Sicherheit 21.04.2022, 16:12 Uhr

E-Voting der Post weist nach wie vor Mängel auf

Das E-Voting-System der Post wurde monatelang von Experten auf IT-Sicherheit geprüft. Nun liegt eine erste Analyse vor. Trotz zahlreichen Verbesserungen wurden noch immer Mängel entdeckt.
Symbolbild
(Quelle: Archiv NMGZ)
Mehrere Expertengruppen, welche von der Bundeskanzlei beauftragt wurden, haben das E-Voting-System der Post in den Bereichen Kryptografie, Software, Infrastruktur und Betrieb unter die Lupe genommen. Nun liegen die ersten Ergebnisse der Prüfberichte dieser durch den Bund mandatierten Experten vor, wie die Schweizerische Post in einem Blog-Eintrag mitteilt. Auch wenn das System mehrheitlich verbessert wurde, gibt es noch immer Mängel.

Kein erfolgreicher Test-Angriff erfolgt

Die Dokumentation wurde laut Bundeskanzlei seit 2019 «wesentlich verbessert». Die Dokumentation sei klarer, umfassender und besser strukturiert geworden. Auch der Quellcode wird in weiten Teilen als gut befunden. «Zudem werden die Prozesse der Systementwicklung als gut beurteilt. Der Intrusionstest zeigte, dass keiner der in diesem Rahmen durchgeführten Angriffe erfolgreich war», schreibt die Bundeskanzlei am Mittwoch.
Die Berichte zeigen jedoch auch, dass weitere – mitunter wesentliche – Verbesserungen am System nötig sind. Die festgestellten Mängel betreffen unter anderem das kryptografische Protokoll, welches die Verifizierbarkeit unter Wahrung des Stimmgeheimnisses gewährleisten soll. «Insbesondere sind für die Sicherheit mitentscheidende Aspekte teilweise noch nicht genügend klar dokumentiert, sodass offenbleibt, wie das System in den entsprechenden Punkten funktionieren soll.» Die konkreten Befunde seien der Post gemeldet worden, damit sie die nötigen Verbesserungsmassnahmen unverzüglich in Angriff nehmen könne, heisst es seitens Bundeskanzlei.
Die Schweizerische Post hat denn auch bereits einen Handlungsplan zur Behebung der gemeldeten Befunde erarbeitet sowie die Kundenkantone, welche das E-Voting-System künftig verwenden möchten, informiert, heisst es im Post-Blog.

Einsatz E-Voting-System voraussichtlich 2023

Die Post arbeitet nach eigenen Angaben an der Umsetzung der geplanten Verbesserungen. Das System soll dann erneut unabhängig geprüft werden. Im Anschluss will die Schweizerische Post das E-Voting-System den Kantonen wieder zur Verfügung stellen. Das Unternehmen erwartet, dass dies im Laufe des Jahres 2023 der Fall sein wird.
Hier gehts zu den ersten Ergebnissen, die die Bundeskanzlei publiziert hat. Weitere Informationen finden Sie zudem im E-Voting-Blog der Post.

Rückblick: Was bisher geschah

E-Voting in der Schweiz geriet in die Schlagzeilen, nachdem IT-Security-Experten des Chaos Computer Clubs Schweiz (CCC-CH) das Genfer E-Voting-System untersuchten. Die Untersuchung zeigte, dass Stimm- und Wahlberechtigte einfach auf eine gefälschte E-Voting-Webseite umgeleitet werden konnten. Im November verkündete der Kanton Genf, man verzichte auf die Weiterentwicklung der eigenen E-Voting-Plattform.
Ein alternatives System war damals jenes der Post. In Zuge dieser Geschichte entstand in der Schweiz eine Diskussion rund um Demokratie und Sicherheit bei E-Voting.
Im März 2019 fanden Forscher erneut Sicherheitslücken im E-Voting-System der Post (PCtipp berichtete). Auch sie betrafen die universelle Verifizierbarkeit. Im Juli 2019 stellte die Post ihr E-Voting-System ein (PCtipp berichtete). Bis dahin hatten die Kantone Freiburg, Basel-Stadt, Thurgau und Neuenburg das System verwendet.
Seit 2021 prüfen Experten die Beta-Version des E-Voting-Systems der Post. Einerseits hat die Post Anfang 2021 ein E-Voting-Community-Programm gestartet. Dabei wurde zunächst das kryptografische Protokoll offen gelegt, im September letzten Jahres startete die Post zudem das öffentliche Bug-Bounty-Programm (PCtipp berichtete), bei dem das in der Entwicklung befindliche E-Voting-System auf Herz und Nieren getestet werden sollte. Ethische Hacker konnten sich bis zu 250'000 Franken Belohnung verdienen.
Parallel dazu startete Anfang Juli 2021 die Bundeskanzlei eine unabhängige Überprüfung des E-Voting-Systems der Post.




Das könnte Sie auch interessieren