Im Zuge der Corona-Pandemie ist der Bedarf an Lösungen für virtuelle Versammlungen und Abstimmungen sprunghaft gestiegen. Doch wie lassen sich solche Formate vor dem Hintergrund der wachsenden Bedrohungslage im Cyber-Raum möglichst sicher durchführen? Das BSI hat dazu Szenarien, Leitfragen, Hinweise und praxisnahe Hilfestellungen veröffentlicht und leistet beratende Unterstützung.
Die Corona-Pandemie hat der Digitalisierung einen gewaltigen Schub beschert. Präsenzveranstaltungen unterschiedlichster Größe, wie Vereins- oder Aktionärsversammlungen, Vorlesungen und Seminare an Universitäten, Meetings von Unternehmen oder Plenar- und Gremiensitzungen von Parlamenten oder Parteien konnten über Monate hinweg nicht oder nur sehr eingeschränkt stattfinden. Die Nutzung von Web- und Videokonferenz-Tools und Plattformen zum kollaborativen Arbeiten ist infolgedessen sprunghaft angestiegen und dürfte mittlerweile fest zum New Normal gehören. Doch wie ist es um die IT-Sicherheit virtueller oder hybrider Konferenz- oder Versammlungsformate bestellt? Worauf ist zu achten, damit Informationen in der digitalen Welt sicher übertragen und ausgetauscht werden können? Welche Sicherheitsrisiken gibt es und wie können die Grundwerte der Informationssicherheit (Verfügbarkeit, Authentizität / Integrität und Vertraulichkeit) angemessen geschützt werden? Kurzum: Wie lassen sich virtuelle Versammlungen und Abstimmungen mit einem dem jeweiligen Anlass beziehungsweise den individuellen Anforderungen entsprechenden Maß an Sicherheit durchführen?
Projektgruppe Virtuelle Versammlungen und Abstimmungen (ViVA) des BSI
Das BSI hat sich seit April 2020 verstärkt mit dem Themenbereich „Virtuelle Versammlungen und Abstimmungen“ (ViVA) befasst. Das Ergebnis dieser Arbeit sind mehrere Veröffentlichungen mit Szenarien, Leitfragen, Hinweisen und praxisnahen Tipps, die auf der Internetseite des BSI abrufbar sind und Herstellern, Betreibern und Veranstaltern als Hilfestellung dienen können – von der Planung bis zur Umsetzung. Das Papier „Ideen und Szenarien für Staat, Wirtschaft und Gesellschaft“, das als Einstieg gedacht ist, enthält Ideen und Szenarien rund um virtuelle Versammlungen sowie (nicht geheime) Abstimmungen und liefert erste Antworten, wie kleine, mittlere und größere digitale Versammlungsformate mit normalem Schutzbedarf sicher realisiert werden können. Die Durchführung elektronischer Abstimmungen ist mit gewissen Risiken verbunden.
Dies gilt in besonderem Maße für geheime Abstimmungen. Die Veröffentlichung „Ansätze zur Risikoabwägung bei digitalen geheimen Abstimmungen im Rahmen von Versammlungen“ nimmt primär betroffene Wahlgrundsätze in den Blick und stellt grundsätzliche Fragen, die vonseiten der Veranstalterinnen und Veranstalter zu klären sind, bevor eine geheime Abstimmung elektronisch umgesetzt wird. Das Papier „Anforderungen an Produkte für virtuelle Versammlungen und Abstimmungen“, das auch in englischer Sprache verfügbar ist und in dessen Rahmen das BSI mit verschiedenen in- und ausländischen Partnern und Anbietern in Kontakt stand, enthält einen umfangreichen Katalog an Produktanforderungen unterteilt in die Bereiche Leistungs- und Sicherheitsmerkmale, Sicherheitsnachweise und Tests sowie Detektion. Der Anforderungskatalog richtet sich in erster Linie an Hersteller und Betreiber von Produkten und Dienstleistungen für virtuelle Versammlungen und Abstimmungen, kann aber zugleich als Orientierungshilfe für die Produktauswahl dienen.
Weitere BSI-Empfehlungen zur Erhöhung der Informationssicherheit
Systematische Ansätze zur substantiellen Erhöhung des Sicherheitsniveaus von virtuellen Versammlungen und Abstimmungen bieten zudem die bewährten Grundlagendokumente des BSI, die neben technischen auch infrastrukturelle, organisatorische und personelle Aspekte in den Blick nehmen. Zu nennen sind hier etwa der IT-Grundschutz mit dem IT-Grundschutz-Kompendium und den IT-Grundschutz-Profilen, das Kompendium Videokonferenzsysteme sowie der BSI-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue.
Praxisbeispiel Parteitage
Eine besondere Herausforderung stellt die sichere Gestaltung von digitalen Parteitagen dar. Erstmals mussten sich 2020 im Bundestag vertretene Parteien komplett virtuell treffen, diskutieren, Positionen finden und auch Personen und Ämter wählen. Dazu brauchte es nicht nur Gesetzesänderungen. Fragen nach der Informationssicherheit rückten plötzlich in den Fokus: Wie können geheime Wahlen gestaltet werden? Welche Risiken gehen die Parteien dabei ein? Wie können sich mehrere hundert Delegierte beteiligen? Der politische Fokus der Veranstaltung liegt nicht nur auf ihren Inhalten.
Auch politisch motivierte Angriffsversuche und ihre Folgen sind zu berücksichtigen. Das BSI hat hierzu generelle Unterstützung angeboten und die Parteien auf deren Anfrage bei der sicheren Umsetzung dieser digitalen Veranstaltungen begleitet, u. a. durch die Vor-Ort-Präsenz einer Verbindungsperson. Die gesammelten Erfahrungswerte flossen wiederum in die erwähnten öffentlichen Papiere ein. Dreh- und Angelpunkt eines sicheren Parteitags ist dabei vor allem die Vorbereitung eines funktionierenden Vorfallsmanagements und einer Krisenkommunikation wie auch ausreichender Redundanz- und Mitigationsmaßnahmen.
Weitere Entwicklung
Bevor IT-sicherheitstechnische Lösungen erarbeitet werden können, müssen – unabhängig von der Art der Versammlung oder Abstimmung – von den Anwenderinnen und Anwendern – Risiken und Einsatzzweck sorgfältig abgewogen und die gewünschten Anforderungen definiert werden. Hundertprozentigen Schutz kann kein System gewährleisten. Die Entwicklung des gesamten Bereichs ist sehr dynamisch und seit über einem Jahr davon geprägt, sektorübergreifend voneinander zu lernen. Das BSI und die Projektgruppe ViVA leisten hierzu einen Beitrag und bieten mit den erarbeiteten Papieren und den darin enthaltenen praxisnahen Tipps, Leitfragen und Empfehlungen einen umfangreichen Orientierungsrahmen, um virtuelle Veranstaltungen und Abstimmungen mit einem hohen Maß an Sicherheit durchführen zu können.
Crisis Prevention 2/2022
Michael Amler
Dr. Florian Seiller