Jusletter IT

Von 18.5. bis 22.5.2009 fanden in Österreich die ersten rechtsverbindlichen Wahlen mittels E-Voting statt, als vorgezogene Stimmabgabe zur Präsenzwahl an den Universitäten (26. bis 28.5.2009).¹ Mehr als 230.000 Studierende an den 21 Österreichischen Universitäten konnten per Internet (Internetwahl, I-Voting oder auch Remote E-Voting)² an den Wahlen teilnehmen. Die Hochschülerinnen- und Hochschülerschaftswahlen 2009 (in Folge: ÖH-Wahlen 2009) sind inhaltlich als komplex zu bezeichnen, es bestehen pro wahlberechtigte Person mehrere Wahlberechtigungen.³ Die Anzahl der einzelnen Wahlen ist hoch, bei den ÖH-Wahlen 2009 wurden insgesamt 376 einzelne Wahlen ermöglicht, 21 Universitätswahlen, 354 Studienrichtungsvertretungswahlen sowie eine Urabstimmung.

Die rechtlichen Bestimmungen gemäß der Hochschülerinnen- und Hochschülerschaftswahlordnung 2005 (HSWO 2005) und dem Hochschülerinnen- und Hochschülerschaftsgesetz 1998 (HSG 1998) beinhalteten eine Reihe von Vorgaben, deren stringente Umsetzung umfangreiche Prozesse ergaben. Zudem war der verfügbare Zeitraum, E-Voting für die Wahlen technisch und organisatorisch umzusetzen, sehr kurz; die Herausforderungen waren für die Projektorganisation dementsprechend hoch. Ein weiterer kritischer Erfolgsfaktor war im Zusammenspiel der beteiligten Umwelten zu sehen. Technische Komplexitäten entstanden dem Projekt durch die hohen technischen Standards, die aus der Anwendung der gesetzlichen Grundlagen und der österreichischen E-Government-Technologien resultierten. Der Einsatz der österreichischen Bürgerkarte für die eindeutige Identifikation beim Wahlsystem und die digitale Signatur der Wahlhandlung sowie die Bildung der bereichspezifischen Personenkennzeichen (bPK) für den Bereich «Bildung und Forschung (BF)» für alle wahlberechtigten Personen. waren gesetzlich vorgeschrieben.⁴ Die durchgängige Einhaltung aller Bestimmungen aus dem Datenschutzgesetz (DSG – v.a. Abschnitt 2 und 3) zum vorsorglichen und geschützten Umgang mit personenbezogenen Daten brachte ebenfalls hohe Anforderung an das Projekt mit sich.

Für die Umsetzung von E-Voting wurde eine Projektstruktur (im Rahmen eines Programms) gemäß den PMA-Standards etabliert.⁵ Die Beauftragung zur technischen und organisatorischen Umsetzung des Projekts fand durch das Bundesministerium für Wissenschaft und Forschung statt. Das spanische Unternehmen Scytl wurde mit der Erstellung des Wahlsystems und der Wählerevidenz beauftragt, die österreichische Bundesrechenzentrum GmbH (BRZ) mit dem Betrieb der IT-Systeme, der Bereitstellung eines Online-Wahladministrationssystems und der Erstellung und Durchführung aller notwendigen Betriebs- und organisatorischen (Sicherheits-)Maßnahmen. Das Wahlsystem wurde gemäß HSWO durch die unabhängige österreichische Zertifizierungsstelle A-SIT am 27.3.2009 zertifiziert, wobei betriebstechnische Faktoren in die Bewertung einbezogen wurden. Die Einbindung der österreichischen E-Government-Technologien in das Wahlsystem fand in Abstimmung mit dem österreichischen Bundeskanzleramt, als Träger der E-Government-Strategie in Österreich, statt. Die bPK wurden in enger Zusammenarbeit mit dem österreichischen Bundesministerium für Inneres erstellt.

