E-Voting: Abstimmen und Wählen per Internet
vorangehende Seite
end
Schweiz E-Voting
Post Fehler im Quellcode aufgedeckt und behoben März 2019
Post setzt ihr E-Voting-System befristet aus März 2019
Weitere Informationen
Staatskunde - Statistiken Schweiz
E-Voting-System (Vote électronique)
E-Voting-System

Fehler im Quellcode aufgedeckt und behoben

Der von Bund und Kantonen angeordnete öffentliche Intrusionstest für das E-Voting-System der Post und der veröffentlichte Quellcode liefern erste, wertvolle Ergebnisse. Internationale IT-Experten fanden einen kritischen Fehler im Quellcode. Dieser betrifft die universelle Verifizierbarkeit. Der Fehler allein ermöglicht es nicht, ins E-Voting-System einzudringen. Die Post hat ihren Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren. Dies ist bereits erfolgt. Der angepasste Quellcode wird mit dem nächsten regulären Release eingespielt.

Seit gut zwei Wochen läuft der von Bund und Kantonen angeordnete öffentliche Intrusionstest des E-Voting-Systems der Post. Über 3'000 Hacker rund um die Welt testen bis am 24. März das System auf Herz und Nieren. Das System ist eines der neuesten Generation mit universeller Verifizierbarkeit. Zusätzlich zum Intrusionstest hat die Post am 7. Februar 2019 den zertifizierten Quellcode ihres E-Voting-Systems veröffentlicht. Dies ist eine gesetzliche Anforderung des Bundes.

Internationale IT-Experten haben nun eine kritische Lücke im Quellcode gefunden und dies der Post gemeldet. Die Experten konnten aufzeigen, dass diese Lücke dazu genutzt werden könnte, um Stimmen zu manipulieren, ohne dass dies nachgewiesen werden könnte. Der Fehler allein ermöglicht es jedoch nicht, ins E-Voting-System einzudringen. Um die Schwachstelle auszunutzen, müssten die Angreifer zahlreiche Schutzmassnahmen ausser Kraft setzen. Sie bräuchten beispielsweise Kontrolle über die gesicherte IT-Infrastruktur der Post sowie die Hilfe von mehreren Insidern mit Spezialwissen bei der Post oder den Kantonen.

Der Fehler im Quellcode betrifft die universelle Verifizierbarkeit. Er wurde bereits 2017 identifiziert. Die Korrektur wurde vom Technologiepartner Scytl, der für den Quellcode verantwortlich ist, jedoch nicht vollständig umgesetzt. Die Post bedauert dies und hat Scytl aufgefordert, die vollständige Korrektur umgehend vorzunehmen. Dies ist nun erfolgt. Der angepasste Quellcode wird mit dem nächsten regulären Release eingespielt.

Das aktuell in den Kantonen Thurgau, Neuenburg, Freiburg und Basel-Stadt eingesetzte E-Voting-System ist von dieser Lücke im Quellcode nicht betroffen. Sie betrifft ausschliesslich das dem Intrusionstest ausgesetzte System mit universeller Verifizierbarkeit, das noch nie in einer realen Abstimmung eingesetzt worden ist.

Inputs aus Hackertest fliessen in die Weiterentwicklung ein

E-Voting-Systeme müssen zahlreiche Qualitätstests und auch simulierte Hackerangriffe überstehen, um überhaupt für echte Abstimmungen zugelassen zu werden. Die Post will ein sicheres E-Voting-System und folgt beim laufenden Intrusionstest allen Auflagen und Vorgaben des Bundes und der Kantone. Sie wird die Ergebnisse des Hackertests und der Analyse des Quellcodes in die Weiterentwicklung ihres E-Voting-Systems aufnehmen und auf den Prüfstand stellen. Das ist der eigentliche Sinn eines öffentlichen Intrusionstests. Die Ergebnisse werden evaluiert, nach Schweregrad eingeordnet und risikogerecht behoben. Bestätigte Schwachstellen werden zeitnah und transparent auf der dafür vorgesehenen Plattform publiziert.

Die zentralen Sicherheitsmechanismen des E-Voting-Systems der Post: individuelle und universelle Verifizierbarkeit

Bei der individuellen Verifizierbarkeit erhalten die Wähler zusammen mit den Stimmunterlagen Prüfcodes auf Papier. Diese müssen sie bei der Stimmabgabe mit auf dem Bildschirm angezeigten Codes vergleichen. Wenn sie nicht übereinstimmen, liegt eine Unregelmässigkeit vor. Die Wähler können dann stattdessen brieflich oder an der Urne abstimmen.

