Online-Sicherheit
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Hacker entdecken «kritischen Fehler» im E-Voting-System der Post



Internationale IT-Experten haben laut Online-Magazin «Republik» eine kritische Lücke im Schweizer E-Voting-System gefunden und gemeldet. Die Post hat die Sicherheitslücke am Dienstag bestätigt.

Betroffen ist eine Schlüsselkomponente des E-Voting-Systems, die sogenannte universelle Verifizierbarkeit. Ein Fehler im Quellcode «ermöglicht es einem Insider mit Zugriff auf das System, das Ergebnis einer Abstimmung zu manipulieren, ohne dass dies bei der Überprüfung entdeckt würde», schreibt die «Republik». Entdeckt wurde der Fehler von kanadischen IT-Sicherheitsforschern.

Die Post schreibt: «Der Fehler allein ermöglicht es nicht, ins E-Voting-System einzudringen. Die Post hat ihren Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren.» Angreifer benötigten Zugriff auf die IT-Infrastruktur und die Mithilfe von Insidern, sprich Mitarbeiter der Post oder der Kantone, um Wahlen mit dem nun entdeckten Fehler im Quellcode manipulieren zu können.

Die nun gefundene Sicherheitslücke gibt IT-Experten recht, die vor grundlegenden Risiken des E-Votings warnen: Gemeint ist die technische Zentralisierung und damit die kleine Anzahl von Personen, die gekauft, bedroht oder erpresst werden müsste, um ein Resultat zu fälschen.

Die Bundeskanzlei ihrerseits teilte am Dienstag in einem Communiqué mit, dass ein erheblicher Mangel entdeckt worden sei. Sie schreibt: «Mit diesem Mangel erfüllt das System der Post somit die gesetzlichen Anforderungen nicht.»

«Der Mangel betrifft die Umsetzung der universellen Verifizierbarkeit. Diese erlaubt es, anhand von mathematischen Beweisen Manipulationen der Stimmen festzustellen. Zwar erlaubt der Mangel nicht, ins System einzudringen. Die Forscher konnten aber aufzeigen, dass das System keine aussagekräftigen mathematischen Beweise zur Überprüfung von allfälligen Manipulationen erzeugt. Das bedeutet, dass sich allfällige Manipulationen mit dem System der Post nicht feststellen lassen. Damit ist die Verordnung der Bundeskanzlei über die elektronische Stimmabgabe (VEleS) nicht eingehalten. Mit diesem Mangel erfüllt das System der Post somit die gesetzlichen Anforderungen nicht.»

Bundeskanzlei

Vom Fehler nicht betroffen sei das System der Schweizerischen Post, das in vier Kantonen bereits im Einsatz stehe.

Die Korrektur der aufgedeckten Schwachstelle sei bereits erfolgt, teilte die Post mit. Der angepasste Quellcode werde mit dem nächsten regulären Release eingespielt.

Seit gut zwei Wochen läuft der vom Bund und von den Kantonen angeordnete öffentliche Intrusionstest des E-Voting-Systems der Post. Über 3000 Hacker rund um die Welt testen bis zum 24. März das System.

(oli)

Hacker fanden schon früher Schwachstelle im E-Voting-System

abspielen

Video: srf

Abonniere unseren Newsletter

42
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
42Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • N. Y. P. 12.03.2019 13:50
    Highlight Highlight Es ist bereits alles gesagt und kommentiert worden über das E-Voting.

    Aber, wenn es was Endgeiles zum Lachen gibt, muss man in die Tasten greifen.

    «Der Fehler allein ermöglicht es nicht, ins E-Voting-System einzudringen. Die Post hat ihren Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren.»

    Ich bin schwer beeindruckt ! Die Post hat ihren Partner !! aufgefordert, die Lücke zu schliessen !

    Man, ich habe gerade Hühnerhaut.

    Los, macht endlich eine eidg. Abstimmung. Dann ist das Thema endlich erledigt.
    • N. Y. P. 12.03.2019 18:10
      Highlight Highlight Alles korrekt, was du sagst.

      Wenn du die früheren Artikel über das E-Voting verfolgt hast, würdest du meinen Kommentar verstehen.

      Aber selbstverständlich hast du auch recht.

  • Der Teufel auf der Bettkante 12.03.2019 13:42
    Highlight Highlight Die Bundesverfassung steht bekanntlich über allem. Dort heisst es in Artikel 5 Grundsätze rechtsstaatlichen Handels in Absatz 2: Staatliches Handeln muss im öffentlichen Interesse liegen und verhältnismässig sein.

    Ergo verstösst E-Voting gegen die BV und ist nicht zulässig.
  • Urs Kipfert 12.03.2019 12:10
    Highlight Highlight Die Schwachstelle wurde im neuen Teil "universelle Verifizierbarkeit" entdeckt. Dem Teil also, der zusammen mit der "individuellen Verifizierbarkeit" (Kontrolle durch jeden Einzelnen) in der brieflichen Stimmabgabe nicht mal existiert. Dort "traut" und "hofft" und "glaubt" man, dass seine Stimme unverfälscht in die Urne gelangt und unverfälscht gezählt und unverfälscht an Kanton und nach Bern übermittelt wird. Wer soviel Wert auf Sicherheit legt wie gewisse Kommentarschreiber, der müsste eigentlich stark an zusätzlichen Kontrollmöglichkeiten interessiert sein.
    • rolf.iller 12.03.2019 16:13
      Highlight Highlight Dies Schwachselle erlaubt es der Post zu beweisen, dass alle mit rechten Dingen zu und her ging. Und zwar auch dann, wenn die Stimmen komplett ausgetauscht wurden.