Neben den Kerntätigkeiten der IT-Betriebsführung und der Erfüllung der Betriebssicherheit wurden die Bereitstellung weiterer technischer Artefakte und Erfüllung von Dienstleistungen der BRZ GmbH übertragen:

1. Betriebsführung und Betriebssicherheit
2. Bereitstellung und Betrieb des Online-Wahladministrationssystems
3. Bereitstellung (und Support) der österreichischen E-Government-Technologien
4. Aufbau und Betrieb der Infrastruktur für die Wahlbeobachtung (organisatorisch und technisch)
5. Aufbau und Betrieb der Website «oeh-wahl.gv.at »
   
6. Support für Studierende und Wahlkommissionen

Der Hauptteil der Beauftragung des BRZ stellte die Betriebsführung der IT-Systeme dar. Eine Besonderheit des Projekts stellten die vielen kurzen und unterschiedlichen Betriebsphasen dar. Aus diesen Gründen ergaben sich besondere Herausforderungen an das Projektmanagement und die betriebliche Steuerung. Um die Prozesse den Gegebenheiten anzupassen, wurde die Betriebsführung der Wahlsysteme als «projektorientierter» Betrieb definiert und eigene Betriebsprozesse definiert. Ein wesentliches Element im projektbezogenen Betrieb sind in der Definition der Zuständigkeiten zu sehen, die Personen und organisatorischen Einheiten für Entwicklungs- und Qualitätssicherungsleistungen sind auch für die Betriebsführung im Rahmen des Projekts zuständig gewesen. Dieses Vorgehen erleichterte die Akkumulation und Etablierung von Wissen im Projekt über die Projektphasen hinweg, es ergaben sich jedoch auch zusätzliche Herausforderungen dadurch, dass neuartige Prozesse (für die Betroffenen) eingeführt wurden. Auf Grund erhöhter Sicherheitsanforderungen für die eingesetzten Softwaresysteme wurden diese als geschlossenes System aufgebaut, auf das, durch die Versiegelung des Wahlsystems vor der Betriebsphase «E-Voting», kein physischer und elektronischer Zugriff möglich war. Die Versiegelung fand durch die BRZ im Beisein eines(r) Vertreters/Vertreterin der A-SIT⁶ , eines gerichtlich beeideten Ziviltechnikers und des Vorsitzenden der Bundeswahlkommission statt. Für jeden Zugriff auf die Infrastruktur ab diesem Zeitraum war die Anwesenheit von und die Protokollierung durch befugte Vertreter der genannten Organisationen notwendig. Die Wahlinfrastruktur wurde auf zwei Standorten betrieben. Zusätzlich zu den technischen Sicherheitsvorkehrungen in der BRZ wurde ein erweitertes technisches Sicherheitskonzept mit den Internet-Providern der BRZ entwickelt und implementiert. Im Projekt wurden mehrere Testszenarien im Rahmen der Qualitätssicherung ausgearbeitet, die in den jeweiligen Integrationsphasen angewandt wurden. Jeder Iterationsschritt wurde eigens risikobewertet, die Erkenntnisse daraus flossen in die Sicherheitsszenarien ein.

Neben der technisch orientierten Sicherheit für die Betriebsführung der Softwaresysteme ist das gesamte Unternehmen BRZ umfassenden organisatorischen Sicherheitsmaßnahmen unterworfen. Das Konzept wurde in Koordination mit den technischen Sicherheitsmaßnahmen und gemäß den allgemeinen Sicherheitsrichtlinien der BRZ entwickelt. Die Maßnahmen wurden auch aus den Vorgaben der ISO27001 entnommen und durch projektspezifische Maßnahmen ergänzt.⁷ Das Betriebssicherheitsmanagement wurde von einem dreistufigen Modell (Normalbetrieb-Notfall-Ausfall) in ein fünfstufiges Management granuliert - die Betriebszustände «Kritischer Betrieb» und «Krise» wurden ergänzt. Dadurch wurde es möglich, in einer feineren Abstimmung auf Zustände des Gesamtsystems zu reagieren und spezifische Maßnahmen einzuleiten.⁸ Für das Notfallmanagement wurde ein eigenes System entwickelt, welches während der Betriebsphasen von den VertreterInnen des Notfallsmanagements betrieben wurde. In diesem System wurden Ereignisse und Zustände (technisch und organisatorisch) beschrieben und komplettiert mit konkreten Handlungsanweisungen. Während der Betriebsphasen des Wahlsystems bestand eine 24/7-Verfügbarkeit des Notfallsmanagements. Darüber wurde eine eigene Organisationsstruktur für das Krisenmanagement integriert, deren Befugnis die Einleitung unternehmensweiter und übergreifender Maßnahmen war. Neben den operativen Maßnahmen wurde eine umfassende Sicherheitsdokumentation angelegt. Sie beinhaltete sowohl organisatorische wie technische Maßnahmen und gliederte sich in BRZ-Globale-Sicherheitsvorschriften (Rahmenbedingung), Sicherheitsdokumentation (Policy, Sicherheitskonzept und Practice Statement) sowie die technischen Handbücher. Für die operative Betriebsführung verwies das Notfallskonzept auf die Inhalte der Sicherheits- und technischen Dokumentation.