Bei der universellen Verifizierbarkeit können die Wahlbehörden beim Auszählen der Stimmen überprüfen, ob Stimmen in der elektronischen Urne manipuliert wurden. Die universelle Verifizierbarkeit kann mit der Nachzählung von physischen Stimmzetteln verglichen werden.

Quelle: Text Schweizerische Post, 12. März 2019

nach oben

Post setzt ihr E-Voting-System befristet aus

Urne nicht gehackt, Fehler im Quellcode

Der von Bund und Kantonen angeordnete öffentliche Intrusionstest am neuen E-Voting-System der Schweizerischen Post ist beendet. Obwohl die elektronische Urne nicht gehackt werden konnte, zeigen die Rückmeldungen zum offengelegten Quellcode kritische Fehler. Weil die Integrität von Abstimmungen und Wahlen oberste Priorität hat, handelt die Post. Sie wird den Quellcode korrigieren und von unabhängigen Experten erneut überprüfen lassen. Für die Abstimmungen vom 19. Mai wird sie ihr E-Voting-System den Kantonen deshalb nicht zur Verfügung stellen.

Zwischen dem 25. Februar und dem 24. März 2019 führte die Schweizerische Post einen öffentlichen Intrusionstest (Hackertest) an ihrem neuen E-Voting-System mit universeller Verifizierbarkeit durch. Zusätzlich zum Intrusionstest hat sie am 7. Februar 2019 den Quellcode ihres E-Voting-Systems veröffentlicht. Obwohl die notariell beglaubigte Urne nicht gehackt werden konnte, zeigen die Rückmeldungen zum offengelegten Quellcode kritische Fehler. Ein Fehler betrifft auch das individuell verifizierbare System, das die Kantone Thurgau, Neuenburg, Freiburg und Basel-Stadt seit 2016 einsetzen. Es kann ausgeschlossen werden, dass bisherige Abstimmungen oder Wahlen manipuliert worden sind. Der Fehler würde zu ungültigen Stimmen führen. Dies würde bei der Entschlüsselung der Urne in jedem Fall erkannt werden.

Integrität hat oberste Priorität

Die Integrität von Abstimmungen und Wahlen hat für die Post oberste Priorität. Sie ist sich der hohen Verantwortung bewusst, die sie als Systemanbieterin eines E-Voting-Systems in der Schweiz trägt. Sie wird den Quellcode deshalb korrigieren und ihn erneut von unabhängigen Experten überprüfen lassen. Den Betrieb ihres Systems wird sie befristet aussetzen und es den Kantonen für die Abstimmungen vom 19. Mai 2019 nicht zur Verfügung stellen.

Keine manipulierten Stimmen

Während des vierwöchigen Härtetests haben rund 3'200 internationale IT-Experten das neue E-Voting-System gezielt angegriffen. Nach Abschluss des Intrusionstests befanden sich keine manipulierten Stimmen in der elektronischen Urne. Den Hackern ist es nicht gelungen, in das E-Voting-System einzudringen. Versuchte Überlastungsangriffe (DDoS-Attacken) waren nicht erfolgreich. Die Hacker haben insgesamt 173 Befunde eingereicht. Davon haben Bundeskanzlei, Kantone und Post 16 bestätigt. Sie fallen in die unterste Klassifizierungsstufe «Best Practice» und können somit als unkritisch eingestuft werden. Der gesamte Prozess zur Beurteilung der Befunde wurde von Vertretern von Bund und Kantonen überwacht. Die Post nimmt die Erkenntnisse in die Weiterentwicklung des neuen E-Voting-Systems auf. Das war der eigentliche Sinn des öffentlichen Intrusionstests und der Offenlegung des Quellcodes. Der Quellcode bleibt dauerhaft veröffentlicht. Forschende können ihn weiterhin überprüfen und der Post ihre Beobachtungen melden.

Quelle: Text Schweizerische Post, 29. März 2019
Quellcode:
Der Begriff Quelltext, auch Quellcode (engl. source code) genannt, bezeichnet in der Informatik der für Menschen lesbare, in einer Programmiersprache geschriebene Text eines Computerprogrammes.

nach oben

Weitere Informationen
Schweiz: Der Bund Online - E-Government
Bund E-Voting als dritter ordentlicher Stimmkanal: 2018
Vernehmlassung
Bund Bundeskanzlei nimmt Standortbestimmung zum E-Voting vor 2019
MELANI Für einen sicheren Umgang mit dem Internet der Dinge 2017
MELANI Massive DDoS-Angriffe auch in der Schweiz 2013
Links
Externe Links
Bundeskanzlei Auslandschweizer-Organisation ASO
Schweizerische Post  
Aktiv in der Politik: Jugendparlamente Photo: Jugendsession
vorangehende Seite