Discussion: Des menaces / Bedrohungen

[dune73]

Français

Il existe différentes menaces pour la sécurité de la récolte des signatures.

Le rapport sur le postulat traite de plusieurs attaques possibles contre un processus de récolte numérique (rapport sur le postulat, p. 17 et suivantes).

Attaques contre les appareils des électeurs :

• Pour violer le secret du vote
• Pour soumettre de manière abusive des déclarations de soutien
• Pour empêcher la transmission des déclarations de soutien sans que cela soit remarqué

Attaques contre les serveurs qui stockent et comptent les déclarations de soutien ou contre d'autres serveurs du système de récolte électronique :

• Pour violer le secret du vote
• Pour enregistrer de manière abusive des déclarations de soutien
• Pour détourner des déclarations de soutien

Attaques contre l'infrastructure du registre électoral des communes, qui est utilisée pour vérifier le droit de vote et, le cas échéant, exclure les signatures multiples :

• Pour violer le secret du vote
• Pour empêcher de manière abusive la certification des déclarations de soutien valides
• Pour obtenir abusivement l’attestation de la qualité d’électeur des attestations de soutien invalides

D'autres attaques sont également envisageables. Lesquelles ?

Nous décrivons un scénario supplémentaire peu réaliste dans le premier commentaire à titre d'exemple.

Remarque : l'objectif de cette discussion n'est pas de trouver des solutions ou de contrer les menaces évoquées, mais de répertorier le plus grand nombre possible de menaces, indépendamment de la question de savoir si la protection contre ces menaces nécessite ou non des mesures spéciales.

Deutsch

Es gibt verschiedene Bedrohungen für die Sicherheit des Sammelns von Unterschriften.

Der Postulatsbericht behandelt mehrere mögliche Angriffe auf einen digitalen Sammelprozess (Postulatsbericht, S. 17ff).

Angriffe auf die Geräte der Stimmberechtigten:

• Um das Stimmgeheimnis zu brechen
• Um missbräuchlich Unterstützungsbekundungen abzugeben
• Um die Übermittlung der Unterstützungsbekundungen unbemerkt zu unterbinden

Angriffe auf die Server, welche Unterstützungsbekundungen aufbewahren, auszählen oder andere Server des E-Collecting-Systems:

• Um das Stimmgeheimnis zu brechen
• Um missbräuchlich Unterstützungsbekundungen zu erfassen
• Um Unterstützungsbekundungen zu unterschlagen

Angriffe auf Stimmregister-Infrastruktur bei den Gemeinden, die für die Stimmrechtsprüfung und gegebenenfalls den Ausschluss mehrfacher Unterschriften verwendet wird:

• Um das Stimmgeheimnis zu brechen
• Um die Bescheinigung gültiger Unterstützungsbekundungen missbräuchlich zu unterbinden
• Um die Bescheinigung ungültiger Unterstützungsbekundungen missbräuchlich zu erwirken

Darüber hinaus sind weitere Angriffe denkbar. Welche sind dies?

Ein zusätzliches, wenig realistisches Szenario beschreiben wir im ersten Kommentar als Beispiel.

Hinweis: Die Idee dieser Diskussion ist nicht das Finden von Lösungen oder die Abwehr der angeschnittenen Bedrohungen, sondern das Auflisten von möglichst vielen Bedrohungen - unabhängig von der Frage, ob der Schutz vor dieser Bedrohungen spezielle Massnahmen bedarf oder nicht.

[dune73]

Français

Un acteur politique a l'intention de perturber le processus politique.

À cette fin, il forme un comité d'initiative. Ce comité lance alors de nombreuses initiatives populaires sans avoir l'intention de récolter effectivement des signatures.

Les systèmes d'information conçus pour la récolte électronique sont néanmoins contraints de refléter correctement ces récoltes (par exemple dans une application correspondante, si celle-ci est utilisée). De ce fait, les initiatives lancées par d'autres acteurs politiques perdent de leur visibilité et, dans les cas extrêmes, sont même complètement éclipsées par les initiatives lancées de manière malveillante.

