Wählen per Online-Abstimmung: Die Schweiz strebt das flächendeckend an. Doch Experten haben eine Sicherheitslücke in der Software entdeckt, die gravierende Manipulationen zulässt.
Logo der Schweizer Volksinitiative, die eine Pause für die E-Voting-Pläne fordert
Die Schweiz will Abstimmungen per Internet landesweit etablieren, doch der Widerstand ist groß - und offenbar berechtigt.
Sicherheitsforscher haben jetzt im Quellcode des Wahlsystems, hinter dem die Schweizer Post und ihr spanischer Technologiepartner Scytl stehen, eine gravierende Schwachstelle entdeckt. Die Lücke könne es Angreifern ermöglichen, Stimmen unbemerkt zu verändern, heißt es.
Die Schwachstelle, die ein Team um die kanadische Sicherheitsforscherin Sarah Jamie Lewis von der gemeinnützigen Organisation Open Privacy öffentlich gemacht hat, betrifft einen Teil des Wahlsystems, der prüfen soll, ob die abgegebenen Stimmen der Wähler den ausgezählten Stimmen entsprechen.
Die Forscher fanden nun jedoch heraus, dass Angreifer die Stimmen in der elektronischen Wahlurne verändern könnten. Das System würde bei einer Verifizierung aber trotzdem zum Ergebnis kommen, dass alles in Ordnung ist. Auf diese Art wäre eine massive Wahlmanipulation, die nicht nachprüfbar ist, denkbar, warnen die Experten.
"Dieser Code wird als 'State of the Art' bezeichnet", kritisierte Sarah Jamie Lewis auf Twitter, "und doch enthielt das System mindestens eine kritische kryptographische Schwachstelle, die anscheinend jahrelang offen geblieben ist."
Gefahr von Insider-Manipulation
Die Schweizer Post erklärte am Dienstag in einer Mitteilung, dass die IT-Firma Scytl die Schwachstelle im Quellcode korrigiert habe und der angepasste Code mit Veröffentlichung der nächsten regulären Version eingespielt werde. Die Sicherheitslücke sei bereits 2017 identifiziert worden, Scytl habe die Korrektur jedoch nicht vollständig umgesetzt. "Der Fehler allein ermöglicht es nicht, ins E-Voting-System einzudringen", schränkte die Post zudem ein.
"Das darf nicht klein geredet werden", sagte Sicherheitsforscherin Lewis dazu. Ihrer Ansicht nach geht es nicht nur um die Frage, ob irgendein Hacker sich von außen Zugang zum System verschaffen und eine Wahl beeinflussen könne, sondern vielmehr um die Möglichkeit einer zentralen Manipulation durch Insider - dass etwa "die Schweizer Post beweisen kann, dass sie keine Wahl manipuliert hat, selbst wenn sie es getan hat".
Öffentlicher Sicherheitstest
Die Schweizer Post hatte Ende Februar Hacker und Sicherheitsforscher dazu aufgefordert, den Quellcode des E-Voting-Systems zu prüfen - rund 3000 Interessierte sollen sich dafür registriert haben. Bis zum 24. März läuft der sogenannte Intrusionstest noch, durch den Fehler in der Software aufgedeckt und das Vertrauen in die Sicherheit von E-Voting erhöht werden soll. Das Aufdecken von Schwachstellen wird dabei mit Prämien belohnt.
Sicherheitsforscherin Lewis und ihr Team erhalten allerdings keine Belohnung für ihre Entdeckung - obwohl sie die Schweizer Post vor Bekanntgabe ihrer Entdeckung auf die Lücke hingewiesen hatten. Sie hatten sich nicht für den Test registriert, weil sie sich nicht an die strengen Richtlinien für die Veröffentlichung von Schwachstellen halten wollten - stattdessen untersuchte das Team den Quellcode, der geleakt worden war.
Der Chaos Computer Club Schweiz kritisiert, dass der Test vor allem eine "Marketing-Aktion" sei. Selbst wenn Sicherheitslücken aufgedeckt und geschlossen würden, garantiere das noch keinen sicheren E-Voting-Prozess. Der CCC hat in der Vergangenheit mehrfach vor potenziellen Sicherheitslücken im Wahlprozess gewarnt und auch Sicherheitslücken bei einem anderen Voting-System aufgedeckt.
"Es ist für Menschen ohne Fachkenntnisse unmöglich und für Experten nicht vollständig nachzuvollziehen, was beim elektronischen Wahlprozess vor sich geht", sagte Hernâni Marques, Sprecher und Vorstandsmitglied des Schweizer CCC, dem SPIEGEL. Abstimmungen und Wahlen mit privaten, potenziell unsicheren Geräten und beliebigen Browsern auf E-Voting-Webseiten zuzulassen, hält er für "Irrsinn".
Die parteiübergreifende Volksinitiative "Für eine sichere und vertrauenswürdige Demokratie" fordert derweil ein fünfjähriges Verbot für E-Voting-Experimente - damit mehr Zeit bleibt, die Sicherheit der elektronischen Wahlen zu prüfen.
http://www.spiegel.de/netzwelt/netzpolitik/schweiz-sicherheitsluecke-in-wahl-software-entdeckt-a-1257563.html
2019-03-13 15:23:00Z
CAIiEKbAVLfrIipUjkhweA9ng7MqGAgEKg8IACoHCAowydjaAjDA_Bsw6p6cBg
Bagikan Berita Ini
0 Response to "Schweiz: Sicherheitslücke in Wahl-Software entdeckt - SPIEGEL ONLINE"
Post a Comment