Das E-Voting-System des Kantons Zürich ermöglicht die elektronische Stimmabgabe sowohl bei Wahlen als auch bei Abstimmungen und soll dazu beitragen, dass zusätzliche Bevölkerungsschichten für eine Beteiligung an der politischen Meinungsbildung gewonnen werden können.
Umgesetzt wurde das E-Voting-Projekt des Kantons Zürich durch die Firma Unisys. Die Lösung berücksichtigt vor allem die in der Schweiz und in den meisten Kantonen vorherrschenden dezentralen Strukturen und kann so als Modell für die gesamte Eidgenossenschaft dienen. Zudem wird nicht nur das Wählen und Abstimmen via Internet möglich sein, sondern auch die Variante über Handy/SMS. Die volle Einbindung des E-Voting-Moduls in das in mehreren Kantonen im Einsatz stehende Wahl- und Abstimmungssystem WABSTI II zeichnet das Produkt zusätzlich aus.
Der Kanton Zürich verfügt über ausgeprägte dezentrale Strukturen. Kleinstgemeinden mit weniger als 200 Stimmberechtigten stehen neben der Stadt Zürich mit 240’000 Stimmenden. Jede der 171 Gemeinden verfügt über ihre eigenen EDV-Systeme, die aber über das kantonale WAN (LeuNet) mit dem Kanton und untereinander verbunden sind. Das E-Voting-System berücksichtigt diese unterschiedlichen Bedürfnisse und wird den diversen Anforderungen gerecht.
Die eingesetzte Technologie ist nur eines unter vielen Elementen, die notwendig sind, um ein E-Voting-System erfolgreich zu betreiben. Das System ermöglicht die elektronische Stimmabgabe per Internet und SMS. Die Stimmabgabe per Internet ist weitgehend selbsterklärend. Die Stimmabgabe per SMS ist relativ einfach und ebenso sicher wie die über das Internet. Die Sicherheit wird dabei durch eine personalisierte individuelle Codetabelle gewährleistet, die bei jedem Urnengang neu generiert wird. Somit ist das auch auf die Bedürfnisse und Gewohnheiten der Handygeneration zugeschnitten. Die Architektur erlaubt zudem jederzeit eine Ausweitung auf weitere künftige Eingabegeräte.
Bei der Gestaltung der Lösung mussten die unterschiedlichsten Anforderungen erfüllt werden. Zu berücksichtigen waren einerseits Bedürfnisse der Stimmbürgerinnen und Stimmbürger sowie andererseits die Anforderungen des Bundes und des Kantons Zürich, der Gemeinden und deren Organe sowie der Informatik-Dienstleister der Gemeinden.
Stimmbürgerinnen und Stimmbürger:
Die Stimmabgabe per Internet oder über das Handy ermöglicht ein besseres Angebot für die Bürgerinnen und Bürger. Die Sicherheit, Anonymität und das Stimmgeheimnis sind auch bei der elektronischen Stimmabgabe gewährleistet. Die Möglichkeit der Briefwahl oder der Gang an die Urne besteht jedoch weiterhin.
Gemeinden:
Das E-Voting-System lässt sich in sämtliche in den
Gemeinden eingesetzten Informatiklösungen integrieren. Das in den Gemeinden eingeführte Wahl-
und Abstimmungssystem (WABSTI II) bleibt als Führungssystem erhalten. Alle wahl- und abstimmungsrelevanten Daten werden nach wie vor dort erfasst, validiert und ausgemittelt.
Vertraulichkeit:
Adressen, Passwörter und Zugangscodes sind streng vertraulich. Deshalb besteht beim Druck der Stimmrechtsausweise eine hohe Vertraulichkeitsstufe. Die Stimmrechtsausweise werden darum in maximal vier speziell zertifizierten Druckzentren gedruckt. Aber auch bei der Systemarchitektur wurde darauf geachtet, dass die hohen Anforderungen an die Vertraulichkeit erfüllt sind.
Sicherheit:
Sichere Server und sichere Software sind essentiell für das E-Voting und werden deshalb in einer speziellen Sicherheitsumgebung betrieben. Grundsätzlich erfüllt das E-Voting-System des Kantons Zürich alle Auflagen des Bundes und der Verordnung über die politischen Rechte. Um diese Sicherheitsvorgaben zu erfüllen, hat der Kanton Zürich über das E-Voting-Modul ein Informations-Sicherheits-Management-System (ISMS) gelegt nach dem Ansatz «Beste Praxis». Bei der Umsetzung werden die beiden Standards nach ISO 17799 respektive BS 7799 angewandt. Zudem wurde durch den Bund ein Sicherheits-Audit über das gesamte System durchgeführt.
Die meisten Kantone verfügen über kein zentrales Stimmregister, so auch der Kanton Zürich. Deshalb werden für das E-Voting vor jedem Urnengang die Stimmregister der Gemeinden zusammengezogen. Dieses virtuelle Stimmregister dient vorwiegend zur Prüfung des Stimm- und Wahlrechts, zur Generierung der Stimmrechtsausweise und zum validieren der Kandidaten bei Majorzwahlen. Jede Gemeinde exportiert ihre Stimmregisterdaten zu einem bestimmten Zeitpunkt direkt ins E-Voting-System. Dabei durchlaufen die Daten der Gemeinderegister einen Feld-Mapping-Prozess. Weiter können die Gemeinden im E-Voting-System auch die Daten der Auslandschweizer führen und elektronisch ins virtuelle Stimmregister übernehmen. Der kantonale Wahladministrator und die kommunalen Verantwortlichen haben die Möglichkeit, den Status der Übernahme zu überprüfen. Nach jedem Urnengang werden die Daten des virtuellen Stimmregisters wieder gelöscht. Das System im einzelnen:
Layoutsystem:
Im Layoutsystem können die Gemeinden ihre spezifischen Daten wie Wahlkreise, Urnenöffnungszeiten und anderes definieren. Diese erscheinen auf dem Stimmrechtsausweis und werden zur elektronischen Stimmabgabe benötigt.