Voir également à ce sujet la discussion sur l'ordre dans le deuxième événement en ligne du processus participatif :

• Enregistrement Youtube
• Transcription IA
• Discussion par écrit

Deutsch

Ein politischer Akteur verfolgt die Absicht, den politischen Prozess zu stören.

Er bildet dazu ein Initiativkomitee. Dieses Komitee lanciert nun zahlreiche Volksinitiativen, ohne die Absicht, effektiv Unterschriften zu sammeln.

Die für E-Collecting gebauten Informationssysteme sind gezwungen, diese Sammlungen dennoch korrekt abzubilden (zum Beispiel in einer entsprechenden App, falls diese zum Zug kommen sollte). Dadurch verlieren die von anderen politischen Akteuren angestrengten Initiativen an Aufmerksamkeit und werden im Extremfall von den böswillig gestarteten Initiativen sogar komplett aus dem Fokus gedrängt.

Siehe zu diesem Thema auch die Diskussion zur Reihenfolge im zweiten Online Event des partizipativen Prozesses:

• Youtube Aufzeichnung
• KI Transkript
• Schriftliche Diskussion

[Chnoch]

Weitere mögliche Angriffsvektoren:

• Angriffe auf die Verfügbarkeit der Plattform in kritischen Phasen (z.B. letzte 48h einer Referendumsfrist), bspw. via DDoS-Attacken, Angriffen auf benötigte Umsysteme wie Identitätsdiensten.
• Social Engineering und Phishing ausserhalb der Plattform: Mit Websiten & Links, die sehr ähnlich aussehen, kann unter Usern Desinformation gestreut werden oder das Abgreifen von Nutzerdaten ermöglicht werden. Beispiel: In den Sozialen Medien wird ein Link geteilt, der auf eine Website führt, die sehr ähnlich aussieht wie die E-Collecting Plattform. Auf der Website findet der Benutzer Informationen zu Initiative A, gibt nichtsahnend seine Daten ein. Diese Daten werden abgegriffen und der Benutzer wird auf die effektive Plattform, aber auf Initiative B umgeleitet. Je nach Informationsgehalt und Inhalt der E-Collecting Plattform ermöglicht dies ein schnelles und einfaches Social Engineering
• Angriffe auf personeller Ebene: Systemadministratoren oder technisches Personal könnte je nach Berechtigungen und Prozess Daten löschen, Daten manipulieren, Backdoors integrieren, oder schon nur die Reihenfolge der Anzeigen manipulieren. Dies kann entweder aufgrund politischer Hintergründe oder auch über Bestechung / Erpressung von berechtigtem Personal erfolgen.
• Lieferketten-Angriffe (Supply Chain Attacks): Die technische Basis nutzt wahrscheinlich gewisse Standard-Softwarekomponenten, -libraries und -frameworks. In solchen Komponenten kann aufgrund von Supply Chain Attacken Schadcode in die technische Lösung eingeschleust werden. Dies muss nicht zwingend ein expliziter Angriff auf die E-Collecting-Plattform sein, aber allein der reputative Schaden und der Vertrauensverlust wäre sehr hoch.

[dune73]

Danke sehr @Chnoch. Das sind ein paar spannende Ideen.

Gespannt, was sonst noch so für Ideen kommen.

[famoser]

Eine vollständige Liste von Angriffen zu bewirtschaftern wird schwierig, denn der Kreativität der Angreifer können ja keine Schranken gesetzt werden. Sinnvoller erscheint es mir, die gewünschten Sicherheits-Eigenschaften klar zu definieren, sowie unter welchen Annahmen diese erreicht werden sollen (siehe VEleS + Anhang). Dieses Vorgehen erlaubt es, alle Angriffe innerhalb der definierten Szenarios auszuschliessen.

