Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Ein Buerger von Bern wirft seinen Stimmzettel in die Wahlurne im Abstimmungslokal

Ob briefliches Abstimmen oder Gang zum Wahllokal in der Gemeinde: Beim digitalen Auswerten der abgegebenen Stimmen gibt es laut IT-Experten diverse Sicherheitslücken. Bild: KEYSTONE

So unsicher sind die IT-Systeme der Kantone bei Wahlen und Abstimmungen

In einer aufwändigen Recherche legt das «Republik»-Magazin gravierende Schwachstellen kantonaler IT-Systeme offen. Gefordert ist auch der Bund.



Was ist passiert?

Viele Kantone verwenden veraltete oder angreifbare Software, um die Ergebnisse von Wahlen und Abstimmungen zu ermitteln: Dies hat das «Republik»-Magazin am Freitag publik gemacht und beruft sich dabei auf eigene Recherchen, in Zusammenarbeit mit IT-Sicherheitsexperten.

watson fasst die wichtigsten Erkenntnisse zusammen.

Um was für Software handelt es sich?

In der Schweiz findet sonntags nach Abstimmungen und Wahlen eine Auszählung der Stimmen quasi in Echtzeit statt. Dies erfordere eine beträchtliche Automatisierung: «Computer­programme müssen die Sitz­gewinne und -verluste ausrechnen und die Wahl­veränderungen grafisch darstellen.»

Ergebnis­ermittlungs­software kommt laut Bericht bei Wahlen fast in der ganzen Schweiz zum Einsatz. «Bei einigen Kantonen sogar für Abstimmungen.»

Wie schlimm ist es?

Laut Republik besteht «eine krasse Gesetzeslücke»: Die digitale Ergebnis­ermittlung sei überhaupt nicht reguliert.

Mindestens 14 Kantone verwenden laut Recherche «angreifbare und nicht zeit­gemässe Software». Hinweise auf erfolgreiche Hackerangriffe liegen nicht vor (siehe Punkt 5).

Zu den schwerwiegendsten Schwach­stellen und Bedrohungsszenarien gehören gemäss der Untersuchung, die durch IT-Sicherheitsexperten geführt wurde:

Ist so ein Bericht nicht gefährlich kurz vor Abstimmungen?

Um das Risiko zu minimieren, habe die «Republik» die Hersteller, die Bundes­kanzlei und die kantonalen Staats­kanzleien im Voraus über die Ergebnisse der Recherche informiert.

Angriffs­potenziale seien vor allem bei nationalen und kantonalen Wahlen gegeben. «Die aufgezeigten Schwach­stellen könnten allerdings kaum innerhalb einer so kurzen Zeit­spanne (also bis zum Abstimmungs­sonntag am 27. September) ausgenutzt werden, meinen mehrere Experten.»

Welche Kantone sind betroffen?

Bedenkliche Schwachstellen fanden die IT-Sicherheitsexperten in der Software «SESAM Wahlen», die laut «Republik»-Bericht in den folgenden Kantonen eingesetzt wird:

Eine ebenfalls gravierende Schwach­stelle sei in den Systemen der Kantone Wallis und Bern festgestellt worden.

Der Kanton Tessin setzt laut Bericht mit seiner Software «Votel» komplett veraltete Verschlüsselungs­protokolle ein.

Auch bei der Software «VeWork» der Firma Sitrox hätten die beiden IT-Security-Forscher «einige fehlende Sicherheits­vorkehrungen» gefunden. Kundinnen von Sitrox seien die Kantone Aargau, Solothurn und Zug. Allerdings stufte der zuständige Firmenverantwortliche die Befunde der Sicherheitsforscher als irrelevant ein: Man kompensiere die entsprechenden Angriffs­szenarien mit anderen Sicherheits­mechanismen, etwa dem Blockieren von externen IP-Zugriffen.

Eine detaillierte Auflistung mit allen betroffenen Kantonen, geordnet nach Software-Produkten, gibt's im technischen Bericht zur Recherche (siehe Quellen).

Wurden die IT-Schwachstellen bereits ausgenutzt?

Dafür gibt es laut Bericht keine Hinweise. Man habe «keine Hinweise dafür erhalten oder gefunden», heisst es.

Was tut der Bund?

Die Recherche zeige eine klare Regulierungs­lücke auf, betont die Journalistin Adrienne Fichter in ihrem Artikel. Obwohl es sich um sogenannte «kritische Infrastruktur» handle, existierten bis heute keine Sicherheits­vorgaben des Bundes für den Einkauf und den Betrieb solcher Systeme. Und damit herrsche auch keine Transparenz über die Funktions­weise der Software.

«Die Bundes­kanzlei sieht sich nicht zuständig, weil die sichere Durch­führung von Abstimmungen und Wahlen Sache der Kantone sei. Sie fordert zwar von den Kantonen, die Befunde der Republik-Recherche zu prüfen und Schwach­stellen zu beheben. Doch niemand auf Bundes­ebene kontrolliert die Sicherheit der eingesetzten Software. Und die breite Öffentlichkeit weiss nicht einmal von der Existenz solcher Systeme.»

quelle: republik.ch

Es seien dringend strengere Sicherheits­überprüfungen nötig, zitiert die Republik, den Staats­rechtler und Direktor des Aarauer Zentrums für Demokratie, Andreas Glaser. Ansonsten sei künftiger Manipulation Tür und Tor geöffnet.

Quellen

SwissCovid-App noch nicht installiert? Wir helfen dir

Video: watson/Jara Helmi

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

Schamloses Rülpsen und 8 andere Gründe, eine Maske zu tragen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Wenn Kantonswappen ehrlich wären – die komplette Edition

Vor ein paar Jahren, watson hatte nur ein paar Freak-Leser (Danke, Freak-Leser!), publizierten wir eine Auswahl an «ehrlichen» Kantonswappen. Die Story fand derart guten Anklang, dass wir ein Sequel produzierten – für ganz alle Kantone reichte es aber nie.

Nun fragten uns vor wenigen Tagen die Lehrlinge der Firma Hoffmann Neopac AG, die einen Webshop mit bedruckten Blechdosen (Korrektur: Hier stand vorher Aluminiumdosen) betreiben, an, ob sie die Sujets für eine 1.-August-Sonderedition …

Artikel lesen
Link zum Artikel