E-Voting-Systeme sind ein beliebtes Ziel für Sicherheitsexperten. Hier etwa ein Bild aus dem Jahr 2017, in dem sich ein Hacker auf der Defcon-Konferenz eines der vielen unterschiedlichen Systeme vornimmt.

Foto: Steve Marcus / REUTERS

In der Schweiz hegt man ambitionierte Pläne: In Zukunft will man zunehmend auf elektronische Wahlsysteme setzen. Bei Sicherheitsexperten sorgen solche Pläne für gehöriges Kopfzerbrechen, warnen sie doch seit Jahren vor dem Einsatz solcher Systeme. Im Vergleich zu klassischen Wahlen seien diese zwar bequemer aber auch erheblich anfälliger für Manipulation – ohne relevante Vorteile zu bieten. In der Schweiz ist man sich dieser Bedenken immerhin soweit bewusst, dass man sich dazu entschlossen hat, den Code für die Wahlen von externen Experten vorab prüfen zu lassen. Doch was die dabei aufgespürt haben, dürfte die Auftraggeber aber wohl kaum erfreuen.

Manipulation

Das Schweizer E-Voting-System weist eine verheerende Lücke auf, über die Angreifer unbemerkt Stimmen manipulieren könnten, berichtet Motherboard. Konkret befindet sich der Fehler in jenem System, das eigentlich garantieren soll, dass die gezählten Stimmen auch jene sind, die von den Wählern abgegeben wurden.

Bei den Verantwortlichen versucht man angesichts dieser Entdeckung zu beruhigen: In einer Stellungnahme betont die Schweizer Post, die das System gemeinsam mit der spanischen Firma Scytl entwickelt hat, dass ein solcher Angriff kaum realistisch umzusetzen sei. Immerhin müsste ein Angreifer dafür auch Zugriff auf die gesicherte Infrastruktur der Schweizer Post haben – und Spezialwissen über den Aufbau der Post und der Schweizer Kantone aufweisen.

Kein Vertrauen

Eine Antwort, die die Sicherheitsforscher nicht zufriedenstellt: Immerhin ignoriere die Post damit, dass sie selbst als große Risikoquelle bleibt. In einem Wahlsystem sollte es niemanden geben, der das Ergebnis manipulieren könne – egal wie "vertrauenswürdig" dieser sei, wie Sarah Jamie Lewis betont. Die Computerwissenschafterin war in der Vergangenheit unter anderem für den britischen Geheimdienst GCHQ tätig und hat die Untersuchung gemeinsam mit zwei Kollegen durchgeführt.

Forderungen

Die Schweizer Post versichert, dass man den betreffenden Fehler umgehendend ausräumen werde. Damit sind die Sicherheitsforscher aber nicht zufrieden, und haben ein ganz anderen Ratschlag. Die Schweizer Regierung sollte die Pläne für die Internet-Wahl umgehend einstampfen, betont Lewis, und bekommt dabei auch Unterstützung von dem angesehenen Kryptografieexperten Matthew Green von der Johns Hopkins Universität.

Nur ein erster Einblick

Die Sicherheitsforscherin betont dabei, dass man im Rahmen der Untersuchung lediglich Zugriff auf einen sehr kleinen Ausschnitt des gesamten Codes gehabt habe. Dass man schon hier eine dermaßen kritische Lücke gefunden habe, nähre Zweifel an der restlichen Codequalität. Green bringt aber noch eine weitere Perspektive ein: Scytl ist der derzeit führende Hersteller von elektronischen Wahlsystemen. In insgesamt 42 Ländern kommen die Lösungen der Firma mittlerweile zum Einsatz. Die aktuelle Entdeckung sollte insofern auch andere Kunden zum Nachdenken bringen.

Abzuwarten bleibt, ob dies die einzige schwere Lücke bleibt, die im Schweizer Online-Wahl-System gefunden wird. Immerhin sind die Experten derzeit noch dabei den restlichen Code zu analysieren. Und sie sind nicht die einzigen dabei. Haben die Betreiber doch einen öffentlichen Wettbewerb ausgeschrieben, in dessen Rahmen bis zu 50.000 Franken (rund 44.000 Euro) für schwer Lücken in der Wahlsoftware ausgeschrieben sind. Dieser läuft noch bis zum 24. März. (apo, 13.2.2019)