Öffentlicher Intrusionstest
08.02.2019, 08:33 Uhr
08.02.2019, 08:33 Uhr
Post lässt das E-Voting-System hacken – mit Einschränkungen
Die Post lässt ihr E-Voting-System ab Februar von Hackern aus aller Welt auf Schwachstellen prüfen. Nicht alle Angriffe sind beim Test jedoch erlaubt.
Das E-Voting-System der Post wird ab dem 25. Februar während eines Monats einem sogenannten Intrusionstest unterzogen. Hacker aus aller Welt können in dieser Zeit das System angreifen und so einen Beitrag zu seiner Sicherheit leisten.
Beim System der Post handle es sich um das erste schweizerische System, das vollständig verifizierbar sei, heisst es in einer Mitteilung der Bundeskanzlei vom Donnerstag. Dies erlaube einen breiteren Einsatz von E-Voting. Die vollständige Verifizierbarkeit gewährleiste, dass systematische Fehlfunktionen infolge von Softwarefehlern, menschlichen Fehlleistungen oder Manipulationsversuchen erkannt würden. Gemäss den Anforderungen des Bundesrechts müsse dieses System vor dem Ersteinsatz zertifiziert werden und der Quellcode sei offen zu legen.
Zusätzlich hätten Bund und Kantone entschieden, das E-Voting System vor dem Ersteinsatz einem öffentlichen Intrusionstest zu unterziehen. Bei diesem Test, auch Pentest genannt, werde die Sicherheit geprüft, indem das System angegriffen werde. Ein Intrusionstest werde bereits im Rahmen der Zertifizierung durch eine akkreditierte Stelle durchgeführt. Mit dem öffentlichen Intrusionstest könne die Sicherheit nun zusätzlich durch eine Vielzahl von Menschen geprüft werden.
Quellcode veröffentlichen
Die Anforderungen für den öffentlichen Intrusionstest verpflichten die Systemanbieter, ihr System während vier Wochen für den Test zur Verfügung zu stellen. Die Hacker-Community soll versuchen, Stimmen zu manipulieren, abgegebene Stimmen zu lesen sowie Sicherheitsvorkehrungen ausser Kraft zu setzen oder zu umgehen, welche die Stimmen und sicherheitsrelevante Daten schützen. Als Grundlage für diese Tests müssten die Systemdokumentation sowie der Quellcode vorgängig veröffentlicht werden.
Die Post stelle das System vom 25. Februar bis 24. März für den Test zur Verfügung: Die auf Intrusionstests spezialisierte Firma SCRT werde im Auftrag von Bund und Kantonen die Teilnehmenden registrieren. Sie bewerte auch die Rückmeldungen und nehme zu ihnen sobald als möglich Stellung.
Kritik an Vorgaben
Nicht alle sind jedoch mit den Rahmenbedingungen einverstanden, die die Post für den Intrusionstest vorgibt. So sind davon unter anderem DDoS-Attacken, Social-Engineering- und Malware-Angriffe ausgeschlossen.
Die Post lässt hierzu ausrichten, dass sie sich mit dem geplanten, «umfassenden» Intrusionstest genau an die Vorgaben und Richtlinien des Bundes halte. Sämtliche Angriffe auf die E-Voting-Server seien zugelassen und würden, wenn erfolgreich, entschädigt. «Grundsätzlich geht es aber im Intrusionstest nicht darum, Angriffsszenarien zu testen, die bekannt sind und gegen welche bereits Abwehrmassnahmen bestehen», schreibt die Post auf Anfrage von Computerworld. Und dazu zählt sie eben Szenarien wie DDoS-Attacken, Social-Engineering- und Malware-Angriffe.
Abwehrmassnahmen gegen DDoS-Attacken seien grundsätzlich Teil davon, wie man IT-Infrastrukturen absichere, schreibt die Post weiter. Sie seien nicht E-Voting-spezifisch und würden deswegen keinen Erkenntnisgewinn liefern. DDoS-Attacken störten zudem den Testbetrieb und führten dazu, dass sich die Teilnehmer nicht auf den Angriff auf das Kernsystem konzentrieren könnten. Ausserdem hätte eine DDoS-Attacke bei realen Abstimmungen zur Folge, dass die Stimmabgabe-Plattform nicht mehr erreichbar sei. Wählerinnen und Wähler können in diesem Fall nach wie vor an der Urne oder brieflich abstimmen, da E-Voting nur einen ergänzenden Kanal darstellt, wie es weiter heisst.
Malware- und Social-Engineering-Angriffe lasse die Post nicht testen, da sie davon ausgehe, dass der Voting-Client grundsätzlich unsicher sei. Als Gegenmassnahme sieht das Unternehmen dafür die individuelle Verifizierbarkeit, die von Bund und Kantonen vorgeschrieben wird. Damit kann jeder Bürger überprüfen, ob seine Stimme unverfälscht in der elektronischen Urne angekommen ist. Angriffe auf die individuelle Verifizierbarkeit seien hingegen Teil des Tests. Dabei wird gemäss der Post etwa geprüft, ob die richtigen Prüfcodes angezeigt werden, obwohl eine Stimme abgefangen wurde. Social-Engineering-Angriffe auf Wahlkommissionen decke der Pentest nicht ab, weil diese Prozesse die Kantone betreffen würden, bei denen die Post keine Rolle spiele (etwa bei der Entschlüsselung und Auszählung der Urne). In dieser Hinsicht weiche der Test allerdings vom Prozess unter realen Bedingungen ab, heisst es seitens der Post. «Es macht daher keinen Sinn, dieses Angriffsszenario zu testen.
Entschädigung möglich
Bund und Kantone leisteten über den Schwerpunktplan von E-Government Schweiz einen Beitrag von 250'000 Franken an den öffentlichen Intrusionstest. Davon seien 150'000 Franken als Beitrag an die Gesamtkosten der Post vorgesehen. Die Aufwände von SCRT würden mit 100'000 Franken entgolten. Besonders wertvolle Meldungen von Sicherheitslücken sollen finanziell entschädigt werden. Die Post legt die Höhe möglicher Entschädigungen fest und ist für deren Auszahlung zuständig.
Die Einführung von E-Voting ist nach wie vor umstritten. Der Kanton Genf hat den Betrieb eines Systems eingestellt. Hacker des Chaos Computer Clubs hatten gezeigt, wie der Datenverkehr von Abstimmenden auf falsche Server umgeleitet werden kann. Als einziges E-Voting-System blieb damit jenes der Post. Inzwischen hat ein überparteiliches Komitee die Lancierung einer Volksinitiative für ein Moratorium angekündigt, weil das E-Voting unsicher sei und die Demokratie gefährde. Die elektronische Stimmabgabe soll deshalb vorerst während mindestens fünf Jahren verboten werden.