Anforderungskatalog zur Informationssicherheit bei der Ermittlung des vorläufigen Wahlergebnisses bundesweiter parlamentarischer Wahlen Informationssicherheit bei Schnellmeldungen

An der Erstellung waren folgende Mitarbeiter des BSI (Bundesamt für Sicherheit in der Informationstechnik) beteiligt: René Paegelow, René Costa, Philipp Gauer und Thomas Kock. Weiterhin haben Alexander Busse und Andrea Schmitt von der PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft maßgeblich an der Erstellung mitgewirkt. Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn E-Mail: bsi@bsi.bund.de Internet: https://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2020

Danksagung Danksagung Auf Bitten des Bundeswahlleiters hat das Bundesamt für Sicherheit in der Informationstechnik den vorliegenden Anforderungskatalog erstellt. In mehreren Feedback-Runden wurde der Anforderungskatalog mit Vertretern der Zielgruppen Bund, Länder, Kommunen und kommunale Spitzenverbände gemeinschaftlich erarbeitet und abgestimmt. An dieser Stelle sei allen Beteiligten für ihr Engagement gedankt. Bundesamt für Sicherheit in der Informationstechnik                                                      3

Inhalt Inhalt 1      Formale Aspekte .............................................................................................................................................................................. 6 2      Haftungsausschluss......................................................................................................................................................................... 7 3      Management Summary.................................................................................................................................................................. 8 3.1       Hintergrund ............................................................................................................................................................................. 8 3.2       Zielgruppe ................................................................................................................................................................................ 8 3.3       Zielsetzung ............................................................................................................................................................................... 8 4      Festlegung des Geltungsbereichs .............................................................................................................................................. 9 4.1       Beschreibung der Zielgruppe ........................................................................................................................................... 9 4.2       Beschreibung des Prozesses der Schnellmeldungen ............................................................................................. 9 4.3       Schutzbedarf......................................................................................................................................................................... 10 4.4       Vorgehensweise nach IT-Grundschutz ..................................................................................................................... 11 4.4.1   Formulierung der Anforderungen ......................................................................................................................... 12 4.4.2   Reihenfolge der Anforderungen ............................................................................................................................. 12 5      Abgrenzung des Informationsverbunds ............................................................................................................................. 13 5.1       Bestandteile des Informationsverbunds .................................................................................................................. 13 5.2       Nicht berücksichtige Objekte ........................................................................................................................................ 13 5.3       Verweis auf andere IT-Grundschutz-Profile und Leitlinien............................................................................. 13 6      Referenzarchitektur..................................................................................................................................................................... 14 6.1       Untersuchungsgegenstand ............................................................................................................................................. 14 6.1.1   Infrastruktur ................................................................................................................................................................... 14 6.1.2   IT-Systeme ....................................................................................................................................................................... 14 6.1.3   Netze ................................................................................................................................................................................... 14 6.1.4   Anwendungen / Geschäftsprozesse ...................................................................................................................... 15 6.2       Netzplan ................................................................................................................................................................................. 16 6.3       Umgang mit Abweichungen und Risiken ................................................................................................................. 16 7      Anforderungen ............................................................................................................................................................................... 17 7.1       Methodik ................................................................................................................................................................................ 17 7.2       Prozess-Bausteine.............................................................................................................................................................. 19 7.3       System-Bausteine............................................................................................................................................................... 40 7.3.1   Infrastruktur ................................................................................................................................................................... 40 7.3.2   IT-Systeme ....................................................................................................................................................................... 46 7.3.3   Netze ................................................................................................................................................................................... 60 7.3.4   Anwendungen / Geschäftsprozesse ...................................................................................................................... 66 8      Weitere Anforderungen an den Bund .................................................................................................................................. 73 8.1       Prozess-Bausteine.............................................................................................................................................................. 73 8.2       System-Bausteine............................................................................................................................................................... 74 4                                                                                                                          Bundesamt für Sicherheit in der Informationstechnik

Inhalt 8.2.1     Infrastruktur ................................................................................................................................................................... 74 8.2.2     IT-Systeme ....................................................................................................................................................................... 75 8.2.3     Netze ................................................................................................................................................................................... 76 8.2.4     Anwendungen / Geschäftsprozesse ...................................................................................................................... 77 9    Anwendungshinweise................................................................................................................................................................. 78 Literaturverzeichnis .............................................................................................................................................................................. 79 Abbildungsverzeichnis ......................................................................................................................................................................... 80 Bundesamt für Sicherheit in der Informationstechnik                                                                                                                                                       5

