Digital
Schweiz

Das E-Voting der Post ist offiziell gehackt – so reagieren Bund und Post

Hack Teaserbild
bildmontage: watson/shutterstock

Das E-Voting der Post ist offiziell gehackt – so reagieren Bund, Post und die Hacker

Der Bund will E-Voting flächendeckend einführen. Die Post muss daher ihr E-Voting-System einem öffentlichen Hacker-Test unterziehen. Doch nun haben IT-Experten eine gravierende Sicherheitslücke gefunden. Die wichtigsten Antworten im Überblick.
12.03.2019, 18:3813.03.2019, 12:57
Mehr «Digital»

Die E-Voting-Bombe platzte heute Morgen: Internationale und Schweizer IT-Experten haben unabhängig voneinander gezeigt, dass eine kritische Lücke im Schweizer E-Voting-System dazu genutzt werden könnte, um Stimmen zu manipulieren, ohne dass dies nachgewiesen werden kann. Die Post hat dies bestätigt.

Was genau ist passiert?

Ein Programmierfehler macht's möglich: Einige wenige Menschen bei der Post oder den Kantonen mit Spezialwissen und dem notwendigen Zugriff auf die IT-Infrastruktur hätten E-Voting-Resultate unbemerkt manipulieren können: Etwa Post-Manager, die von einem ausländischen Nachrichtendienst gekauft wurden oder ein paar wenige Kantonsangestellte mit Insiderwissen, die von Verbrechern bedroht oder erpresst werden.

Mit dem Fehler im Quellcode hätte ein Insider bei der Post beweisen können, dass er keine Wahlfälschung begangen hat, selbst wenn er es getan hätte. Gleiches gilt wohl für die spanische Firma Scytl, die das E-Voting für die Post entwickelt.

Laut Post ist die gemeldete Sicherheitslücke bereits seit 2017 bekannt, sie wurde aber von der IT-Firma Scytl aus Barcelona, die für den Quellcode verantwortlich ist, nicht vollständig behoben. Warum eine umstrittene spanische Firma den Code für das Schweizer E-Voting-System schreibt, ist eine ganz andere Frage...

Was sagt die Post?

«Der Fehler allein ermöglicht es nicht, ins E-Voting-System einzudringen. Um die Schwachstelle auszunutzen, müssten die Angreifer zahlreiche Schutzmassnahmen ausser Kraft setzen. Sie bräuchten beispielsweise Kontrolle über die gesicherte IT-Infrastruktur der Post sowie die Hilfe von mehreren Insidern mit Spezialwissen bei der Post oder den Kantonen.» Im Klartext: Wer die richtigen Mitarbeiter besticht, bedroht oder erpresst, hätte im schlimmsten Fall Wahlen unbemerkt manipulieren können.

Die Post schreibt weiter, sie habe ihren spanischen Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren. Die Fehlerbehebung sei bereits erfolgt und werde mit dem nächsten regulären Update eingespielt. Die Post betont, dass die fehlerhafte Software bei kantonalen Abstimmungen nicht zum Einsatz gekommen ist. Das ist kein Grund zur Entwarnung, im Gegenteil: Die bislang eingesetzten E-Voting-Systeme erlauben noch keine universelle Verifizierbarkeit. Die universelle Verifizierbarkeit kann mit der Nachzählung von physischen Stimmzetteln verglichen werden (siehe Punkt 6). «Das bedeutet, die Wahlen damit können alle gefälscht sein, ohne dass man das überhaupt merken kann», sagt Volker Birk, Pressesprecher des Chaos Computer Club Schweiz.

Warum ist der entdeckte Fehler so brisant?

Beim neuen E-Voting-System der Post sollen die Wahlbehörden beim Auszählen der Stimmen überprüfen können, ob Stimmen in der elektronischen Urne manipuliert wurden. Mehrere IT-Experten konnten nun aber zeigen, dass Mitarbeiter mit spezifischem Zugriff eine Wahl unbemerkt hätten verfälschen können. «Kein Wahlsystem sollte eine Hintertür haben, die es den Personen, die die Wahl durchführen, ermöglicht, das Wahlergebnis heimlich zu ändern», sagt die kanadische Kryptografie-Expertin-Expertin Lewis, die die Schwachstelle zuerst entdeckt hat.