Die Einrichtung der einzelnen Wahlen fand über ein Wahladministrationssystem statt, welches als Online-Anwendung zur Verfügung stand. BenutzerInnen des Systems waren die Mitglieder der Universitätswahlkommissionen sowie die Vorsitzenden der Bundeswahlkommission. In der funktionalen Spezifikation wurden 38 Use Cases definiert, denen Dialoge (Systemeingabeprozesse) und Zuständigkeiten zugewiesen wurden:

Für die Identifikation des/der Wählerin und die Abgabe der Signaturleistung über den Wahlzettel wurden die Technologien der österreichischen E-Government-Strategie, speziell die Bürgerkarte, eingesetzt. Zur Nutzung der Bürgerkarte wurde sowohl die lokale Bürgerkartenumgebung wie auch die Online-Bürgerkartenumgebung «MOCCA» ermöglicht. Für den Einsatz bei E-Voting wurde für MOCCA und MOA-ID ein zweistufiges Testverfahren, teilweise diversifiziert und in zwei Gruppen, entwickelt, dessen Ergebnis in die eingesetzten Technologien einfloss. Für alle wahlberechtigten Personen wurden, dem E-Government-Gesetz entsprechend, bPKs für über 230.000 Studierende erzeugt und diese als primärer Schlüssel in der Wahladministration verspeichert. Die Grunddaten der Studierenden wurden aus dem Österreichischen Universitätsdatenverbund pro Universität exportiert und protokolliert im Kollegialitätsprinzip dem E-Voting-Projekt übergeben. Die Daten wurden gesichert verspeichert und verschlüsselt der Stammzahlenregisterbehörde zur Bildung der bPKs übermittelt. Erst diese Kennungen wurden im Wahladministrationssystem verspeichert. Die übergebenen Grunddaten wurden daraufhin gelöscht.

Eine der wichtigsten Forderungen bei allen Wahlverfahren ist hohe Transparenz der Wahlprozesse bei gleichzeitiger Einhaltung der Wahlrechtsgrundsätze. Für die Nachvollziehbarkeit des Status der einzelnen Wahlen und der Unversehrtheit der Wahlinfrastruktur wurde eine Wahlbeobachtung im Haus der BRZ GmbH implementiert. Während des Wahlzeitraums konnten WahlbeobachterInnen rund um die Uhr die Räumlichkeiten der Wahlbeobachtung aufsuchen. Die Wahlbeobachtung konnte sowohl im Wahlbeobachtungsraum der BRZ wie auch, unter Begleitung eines sicherheitszertifizierten BRZ-Mitarbeiters, zur versiegelten E-Voting-Infrastruktur an beiden Standorten stattfinden. Die Wahlbeobachtungsinfrastruktur beinhaltete einerseits eine direkte Bildübertragung der Wahlsysteme mittels einer 360-Grad-Beobachtung mit je zwei Kameras pro Standort. Das Sicherheitssystem beinhaltete eine Alarmierung bei bewegten Veränderungen in einem definierten Umkreis von einem Meter um jedes Wahlsystem, inkl. einer Infrarot-Funktion für volle Funktion bei eventueller Raumdunkelheit. Alarmierungen wurden vom Wachpersonal im Protokollbuch der Wahlbeobachtung dokumentiert sowie unverzüglich und direkt dem(r) diensthabenden NotfallsmanagerIn zur inhaltlichen Bewertung gemeldet. Weiters wurde ein Wahlmonitoring implementiert, welches den aktuellen Status der Wahlen (Ampelsystem), die abgegebenen Gesamtstimmen und die aktuellen Stimmen pro Universität anzeigte. Angewendet wurde ein reines Daten-Push-Verfahren (One-Way) aus dem Wahlmonitoring-Server zum Wahlbeobachtungsmonitor, das heißt aus der Wahlbeobachtung konnten keine Daten zum Wahlsystem gesandt werden.

