- Die Post lässt ab heute während eines Monats ihr E-Voting-System testen. So sollen mögliche Schwachstellen gefunden werden.
- Bei dem so genannten Intrusions-Test sollen möglichst viele Hacker und Computerspezialisten versuchen, in das Abstimmungs-System einzudringen.
- Im Vorfeld des Tests kam es zu einer Panne: Der Quellcode der Software wurde von Unbekannten veröffentlicht.
Während eines Monats sollen Hacker aus aller Welt versuchen, das E-Voting-System der schweizerischen Post zu knacken. Dafür konnten sich Interessierte online registrieren und erhielten so Zugang zum Programmcode. Dies ist nötig, um das System auf Herz und Nieren testen zu können.
Nun ist der Quellcode vor einigen Tagen jedoch von Unbekannten im Internet veröffentlicht worden – jeder hat jetzt also Zugang zum Programmcode, nicht mehr nur die registrierten Hacker.
Wer hat den Code veröffentlicht?
«Es ist möglich, dass diese Veröffentlichung aus Unmut über die Post erfolgt ist», sagt dazu SRF-Digitalredaktorin Meline Sieber. So war der Post im Vorfeld des Tests vorgeworfen worden, die Informationen und die Dokumentationen zum Code seien zu dürftig.
Schon kurz nach Veröffentlichung des Codes wurde von Spezialisten moniert, die Umsetzung der Verschlüsselungs-Algorithmen im E-Voting-System der Post sei mangelhaft. Für Sieber ist es allerdings viel zu früh, jetzt schon ein Urteil über den Code abzugeben. Dieser müsse nun zuerst ausgiebig getestet werden.
Test dauert vier Wochen
Das Interesse an der Teilnahme am Intrusions-Test ist gross: Mehr als 2700 Interessierte aus der ganzen Welt haben sich angemeldet, ein Viertel davon aus der Schweiz. Seit heute Mittag 12:00 Uhr versuchen sie nun, Schwächen des E-Voting Systems ausfindig zu machen, Stimmen zu manipulieren oder das Wahlgeheimnis zu brechen, sagt Oliver Spycher, stellvertretender Projektleiter für Vote électronique bei der Bundeskanzlei.
Laut der Bundeskanzlei handelt es sich beim System der Post um das erste schweizerische System, das vollständig verifizierbar ist. Das bedeute, dass jeder Wähler eine Bestätigung erhält, dass seine Stimme korrekt abgelegt wurde.
Der Intrusions-Test des E-Voting-Systems der Post dauert einen ganzen Monat. Erst danach werden Schlussfolgerungen gezogen.
Können Abstimmungen manipuliert werden?
Gemäss den rechtlichen Anforderungen muss das E-Voting-System vor dem Ersteinsatz zertifiziert und der Quellcode offengelegt werden. Zusätzlich hätten Bund und Kantone entschieden, das System vor dem Ersteinsatz einem öffentlichen Intrusions-Test zu unterziehen, so die Bundeskanzlei.
Die weltweite Hacker-Community soll also versuchen, Stimmen zu manipulieren oder abgegebene Stimmen zu lesen. Zum Test gehört auch der Versuch, Sicherheitsvorkehrungen ausser Kraft zu setzen oder zu umgehen, welche die abgegebenen Stimmen und sicherheitsrelevante Daten schützen.
Test kostet mindestens 250'000 Franken
Der Test dauert bis am 24. März. Das auf Intrusions-Tests spezialisierte Unternehmen SCRT registriert im Auftrag von Bund und Kantonen die Teilnehmenden. SCRT bewertet auch die Rückmeldungen und nimmt sobald als möglich dazu Stellung.
Bund und Kantone bezahlen 250'000 Franken an den Intrusionstest. Davon gehen 150'000 Franken als Beitrag an die Gesamtkosten an die Post. Die Aufwände von SCRT werden mit 100'000 Franken abgegolten. Zudem sollen besonders wertvolle Meldungen von Sicherheitslücken finanziell belohnt werden.
Die Einführung von E-Voting ist grundsätzlich umstritten, denn schon nur der Verdacht einer möglichen Manipulation könnte die demokratische Legitimation einer Abstimmung oder Wahl gefährden.
So hat der Kanton Genf den Betrieb eines E-Voting-Systems kürzlich eingestellt, nachdem Hacker des «Chaos Computer Clubs» gezeigt hatten, wie der Datenverkehr von Abstimmenden auf falsche Server umgeleitet werden kann.
Inzwischen hat auch ein überparteiliches Komitee die Lancierung einer Volksinitiative für ein Moratorium des E-Votings angekündigt, weil dies die Demokratie gefährde.
