Menü

Öffentlicher Intrusionstest: Schweizerische Post lässt E-Voting-System hacken

In der Schweiz wird das E-Voting-System der Schweizerischen Post einem öffentlichen Intrusionstest ausgesetzt. Auch der Quellcode des Systems liegt offen.

Von
vorlesen Drucken Kommentare lesen 152 Beiträge
Öffentlicher Intrusionstest: Schweizer Post lässt ihr E-Voting-System hacken

Das E-Voting-System der Schweizerischen Post kommt auf den Prüfstand. Vom 25. Februar bis zum 24. März 2019 wird es einen öffentlichen Intrusiontest ausgesetzt. Interessierte aus aller Welt können das System dann angreifen und so einen Beitrag zur Sicherheit des möglicherweise künftigen E-Voting-Systems der Schweiz leisten. Das teilte die Post am Mittwoch mit. Gemäß den Anforderungen von Bund und Kantonen wurde auch der Quellcode des Online-Wahlsystems veröffentlicht.

Seit 2004 führen verschiedene Schweizer Kantone Versuche mit E-Voting durch. Das bald letzte verbliebene E-Voting-System von vormals drei Systemen wird nun einem Public Intrusion Test (PIT) unterzogen.

Wie die Schweizerische Post mitteilte, habe ihr browserbasierendes Online-Wahlsystem, das auf eine E-Voting-Lösung des spanischen IT-Unternehmen Scytl baut, "die sogenannte vollständige Verifizierbarkeit erreicht. Das bedeutet, dass sowohl die Stimmenden wie auch die Kantone überprüfen können, ob beim Stimmprozess Manipulationen aufgetreten sind".

Entsprechend den Anforderungen des Schweizer Bundesrechtes muss ein E-Voting-System mit vollständiger Verifizierbarkeit vor dem Ersteinsatz einem öffentlichen Intrusionstest unterzogen werden. In diesem Härtetest wird die Sicherheit überprüft. Das System wird dafür gezielt öffentlichen Hackerangriffen ausgesetzt.

Auch der Quellcode des E-Voting-Systems kann eingesehen werden. "Unabhängige Experten" könnten diesen kritisch prüfen und sich so eingehend auf den Intrusionstest vorbereiten, heißt es von der Schweizerischen Post. Auch dies entspreche den Anforderungen des Bundesrechts, denn das System müsse vor dem Ersteinsatz zertifiziert werden, der Quellcode sei dabei offenzulegen. Bereits jetzt werde im Rahmen der Zertifizierung durch eine akkreditierte Stelle ein Intrusionstest durchgeführt. Mit dem öffentlichen Härtetest könne die Sicherheit dann zusätzlich durch eine Vielzahl von Personen überprüft werden.

Das Interesse an dem Intrusionstest sei sehr groß, teilte die Post mit. Rund 450 Voranmeldungen seien bereits eingegangen. Für das Auffinden von Sicherheitslücken sei ein hohes Preisgeld ausgesetzt worden. Über die genaue Höhe ist zwar nichts bekannt, aber der Bundeskanzlei sollen für den Intrusionstest 250.000 Schweizer Franken zur Verfügung stehen.

Wer sich an dem Test beteiligen möchte, muss sich vorab für den Intrusionstest registrieren. Der Quellcode steht dann zur Einsicht zur Verfügung. Auf GitLab stehen zusätzlich Protokolle und Dokumentationen bereit.

Das E-Voting-Vorhaben ruft in der Schweiz bei vielen Politikern, IT-Spezialisten und Stimmberechtigten Sicherheitsbedenken hervor. Sie befürchten, dass durch Sicherheitslücken im E-Voting-System Abstimmungen manipuliert werden könnten. Dadurch könne das Vertrauen in die Abstimmungs- und Wahlsysteme erschüttert werden, die zu einer Beschädigung der Demokratie führen.

Mittlerweile haben sich Kritiker des E-Voting-Systems in einem überparteilichen Komitee formiert und vor zwei Wochen eine Volksinitiative gestartet, um ein E-Voting-Moratorium zu erreichen. (olb)