Heute morgen haben die drei SicherheitsforscherInnen Sarah Jamie Lewis, Olivier Pereira und Vanessa Teague ein Paper (PDF) zu einer gravierenden Sicherheitslücke im E-Voting-System der Post veröffentlicht. Umgehend haben die Schweizer Post und die Bundeskanzlei mit beschönigenden Erklärungen reagiert. Von JournalistInnen wurden uns verschiedene Fragen gestellt, die wir gerne dokumentieren möchten.
Wie gravierend ist die Lücke im E-Voting-System der Schweizer Post?
Die Sicherheitslücke ist äusserst gravierend. Sie bedeutet, dass man eine Abstimmung manipulieren könnte, ohne dass es bemerkt wird. Die sogenannte universelle Verifizierbarkeit ist nicht gegeben. Die Post könnte fälschlicherweise beweisen, dass die Abstimmung nicht manipuliert wurde, obwohl die Abstimmung eben doch manipuliert wurde.
Wieso kommt es zu so einem Fehler?
Einerseits ist das E-Voting-System von Scytl nicht auf Sicherheit ausgelegt. Das System entspricht nicht den Anforderungen für den Betrieb einer kritischen Infrastruktur. Dies zeigt sich u.a. im nur schwer verständlichen Source Code.
Andererseits haben offensichtlich die Audits versagt, unter anderem von KPMG. Die Ergebnisse werden bis jetzt geheim gehalten werden. Auch ansonsten fehlt es an Transparenz, zum Beispiel mit Blick auf die Zusammenarbeit zwischen der Post und Scytl.
Was ist von der Erklärung der Post zu halten?
Die Post verharmlost einmal mehr ein Sicherheitsproblem beim E-Voting. Genauso die Bundeskanzlei.
So wird auf den laufenden Intrusionstest verweisen. Dabei wurde die Sicherheitslücke gerade nicht im Rahmen des Intrusionstests entdeckt. Die Sicherheitslücke wurde im geleakten Quelltext entdeckt. Der Quellcode wurde, anders als erneut behauptet, gerade nicht offengelegt. Die Sicherheitsexpertin Sarah Jamie Lewis, welche die Sicherheitslücke entdeckt hat, beteiligt sich ausdrücklich nicht am Intrusionstest, weil sie – zu Recht – dessen Bedingungen ablehnt.
Weiter wird behauptet, das laufende E-Voting-System von Scytl sei nicht betroffen. Das liegt daran, dass die sogenannte universelle Verifizierbarkeit beim laufenden E-Voting-System gar nicht implementiert ist. Das bestehende E-Voting-System ist nochmals weniger sicher und vertrauenswürdig.
Im Übrigen sollte es nicht an Bundeskanzlei, der Post und Scytl sein, zu entscheiden, was überhaupt als Sicherheitslücke gilt und wie gravierend gefundene Sicherheitslücken sind. Geht es nach der Bundeskanzlei und der Post, kann es letztlich gar keine gravierenden Sicherheitslücken geben, denn ansonsten müsste das E-Voting-Projekt eingestellt werden. Dazu sind die Bundeskanzlei und die Post bislang anscheinend nicht bereit.
Was ist davon zu halten, dass die Sicherheitslücke laut Post bereits seit 2017 bekannt ist?
Allem Anschein nach versucht Scytl nicht einmal, ein sicheres und vertrauenswürdiges E-Voting-System zu entwickeln.
Werden noch weitere solche Schwachstellen bekannt?
Sicherheitsexpertin Sarah Jamie Lewis hat bereits online erwähnt, dass es noch weitere Sicherheitslücken gibt. Mit Blick darauf, dass das E-Voting-System von Scytl komplex und riesig ist, ohne auf Sicherheit ausgelegt zu sein, ist mit weiteren Sicherheitslücken zu rechnen.
Sind solche Schwachstellen «normal»?
Bei einem E-Voting-System, das – in noch weniger sicherer Form – bereits im Einsatz ist, gibt es keine Entschuldigung für solche Sicherheitslücken. Aus diesem Grund fordert die Digitale Gesellschaft einen Marschhalt beim E-Voting und unterstützt die Volksinitiative für ein E-Voting-Moratorium. Wir fordern, dass E-Voting per sofort gestoppt werden muss. Es soll erst wieder eingeführt werden, wenn die bewährten Anforderungen an die handschriftliche Stimmabgabe erfüllt sind. Dazu gehört unter anderem, dass sich die Stimmberechtigten ohne besondere Sachkenntnis davon überzeugen können, dass ein E-Voting-System sicher ist und ihr Vertrauen verdient.
(Vielen Dank an Martin Steiger)