«Die Schwachstelle ist erstaunlich», zitiert das Techportal Motherboard den Kryptografie-Professor Matthew Green von der Johns-Hopkins-Universität in den USA. «Bei brieflichen Wahlen gibt es nicht eine einzige Person, die heimlich die gesamte Wahl manipulieren könnte», sagt Green, aber beim E-Voting-System der Post hätte genau dies eine kleine Gruppe von Insidern tun können.

Wer ist für die Sicherheitslücke verantwortlich?

Zunächst die spanische Firma Scytl, Marktführerin für E-Voting-Lösungen, die eine seit mehreren Jahren bekannte Sicherheitslücke nicht richtig geschlossen hat.

Peinlich ist die Enthüllung für die Post, da der Quellcode laut Eigenaussage mehrfach von externen Code-Testern überprüft worden ist.

Kritische Fragen gefallen lassen muss sich nicht zuletzt die Firma KPMG, die für die Code-Audits zuständig ist. KPMG weigert sich bislang, die Berichte zu veröffentlichen. IT-Expertin Lewis stellt daher die Frage in den Raum, was die Code-Überprüfung von KPMG tauge.

Die gravierende Schwachstelle hat nun auch die Bundeskanzlei alarmiert: Sie wird die Zertifizierungs- und Zulassungsprozesse überprüfen. Zusätzlich Brisant: Der Code wurde bereits von Spezialisten der Cambridge University und der ETH Zürich geprüft, dies auf Anweisung der Bundeskanzlei. Rolf Haenni, IT-Professor der Berner Fachhochschule hat eine Vermutung, warum die IT-Experten der renommierten Universitäten den Fehler nicht gefunden haben: «Wahrscheinlich wurde der Rahmen für die Überprüfung von der Bundeskanzlei zu eng definiert», sagt er gegenüber der «Aargauer Zeitung». Überprüfen lässt sich das nicht, die entsprechenden Dokumente sind geheim.

Technisch Interessierte können die bisherigen Resultate von Lewis und Co. online einsehen. Die Kryptografie-Experten wollen den E-Voting-Code weiter sezieren.

Was sagen die IT-Experten, die den Fehler gefunden haben?

Die IT-Experten Green und Lewis sagen, dass die Schweizer Regierung die Einführung der Internet-Abstimmung aufgrund des Ergebnisses sofort stoppen sollte. Die Implementierung mindestens eines zentralen Sicherheitsmechanismus sei so schlecht erfolgt, dass es jedem erfahrenen Kryptografie-Experten hätte auffallen müssen. Tatsächlich wurde der Fehler beispielsweise auch von einem Forscher der Berner Fachhochschule entdeckt (siehe Punkt 4).

«Die Protokolle sind meiner Meinung nach mit fehlendem Verständnis der Kryptografie implementiert worden, kombiniert mit schlampiger Programmierung», sagt Lewis gegenüber dem Schweizer Online-Magazin Republik. Lewis, eine frühere Ingenieurin für IT-Sicherheit bei Amazon und Ex-Mitarbeiterin des englischen Geheimdiensts GCHQ, prüfte den Code zusammen mit zwei weiteren Kryptografie-Experten während mehreren Wochen.

Wie schlimm ist es wirklich?

Ziemlich schlimm: Denn ausgerechnet das von der Post beworbene Kernstück der neuen E-Voting-Software, die universelle Überprüf­barkeit, ist bzw. war nicht gegeben. Die universelle Verifizierbarkeit beim E-Voting entspricht quasi der Nachzählung von physischen Stimmzetteln bei herkömmlichen Wahlen. Genau diese Funktion, die das Schweizer E-Voting besonders sicher machen soll, hatte also eine Sicherheitslücke.

Diese spezifische Lücke lässt sich rasch korrigieren, aber der Image-Schaden für das für E-Voting im Allgemeinen und die Post im Speziellen ist bereits erheblich. «Selbst wenn diese [Hintertür] geschlossen ist, wirft ihre blosse Existenz ernsthafte Fragen über die Integrität des restlichen Codes auf», sagt Lewis gegenüber Motherboard.

Die zentralen Sicherheitsmechanismen des E-Voting-Systems der Post: individuelle und universelle Überprüfbarkeit
Bei der universellen Verifizierbarkeit können die Wahlbehörden beim Auszählen der Stimmen überprüfen, ob Stimmen in der elektronischen Urne manipuliert wurden. Die universelle Verifizierbarkeit kann mit der Nachzählung von physischen Stimmzetteln verglichen werden.