      Tolles Sicherheitsfeature ist das.
  • grumit 12.03.2019 12:10
    Highlight Highlight Warum sollen Hacker Fehler für läppische 50'000.- melden, wenn es bei den echten Abstimmungen um Milliarden geht? Der Kluge behält die Schwachstellen für sich.
    • grumit 12.03.2019 17:38
      Highlight Highlight Peinliche Antwort.
      Weil es nachvollziehbar ist, wenn ein Schlosser Mist baut.
  • Henri Lapin 12.03.2019 11:56
    Highlight Highlight Noch einen Fehler gefunden: das System hängt am Netz
  • amIsanta 12.03.2019 11:20
    Highlight Highlight Langsam sollte wirklich klar sein, dass das Experiment E-Voting begraben werden sollte. Es bietet keine nennenswerten Vorteile gegenüber der Brief- / Urnenwahl und ist saugefährlich. Der Bund muss nicht auf jede technische Mode aufspringen.
    • The Destiny // Team Telegram 12.03.2019 12:17
      Highlight Highlight @sünneli, das lässt sich so nicht vergleichen.
    • Palpatine 12.03.2019 12:47
      Highlight Highlight Stimmt. Nur hat man bei deinen Beispielen erhebliche Vorteile zu früher.
      Wo aber der Gewinn für den Wähler bei elektronischer Abstimmung sein soll, weiss ich echt nicht. Schon heute dauert der Akt des Ausfüllens zwei bis drei Minuten. Die Zeit wird auch mit Computer kaum signifikant reduziert werden können.
      Wo liegen dann die Vorteile? Weniger Papier?! Schnellere Auswertungen?!
    • walsi 12.03.2019 13:04
      Highlight Highlight Schneller kann auch kein Argument sein. Mit dem aktullen System ist am Sonntagabend klar wie das Ergebnis ist. Da bringt ein Zeitgewinn von ein paar Stunden nicht wirklich etwas.
  • Borki 12.03.2019 11:17
    Highlight Highlight Ein viel zu hohes Risiko dass wirklich etwas passiert und ein zu grosser Vertrauensverlust bei der Bevölkerung stehen einem minimalen Vorteil gegenüber. Abbruch der Übung!
    • TitanCrNi 12.03.2019 12:28
      Highlight Highlight Was der Vorteil ist?

      Höhere Wahlbeteiligung in Kombination mit gezielt verstärkter, meinungsbildender Medien / Werbungeng. Anschliessend kann das Wahlverhalten exakt, personenbezogen ausgewertet werden. Printmedien besitzen ja keine Cookies.😅
  • ali_der_aal 12.03.2019 11:16
    Highlight Highlight Mir grauts jetzt schon vor der Einführung von E-Voting.. ich will ja nicht behaupten, dass das aktuelle System fehlerfrei ist, aber ich hab das Gefühl das sich die Schweiz mit E-Voting wesentlich mehr Probleme einbrockt als damit gelöst werden...
    • ali_der_aal 12.03.2019 12:32
      Highlight Highlight Naja, das interesse daran, meine 200.- auf meinem Konto abzuzweigen hält isch wohl in Grenzen...

      Spass beiseite:
      Die Frage ist doch eher, ob dieser Digitalisierungswahn überall Sinn macht, oder ob zum Teil die altbewährten Lösungen nicht doch ausreichen...
    • Leider Geil 12.03.2019 13:26
      Highlight Highlight @Sünneli. Was für ein makaberer Vergleich. Die eben abgestürzte Boeing 737 hat laut Boeing möglicherweise Fehler in der Software.
      Ich bin jetzt nicht explizit gegen E-Voting aber dagegen wie in der heutigen Zeit Software entwickelt wird mit teils minimalsten Kenntnissen und gänzlich ohne vernünftige Qualitätskontrolle.
    • sruetti 12.03.2019 13:46
      Highlight Highlight @"Sünneli": Laut republik.ch haben die externen Experten der KPMG die universelle Verifizierbarkeit bestätigt. Wobei die Studie nicht öffentlich zugänglich ist, was ja eigentlich auch nicht sein kann...
  • Gipfeligeist 12.03.2019 11:14
    Highlight Highlight Also wenn dieser Letzte, Einzige, Kleine Fehler behoben wurde, steht doch dem E-Voting NICHTS mehr im Weg!

