Die Online-Petition lockdown-stop.ch sorgt wegen der relativ hohen Zahl von Unterzeichnenden für Schlagzeilen. Dass innert drei Wochen über 100'000 Personen Unterstützung signalisierten, stiess aber auch auf Misstrauen.
Recherchen von watson zeigen nun: Die von rechtsbürgerlicher Seite lancierte Online-Petition konnte einfach manipuliert werden, um die Zahl der Unterzeichnenden in die Höhe zu treiben.
Das Generalsekretariat der SVP Schweiz versuchte am Mittwoch, den Manipulationsverdacht zu entkräften und erklärte auf Anfrage, es komme «ein intelligentes System» zum Einsatz, das Mehrfach- und Fake-Eintragungen erkennen und korrigieren könne. Allerdings ist die Beteiligung der grössten Schweizer Partei offiziell erst seit kurzem bekannt, was wiederum neue Fragen aufwarf …
Eine Person, die anonym bleiben will, hat sich unter dem Pseudonym Hans Muster an watson gewandt. Sie kritisierte, dass die Zahl der Unterzeichnenden wegen der einfachen Manipulierbarkeit nicht glaubwürdig sei und lieferte auch gleich einen technischen Beweis in Form eines Proof of Concept (siehe unten). Der Hinweisgeber schreibt:
Das Web-Formular, mit dem die Petition «unterzeichnet» werde, verwende «nicht einmal die simpelsten Sicherheitsvorkehrungen», kritisierte der Hacker. Zum Beispiel würden Massenanfragen von der selben Internet-Adresse (IP) nicht geblockt und das automatisierte Unterzeichnen durch Bots werde nicht verhindert (z.B. durch Einsatz eines Captcha).
Der Online-Petitions-Hacker bezeichnet sich selbst als Informatikstudent einer Fachhochschule. Er schreibt:
Der anonyme Informant hat watson den «Proof of Concept» zukommen lassen, um nachzuprüfen, wie die Online-Petition sehr einfach manipuliert werden könne.
So machte der Hacker hunderte falsche Einträge:
Der sprunghafte Anstieg des Zählers auf der Petitions-Webseite lasse darauf schliessen, dass sein Skript tatsächlich funktioniere, hält der Hacker in einer E-Mail fest. watson hat die Funktionalität des Mini-Programms überprüft.
Anzufügen ist, dass sich Dritte mit echt klingenden, aber dennoch falschen «Schweizer Personendaten» registrieren können. Im Internet finden sich ganze Listen mit erfundenen, «schweizerisch» klingenden Namen wie David Mahler aus Tinizong GR oder Monika Ackermann aus Hagenbuch ZH.
watson hat den Initianten Leroy Bächtold, der am Dienstag gegenüber watson Auskunft gab, um eine Stellungnahme gebeten. Der Zürcher Jungfreisinnige bestätigte, dass der Proof of Concept «registriert» worden sei. Und er verwies auf die Stellungnahme der SVP Schweiz, denn die tritt seit kurzem als Mitinitiantin in Erscheinung (siehe unten).
Was Beobachtern am gestrigen Dienstag aufgefallen war: Unter lockdown-stop.ch war plötzlich ein neuer, professionell gestalteter Webauftritt zu finden. Nun erfuhren die Besucherinnen und Besucher, dass die (am 16. Januar gestartete) Petition gemeinsam von der SVP Schweiz und von «Schwiiz Brandaktuell» lanciert worden sei, einer bis dato unbekannten News-Plattform von bürgerlichen Jungpolitikern.
Am Mittwochmorgen lässt das Generalsekretariat der SVP Schweiz watson eine Stellungnahme zukommen. Andrea Sommer, zuständig für Kommunikation, schreibt:
Zur Erkennung von Manipulationen sei «ein intelligentes System» im Einsatz, sagt die SVP-Sprecherin.
Seit Mittwochmorgen früh seien zudem beim Petitions-Formular Captchas im Einsatz, weil man vermehrt Manipulationen und den Einsatz von Bots festgestellt habe.
