Intrusionstest

Post erteilt Startschuss zum E-Voting-Hack

Uhr

Die Post hat ihr E-Voting-System zum Angriff freigegeben. Während den nächsten vier Wochen können Sicherheitsspezialisten und Hacker das System auf Schwachstellen testen. Rund 2500 Interessenten sollen sich bereits für den Intrusionstest angemeldet haben.

(Source: B_A / Pixabay)
(Source: B_A / Pixabay)

Seit dem 25. Februar um 12 Uhr mittags darf das E-Voting-System der Post gehackt werden. Mit dem öffentlichen Intrusionstest will die Post Sicherheitslücken im System aufdecken. Wie die Post mitteilt, wird beim Test eine Eidgenössische Abstimmung simuliert. Wie bei normalen Abstimmungen starte die mögliche Stimmabgabe, und damit der Intrusionstest, vier Wochen vor dem Abstimmungssonntag. Als Abstimmungssonntag legte die Post den 24. März fest.

Am Test können alle teilnehmen, die sich auf der Plattform onlinevote-pit.ch registrieren. Laut Post wird die Plattform von der Firma SCRT betrieben. Anders als beim normalen Urnengang können die Teilnehmer mehrere Stimmrechtsausweise beziehen.

Bis zu 50'000 Franken für eine Sicherheitslücke

Wer eine Sicherheitslücke entdeckt, wird dafür finanziell entschädigt. Laut Post winkt der Höchstpreis von 50'000 Franken für eine unbemerkte Manipulation der Stimmabgabe. Auch wer das Stimmgeheimnis verletzt oder in das System eindringt, wird entlohnt. Auch Verstösse gegen „Best Practices“ werden belohnt. Hierfür erhält der Angreifer allerdings nur 100 Franken.

Wie die Post mitteilt, sind am Intrusionstest nicht nur Sicherheitsspezialisten und Hacker aus der Schweiz beteiligt. Die gut 2500 Teilnehmer seien weltweit verteilt.

Bereits Anfang Februar tauchte der Quellcode für die E-Voting-Lösung der Post auf Gitlab auf und erhielt schlechte Noten von Spezialisten. Mehr dazu lesen Sie hier.

Kritik am Testverfahren

Teilnehmer müssen einige Regeln befolgen. So sind beispielsweise Angriffe auf das Gerät der Stimmberechtigten oder Social Engineering, bei dem die Teilnehmer beeinflusst werden, verboten. Ebenfalls nicht gestattet sind DDoS (Distributed Denial of Service) –Attacken, bei denen das System mit Traffic aus verschiedenen Quellen überflutet und somit für die Nutzer unverfügbar gemacht wird. Laut "NZZ" sorgten diese Testeinschränkungen bereits im Vorfeld für Kritik. Hauptkritikpunkt sei, dass der Intrusionstest durch die Einschränkungen nicht unter realen Bedingungen stattfände.

Die "NZZ" schreibt weiter, dass die Post keine Garantie dafür habe, dass gefundene Schwachstellen tatsächlich gemeldet und nicht zum Beispiel auf dem Schwarzmarkt verkauft würden. Dass diese Möglichkeit besteht, bestritten weder die Post noch die Bundeskanzlei. Doch Kreise, die Interesse an einer Manipulation der E-Voting-Software haben, könnten dies auch ohne öffentlichen Intrusionstest versuchen, sagt Oliver Spycher von der Bundeskanzlei gegenüber "NZZ".

Auch der Kanton Genf hatte eine eigene E-Voting-Lösung, welche von den Kantonen Aargau, Bern, Luzern und St. Gallen verwendet wurde. Doch Genf hat beschlossen das System 2020 einzustellen. Erfahren Sie mehr darüber im Beitrag "Kantone wechseln zu Post-E-Voting-Lösung".

Webcode
DPF8_127615