Rolf Haenni leitet in Biel ein kleines Institut für IT-Sicherheit, das zur Berner Fachhochschule gehört. In der Öffentlichkeit ist der junge Professor unbekannt. Er ist der Prototyp eines Forschers im stillen Kämmerlein. Doch seine Arbeit prägt die Schweizer Politik. Er hat eine Schlagzeile mitverursacht, die am Dienstag über die Nachrichtenticker lief: Kritischer Fehler im E-Voting-System der Post entdeckt.
Haenni ist einer von 3000 IT-Spezialisten, die das E-Voting-System der Schweizerischen Post testen. Seit Anfang Februar ist der Quellcode öffentlich zugänglich. Die Post hat für Hacker, die das System knacken können, ein Preisgeld von bis zu 50'000 Franken ausgeschrieben. Der Versuch soll zeigen, ob das Programm sicher ist, mit dem die Schweiz in Zukunft Volksabstimmungen und -wahlen online durchführen soll.
Haenni hat in den vergangenen drei Wochen ein 150-seitiges Dokument voller Formeln studiert. In seiner Freizeit, im Zug und im Flugzeug, sass er vor seinem Laptop und suchte nach einer Schwachstelle. Rasch wurde er fündig. Auf Anfrage sagt er: «Für mich war es kein besonders grosser Aufwand, den Fehler zu finden.»
Das Problem verbirgt sich in der sogenannten universellen Verifizierbarkeit. Damit können Wahlbehörden beim Auszählen überprüfen, ob Stimmen in der elektronischen Urne manipuliert worden sind – wie heutzutage bei einer Nachzählung der Zettel in einem Wahl- und Abstimmungsbüro.
Die Post hat von fünf Forschern eine Mitteilung zum Fehler erhalten. Haenni ist der einzige Schweizer. Am schnellsten war eine IT-Spezialistin aus Kanada: Sarah Jamie Lewis. Auf Twitter erklärt sie, weshalb das entdeckte Problem als schwerwiegend einzustufen ist: Die Post hätte damit eine Wahlfälschung, die sie selber begangen hätte, vertuschen können.
It is 9am Swiss Time, @VTeagueAus, Olivier Pereira & I are releasing details of a cryptographic trapdoor that we found in the Swiss Post #evoting system that would allows admins to falsely "prove" mixes that alter votes & undetectably compromise elections: https://t.co/ETEDuDsSAe
— Sarah Jamie Lewis (@SarahJamieLewis) 12. März 2019
Der Fall wirft grundsätzliche Fragen zur Sicherheitsüberprüfung des E-Voting-Systems auf. Man kann es positiv oder negativ sehen. Die positive Sichtweise: Die Entdeckung zeigt, dass es richtig war, die Öffentlichkeit in den Sicherheitstest einzubeziehen.
Die negative Sichtweise: Der vorangehende Sicherheitsprozess hat versagt. Daran beteiligt waren weitaus grössere Player als das kleine Institut aus Biel. In einem dreistufigen Vorgang wurde die Sicherheit von Spezialisten der Cambridge University, der ETH Zürich und der Wirtschaftsprüfungsfirma KPMG untersucht. Alle gaben grünes Licht.
Haenni sagt: «Ich staune, dass der Fehler im vorangehenden Überprüfungsprozess nicht gefunden worden ist.» Er kann sich nicht vorstellen, dass er besser gearbeitet hat als die Kollegen der grossen Institute. Die anderen Experten hätten den Fehler auch gefunden, hätten sie danach gesucht. Er geht davon aus, dass sie nicht den Auftrag dazu hatten: «Wahrscheinlich wurde der Rahmen für die Überprüfung von der Bundeskanzlei zu eng definiert.» Überprüfen lässt sich das nicht, die entsprechenden Dokumente sind geheim.
Die Post teilt mit, der Fehler sei eigentlich schon vor zwei Jahren identifiziert und der Software-Herstellerin Scylt gemeldet worden. Doch offenbar hat die spanische Firma die Reparaturarbeit nicht wie versprochen erledigt. Nun meldet die Post, das Problem sei gelöst. Zudem sei das bereits in den Kantonen Thurgau, Neuenburg, Freiburg und Basel-Stadt für Auslandschweizer eingesetzte E-Voting-System nicht betroffen. (Anmerkung: Das ist kein Grund zur Entwarnung, im Gegenteil: Die bislang eingesetzten E-Voting-Systeme erlauben noch gar keine universelle Verifizierbarkeit, die mit der Nachzählung von physischen Stimmzetteln verglichen werden kann. «Das bedeutet, die Wahlen damit können alle gefälscht sein, ohne dass man das überhaupt merken kann», sagt Volker Birk, Pressesprecher des Chaos Computer Club Schweiz.)
Ist das E-Voting-System der Post sicher? Haenni ist eigentlich ein Befürworter von E-Voting, doch diese Frage kann er derzeit nicht beantworten. Er habe noch nicht alles systematisch durchgehen können. Der entdeckte Fehler weckt Zweifel. «Jetzt fragt sich: Gibt es noch mehr versteckte Fehler im System?»
Der Wissenschafter aus Biel war in den Aufbau des E-Voting-Systems des Kantons Genf involviert, das als Konkurrenz zum Post-Programm lanciert, aber inzwischen aufgegeben wurde. Haenni ist enttäuscht. Er sagt: «Diesen Fehler hat es in unserem Vorschlag für das neue Genfer System so nicht gegeben.»
- Ein kritischer Fehler wurde vor 2 Jahren identifiziert und nicht behoben. Das hätte bis zur nächsten Wahl behoben werden müssen. Weder hat Scylt den Fehler behoben noch hat die Post kontrolliert, dass er behoben wird/Druck gemacht.
- Der Fehler wurde von der eigenen Überprüfung nicht gefunden, obwohl er "einfach" zu finden sei. Heisst die Qualitätssicherung hat in ganzer Linie versagt und weniger offensichtliche Fehler werden mit ziemlicher Sicherheit noch vorhanden sein.
Jetzt sehen die nicht das die Post Wahlbetrug machen und Vertuschen könnte.
Wurden die von der Post geschmiert?
Zweimal Post, Zufall?