Digital
Post

Die Post lässt ihr E-Voting-System hacken – und macht sich zum Gespött der Hacker

Bild

Die Post lässt sich ein bisschen hacken – und macht sich zum Gespött der Hacker

Eigentlich wollte die Post ihr E-Voting-System ab nächster Woche von Hackern testen lassen. Doch der Quellcode ist schon jetzt frei im Netz. Die IT-Experten halten nicht besonders viel vom geleakten Sourcecode – milde gesagt.
18.02.2019, 12:1419.02.2019, 10:16
Mehr «Digital»

Der Plan war einfach: Die Schweizerische Post ist die einzig verbliebene E-Voting-Anbieterin der Schweiz. Ein öffentlicher Hacking-Test, im IT-Slang Penetrations- oder Intrusionstest genannt, soll die Sicherheit ihres Prestigeprojekts untermauern.

Der Hacking-Test soll offiziell am 25. Februar starten und vier Wochen dauern. Wer erfolgreich hackt, erhält bis zu 50'000 Franken. Hacker sollen also versuchen, die elektronische Stimmabgabe zu manipulieren, ohne dass die Betreiber Wind davon bekommen. Unter den Interessierten, die sich für den Intrusionstest registriert haben, befänden sich auch «bekannte Szenegrössen mit viel Kompetenz in diesem Bereich», lässt sich die Post von der NZZ zitieren.

Wer am Intrusionstest teilnehmen möchte, muss den Verhaltenskodex der Post unterschreiben, sprich sich an die Regeln der Post halten. Diese schreiben vor, was und wie genau gehackt werden darf – oder eben nicht.

Diese Einschränkungen passen nicht allen. Der Quellcode ist darum schon über eine Woche vor dem Start des offiziellen Intrusionstests ins Netz entfleucht – und wird nun von internationalen Kryptografie-Experten genüsslich zerlegt.

Zwei IT-Experten, die sich auf Twitter über den Code des Schweizer E-Voting-Systems auslassen, sollte man nicht als Beweis für dessen generelle Unsicherheit missverstehen, aber der PR-Schaden für die Post im Speziellen und für E-Voting im Allgemeinen ist bereits angerichtet.

PR-Debakel mit Ansage?

Was nun passiert, ist klar: E-Voting-Gegner weltweit stürzen sich auf den im Netz frei verfügbaren Quellcode und werden jeden kleinsten Fehler als Katastrophe ausschlachten. Denn wer den geleakten, also den nicht offiziell veröffentlichten, Code inspiziert, hat den Verhaltenskodex der Post nicht unterschrieben und sieht sich somit auch nicht an die Verhaltensregeln gebunden.

Die unverblümte Kritik bekannter Kryptografie-Experten wird das Schweizer E-Voting-System als angeblich «löchrig wie Emmentaler» in die internationalen Schlagzeilen bringen, was wiederum Wasser auf die Mühlen der Schweizer E-Voting-Gegner ist.

Von diesen wurde der öffentliche Hacking-Test schon im Vorfeld als reine PR-Aktion abgelehnt. Nationalrat Franz Grüter (SVP/LU) sagt: «Sicherheit von E-Voting lässt sich nicht erkaufen. Professionelle DarkNet-Hacker würden sich nie in der Öffentlichkeit zeigen, geschweige denn registrieren. Zudem sind sogenannte Nation-State-Hacker auf einem sehr viel höheren Niveau und nehmen dabei nie an öffentlichen Penetrationstests teil.» Hinzu kommt die Problematik, dass es für professionelle Hacker wohl lukrativer ist, eine Schwachstelle im E-Voting-System an Kriminelle oder Geheimdienste teuer zu verkaufen, statt sie der Post für ein paar tausend Franken zu melden.

Die Post bestimmt, was und wie gehackt werden darf

Von der Kritik unbeeindruckt hat die Post vor knapp zwei Wochen den Quellcode ihres E-Voting-Systems selbst veröffentlicht – aber eben nur unter gewissen Bedingungen. Interessierte müssen sich registrieren, den Spielregeln des Hacking-Tests zustimmen und können danach die Sicherheit der Software, beispielsweise die eingesetzte Verschlüsselung, prüfen. Die Offenlegung des Quellcodes ist eine der Bedingungen des Bundes dafür, dass das E-Voting-System der Post für kommende Abstimmungen flächendeckend auf nationaler Ebene zugelassen wird.

Die Offenlegung erfolgt also nicht ganz freiwillig und die Post stellt für den Hacking-Test ihre eigenen Spielregeln auf, die von den E-Voting-Gegnern harsch kritisiert werden.

«Im Intrusionstest werden genau jene Angriffe mit einem Verbotsschild belegt, die dazu geeignet sind, Abstimmungen und Wahlen effektiv zu fälschen – es sind genau jene Angriffswege, welche organisierte Kriminelle und Geheimdienste nutzen werden.»
Initiativkomitee Ja zum E-Voting-Moratorium

Tatsächlich ist die Liste der Angriffsmethoden, die von der Post vom Hacking-Test ausgeschossen wurden, ziemlich lang. In den Bedingungen des öffentlichen Intrusionstests ist etwa zu lesen: «Ausgeschlossen vom Test sind Angriffe, die darauf abzielen, Stimmen zu lesen, indem Malware auf die zur Stimmabgabe verwendeten Geräte verbreitet wird.»

Die Post definiert, welche Angriffe auf das E-Voting nicht erlaubt sind.
Die Post definiert, welche Angriffe auf das E-Voting nicht erlaubt sind.quelle: post

Vereinfacht gesagt lassen Bund und Post im Rahmen des Intrusionstests nur direkte Angriffe auf das Kernsystem der E-Voting-Infrastruktur der Post zu. Indirekte Angriffsmethoden, die etwa bei den Abstimmenden ansetzen, werden explizit verboten.

