Sarah Jamie Lewis

25. März 2019 19:41; Akt: 25.03.2019 21:23 Print

Diese Hackerin deckte die Lücken beim E-Voting auf

von P. Michel - Sarah Jamie Lewis deckt zwei gravierende Lücken im E-Voting-System der Post auf. Wie bei Flugzeugunglücken fordert sie nun eine detaillierte Untersuchung.

Bildstrecke im Grossformat »
Wegen kritischer Fehler setzt die Post ihr E-Voting-System für die Abstimmungen vom 19. Mai aus. Die Behörden informieren über einen «öffentlichen Hackertest am E-Voting-System». Dieser soll zwischen dem 25. Februar und dem 24. März 2019 stattfinden. Dabei wird eine eidgenössische Abstimmung simuliert. Die IT-Spezialisten müssen sich dabei an einen Kodex halten und die AGB der Post akzeptieren. Unbekannte laden den Programmcode der E-Voting-Software auf die Gitlab-Plattform. Die Dateien werden unter dem Pseudonym «Fickdiepost» veröffentlicht. Lancierung der Volksinitiative für ein E-Voting-Moratorium «Für eine sichere und vertrauenswürdige Demokratie». Der Kanton Genf stoppt sein E-Voting-Projekt. Dieses wird auch von anderen Kantonen genutzt. Der finanzielle Aufwand für eine Revision sei zu gross, berichtete Ende 2018 SRF. Darum werde Genf das System im Februar 2020 abstellen, schrieb die NZZ. Sicherheitsexperten untersuchen das E-Voting-System des Kantons Genf. Sie hätten innerhalb von wenigen Minuten eine Schwachstelle gefunden, berichtet SRF. Das Problem sei eigentlich seit Jahrzehnten bekannt, eine Lösung grundsätzlich verfügbar, erklärt Volker Birk vom Chaos Computer Club Schweiz. Das E-Voting-System der Post hat seine Premiere am 27. November 2016. Rund 5000 Auslandschweizerinnen und Auslandschweizer, die im Kanton Freiburg registriert sind, können beim Urnengang ihre Stimme abgeben. Über ein Drittel tut dies. Die Wahlunterlagen für die eidgenössischen Wahlen 2015 für das E-Voting im Kanton Genf. Aufgenommen am 9. Oktober 2015. Ein Bülacher stimmt am Donnerstag, 27. Oktober 2005 per SMS ab. Am 30. Oktober 2005 kommt das E-Voting-System des Kantons Zürich erstmals im Rahmen eines Tests zum Einsatz. Schon im Jahr 2000 beschloss das Parlament, Vorbereitungen für das E-Voting einzuleiten.

Zum Thema
Fehler gesehen?

Frau Lewis, ihr Team deckte eine weitere Sicherheitslücke im E-Voting-System der Post auf. Es sei möglich, Stimmen unerkannt für ungültig erklären zu lassen. Wie kritisch ist dieser Befund für das Gesamtsystem?
Die aufgedeckte Lücke zeigt erneut, dass die versprochene Nachprüfbarkeit des Systems nicht gegeben ist. Ohne diese Garantie sind die Wähler der Wahlbehörde ausgeliefert. Darauf haben wir bereits beim ersten entdeckten Mangel Mitte März aufmerksam gemacht (siehe Box).

Was heisst das konkret?
Die Idee hinter dem E-Voting-System der Post ist, dass die Bürger nicht der Institution Post vertrauen müssen, sondern die Korrektheit der Wahl selbst anhand mathematischer Beweise nachvollziehen können. Nun haben wir aber in zwei Fällen gezeigt, dass die Wahlbehörde diese Beweise fälschen könnte. Das ist bedenklich, wenn diese Beweise das Hauptargument für die Sicherheit sein sollen.

