News

Hacker finden Schwachstelle im elektronischem Wahlsystem der Schweiz

Foto einer Offline-Wahl. (Foto: Shutterstock)

Gleich mehrere Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke im System für Online-Wahlen der Schweizerischen Post gefunden. Damit könnten Angreifer unbemerkt die Stimmabgabe manipulieren.

Forscherteams aus Australien, Norwegen und der Schweiz stießen unabhängig voneinander auf eine schwerwiegende Sicherheitslücke im Quellcode des Systems, das die Schweizerische Post zukünftig für die Durchführung von Online-Wahlen in dem Alpenstaat einsetzen will. Die Lücke soll es einem Angreifer erlauben, eine mit dem System durchgeführte Wahl zu manipulieren, ohne dass dies auffallen würde. Die Schweizerische Post hat die Lücke mittlerweile bestätigt und erklärt, dass die Post bereits seit 2017 von der Schwachstelle wusste. Damals soll das dafür zuständige Software-Unternehmen Syctl um die Entfernung der Lücke gebeten worden. Das ist aber offenbar nicht passiert.

In einem Statement erklärt die Schweizerische Post, dass die Sicherheitslücke nur von Insidern mit Zugang zur Infrastruktur des Anbieters ausgenutzt werden könne. Experten halten das jedoch für wenig tröstlich. „Bei normalen Wahlen gibt es keine Person, die die gesamte Wahl heimlich manipulieren könnte. Aber in dem System, das sie gebaut haben, gibt es eine Gruppe, die das tun könnte“, erklärt beispielsweise der Kryptografie-Experte Matthew Green gegenüber Motherboard. Laut Schweizerischer Post wurde der Fehler mittlerweile behoben.

Online-Wahlen: Kritik am Vorgehen der Schweizerischen Post und der Idee selbst

Am 24. Februar 2019 hat die Schweizerische Post den Quellcode ihres E-Voting-Systems für einen öffentlichen Penetrationstest zugänglich gemacht. Allerdings gab es den Zugang zum Quellcode nur gegen die Versicherung, alle gefundenen Sicherheitslücken erst der Post zu melden und vor einer Veröffentlichung eine Wartefrist von 45 Tagen einzuhalten. Und auch nach dieser Frist sollten Teilnehmer nur kurze Quellcodestellen in ihrem Paper zitieren dürfen. Darüber hinaus sollen laut Nutzungsbedingungen einige gängige Angriffsszenarien gar nicht erlaubt sein. Das bezeichneten einige Sicherheitsforscher als Maulkorb. Vermutlich als Reaktion auf die Vorgaben wurde der Quellcode später dann auf GitHub geleakt.

Außerdem stören sich viele Experten daran, dass der Code kaum dokumentiert sei und es keine Anleitung gebe, wie die einzelnen Software-Komponenten genutzt werden. Brisanterweise kommt die von dem spanischen Unternehmen entwickelte Software auch in anderen Ländern zum Einsatz. So hat die Wahlkommission des australischen Bundesstaates New South Wales bestätigt, dass die jetzt entdeckte Sicherheitslücke auch das dort genutzte iVote-System betreffe. Dennoch hält die Kommission an der Nutzung der Software fest.

Der schweizerische Chaos Computer Club fordert derweil, ganz auf ein elektronisches Wahlverfahren zu verzichten, da Manipulationen hier nie komplett ausgeschlossen werden können. In einem Blogbeitrag wenden sich die Hacker daher an den Bundeskanzler der Schweiz mit der Bitte: „Herr Thurnherr, beenden Sie diese Farce!“

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung