Ihr Browser ist veraltet. Bitte aktualisieren Sie Ihren Browser auf die neueste Version, oder wechseln Sie auf einen anderen Browser wie ChromeSafariFirefox oder Edge um Sicherheitslücken zu vermeiden und eine bestmögliche Performance zu gewährleisten.

Zum Hauptinhalt springen
Wirtschaft
Abonnieren

Experten finden Lücke im E-Voting-System der Post

Eine Sicherheitslücke hätte ermöglicht, Abstimmungsergebnisse zu manipulieren, ohne dass dies entdeckt worden wäre.

Fehler im Quellcode aufgedeckt: Ein Blick in den Innenbereich der Schalterhalle der Hauptpost Luzern. (Archiv)
Fehler im Quellcode aufgedeckt: Ein Blick in den Innenbereich der Schalterhalle der Hauptpost Luzern. (Archiv)
Urs Flüeler, Keystone
Jetzt abonnieren und von der Vorlesefunktion profitieren.
Abo abschliessenLogin
BotTalk

Internationale IT-Experten haben beim Quellcode des E-Voting-Systems der Post einen kritischen Fehler entdeckt. Der Fehler betrifft die universelle Verifizierbarkeit. Die Post hat ihren Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren.

Die Korrektur sei bereits erfolgt, teilte die Post am Dienstag mit. Der angepasste Quellcode werde mit dem nächsten regulären Release eingespielt.

Die Bundeskanzlei ihrerseits teilte am Dienstag in einem Communiqué mit, dass ein erheblicher Mangel entdeckt worden sei. Vom Fehler nicht betroffen sei das System der Schweizerischen Post, das in vier Kantonen bereits im Einsatz stehe.

Lücke im Quellcode

Wie gravierend der Fehler ist, darüber gehen die Meinungen offensichtlich auseinander. Der Chaos Computer Club Schweiz warnte am Dienstag davor, dass sowohl Betreiber als auch Entwickler des E-Voting-Systems Wahlen und Abstimmungen aufgrund des fehlerhaften Post-Systems unerkennbar fälschen könnten: «Die Demokratie wird so zum Spielball für Manipulationen und Kriegsspiele. Oder sie wird einfach käuflich.»

Laut Chaos Computer Club deuten die Fehler im Quellcode der Post auf naive Implementierungen von Programmierern hin, die es nicht gewohnt seien, sicherheitsrelevante Codes zu schreiben.

Ein Post-Sprecher erklärte auf Anfrage der Nachrichtenagentur Keystone-SDA, dass Scytl Weltmarktführer sei und seit rund 20 Jahren Erfahrung in dem Bereich habe. Die von Scytl patentierten kryptografischen Lösungen für sicheres, geheimes und trotzdem mathematisch nachvollziehbares Abstimmen seien in der Branche führend.

Laut der Post konnten IT-Experten aufzeigen, dass die Lücke im Quellcode dazu genutzt werden könnte, um Stimmen zu manipulieren, ohne dass dies nachgewiesen werden könnte. Der Fehler alleine ermögliche es aber nicht, ins E-Voting-System einzudringen, hält die Post fest.

Zahlreiche Schutzmassnahmen

Um die Schwachstelle auszunützen, müssten die Angreifer zahlreiche Schutzmassnahmen ausser Kraft setzen. Sie bräuchten beispielsweise Kontrolle über die gesicherte IT-Infrastruktur der Post sowie die Hilfe von mehreren Insidern mit Spezialwissen, heisst es bei der Post

Der Fehler im Quellcode sei bereits 2017 identifiziert worden, schreibt die Post. Die Korrektur sei vom Technologiepartner Scytl jedoch nicht vollständig umgesetzt worden, was die Post bedauere.

Die Bundeskanzlei ihrerseits bestätigte, dass der Mangel es zwar nicht erlaube, ins System einzudringen, die Forscher aber aufzeigen konnten, dass das System keine aussagekräftigen mathematischen Beweise zur Überprüfung von allfälligen Manipulationen erzeuge.

Keinen Anspruch auf Belohnung

Seit gut zwei Wochen läuft der von Bund und Kantonen angeordnete öffentliche Intrusionstest des E-Voting-Systems der Post. Über 3000 Hacker rund um die Welt testen bis zum 24. März das System. Wer es geknackt hätte, hätte ein Preisgeld von bis zu 50'000 Franken erhalten. Entdeckt wurde die Lücke jedoch von Experten um die kanadische Sicherheits­forscherin Sarah Jamie Lewis. Sie sind jedoch nicht als Tester registriert und können deshalb keine Prämien beanspruchen.

«Wir glauben, die Leute haben ein Recht auf sichere Abstimmungen mit Systemen, die transparent sind und überprüft und verstanden werden können. Wir tun das nicht wegen des Geldes», sagt Lewis gegenüber dem digitalen Magazin «Republik».

Hier wird Inhalt angezeigt, der zusätzliche Cookies setzt.

An dieser Stelle finden Sie einen ergänzenden externen Inhalt. Falls Sie damit einverstanden sind, dass Cookies von externen Anbietern gesetzt und dadurch personenbezogene Daten an externe Anbieter übermittelt werden, können Sie alle Cookies zulassen und externe Inhalte direkt anzeigen.

Und noch einen Punkt spricht Lewis an: Es ginge im Zusammenhang mit der entdeckten Sicherheitslücke nicht darum, dass irgendein Hacker das System manipulieren könne. Die Schwere der Lücke liege darin, dass die Post selbst Wahlfälschung hätte betreiben und gleichzeitig beweisen können, dass sie genau dies nicht getan hätte.

Hier wird Inhalt angezeigt, der zusätzliche Cookies setzt.

An dieser Stelle finden Sie einen ergänzenden externen Inhalt. Falls Sie damit einverstanden sind, dass Cookies von externen Anbietern gesetzt und dadurch personenbezogene Daten an externe Anbieter übermittelt werden, können Sie alle Cookies zulassen und externe Inhalte direkt anzeigen.

Weitere Fehlermeldungen eingegangen

Wie der Post-Sprecher auf Anfrage mitteilte, sind im laufenden Intrusionstest bisher 132 Meldungen eingegangen. Rund 20 befänden sich derzeit in der Analyse. Acht davon konnten als unkritische Optimierungsmöglichkeiten bestätigt werden.

Bund und Kantone werden die Ergebnisse des Tests auswerten und einen Bericht veröffentlichen. Die Bundeskanzlei wird nach eigenen Angaben prüfen, ob weitere Korrekturen am neuen System notwendig sind und ob Anpassungsbedarf am bestehenden System besteht.

SDA/nag

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch

Jetzt aktuell

Mehr

Die Redaktion empfiehlt

Mehr

Mehr aus dieser Kategorie

Mehr

Mehr zum Thema