Wie ist es möglich, dass ein von Experten entwickeltes System solch gravierende Mängel aufweist?
Ich würde nicht einzelne Entwickler oder gar die Firma verantwortlich machen. Das System durchlief mehrere Überprüfungen, trotzdem ist derselbe Fehler auch im E-Voting-System iVote des australischen Bundesstaats New South Wales aufgetaucht. Die dortigen Behörden benutzen dieselbe Software wie die Schweizerische Post. Es scheint, dass Regierungen und Firmen weltweit noch nicht verstehen, wie man robuste Wahlsysteme entwickelt. Ich hoffe, sie lernen nun aus diesen Fehlern und nutzen das Wissen um neue Prozesse zu entwickeln.

Was raten Sie nun den Schweizer Bürgern und den Behörden?
Die Schweizer Bürger müssen bessere Prozesse verlangen. Eine Möglichkeit dazu bietet die Initiative für ein E-Voting-Moratorium. Wenn kleinste Mängel bei Flugzeugen festgestellt werden, gibt es Nachforschungen, detaillierte Untersuchungen und öffentliche Berichte. Wenn wir die Digitalisierung der öffentlichen Infrastruktur vorantreiben wollen, müssen wir diese Praxis auch auf das E-Voting anwenden: Wir müssen Fehler verstehen und daraus lernen. Bis wir beim E-Voting wirklich wissen, wie es zu den Sicherheitslücken gekommen ist, kann niemand für dessen Sicherheit garantieren.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Schweizer am 25.03.2019 20:12 Report Diesen Beitrag melden

    E Voting

    Warum E Voting? Damit Regierungen ganz bequem und ohne aufsehen das Resultat nach ihrem Geschmack manipulieren können. E Voting NEIN!

    einklappen einklappen
  • Der Motzer am 25.03.2019 19:55 via via Mobile Report Diesen Beitrag melden

    Kommentare ?

    Da dieser Post weder Celebrities noch Katzen aufweist, hat es niemand gelesen. Perfekter kann man unsere Zeit nicht beschreiben. Cheers !

    einklappen einklappen
  • Fritz. K am 25.03.2019 19:54 via via Mobile Report Diesen Beitrag melden

    Unnötig

    Hört doch endlich auf mit dem Quatsch Es wird nie was werden. Viel zu unsicher das ganze.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Querdenker am 26.03.2019 21:32 via via Mobile Report Diesen Beitrag melden

    Kopfschütteln

    Wir vertrauen dem Internet Bankdaten, Krankenakten, unsere Energieversorgung uvm an, aber E-Voting soll nicht möglich sein?

    • MinistryOfLies am 26.03.2019 21:40 Report Diesen Beitrag melden

      Da hat die Schweizer Propaganda Agentur

      ganze Arbeit geleistet. Man schiebt ein Closed-Source-System vor das noch mittels IT-Programmier-Technik des letzten Jahrhunderts programmiert wurde und eben hackbar ist (egal ob leicht oder schwer), kann somit auf der 'Meinungs-Welle' des Volkes reiten und eine tatsächl nicht hackbare Lösung wie ein Blockchain-eVoting-System ins Abseits drängen. Zum Glück können Sie noch Kopfschütteln, es gibt täglich mehr die schon gar keinen mehr haben.

    einklappen einklappen
  • hello world! am 26.03.2019 20:55 Report Diesen Beitrag melden

    Ich mich auf den Tag freu..

    ..ihr Blockchains verstehen. Komische Menschen ihr sein.

  • Cyber Boys am 26.03.2019 19:17 Report Diesen Beitrag melden

    Wann ist Frau Lewis im e-Voting Team?

    Und bekommt 1 Mio Salär damit sie dem Steuerzahler weitere 50 Millionen (Grab) einspart? Oder geht das nicht? Weil falsche Partei ...

  • Mister Grey am 26.03.2019 19:05 via via Mobile Report Diesen Beitrag melden

    Frohes Hacken

    Wie es schon die ganzen Grey Hats gesagt haben:"Fangt an zu Hacken. Sucht nach Schwachstellen. Brecht aus eurem Betriebsystem aus". Es gibt viele gute, günstigte und einfach Hacking Tools. Versucht doch mal in eures eigenes Netzwerk einzudringen dann werdet ihr merken wie lustig es ist.

  • Albert Eisenstein am 26.03.2019 19:04 via via Mobile Report Diesen Beitrag melden

    Absicht

    Das war Absicht. 100%