Post erntet massive Kritik für E-Voting-Hackertest

Ein Zähler auf der Website der Post zählt die Stunden, Minuten und Sekunden rückwärts, bis der «öffentliche Hackertest» losgeht. Bei dem sogenannten Public Intrusion Test, kurz PIT, sollen IT-Spezialisten das E-Voting-System mit Angriffen auf den Prüfstand stellen. Dazu hat die Post den Code und eine Dokumentation sowie kryptografische Protokolle zur Verfügung gestellt. Die Software ist komplex. Der Test soll ab 25. Februar bis und mit 24. März laufen. In dem Zeitraum wird eine eidgenössische Abstimmung simuliert. Hacker sollen versuchen, die E-Stimmabgabe so zu manipulieren, dass die Betreiber nichts mitbekommen. Wer dies schafft, soll im Rahmen eines sogenannten Bug-Bounty-Programms bis zu 50'000 Franken erhalten.

Der Download für den PIT ist an Bedingungen geknüpft. Dabei ist definiert, welche Angriffe erlaubt und welche nicht erlaubt sind. Das stösst Umberto Annino, Präsident der Information Security Society Switzerland (ISSS), sauer auf. «Angreifer dürfen nur legale Mittel nutzen. Nur schon aus diesem Grund ist das Ergebnis des Tests ein Puzzleteil in einem grösseren Bild, aber mehr nicht», erklärt er auf Inside-it.ch. Jean Christoph Schwaab, ehemaliger SP-Nationalrat (Waadt) und Mitinitiant des E-Voting-Moratoriums, bezeichnete den PIT im Vorfeld gar als «Farce». Inzwischen ist der E-Voting-Code auf einer externen Plattform aufgetaucht. Er wurde dort unter dem Pseudonym «Fickdiepost» veröffentlicht – ohne Bedingungen. Damit war auch das internationale Interesse geweckt.

«Kryptoexperten zerpflücken den Code», schrieb der Chaos Computer Club Schweiz in einer Mitteilung. So äusserte sich etwa Matthew Green, Informatikprofessor an der Johns Hopkins University, auf Twitter: «Ich liebe komplizierte Kryptografie, aber das macht sogar mir Angst.» Er wies auch auf Schwachstellen hin, die das System seiner Meinung nach hat. Für ihn ist ein Bug-Bounty-Programm nicht das «richtige Werkzeug, um etwas so Komplexes und Fragiles zu untersuchen».

In einem ausführlichen Blogeintrag äusserte sich die Post am 18. Februar zu den Meldungen: «Jede und jeder kann den Quellcode herunterladen, analysieren und wissenschaftlich damit arbeiten. Eine Geheimhaltungspflicht gibt es nicht.» Entdeckte Schwachstellen müssten aber zuerst der Post gemeldet werden. Die Post habe zudem die Beobachtung von Green analysiert und komme zum Schluss, dass es sich dabei nicht um eine Schwachstelle handle.

Der Public Intrusion Test der Post werde wie geplant durchgeführt, bestätigte die Post gegenüber Netzwoche.ch. Im Vorfeld seien bereits 30 Hinweise zum Quellcode bei der Post eingereicht worden. Gegner des E-Voting wollen dagegen in den nächsten Wochen 1000 Personen mobilisieren, die je fünf Unterschriften sammeln. Damit wollen sie die Volksinitiative «Für eine sichere und vertrauenswürdige Demokratie (E-Voting-Moratorium)» starten.