Stimmabgabegeräte:
Für die beiden in dieser Version realisierten Stimmabgabegeräte, den PC und das Handy, gilt ein standardisierter Ablauf: Anmelden – identifizieren – Vorlagen ausfüllen – Stimme abgeben – authentifizieren – Bestätigung abwarten – abmelden.
Dieser Vorgang wird beim Internet mittels SSL-Verschlüsselung (https) und bei der Stimmabgabe via SMS durch die Vorverschlüsselung (Codetabelle auf dem Stimmrechtsausweis) abgesichert, wodurch die Vertraulichkeit in jedem Fall gewährleistet ist.
Übergabesystem:
Die Vorlagen und Kandidaturen müssen nur einmal im Wahl- und Abstimmungssystem WABSTI II erfasst werden. Danach werden diese Daten im EML-Format (Electronic Markup Language) ins E-Voting-System exportiert.
Nach Urnenschluss wird von der elektronischen Urne das Resultat ermittelt und ein Journal von den validierten Daten erstellt. Anschliessend sind die Daten bereit, um ins Ausmittlungssystem WABSTI II importiert zu werden. Dieser Vorgang erfolgt mittels eines E-Services. Im Ausmittlungssystem werden die elektronisch abgegebenen Stimmen mit den herkömmlich abgegebenen zusammengeführt.
Identifikations- und Kontrollsystem:
Das Identifikations- und Kontrollsystem identifiziert und authentifiziert die Nutzer und prüft das Stimmrecht des Votierenden. Das System stellt sicher, dass je nach Benutzergruppe nur Berechtigte zugelassen werden. Diese Aufgabe nimmt das Identifikations- und Kontrollsystem zusammen mit dem Secure Entry Server (SES) wahr. Das Identifikations- und Kontrollsystem stellt sicher, dass nur Berechtigte ihre Voten zu den Vorlagen abgeben können.
Trägersystem:
Das Herzstück des E-Voting überträgt die eingehenden Stimmen in die zentrale E-Voting-Datenbank. Der Zugriff geschieht über den SES, wodurch der unautorisierte Zugriff auf das E-Voting-System ausgeschlossen ist. Das Trägersystem ist weitestgehend unabhängig vom jeweiligen Visualisierungssystem respektive Eingabegerät.
Datenhaltung:
Stimmen und Stimmrechte werden verschlüsselt und getrennt auf mehreren Oracle-Datenbanken abgelegt. Vor der Ablage in die Datenbanken werden alle Daten chiffriert, damit das Stimmgeheimnis nicht verletzt wird. Alle Daten werden zudem parallel auf einem WORM-Speicher (Write Once Read Many) gesichert. Die Daten auf den WORMs können bei einem Systemausfall oder bei einer Beschwerde zur Beweisführung herangezogen werden.
Systemplattform:
Die Systemplattform muss höchsten Anforderungen bezüglich Sicherheit und Angriffen von innen und aussen genügen, sowohl physisch als auch organisatorisch. In bezug auf die Ausfallsicherheit sind alle Systeme doppelt ausgelegt, angefangen bei der Stromzufuhr über die Notstromversorgung und die Netzwerkanschlüsse bis hin zur Klima- und Überwachungsanlage. Die offene Systemarchitektur erlaubt dabei die volle Integration des E-Voting-Systems in die verschiedensten EDV-Infrastrukturen der Gemeinden.
Die Stimmbürgerinnen und Stimmbürger erhalten auf ihrem Stimmrechtsausweis die User-ID, eine PIN und eine Codetabelle für die elektronische Stimmabgabe. Die PIN wird durch ein Siegel (Hydalam XO) gesichert, das nur für die elektronische Stimmabgabe aufgebrochen werden darf. Um die PIN lesen zu können, muss zuerst eine Lasche aufgerissen werden. Anschliessend ist hinter der Lasche noch der Decklack aufzurubbeln. Das Siegel ermöglicht eine unkomplizierte Kontrolle durch den Urnendienst. Bei einem aufgebrochenen Sicherheitssiegel wird geprüft, ob der Stimmende bereits elektronisch abgestimmt hat, um eine doppelte Stimmabgabe zu verhindern. Sowohl die PIN wie auch die User-ID wird bei jedem Urnengang neu erzeugt.
Die Prüfung kann mit einem speziellen Kontrollmodul für den Urnendienst erfolgen. Das System ermöglicht drei verschiedene Kontrollvarianten: online, offline und mit Listen. Die Kontrollgeräte in den Wahllokalen müssen zu diesem Zweck über das LeuNet (WAN) oder eine VPN-Anbindung mit dem
E-Voting-Server verbunden werden können. Ansonsten ist die
Offline- oder die Listenkontrolle vorgesehen, was allerdings eine vorzeitige Schliessung der E-Urne voraussetzt.
David knöri und Elisabeth Prader vom Statistischen Amt des Kantons Zürich haben das E-voting-System als projektleiter entworfen und zusammen mit der firma Unisys umgesetzt.
