IB SUISSE

IB Suisse Blog

Bild: © Keystone

Hackerin entdeckt neue Lücke im Post-E-Voting

Laut einer Kryptologin lassen sich Stimmen für ungültig erklären, ohne dass dies bemerkt wird.

Während eines Monats prüften über 3000 Hacker in einem öffentlichen Test, wie sicher das E-Voting-System der Post ist. Bereits Mitte März entdeckten sie eine kritische Sicherheitslücke. Der Fehler betraf die universelle Verifizierbarkeit. Die Post hatte damals ihren Technologiepartner Scytl aufgefordert, den Fehler im Code umgehend zu korrigieren.

Nun hat die kanadische Kryptologin Sarah Jamie Lewis einen weiteren Missstand aufgedeckt, wie die Initianten der Volksinitiative «Für eine sichere und vertrauenswürdige Demokratie» schreiben.

Laut Lewis können abgegebene Stimmen für ungültig erklärt werden lassen, ohne dass dies zuverlässig bemerkt wird. «Formal würde trotzdem der Beweis erbracht werden, dass keine Manipulation stattgefunden hat. Somit liessen sich unerwünschte Stimmen zum Verschwinden bringen», schreiben die Initianten.

Seit Ende Februar läuft der von Bund und Kantonen angeordnete öffentliche Intrusionstest des E-Voting-Systems der Post. über 3000 Hacker rund um die Welt testeten bis gestern das System. Wer es knackt, erhält ein Preisgeld von bis zu 50'000 Franken.

Lewis nahm nicht am sogenannten Intrusionstest der Post teil, sondern überprüfte den von der Post offengelegten Quellcode in Eigenregie.

Die Initianten des E-Voting-Moratoriums fordern, die elektronische Stimmabgabe so lange zu verbieten, «bis es Systeme gibt, die sicher vor Hacker-Angriffen sind und bei denen das Auszählprozedere der abgegebenen Stimmen für die Bürgerinnen und Bürger nachvollziehbar und transparent ist».

Bund und Kantone werden die Ergebnisse des Tests auswerten und einen Bericht veröffentlichen. Die Bundeskanzlei wird nach eigenen Angaben prüfen, ob weitere Korrekturen am neuen System notwendig sind und ob Anpassungsbedarf am bestehenden System besteht.