Aktualisiert 25.03.2019 10:23

Aufgedeckte MängelDie Post verteidigt ihr heftig kritisiertes E-Voting

Im E-Voting-System der Post lassen sich Stimmen für ungültig erklären, ohne dass dies bemerkt wird. Das hat eine kanadische Forscherin entdeckt.

von
pam
1 / 10
29. März 2019 Wegen kritischer Fehler setzt die Post ihr E-Voting-System für die Abstimmungen vom 19. Mai aus.

29. März 2019 Wegen kritischer Fehler setzt die Post ihr E-Voting-System für die Abstimmungen vom 19. Mai aus.

Keystone/Gian Ehrenzeller
7. Februar 2019: Die Behörden informieren über einen «öffentlichen Hackertest am E-Voting-System». Dieser soll zwischen dem 25. Februar und dem 24. März 2019 stattfinden. Dabei wird eine eidgenössische Abstimmung simuliert. Die IT-Spezialisten müssen sich dabei an einen Kodex halten und die AGB der Post akzeptieren.

7. Februar 2019: Die Behörden informieren über einen «öffentlichen Hackertest am E-Voting-System». Dieser soll zwischen dem 25. Februar und dem 24. März 2019 stattfinden. Dabei wird eine eidgenössische Abstimmung simuliert. Die IT-Spezialisten müssen sich dabei an einen Kodex halten und die AGB der Post akzeptieren.

Keystone/Anthony Anex
7. Februar 2019 Unbekannte laden den Programmcode der E-Voting-Software auf die Gitlab-Plattform. Die Dateien werden unter dem Pseudonym «Fickdiepost» veröffentlicht.

7. Februar 2019 Unbekannte laden den Programmcode der E-Voting-Software auf die Gitlab-Plattform. Die Dateien werden unter dem Pseudonym «Fickdiepost» veröffentlicht.

Während eines Monats prüften über 3000 Hacker in einem öffentlichen Test, wie sicher das E-Voting-System der Post ist. Mitte März entdeckten sie bereits eine kritische Sicherheitslücke.

Die kanadische Kryptologin Sarah Jamie Lewis deckt nun einen weiteren Missstand auf, wie die Initianten der Volksinitiative «Für eine sichere und vertrauenswürdige Demokratie» schreiben.

Unerwünschte Stimmen können unterdrückt werden

Laut Lewis können abgegebene Stimmen für ungültig erklärt werden lassen, ohne dass dies zuverlässig bemerkt wird. «Formal würde trotzdem der Beweis erbracht werden, dass keine Manipulation stattgefunden hat. Somit liessen sich unerwünschte Stimmen zum Verschwinden bringen», schreiben die Initianten. Lewis nahm nicht am sogenannten Intrusionstest der Post teil, sondern überprüfte den von der Post offengelegten Quellcode in Eigenregie.

Ihre Befunde machten die Forscher am Montag öffentlich:

E-Voting-Gegner spüren Aufwind

Die Initianten des E-Voting-Moratoriums fordern, die elektronische Stimmabgabe so lange zu verbieten, «bis es Systeme gibt, die sicher vor Hacker-Angriffen sind und bei denen das Auszählprozedere der abgegebenen Stimmen für die Bürgerinnen und Bürger nachvollziehbar und transparent ist».

Die Schweizerische Post bestätigt auf Anfrage, dass ein weiterer Hinweis von Forschern zum Quellcode eingegangen ist. «Die Post ist aktuell daran, den Sachverhalt im Detail abzuklären», sagt Sprecher François Furer zu 20 Minuten. Die Korrektur werde mit dem nächsten regulären Release eingespielt und veröffentlicht.

So verteidigt sich die Post

«Das eingereichte Szenario zielt darauf ab, einzelne abgegebene Stimmen ungültig zu machen», so Furer. Er verteidigt das System: «Dies würde aber in jedem Fall bei der Entschlüsselung und Auszählung bemerkt werden, weil das E-Voting-System der Post es grundsätzlich nicht zulässt, ungültige Stimmen abzugeben.» Es könne daher ausgeschlossen werden, dass mit dem Szenario unbemerkt Stimmen verändert oder Wahlen manipuliert werden könnten.

In der Realität sei es sehr schwierig, die Schwachstelle auszunutzen, weil ein Angreifer zahlreiche Schutzmassnahmen ausser Kraft setzen müsse, erklärt Furer weiter. «Der Angreifer bräuchte beispielsweise die Kontrolle über die gesicherte IT-Infrastruktur der Post und müsste zudem Schadsoftware auf dem Gerät eines Wählers installieren.»

Der Intrusionstest zum E-Voting-System der Post endete gestern Sonntag. Die Hacker können noch bis Dienstag um Mitternacht ihre Befunde einreichen. Die Analyse werde einige Tage dauern, sagt Furer, danach werde man weiter informieren.

++Politik++

Interessierst du dich auch über Bundesratswahlen und Abstimmungen hinaus? Liest du gerne spannende Interviews, Analysen, aber auch Lustiges zu aktuellen Themen der Schweizer Politik? Dann abonniere den Politik-Push.

Und so gehts: Installiere die neuste Version der 20-Minuten-App. Tippe rechts oben auf das Menüsymbol, dann auf das Zahnrad. Wenn du dann nach oben wischst, kannst du die Benachrichtigungen für den Politik-Kanal aktivieren.

Deine Meinung

Fehler gefunden?Jetzt melden.