Laptop und Handy mit doppeltem Log-In

Kryptographie unterstützt E-Democracy

01. Dezember 2020

Geeignete technische und organisatorische Schutzmaßnahmen sind für reibungslose Abwicklung von E-Democracy unabdingbar.

E-Participation und E-Democracy sind weitläufige Sammelbegriffe für Verfahren, die die elektronische Beteiligung der Bevölkerung an demokratischen Prozessen ermöglichen. Diese Prozesse reichen von einfachen, nicht bindenden Befragungen zur Meinungserhebung bis hin zum höchsten Gut der Demokratie – der Durchführung von Wah­len. Alle diese Verfahren haben gemeinsam, dass einerseits recht­liche Rahmenbedingungen eingehalten werden müssen und andererseits in ihrer technischen Umsetzung ein Sicherheitsni­veau erreicht werden muss, das Manipulationen verhindert.

Für die Erfüllung dieser Punkte müssen daher organisatorische und technische Sicherheitsmaßnahmen implementiert werden. Bei technischen Maßnahmen ist das unter anderem der Einsatz von kryptographischen Methoden und den damit verbundenen kryptographischen Schlüsseln zur Absicherung der Vertrau­lichkeit und Integrität verarbeiteter Daten. Organisatorische Maßnahmen ergänzen dort, wo eine Abdeckung relevanter Anforderungen über rein technische Maßnahmen nicht oder nur unzureichend möglich ist.

Jedes Verfahren individuell betrachten

Wesentlich ist, dass es für die heterogenen Verfahren im Bereich E-Democracy und E-Participation kein universell gültiges Paket an technischen und organisatorischen Maßnahmen gibt, das für alle Verfahren gleichermaßen angewendet werden kann. Statt­dessen muss für jedes Verfahren eine individuelle Betrachtung durchgeführt werden, die die Definition und Extraktion not­wendiger gesetzlicher und organisatorischer Anforderung, die Bewertung der Risiken und Angriffsszenarien und schlussend­lich die Ableitung geeigneter technischer und organisatorischer Schutzmaßnahmen zum Ziel hat.

Kosten/Nutzenverhältnis prüfen

Weicht man von diesem Vor­gehen hab, so läuft man Gefahr, dass getroffene Maßnahmen zur Verhinderung von Manipulationen entweder unzureichend sind oder, am anderen Ende des Spektrums, eine zu hohe Kom­plexität aufweisen. In beiden Extremfällen werden die gesteck­ten Ziele nicht erreicht. Sind im ersten Fall die Maßnahmen für die Erfüllung der Schutzziele des jeweiligen Verfahrens schlicht nicht ausreichend, sind im zweiten Fall die Kosten aufgrund der Übererfüllung der Anforderungen nicht tragbar.

Zur Person

DI Dr. Peter Teufl ist seit 2015 Geschäftsführer der A-SIT Plus GmbH und hält seit 2011 verschiedene Vorlesungen im Umfeld Cybersecurity an der TU-Graz. Cybersecurity stellt die Kernkompetenz der A-SIT Plus GmbH dar. Das Know-How in diesem Bereich wird im öffentlichen Bereich und am Markt für die Konzeption, Umsetzung und Analyse von sicheren Systemen eingesetzt. Aktuelle technische Fokusbereiche sind unter anderem die „Sichere Authentifizierung in mobilen Applikationen“, „Elektronische Identitäten (EIDAS, E-ID)“ oder „Blockchain-basierte Anwendungen“.