DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Seit 20 Jahren wird E-Voting in der Schweiz diskutiert. Nun wird das System der Post gehackt – und zwar legal.

Jetzt wird das E-Voting der Post gehackt – und die Hacker lassen sich nicht lange bitten

Ab heute steht das E-Voting-System der Post auf dem Prüfstand. Rund 2700 IT-Security-Spezialisten testen es auf Sicherheitsprobleme – andere Hacker wollen bereits Schwachstellen gefunden haben.



Die Post lässt ab sofort Teile ihres E-Voting-Systems von externen IT-Spezialisten und Hackern auf Schwachstellen prüfen. Am öffentlichen Hacking-Test, der vier Wochen dauert, kann grundsätzlich jeder teilnehmen, der sich vorgängig registriert und den Regeln der Post zugestimmt hat. So sind etwa nur bestimmte, von der Post definierte, Angriffsmethoden zugelassen.

Zum Start des sogenannten Intrusionstests informierten am Montag die Bundeskanzlei und die Post darüber, dass lediglich ein Viertel der Hacker, die sich zum weltweit ausgeschriebenen Test angemeldet haben, aus der Schweiz stammten. 13 Prozent kommen aus Frankreich, knapp 7 Prozent aus den USA und 5 Prozent aus Deutschland.

Teilnehmende, die Schwachstellen aufdecken, erhalten je nach Schweregrad eine Aufwandsentschädigung von bis zu 50'000 Franken. Insgesamt ist eine Entschädigungssumme von maximal 150'000 Franken vorgesehen. Kritiker halten dem entgegen, dass es für professionelle Hacker lukrativer sei, eine Schwachstelle im E-Voting-System an Kriminelle oder Geheimdienste zu verkaufen, als sie der Post für ein paar tausend Franken zu melden. Sie bezeichnen den Intrusionstest, über den auch internationale Medien berichten, als «eine PR-Farce», die E-Voting legitimieren soll. Die Post wiederum sagt, der öffentliche Hacking-Test sei nur eine von vielen Massnahmen, das E-Voting-System sicherer zu machen.

Bild

Vor allem Cybermächte wie die USA, Russland oder China könnten das Schweizer E-Voting-System heimlich manipulieren, glauben Kritiker. bild: twitter / @diuuk

Hacker machen angeblich Sicherheitslücken bekannt

Wer am Intrusionstest teilnehmen möchte, muss den Verhaltenskodex der Post unterschreiben, sprich sich an die Regeln der Post halten. Diese schreiben vor, was und wie gehackt bzw. veröffentlicht werden darf – oder eben nicht. Das betrachten viele IT-Experten als Maulkorb.

Einige Hacker haben bereits vor dem Start des Intrusionstests begonnen, angeblich gefundene Sicherheitslücken in Absprache mit der Post zu veröffentlichen.

«Hallo, wir sind setuid(0); ein Team von Sicherheitsforschern und Whitehats», heisst es auf der Website suid.ch. Die Gruppe weist auf Twitter und Github auf angebliche Schwächen im E-Voting-Code der Post hin. Die Hacker betonen, dass ihre bisherigen Veröffentlichung in Absprache mit der Post erfolgt sind.

Als Whitehats (Weiss-Hüte) werden Hacker bezeichnet, die Sicherheitslücken suchen und aufzeigen – beispielsweise indem sie professionelle Penetrationstests ausführen, also im Auftrag einer Firma versuchen, in das IT-System der Firma einzudringen.

IT-Experten kritisieren E-Voting-Code

Matthew Green ist Professor für Kryptografie an der Johns-Hopkins-Universität in den USA.

Teile des Quellcodes des E-Voting-Systems der Post gelangten durch ein Leak schon vor rund zwei Wochen ins Netz. Internationale Kryptographie-Experten haben den Quellcode daraufhin untersucht und die Post scharf kritisiert. Er sei schlecht dokumentiert, unübersichtlich und daher fehleranfällig. Es sei so gut wie unmöglich, den Code vollständig zu untersuchen bzw. zu verstehen. Der Quellcode soll 275'000 Zeilen Java-Code enthalten, der über Hunderte Dateien aufgeteilt ist. «Meines Wissens hat noch nie jemand ein Abstimmungssystem mit dieser Komplexität eingesetzt», zitiert das Techportal Motherboard Matthew Green, Professor für Kryptografie an der Johns-Hopkins-Universität in den USA.