Bei der individuellen Verifizierbarkeit erhalten die Wähler zusammen mit den Stimmunterlagen Prüfcodes auf Papier. Diese müssen sie bei der Stimmabgabe mit auf dem Bildschirm angezeigten Codes vergleichen. Wenn sie nicht übereinstimmen, liegt eine Unregelmässigkeit vor. Die Wähler können dann stattdessen brieflich oder an der Urne abstimmen.

Wie reagiert der Bund?

Ungewohnt harsch: «Mit diesem Mangel erfüllt das System der Post die gesetzlichen Anforderungen nicht.» In einer Medienmitteilung findet die Bundeskanzlei deutliche Worte:

«Der Mangel betrifft die Umsetzung der universellen Verifizierbarkeit. Diese erlaubt es, anhand von mathematischen Beweisen Manipulationen der Stimmen festzustellen. Zwar erlaubt der Mangel nicht, ins System einzudringen. Die Forscher konnten aber aufzeigen, dass das System keine aussagekräftigen mathematischen Beweise zur Überprüfung von allfälligen Manipulationen erzeugt. Das bedeutet, dass sich allfällige Manipulationen mit dem System der Post nicht feststellen lassen. Damit ist die Verordnung der Bundeskanzlei über die elektronische Stimmabgabe (VEleS) nicht eingehalten. Mit diesem Mangel erfüllt das System der Post somit die gesetzlichen Anforderungen nicht.»
Bundeskanzlei

Besteht die Gefahr, dass kantonale Abstimmungen manipuliert wurden?

Die Post versucht zu beschwichtigen und betont, dass nur das Testsystem für den öffentlichen Hacking-Test davon betroffen ist: «Das aktuell in den Kantonen Thurgau, Neuenburg, Freiburg und Basel-Stadt eingesetzte E-Voting-System ist von dieser Lücke im Quellcode nicht betroffen. Sie betrifft ausschliesslich das dem aktuellen Intrusionstest (Hacking-Test) ausgesetzte System mit universeller Verifizierbarkeit, das noch nie in einer realen Abstimmung eingesetzt worden ist.»

Dies schliesst nicht aus, dass kantonale Wahlen über andere, der Post noch unbekannte Sicherheitslücken manipuliert werden könnten.

Hacker finden Schwachstelle im E-Voting-System des Kanton Genfs

Video: srf

Gibt es noch andere Sicherheitslücken?

Ja. Bei der Post sind seit dem Start des Hacking-Tests Dutzende Meldungen eingegangen. Wie viele davon reale Bedrohungen darstellen, muss sich zeigen. Auch IT-Expertin Lewis hat weitere Lücken gefunden, die weniger kritisch seien, aber den Code insgesamt in ein schlechtes Licht stellten.

Lewis sagt, sie hätte bislang nur einen winzigen Teil des Quellcodes angeschaut. Dieser soll 275'000 Zeilen Java-Code enthalten, der über Hunderte Dateien aufgeteilt ist. Das Risiko, dass er weitere Fehler enthält, ist gross.

Um fair zu sein: Fehler in Software sind normal und die Post veröffentlicht regelmässig gemeldete und bestätigte Lücken. Das Problem: Während gefundene Lücken in der Software von Apple, Microsoft oder Google die Privatsphäre der Nutzer bedrohen, sind Lücken im E-Voting eine potenzielle Gefahr für die Demokratie.

Einige Schweizer Hacker hatten bereits vor dem Start des Intrusionstests begonnen, gefundene Sicherheitslücken in Absprache mit der Post zu veröffentlichen. Die Gruppe setuid(0), ein Team von Sicherheitsforschern und Whitehats, verweist auf ihrer Website suid.ch auf ihre bislang gefundenen Schwachstellen.

Warum kritisieren die E-Voting-Gegner den Hacking-Test?

Wer am öffentlichen Intrusionstest der Post teilnimmt, musste den Verhaltenskodex der Post unterschreiben, sprich sich an die Regeln der Post halten. Diese schreiben vor, was und wie genau gehackt werden darf – oder eben nicht. Tatsächlich ist die Liste der Angriffsmethoden, die von der Post vom Hacking-Test ausgeschossen wurden, ziemlich lang.

«Es ist inakzeptabel, dass das Unternehmen, das vom Betrieb der E-Voting-Infrastruktur profitieren wird, in der Lage ist zu entscheiden, wann IT-Forscher welche Probleme aufdecken dürfen», sagt Lewis. Wie andere E-Voting-Gegner kritisiert sie den Intrusionstest als «eine PR-Farce», die E-Voting legitimieren soll.