Eine Liste von Angriffsszenarien und Erarbeitung von Mitigationen dazu kann aber natürlich ergänzend wirken, und hilft vielleicht bei der Identfizierung von gewünschten Sicherheits-Eigenschaften sowie von akzeptablen Annahmen. Folgende Perspektiven scheinen noch zu fehlen:

• Manipulation der Internet-Infrastruktur: Durch gezielte Attacken auf DNS, BGP und weiterer Grundlagen des Internets könnten Stimmberechtigte auf gefälschte Seiten umgeleitet werden, mit oder ohne sogenannte Person-in-the-Middle attacks.
• Angriffe auf die Glaubwürdigkeit des Systemes: Öffentliches populistisches Anzweifeln der Resultate des Systemes. Kann das System seine Integrität nicht belegen (Stichwort Verifizierung siehe anderer Thread), kann auch nicht mit sachlichen Argumenten dagegen getreten werden.
• Programmierfehler: Fehler bei der Implementierung des Systemes führen zu falschen Resultaten, die ohne Verifizierung wiederum sehr schwierig zu erkennen sind. Diese Fehler können bewusst platziert werden (Backdoor), oder auch einfach durch menschliches Versagen entstanden sein.

Hin zu einer weiteren Vervollständigung der Liste der Angriffsszenarien könnte auch helfen, die Angriffe und Akteure als Matrix zu formulieren. So kann Bund, Kanton, Gemeinde und Stimmbürger:in als Dimension X jeweils von allen möglichen Attacken betroffen sein in der Dimension Y, wie Programmierfehler, Supply Chain Attacks, Social Engineering, etc.

[gcbrain]

Ergänzend zu diesen Angriffsformen könnte versucht werden, mittels zusätzlicher fiktiver Einträge das notwendige Minimum zu erreichen:

Pour violer le secret du vote
Pour empêcher de manière abusive la certification des déclarations de soutien valides
Pour obtenir abusivement l’attestation de la qualité d’électeur des attestations de soutien invalides

[dune73]

Vielen Dank für diese Hinweise @gcbrain. Ich kann Dir aber nicht ganz folgen. Könntest Du das noch etwas ausführlicher erklären?

• "mittels zusätzlicher fiktiver Einträge das notwendige Minimum zu erreichen" ist natürlich eine grosse Gefahr. Aber wir würdest Du fiktive Einträge erstellen wollen / können?

• "Pour empêcher de manière abusive la certification des déclarations de soutien valides" - Oui, mais comment?

• "Um missbräuchlich die Bescheinigung der Wählbarkeit durch ungültige Unterstützungsbekundungen zu erlangen" - ça, je ne comprends pas du tout.

[dune73]

Von Ständerat Matthias Michel erreichte die Bundeskanzlei folgende Antwort per Mail. Er hat uns erlaubt, sie hier in seinem Namen einzubringen.

"'Bedrohung' ist ein starkes Wort. Geht es nicht vielmehr um Risiken? Für technische Risiken kann ich nicht antworten, da nicht fachlich beschlagen. Als "politisches Risiko" wurde mir bei der Bewerbung meiner Motion zum Pilot für ein
e-Collecting entgegengehalten, dass das Unterschriftensammeln zu einfach sein könnte und dann entweder eine Inflation von Initiativen oder die Forderung nach Anhebung der Mindestzahlen bei Referenden und Initiativen folgen könne."

[sansan88]

Die wissenschaftliche Forschung (TA-SWISS, Boos et al. 2021) zeigt: Digitale Demokratie ist ein Spannungsfeld zwischen Versprechen und Risiken. Mehr Effizienz kann mehr Kontrolle bedeuten, mehr Teilhabe weniger Privatsphäre, mehr Transparenz neue Manipulationsrisiken. E-Collecting muss so gestaltet werden, dass die Versprechen eingelöst werden, ohne die Risiken zu verstärken.

