Eine Auslandschweizerin, stimmberechtigt im Kanton Luzern, will beim eidgenössischen Urnengang vom 25. November elektronisch abstimmen. Dafür benutzt sie das E-Voting-System des Kantons Genf, der dies anderen Kantonen zur Verfügung stellt.
Sobald sie die Adresse evote-ch.ch/lu in ihren Webbrowser eingegeben hat, wird sie auf eine gefälschte Seite umgeleitet. Eine Seite, die Hacker präpariert haben – um an die Stimmabsichten der Frau zu gelangen, oder noch schlimmer: um ihre Stimme zu manipulieren.
Das Perfide: Die Frau bemerkt den Angriff nicht. Ihr Browser zeigt ihr an, dass es sich um eine authentische Website mit gültigem Sicherheitszertifikat handelt – das kleine Schloss oben links leuchtet grün.
Schwachstelle innert weniger Minuten entdeckt
Das Szenario ist fiktiv, könnte aber in dieser oder ähnlicher Form bereits bei der aktuellen Abstimmung vom 25. November Realität werden. Das sagt Volker Birk vom Chaos Computer Club Schweiz. Der Hacker hat die Schwachstelle am Mittwochabend entdeckt.
Mit modernen Sicherheitsstandards wäre ein solches Manöver nicht so leicht durchführbar.
«Das Genfer System verwendet ein unsicheres Verfahren beim Schützen der eigenen Web-Adresse.» Wären bestimmte moderne Sicherheitsstandards richtig umgesetzt, wäre ein derartiges Täuschungsmanöver nicht mehr so leicht durchführbar. «Die Genfer unterlassen alle modernen Mittel, um solche Angriffe, wie wir sie aufzeigen, zumindest zu erschweren.»
Um die Schwachstelle zu finden, benötigte Birk nur wenige Minuten. Denn das Problem sei eigentlich seit Jahrzehnten bekannt, eine Lösung grundsätzlich verfügbar. Birk kann deshalb nicht verstehen, wieso der Kanton Genf nicht versucht hat, die Adressfälschung zu unterbinden.
- Angreifer manipulieren in einem ersten Schritt sogenannte Nameserver. Zum Beispiel solche von lokalen Providern, die ungenügend geschützt sind. Nameserver sind Knotenpunkte im Internet, die Anfragen von Webbrowsern zu den richtigen – oder eben falschen – Servern leiten. Sie übersetzen eine Domain wie evote-ch.ch zu einer IP-Adresse. Diese braucht es letztendlich, um mit einem anderen Computer zu kommunizieren.
- Da die Adresse evote-ch.ch nicht durch ein Verfahren namens «DNSSEC» (Domain Name System Security Extensions) geschützt ist, lässt sich diese Übersetzung einfach manipulieren. Die Hacker übertölpeln die Nameserver dazu, nicht die Original-IP von evote-ch.ch auszuliefern, sondern die zu ihrem eigenen Server – zu ihrer gefälschten Seite. Davon betroffen sind potenziell alle Stimmbürger, die über den angegriffenen Provider Internet beziehen.
- Gibt nun ein Nutzer die Adresse evote-ch.ch in den Browser ein (ohne vorangestelltes https://), landet seine Anfrage direkt bei den Hackern statt beim Kanton. Der Hacker-Server leitet den Browser des Stimmbürgers augenblicklich auf https://evote-net.ch um. Diese URL ist kaum unterscheidbar von https://evote-ch.ch – und scheinbar legitim, denn sie hat ein gültiges Sicherheitszertifikat. Das bekannte und vertrauenswürdige Schloss-Symbol erscheint.
- Die Angreifer sind nun «Man in the Middle» – sie sitzen in der Leitung zwischen Stimmbürger und Kanton und leiten jeweils Anfragen und Antworten hin- und her. Sie können dabei mitlesen, was der Bürger abstimmt oder wen er wählt. Sie können Anfragen an den Server des Kantons aber auch gezielt manipulieren, zum Beispiel aus einem «Ja» ein «Nein» machen. Dazu müssen sie jedoch den Stimmbürger übertölpeln und ihn zu Aktionen bewegen, die das E-Voting-Protokoll nicht vorsieht – wie beim Phishing, das bekanntlich zu den erfolgreichsten Angriffsmethoden im Internet zählt.
Der Kanton Genf, der das E-Voting-System in Eigenregie entwickelt hat, lässt schriftlich verlauten, dass das Problem seit längerem bekannt sei – und auch nicht ignoriert werde. Seit längerem bestünden gewisse Gegenmassnahmen.
Ausserdem habe man bisher keine Anomalien bei der Durchführung eines Abstimmungsprozesses festgestellt. Das System werde so überwacht, dass man bemerken würde, wenn zu viele Wähler auf eine bösartige Website umgeleitet würden.
Ein leichtes Einfallstor?
Eric Dubuis ist Professor für Informatik an der Berner Fachhochschule und Leiter des Research Institute for Security in the Information Society, das sich mit E-Voting auseinandersetzt. Dubuis bestätigt gegenüber SRF die Angriffsmöglichkeit, die der Chaos Computer Club demonstriert hat. «Eine Attacke auf die Privatsphäre – das Ausspionieren der Stimmen – ist relativ leicht durchführbar, sobald die Hacker den Stimmbürger umgeleitet haben.»
Schwieriger werde es beim Manipulieren von Stimmen. Um dies zu unterbinden, würden Verifikationscodes eingesetzt, die der Stimmbürger jeweils abgleichen müsse. Diese gehören zu den Gegenmassnahmen, die der Kanton Genf in seiner Stellungnahme erwähnt. Dubuis räumt aber ein, dass es wahrscheinlich auch Bürger gebe, die diesen Schritt ignorierten. Und: Mit psychologischen Tricks könnten die Hacker die Benutzer auch dazu verführen, Dinge zu tun, die sie nicht sollten. Dann stünde der Stimmmanipulation Tür und Tor offen.
«Beim E-Voting der heutigen Form ist man auf die digitale Mündigkeit des Stimmbürgers angewiesen», fasst Dubuis zusammen. Er glaubt aber nicht, dass für die laufenden Abstimmungen eine reelle Gefahr besteht. Er kann sich keine Gruppierung vorstellen, die, ausser zu Demonstrationszwecken, das System hacken wollte. Klar ist für ihn: «Die Gesellschaft – und nicht Sicherheitsforscher wie ich – muss abwägen, ob das Risiko tragbar ist oder nicht.»
Volker Birk vom Chaos Computer Club hat seine Meinung gemacht: «Die Vertrauensfrage kann man nicht an den Stimmbürger auslagern, nur weil sie technisch nicht oder nur schlecht lösbar ist.»
Man sollte alle E-Voting-Projekte aufgeben.
Verschiedene Beispiele aus dem Ausland zeigten, dass gerade staatliche Akteure ein Interesse und die Mittel hätten, elektronische Wahlen zu beeinflussen. Die Snowden-Dokumente zum Beispiel zeigten, dass die NSA sogar eine Absicht dazu geäussert hätten. Der Chaos Computer Club plädiere deswegen für die Aufgabe aller E-Voting-Projekte.