Formale Aspekte 1          Formale Aspekte Titel           Anforderungskatalog zur Informationssicherheit bei der Ermittlung des vorläufigen Wahlergebnisses bundesweiter parlamentarischer Wahlen Untertitel      Informationssicherheit bei Schnellmeldungen Version         1.0 Status          Final Revisionszyklus Der Anforderungskatalog wird in Anlehnung an das IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ alle drei Jahre, spätestens aber ein Jahr vor der nächsten planmäßigen Bundestagswahl gesichtet und bei Bedarf angepasst. Anmerkung       In diesem Dokument wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Weibliche und anderweitige Geschlechteridentitäten werden dabei ausdrücklich mitgemeint, soweit es für die Aussage erforderlich ist. 6                                                         Bundesamt für Sicherheit in der Informationstechnik

Haftungsausschluss 2          Haftungsausschluss Dieser Anforderungskatalog wurde mit größter Sorgfalt erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit und Richtigkeit. Die Mitwirkenden an diesem Dokument haben keinen Einfluss auf die weitere Nutzung des Dokuments durch die einzelnen Anwender und können daher naturgemäß für die Auswirkungen auf die Rechtsposition der Parteien keine Haftung übernehmen. Bundesamt für Sicherheit in der Informationstechnik                                                        7

Management Summary 3         Management Summary 3.1       Hintergrund Bei bundesweiten parlamentarischen Wahlen ermitteln die Wahlorgane ein vorläufiges Wahlergebnis, das noch in der Wahlnacht bekannt gegeben wird. Sobald die Wahlergebnisse in den Wahlbezirken festgestellt wurden, sind sie auf schnellstem Wege über die Gemeindebehörden, die Kreiswahlleitungen und die Landeswahlleitungen an den Bundeswahlleiter zu melden. Die Ermittlung der jeweiligen Teilergebnisse und die Übermittlung werden in der Praxis überwiegend durch IT unterstützt. Damit sind vielfältige Gefährdungen verbunden. Im Prozess der Übermittlung der vorläufigen Wahlergebnisse spielen neben sicherer Software eine geschützte IT-Umgebung mit robuster Hardware sowie reibungsfreie organisatorische Abläufe und geschultes, sensibilisiertes Personal eine wichtige Rolle für die gesamte Informationssicherheit. Bei der Betrachtung der Informationssicherheit ist ein ganzheitlicher Ansatz von besonderer Bedeutung. So kann bspw. eine als „sicher“ geltende Software in einer „unsicheren“ IT-Umgebung eine Gefährdung darstellen. Von den beteiligten Wahlorganen und in den Wahlbehörden werden unterschiedliche Hardware und Software zur Unterstützung bei den Schnellmeldungen eingesetzt. Für einschlägige Software-Lösungen zur Datenauswertung oder Datenaufbereitung für die Schnellmeldungen hat sich ein Markt mit verschiedenen Anbietern gebildet. Darüber hinaus haben Gemeinden, Statistische Landesämter und Landeswahlleitungen teilweise selbst Software-Lösungen entwickelt. In der Vergangenheit kam es jedoch bei Wahlen zu verschiedenen technischen Schwierigkeiten oder Ausfällen. Es wurden diverse, für Angreifer ausnutzbare, Schwachstellen entdeckt.1 Aufgrund der hohen Bedeutung von korrekten und schnell verfügbaren vorläufigen Wahlergebnissen, ist es unbedingt notwendig, die Integrität und Verfügbarkeit dieser eingehend und umfassend zu schützen. 3.2       Zielgruppe Dieser Anforderungskatalog richtet sich an die Wahlorgane und -behörden aller Ebenen von Wahlbezirk bis Bund, welche in den Prozess der Schnellmeldungen nach § 71 Bundeswahlordnung (BWO) eingebunden sind. 3.3       Zielsetzung Der Anforderungskatalog stellt Sicherheitsanforderungen für die Ermittlung des vorläufigen Wahlergebnisses bei bundesweiten parlamentarischen Wahlen dar. Anhand des Anforderungskatalogs soll die Informationssicherheit im Rahmen der Ermittlung des vorläufigen Wahlergebnisses erhöht werden. Das Ziel ist es, mit den enthaltenen Anforderungen insbesondere die Verfügbarkeit und Integrität bei der Ermittlung der vorläufigen Ergebnisse zu gewährleisten. Des Weiteren ist im Kontext der Integrität die Sicherstellung der Authentizität von wichtiger Bedeutung im Prozess der Schnellmeldungen. Zudem soll die Evaluierung der Sicherheit der genutzten Verfahren sowie der eingesetzten, den Wahlverlauf unterstützenden IT-Systeme, erleichtert werden. 1 Vgl. Eckert, 2019; Schröder et al., 2017; Zawatzka-Gerlach, 2016 8                                                                     Bundesamt für Sicherheit in der Informationstechnik