Die E-Collecting-spezifischen technischen Bedrohungen sind identifizierbar: Phishing durch täuschende Webseiten, Integritätsmanipulation vor der Einreichung, Identitätsdiebstahl und DDoS-Angriffe in kritischen Phasen wie den letzten 48 Stunden einer Referendumsfrist. Die Schweizer E-ID mit Device Binding bietet hier einen strukturellen Vorteil – die physische Komponente erschwert skalierte Angriffe massiv.

Diese technischen Bedrohungen lassen sich durch bewährte Architekturprinzipien adressieren: Datensparsamkeit, quelloffene Software und dezentrale Datenhaltung. Team 6 (BFH/EPFL) demonstriert mit Protokoll LH15, dass Verifizierbarkeit bei Wahrung des Stimmgeheimnisses technisch möglich ist.

Das Digitalbarometer 2025 zeigt eine unterschätzte Dimension: 53% der 26-34-Jährigen sind besorgt über Abhängigkeiten von Big Tech, 56% über Abhängigkeiten von ausländischen Systemen. Die Frage, auf welcher Infrastruktur E-Collecting läuft – Microsoft Azure, Google Cloud, AWS oder eine souveräne Lösung – verdient mehr Aufmerksamkeit in der Sicherheitsdiskussion.

[dune73]

Im 1:1 Gespräch äusserte sich der ehemalige Nationalratspräsident Ruedi Lustenberger wie folgt zu den hier behandelten Fragen:

«Vom Konzept her handelt sich bei E-Voting um einen sehr klaren, durch den Staat kontrollierbaren und kontrollierten Prozess. Der Staat gelangt an den Stimmbürger und fordert ihn zum Abstimmen auf. Der Ausgangspunkt des Prozesses ist klar der Staat und es läuft alles unter der Aufsicht des Staates.

Beim E-Collecting stellt sich die Situation anders dar: Die Stimmbürger organisieren sich und gelangen damit an den Staat. Wir sind also beim Sammeln in einer frühen Stufe des Prozesses in welchem der Staat noch nicht involviert ist. Das Sammeln wird dabei von den Komitees gesteuert und das Heft ist in der Hand der Bürger. Das Potential für beliebigen Missbrauch – nicht zwingend nur Hacker-Angriffe – ist damit viel grösser als beim besser kontrollierbaren E-Voting.»

[dune73]

Im 1:1 Gespräch äusserte sich Jonas Schmid von der Universität Bern folgendermassen zu den hier behandelten Fragen:

"Es gibt ähnlich wie beim E-Voting die grosse Frage, wer den Client kontrolliert. Kann der Client mittels Cyber-Angriffen übernommen werden? Kann ein Angreifer meine Unterschrift in die falsche Sammlung lenken? Wie wird das technisch gelöst?

Die Dezentralität der Infrastruktur kann die Resilienz fördern. Die Effizienz gewinnt aber massiv durch die Zentralisierung. Da bestehen also divergierende Ziele.

Man muss einem Single Point of Failure entgegen wirken. Da gibt es denkbare Lösungen, man muss einfach sicher stellen, dass die Systeme in der Schweiz laufen und die Daten in der Schweiz bleiben.

Desinformation ist ein riesiges Thema. Hier muss die Angriffsoberfläche reduziert werden aber die Einbettung von E-Collecting im Netz vergrössert das Potenzial kurzfristiger, affektiver Entscheidungswellen."

[dune73]

Im 1:1 Gespräch äusserte sich Volker Reinhardt, Prof. em. der Universität Freiburg i.Ü., folgendermassen zu der hier behandelten Frage:

"Es ist erstaunlich, was Hacker heutzutage alles zu Stande bringen. E-Collecting kann deshalb nur Vertrauen finden, wenn die Sicherheit grösser ist als bei der Sammlung auf Papier. Die grossen Bedrohungen eines Online-Systems müssen soweit
mitigiert werden, dass sie gegenüber den im Lauf der Jahre gefälschten Stimmen nicht mehr ins Gewicht fallen. Das stelle ich mir sehr schwierig vor."