Viele Kantone verwenden veraltete oder angreifbare Software, um die Ergebnisse von Wahlen und Abstimmungen zu ermitteln: Dies hat das «Republik»-Magazin am Freitag publik gemacht und beruft sich dabei auf eigene Recherchen, in Zusammenarbeit mit IT-Sicherheitsexperten.
watson fasst die wichtigsten Erkenntnisse zusammen.
In der Schweiz findet sonntags nach Abstimmungen und Wahlen eine Auszählung der Stimmen quasi in Echtzeit statt. Dies erfordere eine beträchtliche Automatisierung: «Computerprogramme müssen die Sitzgewinne und -verluste ausrechnen und die Wahlveränderungen grafisch darstellen.»
Ergebnisermittlungssoftware kommt laut Bericht bei Wahlen fast in der ganzen Schweiz zum Einsatz. «Bei einigen Kantonen sogar für Abstimmungen.»
Laut Republik besteht «eine krasse Gesetzeslücke»: Die digitale Ergebnisermittlung sei überhaupt nicht reguliert.
Mindestens 14 Kantone verwenden laut Recherche «angreifbare und nicht zeitgemässe Software». Hinweise auf erfolgreiche Hackerangriffe liegen nicht vor (siehe Punkt 5).
Zu den schwerwiegendsten Schwachstellen und Bedrohungsszenarien gehören gemäss der Untersuchung, die durch IT-Sicherheitsexperten geführt wurde:
Um das Risiko zu minimieren, habe die «Republik» die Hersteller, die Bundeskanzlei und die kantonalen Staatskanzleien im Voraus über die Ergebnisse der Recherche informiert.
Angriffspotenziale seien vor allem bei nationalen und kantonalen Wahlen gegeben. «Die aufgezeigten Schwachstellen könnten allerdings kaum innerhalb einer so kurzen Zeitspanne (also bis zum Abstimmungssonntag am 27. September) ausgenutzt werden, meinen mehrere Experten.»
Bedenkliche Schwachstellen fanden die IT-Sicherheitsexperten in der Software «SESAM Wahlen», die laut «Republik»-Bericht in den folgenden Kantonen eingesetzt wird:
Eine ebenfalls gravierende Schwachstelle sei in den Systemen der Kantone Wallis und Bern festgestellt worden.
Der Kanton Tessin setzt laut Bericht mit seiner Software «Votel» komplett veraltete Verschlüsselungsprotokolle ein.
Auch bei der Software «VeWork» der Firma Sitrox hätten die beiden IT-Security-Forscher «einige fehlende Sicherheitsvorkehrungen» gefunden. Kundinnen von Sitrox seien die Kantone Aargau, Solothurn und Zug. Allerdings stufte der zuständige Firmenverantwortliche die Befunde der Sicherheitsforscher als irrelevant ein: Man kompensiere die entsprechenden Angriffsszenarien mit anderen Sicherheitsmechanismen, etwa dem Blockieren von externen IP-Zugriffen.
Eine detaillierte Auflistung mit allen betroffenen Kantonen, geordnet nach Software-Produkten, gibt's im technischen Bericht zur Recherche (siehe Quellen).
Dafür gibt es laut Bericht keine Hinweise. Man habe «keine Hinweise dafür erhalten oder gefunden», heisst es.
Die Recherche zeige eine klare Regulierungslücke auf, betont die Journalistin Adrienne Fichter in ihrem Artikel. Obwohl es sich um sogenannte «kritische Infrastruktur» handle, existierten bis heute keine Sicherheitsvorgaben des Bundes für den Einkauf und den Betrieb solcher Systeme. Und damit herrsche auch keine Transparenz über die Funktionsweise der Software.
Es seien dringend strengere Sicherheitsüberprüfungen nötig, zitiert die Republik, den Staatsrechtler und Direktor des Aarauer Zentrums für Demokratie, Andreas Glaser. Ansonsten sei künftiger Manipulation Tür und Tor geöffnet.
Nicht nur darum, von mir ein ganz klares Nein zu E-Voting. Einfach zu unsicher und die Kompetenz dafür spreche ich den Behörden nach heutigem Stand einfach ab. Da sitzen zu viele, meist ältere Herrschaften, die schlichtweg 0 Ahnung von der Materie haben.