Fehler im Quellcode 29.03.2019, 12:24 Uhr

Post setzt ihr E-Voting-System befristet aus

Der von Bund und Kantonen angeordnete öffentliche Intrusionstest am neuen E-Voting-System der Schweizerischen Post ist beendet. Obwohl die elektronische Urne nicht gehackt werden konnte, zeigen die Rückmeldungen zum offengelegten Quellcode kritische Fehler.
Post setzt ihr E-Voting-System befristet aus
(Quelle: Post)
Weil die Integrität von Abstimmungen und Wahlen oberste Priorität hat, handelt die Post. Sie wird den Quellcode korrigieren und von unabhängigen Experten erneut überprüfen lassen. Für die Abstimmungen vom 19. Mai wird sie ihr E-Voting-System den Kantonen deshalb nicht zur Verfügung stellen.
Hier die Hintergründe direkt von der Post:
Zwischen dem 25. Februar und dem 24. März 2019 führte die Schweizerische Post einen öffentlichen Intrusionstest (Hackertest) an ihrem neuen E-Voting-System mit universeller Verifizierbarkeit durch. Zusätzlich zum Intrusionstest hat sie am 7. Februar den Quellcode ihres E-Voting-Systems veröffentlicht. Obwohl die notariell beglaubigte Urne nicht gehackt werden konnte, zeigen die Rückmeldungen zum offengelegten Quellcode kritische Fehler. Ein Fehler betrifft auch das individuell verifizierbare System, das die Kantone Thurgau, Neuenburg, Freiburg und Basel-Stadt seit 2016 einsetzen. Es kann ausgeschlossen werden, dass bisherige Abstimmungen oder Wahlen manipuliert worden sind. Der Fehler würde zu ungültigen Stimmen führen. Dies würde bei der Entschlüsselung der Urne in jedem Fall erkannt werden.

Integrität hat oberste Priorität

Die Integrität von Astimmungen und Wahlen hat für die Post oberste Priorität. Sie ist sich der hohen Verantwortung bewusst, die sie als Systemanbieterin eines E-Voting-Systems in der Schweiz trägt. Sie wird den Quellcode deshalb korrigieren und ihn erneut von unabhängigen Experten überprüfen lassen. Den Betrieb ihres Systems wird sie befristet aussetzen und es den Kantonen für die Abstimmungen vom 19. Mai nicht zur Verfügung stellen.

Keine manipulierten Stimmen

Während des vierwöchigen Härtetests haben rund 3200 internationale IT-Experten das neue E-Voting-System gezielt angegriffen. Nach Abschluss des Intrusionstests befanden sich keine manipulierten Stimmen in der elektronischen Urne. Den Hackern ist es nicht gelungen, in das E-Voting-System einzudringen. Versuchte Überlastungsangriffe (DDoS-Attacken) waren nicht erfolgreich. Die Hacker haben insgesamt 173 Befunde eingereicht. Davon haben Bundeskanzlei, Kantone und Post 16 bestätigt. Sie fallen in die unterste Klassifizierungsstufe «Best Practice» und können somit als unkritisch eingestuft werden. Der gesamte Prozess zur Beurteilung der Befunde wurde von Vertretern von Bund und Kantonen überwacht. Die Post nimmt die Erkenntnisse in die Weiterentwicklung des neuen E-Voting-Systems auf. Das war der eigentliche Sinn des öffentlichen Intrusionstests und der Offenlegung des Quellcodes. Der Quellcode bleibt dauerhaft veröffentlicht. Forschende können ihn weiterhin überprüfen und der Post ihre Beobachtungen melden.
Technische Beschriebe der Befunde zum E-Voting-System
Artikel drucken
Patrick Hediger
Das könnte Sie auch interessieren
WebGPU vor 1 Tag
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
vor 1 Tag
Betrugsversuch vor 1 Tag
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
vor 1 Tag
Computerworld Ausgabe 1/2024 vor 3 Tagen
Computerworld: druckfrisch mit Fakten aus der Swiss IT Studie
Die neue Ausgabe der Computerworld liegt druckfrisch auf dem Tisch. Und damit die wichtigsten Erkenntnisse aus der aktuellen Swiss IT Studie. Wichtigstes Themen auf der IT-Agenda: Cybersecurity, Fachkräftemangel und Produktivität.
 
vor 3 Tagen
Drei Jahre vor 3 Tagen
Partnerschaft von Swisscom und Ericsson wird verlängert
Swisscom und Ericsson verlängern ihre strategische Partnerschaft um weitere drei Jahre. Die Partnerschaft sieht vor, dass Swisscom das Kundenerlebnis in den nächsten drei Jahren durch die Weiterentwicklung des Mobilfunknetzes verbessert.
 
vor 3 Tagen