Intrusionstest zeigt Wirkung 29.03.2019, 13:10 Uhr

Post setzt ihr E-Voting-System vorübergehend aus

Beim öffentlichen Intrusionstest des E-Voting-Systems der Post stiessen Experten auf kritische Fehler. Die Post zieht die Lösung nun vorübergehend zurück und wird diese für die Abstimmungen vom 19. Mai nicht zur Verfügung stellen.
(Quelle: Die Schweizerische Post)
Für die Abstimmungen vom 19. Mai steht das E-Voting-System der Post nicht zur Verfügung. Grund dafür seien «kritische Fehler», die beim öffentlichen Intrusionstest festgestellt wurden, teilten die Bundeskanzlei und die Schweizerische Post am Freitag mit.
Das E-Voting-System der Post ist bisher in den vier Kantonen Basel-Stadt, Freiburg, Neuenburg und Thurgau im Einsatz. Der verifizierte Mangel betrifft die individuelle Verifizierbarkeit. Diese erlaubt den Stimmenden, zu überprüfen, ob das System ihre Stimme korrekt registriert hat. Es handelt sich laut Mitteilung um «eine Schlüsselkomponente» des Systems.

Post will nachbessern

In einem Communiqué schreibt das Unternehmen: «Die Integrität von Abstimmungen und Wahlen hat für die Post oberste Priorität. Sie ist sich der hohen Verantwortung bewusst, die sie als Systemanbieterin eines E-Voting-Systems in der Schweiz trägt. Sie wird den Quellcode deshalb korrigieren und ihn erneut von unabhängigen Experten überprüfen lassen.» Ausschliessen könne die Anbieterin jedoch, dass bisherige Abstimmungen oder Wahlen manipuliert worden seien.
Die Bundeskanzlei erachtet deshalb den Entscheid der Post als folgerichtig, ihr System anlässlich des Urnengangs vom 19. Mai 2019 nicht zum Einsatz zu bringen. Nicht betroffen von dem festgestellten Mangel ist das E-Voting-System des Kantons Genf, für welches die Kantone Aargau, Bern, Genf, Luzern, St. Gallen und Waadt für den 19. Mai die Zulassung erhalten haben.
Laut Bundeskanzlei gibt es keine Hinweise, dass der aufgetauchte Mangel bei bisherigen Abstimmungen zu Verfälschungen geführt hat. Der Intrusionstest vom 25. Februar bis zum 24. März habe wichtige Erkenntnisse ermöglicht und Schwachstellen aufgedeckt, hiess es in der Mitteilung weiter. Die Bundeskanzlei werde nun eine Standortbestimmung vornehmen sowie die Zulassungs- und Zertifizierungsprozesse überprüfen

Hacker und Experten fanden Schwachstellen

Rund 3200 Hacker rund um den Erdball haben das E-Voting-System der Post vom 25. Februar bis am 24. März auf Herz und Nieren geprüft und angegriffen. Die Post betont in ihrer Mitteilung, nach Abschluss des Intrusionstests hätten sich keine manipulierten Stimmen in der elektronischen Urne befunden. Den Hackern sei es nicht gelungen, in das E-Voting-System einzudringen. Versuchte Überlastungsangriffe (DDoS-Attacken) seien nicht erfolgreich gewesen.
Der neuste Mangel sei ausserdem nicht durch das Eindringen von Hackern ins System zum Vorschein gekommen, präzisierte René Lenzin, stellvertretender Kommunikationsleiter der Bundeskanzlei, gegenüber der Nachrichtenagentur Keystone-SDA. Den Mangel habe die Forschergruppe dingfest gemacht, welche bereits die bekannten Schwächen via Analyse des Quellcodes und der Dokumentation zu Tage gefördert habe. Laut Bundeskanzlei gibt es keine Hinweise darauf, dass der aufgetauchte Mangel bei bisherigen Abstimmungen zu Verfälschungen geführt hat.
Bereits am vergangenen Montag hatten Bundeskanzlei und Post einen Fehler bei der universellen Verifizierbarkeit des E-Voting-Systems und entsprechenden Handlungsbedarf kommuniziert. Dies, nachdem die beauftragten IT-Experten der Forschergruppe schon zwei Wochen früher einen kritischen Fehler beim Quellcode entdeckt hatten, der ebenfalls die universelle Verifizierbarkeit betraf.
In ihrer Standortbestimmung will die Bundeskanzlei allen Ergebnissen und Mängeln des öffentlichen Intrusionstests und der Erkenntnisse der Forschergruppe Rechnung tragen. Im Rahmen des Tests wurden laut Bundeskanzlei insgesamt 16 Rückmeldungen als Verstösse gegen die besten Praktiken klassifiziert. Erhebliche Risiken würden diese allerdings nicht darstellen.

Kanton Thurgau bedauert, Chur wartet ab

Der Kanton Thurgau hat bereits auf die Aussetzung des E-Voting-Systems für den Urnengang vom 19. März reagiert. Die Staatskanzlei bedauert zwar, dass das System nicht eingesetzt werden kann, unterstützt aber das Vorgehen der Bundeskanzlei, wie es in einer Mitteilung hiess. Denn es gelte der Grundsatz Sicherheit vor Geschwindigkeit. Man sei weiterhin überzeugt von der Lösung der Post und setze alles daran, dass das System nach erfolgten Massnahmen für die Auslandschweizer im Herbst für die Eidgenössischen Wahlen wieder zur Verfügung stehe.
Der am E-Voting-System der Post interessierte Kanton Graubünden teilte mit, allfällige Auswirkungen auf das Projekt des Kantons könnten erst nach der Überprüfung der Bundeskanzlei beurteilt werden. E-Voting werde erst eingeführt, wenn ein vollständig verifizierbares System zur Verfügung stehe, das allen Sicherheitsanforderungen des Bundes entspreche und zertifiziert und zugelassen sei.
Der Grundsatzentscheid, ob ein E-Voting-System eingesetzt wird, müssen in jedem Fall die einzelnen Kantone fällen. Sie müssen dazu bei der Bundeskanzlei ein Gesuch stellen. Die Ergebnisse des Instusionstests sind auf der Webseite des externen Anbieters zugänglich.



Das könnte Sie auch interessieren