[Back]

D. Popovic:
"Exemplarische Sicherheitsanalyse und Sicherheitsmaßnahmen am Beispiel der Österreichischen Hochschülerinnen und Hochschülerschaftswahl";
Supervisor: T. Grechenig; 183/1, 2011.

E-voting security does not refer only to the election software which is used, but also on the entire infrastructure, including organizational and human aspects. To guarantee the security of electronic voting and to minimize the consequences of possible security risks, some basic conditions must be defined to ensure confidentiality and integrity of data on the one hand and availability of the system on the other hand. To verify this thesis, the evoting system of the Austrian Student Union will be analyzed with the aid of the security process of the German Federal Agency for Security in Information Technology.
With this method exemplary threats, which can occur during the election process at the client-side, while transmission stage or on the server-side, can be defined and evaluated according to their damage potential.
Finally, the determined security level of the used e-voting system should be optimized through selected security measures.

Sicherheit in E-Voting Systemen bezieht sich nicht nur auf die verwendete Wahlsoftware, sondern auf die gesamte Infrastruktur, einschließlich organisatorischer und menschlicher Aspekte. Damit die Sicherheit bei elektronischen Wahlen garantiert werden kann, müssen Maßnahmen geschaffen werden, um die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten und in Folge mögliche Sicherheitsrisiken zu minimieren.
Um diese Hypothese zu prüfen, wird der E-Voting Prozess der Österreichischen Hochschülerinnen- und Hochschülerschaft mit Hilfe des, vom Deutschen Bundesamt für Sicherheit in der Informationstechnik zur Verfügung gestellten Sicherheitsprozesses analysiert. Dabei wird zuerst eine Sicherheitsanalyse des IST-Zustands vorgenommen, die sich mit exemplarischen Bedrohungen und Risiken für sensible Daten im Kontext des E-Voting Systems (clientseitig, in der Übertragungsphase und serverseitig) beschäftigt, um schlussendlich aus den Ergebnissen der Analyse ausgewählte Sicherheitsmaßnahmen abzuleiten.