Professionelle, staatliche Hacker würden sich nie in der Öffentlichkeit zeigen, geschweige denn registrieren, monieren die E-Voting-Kritiker. Zudem seien solche Nation-State-Hacker auf einem sehr viel höheren Niveau und würden nie an öffentlichen Intrusionstest teilnehmen.

Hinzu kommt die Problematik, dass es für professionelle Hacker wohl lukrativer ist, eine Schwachstelle im E-Voting-System an Kriminelle oder Geheimdienste teuer zu verkaufen, statt sie der Post für ein paar tausend Franken zu melden.

Vor allem Cybermächte wie die USA, Russland oder China könnten das Schweizer E-Voting-System heimlich manipulieren, glauben Kritiker.
Vor allem Cybermächte wie die USA, Russland oder China könnten das Schweizer E-Voting-System heimlich manipulieren, glauben Kritiker.bild: twitter / @diuuk

Die Post hält der Kritik entgegen, der öffentliche Hacking-Test sei nur eine von vielen Massnahmen, das E-Voting-System sicherer zu machen.

Wie geht es nun weiter?

Der Bundesrat will, dass in zwei Dritteln der Kantone bei den eidgenössischen Wahlen im Herbst elektronisch abgestimmt werden kann. Dieses Ziel wird verfehlt werden, da die Kantone wegen Zweifel an der Sicherheit und Kostenbedenken auf die Bremse treten. Kein Kanton will investieren, so lange nicht klar ist, ob die Post vom Bund eine Bewilligung für ihr E-Voting-System erhält.

So wird das E-Voting in der Schweiz funktionieren

Video: srf

Die Bundeskanzlei schreibt: «Der öffentliche Intrusionstest am System der Post dauert noch bis am 24. März. Bis dann wird sich zeigen, ob weitere Mängel zum Vorschein kommen. Bund und Kantone werden die Ergebnisse des Tests auswerten und die Bundeskanzlei wird prüfen, ob weitere Korrekturen am neuen System notwendig sind und ob Anpassungsbedarf am bestehenden System besteht.»

Die Post schreibt, sie werde «die Ergebnisse des Hackertests und der Analyse des Quellcodes in die Weiterentwicklung ihres E-Voting-Systems aufnehmen und auf den Prüfstand stellen.» Das sei der eigentliche Sinn eines öffentlichen Intrusionstests. Bestätigte Schwachstellen würden zeitnah und transparent publiziert.

Die Stellungnahmen zeigen: Das E-Voting ist für den Bund und die Post ein Prestigeprojekt – und es wird (vorerst) ungeachtet der Bedenken vorangetrieben. Die Behörden stützen sich dabei auf eine repräsentativen Erhebung gemäss der eine Mehrheit der Schweizer Bevölkerung E-Voting wünscht.

Ist E-Voting genug sicher?

Sieben eindrückliche Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
109 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
N. Y. P.
12.03.2019 18:47registriert August 2018
Ich glaube kaum, dass die Nachrichtendienste der USA, Russlands, Chinas, Israels etc an diesem Mickey Mouse - Anlass mitmachen, wenn sie die Schwachstellen gefunden haben.

Und sie werden sie finden. Und für sich behalten.

Sie warten bis eine Abstimmung kommt, die von übergeordnetem Interesse ist.

E-Voting NEIN


Bitte, bitte, nitte, bitte, bitte, bitte, stimmen wir endlich ab !
Dann ist dieser Micky Mouse
Kirmes - Anlass endlich beendet.
31293
Melden
Zum Kommentar
avatar
DichterLenz
12.03.2019 18:47registriert Juni 2017
Hmm, also ein unzufriedener bestechlicher Post-Mitarbeiter reicht, wenn ich das richtig verstanden habe?
28071
Melden
Zum Kommentar
avatar
derEchteElch
12.03.2019 18:52registriert Juni 2017
Volksinitiative:
Verbot von digitalen, elektronischen und techn. Abstimmungsstimmungssystemen, welche nicht von Jedermann manuell und ohne Hilfsmittel ausgezählt werden kann.

(Anti E-Voting Initiative)
282104
Melden
Zum Kommentar
109
Zug kollidiert bei Köniz BE mit Auto – Einschränkungen im Bahnverkehr

Am Donnerstagabend ist es bei einem Bahnübergang bei Köniz BE zu einer Kollision eines Zuges mit einem Auto gekommen. Gemäss Blick handelte es sich um einen BLS-Zug.

Zur Story