    oder so
    • Gipfeligeist 12.03.2019 14:17
      Highlight Highlight @Sünneli
      Ich vertrete eher die Ansicht, dass jedes System hackbar ist. Natürlich ist Testen sinnvoll (und nötig, es geht um politische Macht), aber das ist kein Grund für E-Voting. Es bestätigt eher die risikohafte Unnötigkeit solch eines Wahl-Systems!
  • haegipesche 12.03.2019 10:51
    Highlight Highlight Wo ist denn die (dezentralisierte) Blockchain, wenn man sie endlich mal für etwas brauchen könnte?
  • Chrigi-B 12.03.2019 10:51
    Highlight Highlight Die Post hätte andere Probleme zulösen....
  • Thom Mulder 12.03.2019 10:45
    Highlight Highlight Die ganze Sache ist ein Fehler. Jeder der auch nur ein bisschen Ahnung hat, weiss dass das nicht machbar ist. Hier geht es einzig und allein darum, dass eine Menge Geld für die Entwicklung vom Steuerzahler zu den Profiteuren gelangt. Die wissen selber von vornherein dass schon die Idee komplett idiotisch ist und nichts die Sicherheit garantieren kann.
  • woezzl 12.03.2019 10:42
    Highlight Highlight Um wieviel gehts hier eigentlich bei der Post? Warum können die partout nicht einsehen, dass das ev. auch heikel wäre? Auf jedes entdeckte Problem reagieren die so, als hätte man nur den Regenschirm im Büro gelassen.
  • Score 12.03.2019 10:42
    Highlight Highlight Ah super! Dann können wir den Fehler beheben und dann ist das System sicher. Alles paletti. *ironieoff*
  • Nasi 12.03.2019 10:36
    Highlight Highlight Und sonst wurde noch nichts gefunden? Dafür das im Vorfeld alle gesagt haben wie schlecht der Code ist und wie einfach es sein wird das Ding zu hacken ist das extrem schwach.
    • Thom Mulder 12.03.2019 10:48
      Highlight Highlight Echte Hacker haben Mengen an Fehler gefunden. Das hier ist nur das was die Möchtegern-Hacker gefunden haben, die den Vertrag unterzeichnet haben mit den Einschränkungen beim Hacken. Die dürfen gar nicht richtig ran. Das Ganze ist ein PR Stunt, nichts weiter.
    • Scaros_2 12.03.2019 10:52
      Highlight Highlight Die richtigen Cracks nehmen an sowas nicht teil und machen die Fehler nicht öffentlich.
    • Astrogator 12.03.2019 10:59
      Highlight Highlight Eine Lücke reicht völlig...
    Weitere Antworten anzeigen
  • _stefan 12.03.2019 10:36
    Highlight Highlight "Vom Fehler nicht betroffen sei das System der Schweizerischen Post, das in vier Kantonen bereits im Einsatz stehe."

    Ich will ja nicht wissen, wie viele Fehler in dieser Software drin sind...
  • WID 12.03.2019 10:34
    Highlight Highlight "...einem Insider mit Zugriff auf das System..." Das ist eigentlich bei fast jedem System möglich.
    • El Vals del Obrero 12.03.2019 11:24
      Highlight Highlight Beim Stift-Papier-System nicht.
    • El Vals del Obrero 12.03.2019 11:58
      Highlight Highlight Ja, aber nur wenige auf einmal. Niemand wird den physikalischen Zugriff auf alle Wahlzettel in der Schweiz haben.
    • El Vals del Obrero 12.03.2019 12:02
      Highlight Highlight Und wenn einige Tonnen Papier zum Verschwinden gebracht werden müssen fällt das schon rein von der Logistik her eher auf als wenn es um Bytes auf einer Festplatte geht.
    Weitere Antworten anzeigen
  • Aurum 12.03.2019 10:20
    Highlight Highlight Toll, und wie lange hat das gedauert? Genau 2 Wochen, bis der erste kritische Fehler entdeckt, bzw. gemeldet wurde. Da existieren ganz viele weitere Fehler und es werden garantiert nicht alle gemeldet.
    • Aurum 13.03.2019 08:07
      Highlight Highlight die kanadische firma wird alle fehler melden, die sie selbts findet, da stimme ich dir zu. aber was ist mit den fehlern, die nicht sie, sondern andere finden? ein zertifikat ist mir ziemlich schnuppe wenns um die politische vertrauensbasis geht. bei einer firma ist das ein komplett anderes sicherheitslevel, was nötig ist.

Er riskierte sein Leben, um die Welt zu warnen – jetzt meldet sich Edward Snowden zurück

Schon in jungen Jahren spionierte er für die CIA in Genf. Nun will uns der Whistleblower mit einem neuen Buch zeigen, auf was es wirklich ankommt.

Edward Snowden war 30, als er alles, was ihm lieb war, hinter sich liess, um die Welt vor Big Brother und Massenüberwachung zu warnen. Jetzt meldet sich der NSA-Whistleblower, der seit 2013 in Russland im Exil leben muss, wieder zu Wort. Und seine jüngste Warnung klingt nicht weniger eindrücklich, im Gegenteil: Unsere offenen Gesellschaften und demokratischen Länder seien gefährdeter denn je.

Wir geben nachfolgend die wichtigsten Aussagen aus einem Interview wieder, das der schottische …

Artikel lesen
Link zum Artikel