Die Post verteidigt ihr heftig kritisiertes E-Voting

Während eines Monats prüften über 3000 Hacker in einem öffentlichen Test, wie sicher das E-Voting-System der Post ist. Mitte März entdeckten sie bereits eine kritische Sicherheitslücke.

Die kanadische Kryptologin Sarah Jamie Lewis deckt nun einen weiteren Missstand auf, wie die Initianten der Volksinitiative «Für eine sichere und vertrauenswürdige Demokratie» schreiben.

Laut Lewis können abgegebene Stimmen für ungültig erklärt werden lassen, ohne dass dies zuverlässig bemerkt wird. «Formal würde trotzdem der Beweis erbracht werden, dass keine Manipulation stattgefunden hat. Somit liessen sich unerwünschte Stimmen zum Verschwinden bringen», schreiben die Initianten. Lewis nahm nicht am sogenannten Intrusionstest der Post teil, sondern überprüfte den von der Post offengelegten Quellcode in Eigenregie.

Ihre Befunde machten die Forscher am Montag öffentlich:

Die Initianten des E-Voting-Moratoriums fordern, die elektronische Stimmabgabe so lange zu verbieten, «bis es Systeme gibt, die sicher vor Hacker-Angriffen sind und bei denen das Auszählprozedere der abgegebenen Stimmen für die Bürgerinnen und Bürger nachvollziehbar und transparent ist».

Die Schweizerische Post bestätigt auf Anfrage, dass ein weiterer Hinweis von Forschern zum Quellcode eingegangen ist. «Die Post ist aktuell daran, den Sachverhalt im Detail abzuklären», sagt Sprecher François Furer zu 20 Minuten. Die Korrektur werde mit dem nächsten regulären Release eingespielt und veröffentlicht.

«Das eingereichte Szenario zielt darauf ab, einzelne abgegebene Stimmen ungültig zu machen», so Furer. Er verteidigt das System: «Dies würde aber in jedem Fall bei der Entschlüsselung und Auszählung bemerkt werden, weil das E-Voting-System der Post es grundsätzlich nicht zulässt, ungültige Stimmen abzugeben.» Es könne daher ausgeschlossen werden, dass mit dem Szenario unbemerkt Stimmen verändert oder Wahlen manipuliert werden könnten.

In der Realität sei es sehr schwierig, die Schwachstelle auszunutzen, weil ein Angreifer zahlreiche Schutzmassnahmen ausser Kraft setzen müsse, erklärt Furer weiter. «Der Angreifer bräuchte beispielsweise die Kontrolle über die gesicherte IT-Infrastruktur der Post und müsste zudem Schadsoftware auf dem Gerät eines Wählers installieren.»

Der Intrusionstest zum E-Voting-System der Post endete gestern Sonntag. Die Hacker können noch bis Dienstag um Mitternacht ihre Befunde einreichen. Die Analyse werde einige Tage dauern, sagt Furer, danach werde man weiter informieren.