Auf Nachfrage wollte das SVP-Generalsekretariat keine technischen Details zum «intelligenten System» preisgeben.
Gestern Dienstag hatte Leroy Bächtold gewittert, dass die SVP Schweiz am Montag (8. Februar) beschlossen habe, die von den Jungpolitiken lancierte Petition zu unterstützen.
Heisst das, die SVP hat (heimlich) wochenlang technische Unterstützung für die Online-Petitions-Website geleistet mit ihrem «intelligenten System» zur Manipulations-Erkennung, und die vielen Unterstützer wurden im Unklaren gelassen, bevor das SVP-Engagement kommuniziert wurde?
Oder ist das «intelligente System» erst seit kurzem in Betrieb und vorher waren während Wochen Manipulationen und Mehrfachstimmabgaben ungestört möglich?
watson hakt nach.
Die Antwort der SVP-Sprecherin:
Leroy Bächtold präzisiert, dass die Sicherheitsvorkehrungen in den ersten paar Wochen – vor der Beteiligung der SVP Schweiz – «einfach aufgebaut» gewesen seien.
Die Initianten hätten ein paar Skripte verwendet, unter anderem für das automatische Aufspüren von Duplikaten und Eingaben von Bots. Hingegen sei der Zähler auf der Website «manuell hochgestellt» worden und dabei seien Falscheingaben aussortiert wurden. Er versichert, dass grössere Manipulationsversuche entdeckt worden wären.
Der Hacker, der den Ball ins Rollen gebracht hatte, meint abschliessend:
Auch wenn nun durch die Verwendung von Googles Recaptcha Service eine einfache Manipulation nicht mehr allzu leicht möglich sei, hinterlasse es trotzdem einen schalen Nachgeschmack, dass dies überhaupt möglich war.
Ob die Namen der bisherigen Unterzeichnenden wirklich alle legitim sind, würde sich aber sowieso erst im Rahmen einer Überprüfung durch die Bundeskanzlei zeigen.
Fragen hatte es auch noch bezüglich des Spenden-Aufrufs gegeben, der auf lockdown-stop.ch angezeigt wurde. Via Twitter kritisierte am Dienstag ein User, dass die über die Website gesammelten Spenden direkt an die SVP gingen.
Am Mittwochmorgen besserten die Website-Betreiber nach und ergänzten das Spenden-Formular mit der Angabe, dass die Spenden «administrativ» von der SVP Schweiz verwaltet würden. Jede Spende werde «jedoch zu 100% dieser Petition zugewiesen und zweckgebunden dafür eingesetzt».
Initiant Leroy Bächtold, der die ursprüngliche Website konzipiert hatte, erklärt, dass dies einen praktischen Grund habe. Als Verein sei es ihnen nicht möglich gewesen, den Schweizer Mobile-Bezahldienst Twint in die Seite einzubinden.
Aber auch auf der professionell gestalteten neuen Website gibts noch weitere «Baustellen». So fehlt ein korrektes Impressum. In der Datenschutzerklärung wurde ein Absatz «Impressum» hinzugefügt, doch hapert es bei der Verlinkung.
Ausserdem zu berücksichtigen, dass bei einer Petition weder eine Frist für die Unterschriftensammlung, noch eine Mindestanzahl Unterschriften einzuhalten ist, und dass die Unterschriften auch nicht beglaubigt werden müssen. Auch eine Einzelperson, Kinder oder Ausländer dürfen Petitionen einreichen. Insofern ist es völlig egal, wenn man das mit tausenden Online-Namen aufpeppt.
https://www.ch.ch/de/demokratie/politische-rechte/petition/
Also im Grunde genommen nur ein Sturm im Wasserglas. Es ist eine Petition, Leute!
Ja wenn das Klientel mit einem Captcha zu überfordern ist, sagt das wohl alles über das Klientel aus.
Viel Härte, ☝️ aber nur, wenns um die Anderen geht.