Festlegung des Geltungsbereichs 4          Festlegung des Geltungsbereichs 4.1        Beschreibung der Zielgruppe Dieser Anforderungskatalog richtet sich an die in den Prozess zur Ermittlung der vorläufigen Wahlergebnisse eingebundenen Einheiten. Dazu gehören: • Wahlbezirke, • Gemeinden, • Landkreise / kreisfreie Städte / Wahlkreise, • Länder und • Bund. Im Zuge der Analyse des Informationsverbunds wurden hierbei die folgenden relevanten Rollen identifiziert: • Wahlvorsteher, • Gemeindebehörde, • Kreiswahlleiter, • Verwaltungsbehörde des Kreises, • Landeswahlleiter (LWL), • Bundeswahlleiter (BWL) sowie • Mitglieder bzw. Beschäftigte in Kommunen, Ländern und Bund, die am Dateneingang, an der Datenzusammenfassung oder am Datenausgang der vorläufigen Wahlergebnisse beteiligt sind. Hierzu zählen auch interne oder externe IT-Dienstleister (Administration / Support). 4.2        Beschreibung des Prozesses der Schnellmeldungen Gemäß § 71 BWO wird mittels Schnellmeldungen ein vorläufiges Wahlergebnis ermittelt. Nach der Feststellung des Wahlergebnisses in einem Wahlbezirk, wird das Ergebnis von dem Wahlvorsteher an die Gemeindebehörde übermittelt. Diese fasst die Ergebnisse aller Wahlbezirke der Gemeinde zusammen und meldet sie dem Kreiswahlleiter. Sollte in einer Gemeinde nur ein Wahlbezirk vorhanden sein, erfolgt die Meldung aus dem Wahlbezirk direkt an den Kreiswahlleiter. Von dem Landeswahlleiter kann angeordnet werden, dass die Wahlergebnisse in den kreisangehörigen Gemeinden über die Verwaltungsbehörde des Kreises zu melden sind. Der Kreiswahlleiter ermittelt aus den Schnellmeldungen und unter Einbeziehung der Ergebnisse der Briefwahl, das vorläufige Wahlergebnis im Wahlkreis. Dieses Wahlergebnis wird auf dem schnellsten Wege dem Landeswahlleiter mitgeteilt. Die eingehenden Wahlkreisergebnisse werden durch den Landeswahlleiter dem Bundeswahlleiter schnellstmöglich und laufend gemeldet. Nach den Schnellmeldungen durch die Kreiswahlleiter ermittelt der Landeswahlleiter das vorläufige zahlenmäßige Wahlergebnis im Land und meldet dieses auf schnellstem Wege dem Bundeswahlleiter. Anschließend wird nach den Schnellmeldungen der Landeswahlleiter entsprechend § 78 BWO das vorläufige Wahlergebnis im Wahlgebiet durch den Bundeswahlleiter ermittelt. Für die Durchführung der Schnellmeldungen bis zur Bekanntgabe der vorläufigen Wahlergebnisse sind zahlreiche Anforderungen zu erfüllen, um die Informationssicherheit entlang des Prozesses zu erhöhen. Bundesamt für Sicherheit in der Informationstechnik                                                             9

Festlegung des Geltungsbereichs Explizit nicht Teil des betrachteten Prozesses sind die Abgabe der Stimmen durch die Bürger in einem Wahlraum oder per Briefwahl, die manuelle Zählung der Stimmen im Wahlraum sowie die sichere Aufbewahrung der ausgefüllten Stimmzettel bis zum Zeitpunkt der Bekanntgabe der Ergebnisse. Die Prozesse zur Präsentation bzw. Veröffentlichung der Ergebnisse durch Gemeinden, Länder oder Bund gehören nicht zum Geltungsbereich. Ebenfalls nicht Bestandteil ist die Ermittlung der endgültigen Wahlergebnisse. 4.3         Schutzbedarf Die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ wurden für die Bewertung der Schnellmeldungen verwendet. Diese drei Kategorien sind gemäß dem BSI-Standard 200-2 „IT-Grundschutz-Methodik“ folgendermaßen definiert: • „normal“: Die Schadensauswirkungen sind begrenzt und überschaubar. • „hoch“: Die Schadensauswirkungen können beträchtlich sein. • „sehr hoch“: Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen. Eine ausführlichere Definition und Erläuterungen zum Schutzbedarf sind im Anhang A enthalten. Es gilt anzumerken, dass ein Wahlorgan bzw. eine Wahlbehörde die Kategorien anpassen, umbenennen oder weitere Kategorien definieren kann. 10                                                                  Bundesamt für Sicherheit in der Informationstechnik