Die Post will so sicherstellen, dass tatsächlich das E-Voting-System getestet wird – und eben nicht andere Schwachstellen, die sie nicht kontrollieren kann. Gemeint sind zum Beispiel mit Schadsoftware infizierte Computer der E-Voting-Nutzer oder Angriffe, die das Verhalten der Wähler mit gefälschten Nachrichten manipulieren. Grundlegende Risiken des E-Votings, etwa die technische Zentralisierung und damit die kleine Anzahl von Personen, die gekauft, bedroht oder erpresst werden müsste, um ein Resultat zu fälschen, seien somit vom Hacking-Test ausgeschlossen, geben IT-Experten zu bedenken.

Für die Post mag das Vorgehen Sinn machen, Hacker oder Geheimdienste würden aber alle Wege ausschöpfen – und sich nicht an die Vorgaben der Post halten, spotten die E-Voting-Gegner. Sie stellen etwa die rhetorische Frage, ob Bund und Post glauben, dass sich die NSA und andere Geheimdienste an die Teilnahmebedingungen halten.

Was nicht nur Laien erstaunen dürfte, ist folgende Aussage der Post: «Wir betrachten die NSA oder eine andere Regierungsbehörde nicht als ein Bedrohungsmodell im Rahmen dieses öffentlichen Intrusionstests.» Dies verwundert nicht zuletzt darum, da seit den Enthüllungen des ehemaligen CIA-Mitarbeiters Edward Snowden bekannt ist, dass die NSA in internen Dokumenten Aktivitäten wie E-Voting als Einladung zur Manipulation sieht.

Das sagt die Post

Bundeskanzlei und Post begründen die Einschränkungen beim Hacking-Test laut inside-it.ch wie folgt: «Andere Organisationen (für Wahlen und Abstimmungen zuständige Stellen bei den Kantonen, Druckereien der Kantone, weitere Dienstleistungen der Post) nehmen am öffentlichen Intrusionstest nicht teil, dementsprechend dürfen sie auch nicht angegriffen werden.»

Dass Bund und Post nicht die halbe Schweiz zum Hacking freigeben wollen, ist verständlich, zeigt aber auch schonungslos die Grenzen des Intrusionstests auf. So wie der Test nun durchgeführt wird, kann die Sicherheit des Schweizer E-Votings nicht umfassend und schon gar nicht abschliessend getestet werden.

Das ist laut Post aber auch nicht das Ziel: «Der Intrusionstest beweist nicht die Sicherheit des Systems und soll es auch nicht. Es geht darum, Angriffsszenarien testen zu lassen, und das System auf Herz und Nieren zu prüfen.» Der öffentliche Intrusionstest sei nur «eine Sicherheitsmassnahme unter vielen», schreibt die Bundeskanzlei.

So wird das E-Voting in der Schweiz funktionieren

Video: srf

Fazit: E-Voting bleibt Vertrauenssache

Die Sicherheit von E-Voting kann vielleicht nie abschliessend gewährleistet oder bewiesen werden. Dies behaupten auch Bund und Post nicht. Sie wollen mit dem Intrusionstest und weiteren Massnahmen eine grösstmögliche Sicherheit erreichen.

Fest steht: Werden während des Intrusionstests Lücken gemeldet, verbessert dies die Sicherheit tatsächlich. Problematisch wird es, wenn der Test als angeblicher Beweis für die generelle Sicherheit von E-Voting angepriesen wird.

Ob man dem E-Voting-System der Post vertraut, ist und bleibt eine Glaubensfrage. Schlussendlich muss jeder für sich entscheiden, ob er oder sie eine allenfalls bequemere Stimmabgabe für die Risiken des E-Votings opfern will.

Ist E-Voting genug sicher?

Dass die Post beim E-Voting auf die Technologie der umstrittenen spanischen Firma Scytl setzt, ist eine andere Geschichte, die du bei der Republik nachlesen kannst.

Hacker finden Schwachstelle im E-Voting-System

Video: srf
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
142 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
woezzl
18.02.2019 12:26registriert Juni 2014
ultrafail. aber eigentlich gut für unsere demokratie passiert das jetzt.
36125
Melden
Zum Kommentar
avatar
rolf.iller
18.02.2019 12:34registriert Juli 2014
Warum e-voting eine doofe Idee ist erklärt niemand besser als Tom Scott:
25624
Melden
Zum Kommentar
avatar
El Vals del Obrero
18.02.2019 12:25registriert Mai 2016
Warum elektronische Abgabe bequemer sein soll, ist mir auch nicht klar.

Was ist komfortabler und unkomplizierter:
- Couvert öffnen
- Mit Stift ausfüllen
- Couvert verschliessen
- In Briefkasten oder Urne einwerfen

vs.
- Computer/Smartphone einschalten
- sich irgendwo einloggen müssen
- dafür Passwort zurücksetzen
- dafür Mail checken
- neues Passwort festlegen
- SMS-Code ablesen und eintippen
- Stimme abgeben
- Ausloggen
- Browser Cache löschen
usw.

Künftige Generationen, die das werden nüchterner sehen könnten, werden mal über unseren heutigen Digitalisierungs-Hype lachen.
343152
Melden
Zum Kommentar
142
Wie Putin die Bettwanzen-Panik schürte
Der russische Machthaber führt einen hybriden Krieg gegen die demokratischen Staaten Europas und dabei ist ihm jedes Mittel recht. Auch die Angst der Bevölkerung vor fiesen Insekten.

Punaise de lit. Auf Deutsch: Bettwanze.

Zur Story