2.5
Organisatorische Anforderungen
Um die Systemsicherheit zu steigern, müssen mindestens
nachfolgende organisatorische Punkte berücksichtigt werden:
-
Eliminierung setupabhängiger Fehler: Sie passieren
in der Vorbereitungsphase und wirken sich auf den Wahlprozeß aus.
Dazu gehören beispielsweise eine inkorrekte Zuweisung von Kandidaten
zum elektronischen Stimmzettel, die Definition fehlerhafter oder inkompatibler
Auswertungsprozeduren. Setupabhängige Fehler sind auch durch gezieltes
Testen zu eliminieren.
-
Protokollierung: Sie umfaßt Datenaufzeichnungen
über die Operationen der eingesetzten Geräte, über Eingaben,
Ausgaben und Ermittlungsschritte.
-
Exklusivität: Die Wahl-Server dürfen ausschließlich
für wahlbezogene Aufgaben eingesetzt werden.
2.5.1
Rechnerschutz
Der Rechnerschutz umfaßt Maßnahmen zum Schutz
der Server der Administration sowie der Wählercomputer:
-
Geheiminformationen der Administration: Server-Schlüssel
zur Zertifizierung von geheimen Informationen zur Erzeugung fälschungssicherer
Wahlscheine oder zur Anonymisierung sind besonders schützenswert.
Ein Netzrechner der Administration kann nicht vollständig gesichert
werden. Eine Konvergenz der Sicherheit in Richtung 100% ist nur durch Speicherung
der Geheiminformation auf einem separaten Rechner ohne Netzanschluß
erreichbar.
-
Geheiminformationen des Wählers: Eine sichere
Speicherung und Aufbewahrung kann in einem Sicherheitsmodul (Krypto-Hardware)
erfolgen. Der Einsatz unsicherer Speichermedien (z.B. Harddisk) erfordert
deswegen die Codierung von geheimen Informationen und Daten.
2.5.2
Verlusttoleranz
Die in Dateiform im Wählerrechner gesicherten und
noch nicht abgegebenen E-Wahlscheine sollten durch Kopien vor unabsichtlicher
Löschung gesichert werden. Erfolgt deren Aufbewahrung in einer Chipkarte
(z.B. im EEPROM), so ist ein Schutzniveau garantiert. Falls der Verlust
eines gesicherten Wahlscheins als Folge eines Systemfehlers oder Benutzerfehlers
auftritt, so müssen Wahlscheine rekonstruiert werden können.
Erstellt der Teilnehmer ein Backup, ist der Chipkartenverlust nicht immer
mit einem Wahlscheinverlust gleichzusetzen. Allerdings vermag ein Finder,
wenn der Kartenzugriff ungeschützt ist, die Stimmen eigenständig
abzugeben.