Sicherheitsforscherin Sarah Jamie Lewis, laut Vice eine frühere Ingenieurin für IT-Sicherheit bei Amazon und Ex-Mitarbeiterin des englischen Geheimdiensts GCHQ, prüfte den Code mehrere Tage und schrieb danach auf Twitter:

Sarah Jamie Lewis ist Gründerin von OpenPrivacy.

Lewis und Green lassen in den diversen Tweets zu ihren Untersuchungen des Quellcodes kaum ein gutes Haar am Schweizer E-Voting-System. Eine auch für Laien verständliche Zusammenfassung der Kritik gibt es in diesem Blog-Artikel: Die Qualität des Schweizer E-Voting-Programmcodes (der Autor ist Software-Entwickler bei Threema).

Andere IT-Experten befürchten, dass beim E-Voting die grundlegende Gefahr von den eigenen Mitarbeitern der Post bzw. des Software-Zulieferers Scytl aus Spanien ausgeht. Anders als bei der brieflichen Wahl müsse beim E-Voting nur eine kleine Anzahl von Personen gekauft, bedroht oder erpresst werden, um ein Resultat zu fälschen.

So reagiert die Post auf die Kritik

Video: srf/SDA SRF

E-Voting Tests in verschiedenen Kantonen

Bremser und Treiber des E-Votings in der Schweiz sind die Kantone. Sie entscheiden, ob eine eidgenössische Abstimmung auch elektronisch stattfindet. Bereits im Jahr 2000 hatte das Parlament grundsätzlich beschlossen, Vorbereitungen für die elektronische Stimmabgabe in der Schweiz einzuleiten. Allerdings kam E-Voting erst 2004 erstmals bei einem eidgenössischen Urnengang zum Einsatz.

E-Voting steht nach Angaben der Bundeskanzlei momentan in zehn Kantonen zur Verfügung. Systemanbieter sind die Post und noch bis Ende Februar 2020 der Kanton Genf. Das Genfer System nutzten bisher die Kantone Bern, Luzern, Aargau, Waadt und St. Gallen. Der Kanton St. Gallen hat inzwischen zum System der Post gewechselt.

Das E-Voting-System der Post ist nach Angaben der Post seit 2016 in den Kantonen Thurgau, Neuenburg, Freiburg und Basel-Stadt bei 11 Wahlen und Abstimmungen ohne Komplikationen eingesetzt worden.

Bei der neuen Generation des Post-Systems, das in den kommenden vier Wochen öffentlich getestet wird, handelt es sich erstmals um ein System mit individueller und vollständiger Verifizierbarkeit. Dabei können sowohl die Wähler mittels eines Codes, als auch die Wahlbehörden mittels Kryptographie die Richtigkeit der Angaben überprüfen.

Knackpunkt bleibt die Sicherheit

Die Sicherheit von E-Voting kann nach Angaben der Verantwortlichen auch durch den nun laufenden Test nicht bewiesen werden. Er biete aber die Chance, nicht bekannte Schwachstellen zu entdecken und bei Bedarf zu beheben. Ob die Post eine Bewilligung für ihr System erhalten wird, wird der Bundesrat entscheiden, wenn ein Kanton ein Gesuch für den Einsatz stellen wird.

Der Kanton Genf, einer der Pioniere der elektronischen Stimmabgabe, wird den Betrieb seines Systems auf Ende Februar 2020 einstellen. Hacker des Chaos Computer Clubs hatten gezeigt, wie der Datenverkehr von Abstimmenden auf falsche Server umgeleitet werden kann.

Hacker finden Schwachstelle beim E-Voting

Video: srf

Initiative gegen E-Voting startet im März

Nach Ansicht eines überparteiliches Komitees sollte das Volk über die Einführung von E-Voting entscheiden. Ende Januar wurde die Lancierung einer Volksinitiative für ein Moratorium beim E-Voting angekündigt. Zur Begründung hiess es, dass E-Voting unsicher sei und die Demokratie gefährde. Die elektronische Stimmabgabe soll nach dem Willen der Initianten deshalb vorerst während mindestens fünf Jahren verboten werden.

An der Spitze des Initiativkomitees steht der Luzerner SVP-Nationalrat Franz Grüter. Wie Grüter am Montag gegenüber der Nachrichtenagentur Keystone-SDA erklärte, wird der Sammelstart der Initiative der 12. März sein. Aktuell hätten bereits weit über 5000 Unterstützer zugesichert, mindestens je fünf Unterschriften zu sammeln.

Mit Material der Nachrichtenagentur SDA.

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel