Internationale IT-Experten haben laut Online-Magazin «Republik» eine kritische Lücke im Schweizer E-Voting-System gefunden und gemeldet. Die Post hat die Sicherheitslücke am Dienstag bestätigt.
Betroffen ist eine Schlüsselkomponente des E-Voting-Systems, die sogenannte universelle Verifizierbarkeit. Ein Fehler im Quellcode «ermöglicht es einem Insider mit Zugriff auf das System, das Ergebnis einer Abstimmung zu manipulieren, ohne dass dies bei der Überprüfung entdeckt würde», schreibt die «Republik». Entdeckt wurde der Fehler von kanadischen IT-Sicherheitsforschern.
Die Post schreibt: «Der Fehler allein ermöglicht es nicht, ins E-Voting-System einzudringen. Die Post hat ihren Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren.» Angreifer benötigten Zugriff auf die IT-Infrastruktur und die Mithilfe von Insidern, sprich Mitarbeiter der Post oder der Kantone, um Wahlen mit dem nun entdeckten Fehler im Quellcode manipulieren zu können.
Die nun gefundene Sicherheitslücke gibt IT-Experten recht, die vor grundlegenden Risiken des E-Votings warnen: Gemeint ist die technische Zentralisierung und damit die kleine Anzahl von Personen, die gekauft, bedroht oder erpresst werden müsste, um ein Resultat zu fälschen.
Die Bundeskanzlei ihrerseits teilte am Dienstag in einem Communiqué mit, dass ein erheblicher Mangel entdeckt worden sei. Sie schreibt: «Mit diesem Mangel erfüllt das System der Post somit die gesetzlichen Anforderungen nicht.»
Vom Fehler nicht betroffen sei das System der Schweizerischen Post, das in vier Kantonen bereits im Einsatz stehe.
Die Korrektur der aufgedeckten Schwachstelle sei bereits erfolgt, teilte die Post mit. Der angepasste Quellcode werde mit dem nächsten regulären Release eingespielt.
Seit gut zwei Wochen läuft der vom Bund und von den Kantonen angeordnete öffentliche Intrusionstest des E-Voting-Systems der Post. Über 3000 Hacker rund um die Welt testen bis zum 24. März das System.
(oli)