Zum Inhalt springen

E-Voting-System der Post Hacker sollen für Sicherheit sorgen

  • Die Post lässt ab heute während eines Monats ihr E-Voting-System testen. So sollen mögliche Schwachstellen gefunden werden.
  • Bei dem so genannten Intrusions-Test sollen möglichst viele Hacker und Computerspezialisten versuchen, in das Abstimmungs-System einzudringen.
  • Im Vorfeld des Tests kam es zu einer Panne: Der Quellcode der Software wurde von Unbekannten veröffentlicht.

Video
Für die Post ändert die Veröffentlichung des Quellcodes nichts am Test
Aus Tagesschau vom 20.02.2019.
abspielen. Laufzeit 1 Minute 59 Sekunden.

Während eines Monats sollen Hacker aus aller Welt versuchen, das E-Voting-System der schweizerischen Post zu knacken. Dafür konnten sich Interessierte online registrieren und erhielten so Zugang zum Programmcode. Dies ist nötig, um das System auf Herz und Nieren testen zu können.

Nun ist der Quellcode vor einigen Tagen jedoch von Unbekannten im Internet veröffentlicht worden – jeder hat jetzt also Zugang zum Programmcode, nicht mehr nur die registrierten Hacker.

Wer hat den Code veröffentlicht?

«Es ist möglich, dass diese Veröffentlichung aus Unmut über die Post erfolgt ist», sagt dazu SRF-Digitalredaktorin Meline Sieber. So war der Post im Vorfeld des Tests vorgeworfen worden, die Informationen und die Dokumentationen zum Code seien zu dürftig.

Schon kurz nach Veröffentlichung des Codes wurde von Spezialisten moniert, die Umsetzung der Verschlüsselungs-Algorithmen im E-Voting-System der Post sei mangelhaft. Für Sieber ist es allerdings viel zu früh, jetzt schon ein Urteil über den Code abzugeben. Dieser müsse nun zuerst ausgiebig getestet werden.

Audio
Hacker testen E-Voting System auf Herz und Nieren
aus SRF 4 News aktuell vom 25.02.2019.
abspielen. Laufzeit 4 Minuten 25 Sekunden.

Test dauert vier Wochen

Das Interesse an der Teilnahme am Intrusions-Test ist gross: Mehr als 2700 Interessierte aus der ganzen Welt haben sich angemeldet, ein Viertel davon aus der Schweiz. Seit heute Mittag 12:00 Uhr versuchen sie nun, Schwächen des E-Voting Systems ausfindig zu machen, Stimmen zu manipulieren oder das Wahlgeheimnis zu brechen, sagt Oliver Spycher, stellvertretender Projektleiter für Vote électronique bei der Bundeskanzlei.

Laut der Bundeskanzlei handelt es sich beim System der Post um das erste schweizerische System, das vollständig verifizierbar ist. Das bedeute, dass jeder Wähler eine Bestätigung erhält, dass seine Stimme korrekt abgelegt wurde.

Der Intrusions-Test des E-Voting-Systems der Post dauert einen ganzen Monat. Erst danach werden Schlussfolgerungen gezogen.

Können Abstimmungen manipuliert werden?

Gemäss den rechtlichen Anforderungen muss das E-Voting-System vor dem Ersteinsatz zertifiziert und der Quellcode offengelegt werden. Zusätzlich hätten Bund und Kantone entschieden, das System vor dem Ersteinsatz einem öffentlichen Intrusions-Test zu unterziehen, so die Bundeskanzlei.

Die weltweite Hacker-Community soll also versuchen, Stimmen zu manipulieren oder abgegebene Stimmen zu lesen. Zum Test gehört auch der Versuch, Sicherheitsvorkehrungen ausser Kraft zu setzen oder zu umgehen, welche die abgegebenen Stimmen und sicherheitsrelevante Daten schützen.

Belohnung für erfolgreichen Angriff

Box aufklappen Box zuklappen

Die Anforderungen an ein E-Voting-System ähneln der Absicht, die Quadratur des Zirkels zu erreichen. Ein elektronisches Abstimmungssystem muss sicherstellen, dass jemand wahlberechtigt ist, jeder nur (s)eine Stimme abgibt, alle Stimmen richtig gezählt werden – und das alles unter Wahrung des Wahlgeheimnisses.

Sollte also einem Hacker im laufenden Intrusions-Test ein Angriff auf das E-Voting-System gelingen, verpflichten sich die Teilnehmer, die Schwäche in der Software zu melden. Dafür winkt ihnen eine Belohnung:

100 Franken gibt es etwa für einen einfachen Vorschlag zur Optimierung. Wer gar das Stimmgeheimnis knacken kann, wird mit 10'000 Franken belohnt.

Die maximale Prämie von 50'000 Franken winkt dem, der gar ein Abstimmungsresultat verfälschen könnte, ohne dass dies vom E-Voting System bemerkt wird.

Test kostet mindestens 250'000 Franken

Der Test dauert bis am 24. März. Das auf Intrusions-Tests spezialisierte Unternehmen SCRT registriert im Auftrag von Bund und Kantonen die Teilnehmenden. SCRT bewertet auch die Rückmeldungen und nimmt sobald als möglich dazu Stellung.

Bund und Kantone bezahlen 250'000 Franken an den Intrusionstest. Davon gehen 150'000 Franken als Beitrag an die Gesamtkosten an die Post. Die Aufwände von SCRT werden mit 100'000 Franken abgegolten. Zudem sollen besonders wertvolle Meldungen von Sicherheitslücken finanziell belohnt werden.

Gefährdet E-Voting die Demokratie?

Box aufklappen Box zuklappen

Die Einführung von E-Voting ist grundsätzlich umstritten, denn schon nur der Verdacht einer möglichen Manipulation könnte die demokratische Legitimation einer Abstimmung oder Wahl gefährden.

So hat der Kanton Genf den Betrieb eines E-Voting-Systems kürzlich eingestellt, nachdem Hacker des «Chaos Computer Clubs» gezeigt hatten, wie der Datenverkehr von Abstimmenden auf falsche Server umgeleitet werden kann.

Inzwischen hat auch ein überparteiliches Komitee die Lancierung einer Volksinitiative für ein Moratorium des E-Votings angekündigt, weil dies die Demokratie gefährde.

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel