Kritischer Fehler beim Quellcode des Post-E-Voting-Systems entdeckt


Roman Spirig
Schweiz / 12.03.19 12:58

Internationale IT-Experten haben beim Quellcode des neuen E-Voting-Systems der Post einen kritischen Fehler entdeckt. Der Fehler betrifft die universelle Verifizierbarkeit. Mit diesem Mangel würde die Post die gesetzlichen Anforderungen nicht erfüllen.

Kritischer Fehler beim Quellcode des Post-E-Voting-Systems entdeckt  (Foto: KEYSTONE / ALEXANDRA WEY)
Kritischer Fehler beim Quellcode des Post-E-Voting-Systems entdeckt (Foto: KEYSTONE / ALEXANDRA WEY)

Die Post habe ihren spanischen Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren. Die Korrektur sei bereits erfolgt, teilte die Post am Dienstag mit. Der angepasste Quellcode werde mit dem nächsten regulären Release eingespielt.

Wie gravierend der Fehler ist, darüber gehen die Meinungen offensichtlich auseinander. Der Chaos Computer Club Schweiz warnte am Dienstag davor, dass sowohl Betreiber als auch Entwickler des E-Voting-Systems Wahlen und Abstimmungen aufgrund des fehlerhaften Post-Systems unerkennbar fälschen könnten: "Die Demokratie wird so zum Spielball für Manipulationen und Kriegsspiele. Oder sie wird einfach käuflich."

Laut Chaos Computer Club deuten die Fehler im Quellcode der Post auf "naive Implementierungen von Programmierern" hin, die es nicht gewohnt seien, sicherheitsrelevante Code zu schreiben.

Ein Post-Sprecher erklärte auf Anfrage der Nachrichtenagentur Keystone-SDA, dass Scytl seit rund 20 Jahren Erfahrung in dem Bereich habe. Die von Scytl patentierten kryptografischen Lösungen für sicheres, geheimes und trotzdem mathematisch nachvollziehbares Abstimmen seien in der Branche führend.

Laut der Post konnten IT-Experten aufzeigen, dass die Lücke im Quellcode dazu genutzt werden könnte, um Stimmen zu manipulieren, ohne dass dies nachgewiesen werden könnte. Der Fehler alleine ermögliche es aber nicht, ins E-Voting-System einzudringen, hält die Post fest.

Um die Schwachstelle auszunutzen, müssten die Angreifer zahlreiche Schutzmassnahmen ausser Kraft setzen. Sie bräuchten beispielsweise Kontrolle über die gesicherte IT-Infrastruktur der Post sowie die Hilfe von mehreren Insidern mit Spezialwissen, heisst es bei der Post

Es erstaunt, dass der Fehler im Quellcode laut Post-Angeben bereits 2017 identifiziert worden ist. Die Korrektur sei vom Technologiepartner Scytl jedoch nicht vollständig umgesetzt worden, was man bedauere, schreibt die Post.

Die Bundeskanzlei ihrerseits bestätigte, dass der Mangel es zwar nicht erlaube, ins System einzudringen. Die Forscher aber aufzeigen konnten, dass das System keine aussagekräftigen mathematischen Beweise zur Überprüfung von allfälligen Manipulationen erzeuge.

Das bedeute, dass sich allfällige Manipulationen mit dem System der Post nicht feststellen liessen. Damit sei die Verordnung der Bundeskanzlei über die elektronische Stimmabgabe nicht eingehalten. "Mit diesem Mangel erfüllt das System der Post somit die gesetzlichen Anforderungen nicht", schreibt die Bundeskanzlei in einem Communiqué.

Der festgestellte Mangel betrifft nach Angaben von Bundeskanzlei und Post nur das neu entwickelte E-Voting-System der Post. Das bestehende und bereits eingesetzte System sei nicht universell verifizierbar und daher von diesem Mangel nicht betroffen. Derzeit bieten zehn Kantone einem Teil ihrer Stimmberechtigten die elektronische Stimmabgabe an, vier davon mit dem System der Post.

Der entdeckte Fehler bei E-Voting-System der Post ist Wasser auf die Mühlen der Initianten der Initiative für ein E-Voting-Moratorium. Nachdem die Bundeskanzlei am Dienstag grünes Licht für die Initiative gegeben hat, soll mit der Unterschriftensammlung am 16. März gestartet werden.

Die jüngsten Enthüllungen hätten die Glaubwürdigkeit des E-Voting-Systems der Post endgültig und irreversibel zerstört, heisst es in einer Mitteilung des Initiativkomitees vom Dienstag. Gefordert wird, das System "mit schnellstmöglicher Wirkung zur weiteren Nutzung zu verbieten". Keine Steuergelder sollten mehr an "ein unsicheres, manipulieranfälliges E-Voting verschleudert werden".

Seit gut zwei Wochen läuft der vom Bund und Kantonen angeordnete öffentliche Intrusionstest des E-Voting-Systems der Post. Über 3000 Hacker rund um die Welt testen bis zum 24. März das System.

Wie der Post-Sprecher auf Anfrage mitteilte, sind im laufenden Intrusionstest bisher 132 Meldungen eingegangen. Rund 20 befänden sich derzeit in der Analyse. Acht davon konnten als unkritische Optimierungsmöglichkeiten bestätigt werden.

Bund und Kantone werden die Ergebnisse des Tests auswerten und eine Bericht veröffentlichen. Die Bundeskanzlei wird nach eigenen Angaben prüfen, ob weitere Korrekturen am neuen System notwendig sind und ob Anpassungsbedarf am bestehenden System besteht.

(sda)


Anzeige
Anzeige

Das könnte Sie auch interessieren

Kantonsspital Uri steigert Gewinn
Regional

Kantonsspital Uri steigert Gewinn

Das Kantonsspital Uri hat 2018 einen Gewinn in der Höhe von 1,5 Millionen Franken erwirtschaftet. Im vergangenen Jahr waren es noch 164'000 Franken. Noch nie behandelte das Spital so viele stationäre Fälle wie im vergangenen Jahr.

Facebook: Künstliche Intelligenz erkannte Christchurch-Terror-Video nicht
International

Facebook: Künstliche Intelligenz erkannte Christchurch-Terror-Video nicht

Facebooks Software auf Basis künstlicher Intelligenz, die in Livestreams auf der Plattform unter anderem Gewalt erkennen soll, hat beim Video des Massakers von Christchurch nicht reagiert.

Luzerner Regierung bewilligt Hochwasserschutzprojekt für Schoosbach
Regional

Luzerner Regierung bewilligt Hochwasserschutzprojekt für Schoosbach

Der Luzerner Regierungsrat hat ein Hochwasserschutz- und ein Revitalisierungsprojekt für den Schoosbach in Emmen bewilligt. Die Kosten belaufen sich auf knapp 400'000 Franken, die Gemeinde beteiligt sich mit 160'000 Franken.

News aus
Wirtschaft

News aus "Krypto-Valley" Zug: Bitcoin Suisse erleidet Umsatz- und Gewinneinbussen, verdoppelt aber Personal

Bitcoin Suisse hat gemäss noch ungeprüften Zahlen im Geschäftsjahr 2018 weniger Umsatz und Gewinn erzielt. Der Zuger Krypto-Händler konnte sich aber trotz den Kurseinbrüchen an den Kryptomärkten gut halten und verdoppelte zudem den Personalbestand.