DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Rolf Haenni, IT-Professor der Berner Fachhochschule.
Rolf Haenni, IT-Professor der Berner Fachhochschule.
bild: key/zvg Montage:kob

Dieser IT-Professor enthüllt Lücke im E-Voting der Post – und hat einen unschönen Verdacht

IT-Sicherheitsexperte Rolf Haenni hat eine kritische Schwachstelle im E-Voting-System der Post entdeckt. Brisant: Spezialisten der Cambridge University, der ETH Zürich und der Wirtschaftsprüfungsfirma KPMG gaben zuvor grünes Licht. Haenni hat eine Vermutung, was schiefgelaufen ist.
13.03.2019, 10:36
Andreas Maurer / ch media

Rolf Haenni leitet in Biel ein kleines Institut für IT-Sicherheit, das zur Berner Fachhochschule gehört. In der Öffentlichkeit ist der junge Professor unbekannt. Er ist der Prototyp eines Forschers im stillen Kämmerlein. Doch seine Arbeit prägt die Schweizer Politik. Er hat eine Schlagzeile mitverursacht, die am Dienstag über die Nachrichtenticker lief: Kritischer Fehler im E-Voting-System der Post entdeckt.

Haenni ist einer von 3000 IT-Spezialisten, die das E-Voting-System der Schweizerischen Post testen. Seit Anfang Februar ist der Quellcode öffentlich zugänglich. Die Post hat für Hacker, die das System knacken können, ein Preisgeld von bis zu 50'000 Franken ausgeschrieben. Der Versuch soll zeigen, ob das Programm sicher ist, mit dem die Schweiz in Zukunft Volksabstimmungen und -wahlen online durchführen soll.

Haenni hat in den vergangenen drei Wochen ein 150-seitiges Dokument voller Formeln studiert. In seiner Freizeit, im Zug und im Flugzeug, sass er vor seinem Laptop und suchte nach einer Schwachstelle. Rasch wurde er fündig. Auf Anfrage sagt er: «Für mich war es kein besonders grosser Aufwand, den Fehler zu finden.»

Das Problem verbirgt sich in der sogenannten universellen Verifizierbarkeit. Damit können Wahlbehörden beim Auszählen überprüfen, ob Stimmen in der elektronischen Urne manipuliert worden sind – wie heutzutage bei einer Nachzählung der Zettel in einem Wahl- und Abstimmungsbüro.

Vertuschung möglich

Die Post hat von fünf Forschern eine Mitteilung zum Fehler erhalten. Haenni ist der einzige Schweizer. Am schnellsten war eine IT-Spezialistin aus Kanada: Sarah Jamie Lewis. Auf Twitter erklärt sie, weshalb das entdeckte Problem als schwerwiegend einzustufen ist: Die Post hätte damit eine Wahlfälschung, die sie selber begangen hätte, vertuschen können.

Der Fall wirft grundsätzliche Fragen zur Sicherheitsüberprüfung des E-Voting-Systems auf. Man kann es positiv oder negativ sehen. Die positive Sichtweise: Die Entdeckung zeigt, dass es richtig war, die Öffentlichkeit in den Sicherheitstest einzubeziehen.

Die negative Sichtweise: Der vorangehende Sicherheitsprozess hat versagt. Daran beteiligt waren weitaus grössere Player als das kleine Institut aus Biel. In einem dreistufigen Vorgang wurde die Sicherheit von Spezialisten der Cambridge University, der ETH Zürich und der Wirtschaftsprüfungsfirma KPMG untersucht. Alle gaben grünes Licht.

Haenni sagt: «Ich staune, dass der Fehler im vorangehenden Überprüfungsprozess nicht gefunden worden ist.» Er kann sich nicht vorstellen, dass er besser gearbeitet hat als die Kollegen der grossen Institute. Die anderen Experten hätten den Fehler auch gefunden, hätten sie danach gesucht. Er geht davon aus, dass sie nicht den Auftrag dazu hatten: «Wahrscheinlich wurde der Rahmen für die Überprüfung von der Bundeskanzlei zu eng definiert.» Überprüfen lässt sich das nicht, die entsprechenden Dokumente sind geheim.

Die Post teilt mit, der Fehler sei eigentlich schon vor zwei Jahren identifiziert und der Software-Herstellerin Scylt gemeldet worden. Doch offenbar hat die spanische Firma die Reparaturarbeit nicht wie versprochen erledigt. Nun meldet die Post, das Problem sei gelöst. Zudem sei das bereits in den Kantonen Thurgau, Neuenburg, Freiburg und Basel-Stadt für Auslandschweizer eingesetzte E-Voting-System nicht betroffen. (Anmerkung: Das ist kein Grund zur Entwarnung, im Gegenteil: Die bislang eingesetzten E-Voting-Systeme erlauben noch gar keine universelle Verifizierbarkeit, die mit der Nachzählung von physischen Stimmzetteln verglichen werden kann. «Das bedeutet, die Wahlen damit können alle gefälscht sein, ohne dass man das überhaupt merken kann», sagt Volker Birk, Pressesprecher des Chaos Computer Club Schweiz.)

Zweifel werden grösser

Ist das E-Voting-System der Post sicher? Haenni ist eigentlich ein Befürworter von E-Voting, doch diese Frage kann er derzeit nicht beantworten. Er habe noch nicht alles systematisch durchgehen können. Der entdeckte Fehler weckt Zweifel. «Jetzt fragt sich: Gibt es noch mehr versteckte Fehler im System?»

Der Wissenschafter aus Biel war in den Aufbau des E-Voting-Systems des Kantons Genf involviert, das als Konkurrenz zum Post-Programm lanciert, aber inzwischen aufgegeben wurde. Haenni ist enttäuscht. Er sagt: «Diesen Fehler hat es in unserem Vorschlag für das neue Genfer System so nicht gegeben.»

Hacker finden Schwachstelle im E-Voting-System des Kanton Genfs

Video: srf
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

WhatsApp-Chef über Pegasus-Enthüllungen: «Das betrifft uns alle»

Polizeibehörden und Geheimdienste weltweit nutzen die mächtige Spionage-Software Pegasus der israelischen Firma NSO, um Kriminelle, Terroristen, aber auch Journalisten und Oppositionelle auszuspähen.

WhatsApp-Chef Will Cathcart hat Enthüllungen zur Überwachungssoftware Pegasus der israelischen Firma NSO als «Weckruf» bezeichnet. «Mobiltelefone sind entweder für jeden sicher oder sie sind nicht für jeden sicher», sagte er der britischen Zeitung «The Guardian» am Samstag. «Wenn das Journalisten auf der ganzen Welt betrifft, wenn das Verteidiger von Menschenrechten auf der ganzen Welt betrifft, dann betrifft das uns alle.»

Zuletzt wurde von einem Journalistenkonsortium international darüber …

Artikel lesen
Link zum Artikel