Ein inhaltlich großer Teil der Beauftragung der BRZ GmbH bestand in der Erstellung und dem Betrieb der Website «oeh-wahl.gv.at» als zentralen Zugangspunkt zum Wahlsystem, wie auch zur Information und Dokumentation der gesamten Wahl. Die technische Infrastruktur wurde aus Sicherheitsgründen von der Wahlinfrastruktur getrennt erstellt, aber in den gesamten Sicherheitsprozessen mitbetrachtet. Für den Betrieb der Website wurden ein eigenes Echtzeitmonitoring und eine eigene Notfallsplanung erstellt. Aus organisatorischer Sicht wurde die Zusammenarbeit mit CERT.at intensiviert um den Informationsaustausch mit dieser zentralen Stelle für Internet-Monitoring zu beschleunigen. Die Handlungsanweisungen in Notfallssituationen wurden in das vorher beschriebene Notfallskonzept aufgenommen um hier organisatorische Konsistenz zu erlangen. Funktional wurden neben den formalen statischen Inhalten auch dynamische multimediale Inhalte auf der Website integriert. Ein E-Learning-System wurde erstellt, welches den gesamten Ablauf und die Rahmenbedingungen der Online-Wahl für Studierende darstellte. Aus den Erfahrungen der Supporttätigkeiten wurden laufend die FAQ erweitert, um aktuelle Informationen zu explizieren.

Während der Betriebsphasen «Online-Einsichtnahme» und «E-Voting» wurde ein First Level Support für Studierende eingerichtet. Ab der Betriebsphase «Vorbereitung Online-Einsichtnahme» bis zum Wahlabschluss wurde ein First und Second Level Support für die Wahlkommissionen werktags zwischen 08:00 bis 17:00 zur Verfügung gestellt. Die Wahlkommissionen wurden bei Eingaben außerhalb der Verfügbarkeit aktiv zurückgerufen um schnellstmögliche Lösungen bei Fragestellungen herbeiführen zu können. Die Erfahrungen und Informationen aus den Studierenden-Anfragen und deren Beantwortungen wurden inhaltlich aufbereitet und flossen in die publizierten FAQ ein. Die Erfahrungen aus der Evaluierung der Anfragestatistiken zeigten, dass das System großteils selbsterklärend gewesen ist und/oder die bestehenden Informationssysteme den Informationsbedarf großteils abdecken konnten. Für den fachlichen Support rund um die Bürgerkarte wurde die Zusammenarbeit mit dem Helpdesk des Bundeskanzleramts, des Hauptverbands der Sozialversicherungen und der A-Trust intensiviert.

Die Umsetzung der ÖH-Wahlen 2009 mit dem Einsatz elektronischer Stimmabgabe (E-Voting), der Online-Wahladministration und der Einbindung der österreichischen E-Government-Technologien stellte eine neue und große Herausforderung an öffentliche IT-Dienstleistungen in Österreich dar. Vor allem die Neuartigkeit der Inhalte und die sehr hohen Sicherheitsanforderungen für die IT und das gesamte Unternehmen BRZ GmbH stellten hohe Anforderungen an die Projektgestaltung. Eine wichtige Rahmenbedingung zur erfolgreichen Erfüllung der übertragenen Aufgaben im Projekt lag daher in der professionellen Zusammenarbeit aller Projektpartner. Auch das Wissen über den Umgang mit sicherheitskritischen Prozessen war Voraussetzung. Die Umsetzung von E-Voting für die ÖH-Wahlen 2009 unterlag strengen rechtlichen Rahmenbedingungen, welche die Erfüllung der Leistungen in allen Teilbereichen bestimmte. Die Erfahrungen, die durch diesen erstmaligen Einsatz des Systems erlangt werden konnten, können als wichtige Grundlage für mögliche Umsetzungen von E-Voting in Österreich und auch, vor allem wegen der inhaltlichen Komplexität der Wahlen, in Europa gelten.

• DSG BGBl. I 165/1999 (in der geltenden Fassung)
• E-GovG BGBl. I 10/2004 (in der geltenden Fassung)
• HSG 1998 BGBl. I 22/1999 (in der geltenden Fassung)
• HSWO 2005 BGBl. II 91/2005 (in der geltenden Fassung)

• Europarat: Recommendation Rec(2004)11
• http://de.wikipedia.org/wiki/I-Voting , aufgerufen: 01.01.2010
• Projekt Mangement Austria: pm baseline (Version 3.0, 2008)

Bundesrechenzentrum GmbH - Bereich E-Government
Hintere Zollamtsstraße 19, 1030 Wien AT
carl-markus.piswanger@brz.gv.at ;www.brz.gv.at