationsservern, Rechteverwaltungssystemen, Firewalls oder Routern, sofern diese weit verbreitet sind und laufend aktualisiert werden;

• b. der Quellcode von Behördenportalen, die mit dem System verbunden sind;

• c. Dokumente oder Teile von Dokumenten, für die eine begründete Ausnahme von einer Publikation insbesondere gestützt auf das Öffentlichkeits- oder das Datenschutzrecht vorliegt.

Art. 12 Modalitäten der Offenlegung

¹ Die nach Artikel 11 offenzulegenden Unterlagen müssen so aufbereitet und dokumentiert sein, dass sich das Lesen und Analysieren möglichst einfach gestaltet.

² Um eine Überprüfung durch die Öffentlichkeit zu ermöglichen, müssen die Unterlagen:

• a. einfach, unentgeltlich und ohne Registrierung über das Internet beziehbar sein; und

• b. rechtzeitig vor dem geplanten Einsatz des Systems verfügbar sein.

³ Jede Person darf den Quellcode zu ideellen Zwecken untersuchen, verändern, kompilieren und ausführen sowie Studien dazu verfassen. Sie darf Studien und Erkenntnisse zu Mängeln publizieren. Sie darf sich insbesondere für die Fehlersuche mit weiteren Personen austauschen und dabei aus den offengelegten Informationen zitieren.

⁴ Die Inhaberin oder der Inhaber des Quellcodes kann:

• a. die Nutzung des Quellcodes zu anderen Zwecken erlauben;

• b. für die Einreichung von Hinweisen zur Verbesserung des Systems spezifische Bedingungen festlegen; dabei kann sie oder er dazu auffordern, Mängel umgehend zu melden und für Publikationen zu vermuteten Mängeln eine bestimmte Frist einzuhalten.

⁵ Stellt sie oder er Nutzungsbedingungen für den Quellcode und die Dokumentation oder Bedingungen nach Absatz 4 Buchstabe b auf, so darf sie oder er Verstösse dagegen nur dann zivil- oder strafrechtlich verfolgen, wenn eine Person den Quellcode oder Teile davon kommerziell verwendet oder produktiv einsetzt. In den Nutzungsbedingungen und den Bedingungen ist darauf hinzuweisen.

Art. 13 Einbezug der Öffentlichkeit

¹ Der Kanton bezeichnet eine Stelle, bei der interessierte Personen Hinweise zur Verbesserung des Systems einreichen können, darunter:

• a. Hinweise zu Mängeln in den offengelegten Unterlagen nach Artikel 11;

• b. Hinweise auf der Grundlage von Versuchen zum Eindringen in das Online-System im Rahmen von öffentlichen Tests.

² Die Stelle nach Absatz 1 wertet die Hinweise aus und informiert die hinweisgebende Person über ihre Einschätzung und allfällige Massnahmen, die gestützt auf den Hinweis getroffen werden. Diese Informationen werden publiziert.

³ Der Kanton sorgt dafür, dass Hinweise, die einen Bezug zur Sicherheit haben und die zu Verbesserungen des Systems beitragen, angemessen finanziell vergütet werden.

Art. 14 Verantwortung und Zuständigkeiten für den korrekten Ablauf des Urnengangs mit der elektronischen Stimmabgabe

¹ Der Kanton trägt die Gesamtverantwortung für den korrekten Ablauf des Urnengangs mit der elektronischen Stimmabgabe.

² Er muss wichtige Aufgaben selbst ausführen. Er kann die Entwicklung der eingesetzten Software, Aufgaben des Betriebs und die Kommunikation zu Fragen der Funktionsweise an externe Organisationen delegieren.

³ Er bestimmt eine auf kantonaler Ebene verantwortliche Stelle, die die Gesamtverantwortung trägt und insbesondere die folgenden Aufgaben wahrnimmt:

• a. Festlegung einer übergeordneten Informationssicherheitsrichtlinie;