News

Hacker finden Schwachstelle im elektronischem Wahlsystem der Schweiz

Foto einer Offline-Wahl. (Foto: Shutterstock)

Gleich mehrere Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke im System für Online-Wahlen der Schweizerischen Post gefunden. Damit könnten Angreifer unbemerkt die Stimmabgabe manipulieren.

Forscherteams aus Australien, Norwegen und der Schweiz stießen unabhängig voneinander auf eine schwerwiegende Sicherheitslücke im Quellcode des Systems, das die Schweizerische Post zukünftig für die Durchführung von Online-Wahlen in dem Alpenstaat einsetzen will. Die Lücke soll es einem Angreifer erlauben, eine mit dem System durchgeführte Wahl zu manipulieren, ohne dass dies auffallen würde. Die Schweizerische Post hat die Lücke mittlerweile bestätigt und erklärt, dass die Post bereits seit 2017 von der Schwachstelle wusste. Damals soll das dafür zuständige Software-Unternehmen Syctl um die Entfernung der Lücke gebeten worden. Das ist aber offenbar nicht passiert.

In einem Statement erklärt die Schweizerische Post, dass die Sicherheitslücke nur von Insidern mit Zugang zur Infrastruktur des Anbieters ausgenutzt werden könne. Experten halten das jedoch für wenig tröstlich. „Bei normalen Wahlen gibt es keine Person, die die gesamte Wahl heimlich manipulieren könnte. Aber in dem System, das sie gebaut haben, gibt es eine Gruppe, die das tun könnte“, erklärt beispielsweise der Kryptografie-Experte Matthew Green gegenüber Motherboard. Laut Schweizerischer Post wurde der Fehler mittlerweile behoben.

Online-Wahlen: Kritik am Vorgehen der Schweizerischen Post und der Idee selbst

Am 24. Februar 2019 hat die Schweizerische Post den Quellcode ihres E-Voting-Systems für einen öffentlichen Penetrationstest zugänglich gemacht. Allerdings gab es den Zugang zum Quellcode nur gegen die Versicherung, alle gefundenen Sicherheitslücken erst der Post zu melden und vor einer Veröffentlichung eine Wartefrist von 45 Tagen einzuhalten. Und auch nach dieser Frist sollten Teilnehmer nur kurze Quellcodestellen in ihrem Paper zitieren dürfen. Darüber hinaus sollen laut Nutzungsbedingungen einige gängige Angriffsszenarien gar nicht erlaubt sein. Das bezeichneten einige Sicherheitsforscher als Maulkorb. Vermutlich als Reaktion auf die Vorgaben wurde der Quellcode später dann auf GitHub geleakt.

Außerdem stören sich viele Experten daran, dass der Code kaum dokumentiert sei und es keine Anleitung gebe, wie die einzelnen Software-Komponenten genutzt werden. Brisanterweise kommt die von dem spanischen Unternehmen entwickelte Software auch in anderen Ländern zum Einsatz. So hat die Wahlkommission des australischen Bundesstaates New South Wales bestätigt, dass die jetzt entdeckte Sicherheitslücke auch das dort genutzte iVote-System betreffe. Dennoch hält die Kommission an der Nutzung der Software fest.

Der schweizerische Chaos Computer Club fordert derweil, ganz auf ein elektronisches Wahlverfahren zu verzichten, da Manipulationen hier nie komplett ausgeschlossen werden können. In einem Blogbeitrag wenden sich die Hacker daher an den Bundeskanzler der Schweiz mit der Bitte: „Herr Thurnherr, beenden Sie diese Farce!“

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.