Digital
Schweiz

So unsicher sind die IT-Systeme der Kantone bei Wahlen und Abstimmungen

Ein Buerger von Bern wirft seinen Stimmzettel in die Wahlurne im Abstimmungslokal "Tuermlischulhaus" des Kreises Laenggasse/Felsenau, am Sonntag, 18. Mai 2014, in Bern. Die Stimmbuerger des  ...
Ob briefliches Abstimmen oder Gang zum Wahllokal in der Gemeinde: Beim digitalen Auswerten der abgegebenen Stimmen gibt es laut IT-Experten diverse Sicherheitslücken.Bild: KEYSTONE

So unsicher sind die IT-Systeme der Kantone bei Wahlen und Abstimmungen

In einer aufwändigen Recherche legt das «Republik»-Magazin gravierende Schwachstellen kantonaler IT-Systeme offen. Gefordert ist auch der Bund.
25.09.2020, 18:3928.09.2020, 09:00
Mehr «Digital»

Was ist passiert?

Viele Kantone verwenden veraltete oder angreifbare Software, um die Ergebnisse von Wahlen und Abstimmungen zu ermitteln: Dies hat das «Republik»-Magazin am Freitag publik gemacht und beruft sich dabei auf eigene Recherchen, in Zusammenarbeit mit IT-Sicherheitsexperten.

watson fasst die wichtigsten Erkenntnisse zusammen.

Um was für Software handelt es sich?

In der Schweiz findet sonntags nach Abstimmungen und Wahlen eine Auszählung der Stimmen quasi in Echtzeit statt. Dies erfordere eine beträchtliche Automatisierung: «Computer­programme müssen die Sitz­gewinne und -verluste ausrechnen und die Wahl­veränderungen grafisch darstellen.»

Ergebnis­ermittlungs­software kommt laut Bericht bei Wahlen fast in der ganzen Schweiz zum Einsatz. «Bei einigen Kantonen sogar für Abstimmungen.»

Wie schlimm ist es?

Laut Republik besteht «eine krasse Gesetzeslücke»: Die digitale Ergebnis­ermittlung sei überhaupt nicht reguliert.

Mindestens 14 Kantone verwenden laut Recherche «angreifbare und nicht zeit­gemässe Software». Hinweise auf erfolgreiche Hackerangriffe liegen nicht vor (siehe Punkt 5).

Zu den schwerwiegendsten Schwach­stellen und Bedrohungsszenarien gehören gemäss der Untersuchung, die durch IT-Sicherheitsexperten geführt wurde:

  • schwache Standardpasswörter;
  • potenzielle Insider­attacken durch Angreifer, die sich Zugriff aufs Netzwerk einer Wahl­behörde verschaffen;
  • Man-in-the-Middle-Angriffe, bei denen sich Hacker heimlich zwischen ein Wahllokal und die Zentrale schalten, wo die Ergebnisse automatisiert ausgewertet werden.

Ist so ein Bericht nicht gefährlich kurz vor Abstimmungen?

Um das Risiko zu minimieren, habe die «Republik» die Hersteller, die Bundes­kanzlei und die kantonalen Staats­kanzleien im Voraus über die Ergebnisse der Recherche informiert.

Angriffs­potenziale seien vor allem bei nationalen und kantonalen Wahlen gegeben. «Die aufgezeigten Schwach­stellen könnten allerdings kaum innerhalb einer so kurzen Zeit­spanne (also bis zum Abstimmungs­sonntag am 27. September) ausgenutzt werden, meinen mehrere Experten.»

Welche Kantone sind betroffen?

Bedenkliche Schwachstellen fanden die IT-Sicherheitsexperten in der Software «SESAM Wahlen», die laut «Republik»-Bericht in den folgenden Kantonen eingesetzt wird:

  • Baselland,
  • Basel-Stadt,
  • Glarus,
  • Graubünden,
  • Luzern,
  • Nidwalden und Obwalden,
  • Schaffhausen,
  • Uri.

Eine ebenfalls gravierende Schwach­stelle sei in den Systemen der Kantone Wallis und Bern festgestellt worden.

Der Kanton Tessin setzt laut Bericht mit seiner Software «Votel» komplett veraltete Verschlüsselungs­protokolle ein.

Auch bei der Software «VeWork» der Firma Sitrox hätten die beiden IT-Security-Forscher «einige fehlende Sicherheits­vorkehrungen» gefunden. Kundinnen von Sitrox seien die Kantone Aargau, Solothurn und Zug. Allerdings stufte der zuständige Firmenverantwortliche die Befunde der Sicherheitsforscher als irrelevant ein: Man kompensiere die entsprechenden Angriffs­szenarien mit anderen Sicherheits­mechanismen, etwa dem Blockieren von externen IP-Zugriffen.

Eine detaillierte Auflistung mit allen betroffenen Kantonen, geordnet nach Software-Produkten, gibt's im technischen Bericht zur Recherche (siehe Quellen).

Wurden die IT-Schwachstellen bereits ausgenutzt?

Dafür gibt es laut Bericht keine Hinweise. Man habe «keine Hinweise dafür erhalten oder gefunden», heisst es.

Was tut der Bund?

Die Recherche zeige eine klare Regulierungs­lücke auf, betont die Journalistin Adrienne Fichter in ihrem Artikel. Obwohl es sich um sogenannte «kritische Infrastruktur» handle, existierten bis heute keine Sicherheits­vorgaben des Bundes für den Einkauf und den Betrieb solcher Systeme. Und damit herrsche auch keine Transparenz über die Funktions­weise der Software.

«Die Bundes­kanzlei sieht sich nicht zuständig, weil die sichere Durch­führung von Abstimmungen und Wahlen Sache der Kantone sei. Sie fordert zwar von den Kantonen, die Befunde der Republik-Recherche zu prüfen und Schwach­stellen zu beheben. Doch niemand auf Bundes­ebene kontrolliert die Sicherheit der eingesetzten Software. Und die breite Öffentlichkeit weiss nicht einmal von der Existenz solcher Systeme.»
quelle: republik.ch

Es seien dringend strengere Sicherheits­überprüfungen nötig, zitiert die Republik, den Staats­rechtler und Direktor des Aarauer Zentrums für Demokratie, Andreas Glaser. Ansonsten sei künftiger Manipulation Tür und Tor geöffnet.

Quellen

SwissCovid-App noch nicht installiert? Wir helfen dir

Video: watson/Jara Helmi
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Schamloses Rülpsen und 8 andere Gründe, eine Maske zu tragen
Video: watson
Das könnte dich auch noch interessieren:
49 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Thurgauo
25.09.2020 22:03registriert November 2017
Ich habe für einen Dienstleister gearbeitet, der Software für kantonale Behörden geschrieben hat. Früher gab es keine Passwortrichtlinien bzw. Vorgaben. Es gab ÜBER 40 Nutzer mit EINSTELLIGEN Passwörtern!

Nicht nur darum, von mir ein ganz klares Nein zu E-Voting. Einfach zu unsicher und die Kompetenz dafür spreche ich den Behörden nach heutigem Stand einfach ab. Da sitzen zu viele, meist ältere Herrschaften, die schlichtweg 0 Ahnung von der Materie haben.
13018
Melden
Zum Kommentar
avatar
Einfach meine Meinung
25.09.2020 18:57registriert August 2020
Ein weiterer Grund der gegen das sogenannte E-Voting spricht.
15261
Melden
Zum Kommentar
avatar
Pakart
25.09.2020 19:27registriert September 2015
Aber klar, dieses WE wird das Stimmvolk vermutlich neue Kampfflugzeuge befürworten. Ist ja genau das aktuelle Bedrohundgszenario 😖!
11150
Melden
Zum Kommentar
49
Reddit-Aktie startet mit Kurssprung an der Börse

Die Online-Plattform Reddit ist an der Börse mit einem kräftigen Kurssprung gestartet. Im US-Handel am Donnerstag lag das Plus zeitweise bei mehr als 50 Prozent.

Zur Story