Schweizer IT-Ingenieur dokumentiert

Warum die Onlineanleitung zum E-Voting ein Sicherheitsrisiko darstellt

Uhr
von René Jaun und lha

Bund und Kantone halten das E-Voting-System der Post für ziemlich sicher. Doch Risiken bleiben, wie ein Schweizer IT-Ingenieur aufzeigt. Das von ihm dokumentierte mögliche Angriffsszenario macht sich die etwas dürftige Anleitung zu nutze, die Stimmberechtigte per Post erhalten.

(Source: Angkana / stock.adobe.com)
(Source: Angkana / stock.adobe.com)

Seit 2023 ist E-Voting in der Schweiz wieder Realität – zumindest ein bisschen: Einige Bürgerinnen und Bürger dreier Kantone durften am 18. Juni 2023 elektronisch abstimmen. Und auch für die Nationalratswahlen am 22. Oktober 2023 bewilligte der Bund ähnliche Versuche. Das von der Post entwickelte E-Voting-System prüften die Behörden auf Herz und Nieren. Die Risikobeurteilung ergebe ein insgesamt durchzogenes Bild, fasst Informatiker Patrick Seemann im Blog "Das Netz ist politisch" (DNIP) zusammen. Die grundsätzlichen technisch bedingten Probleme seien noch immer dieselben wie vor fünf Jahren. Unbestrittener Weise wirkten dagegen neu geschaffene rechtliche Voraussetzungen und Rahmenbedingungen stabilisierend.

Dass die Gefahr da lauert, wo man sie nicht vermutet, zeigt Andreas Kuster, ein im Ausland lebender Schweizer IT-Ingenieur, wie DNIP schreibt. Als Bürger des Kantons St. Gallen durfte er selber im Juni elektronisch abstimmen. In seinem eigenen Blog dokumentiert er ein mögliches Angriffsszenariio.

Wer zum E-Voting eingeladen wird, erhält zwar schriftliche Unterlagen per Post, doch diese enthielten derzeit keine detaillierte Anleitung zum elektronischen Abstimmprozess. Eine solche finde sich nur online, merkt Kuster an.

Hacker könnten gefälschte Onlineanleitung verbreiten

Laut dem Informatiker besteht die Bedrohung nun darin, dass ein bösartiger Hacker, sobald er oder sie den Computer eines Opfers kompromittiert hat, den Datenverkehr manipulieren kann – etwa mit Hilfe eines bösartigen Browser-Plug-ins. Entsprechend könnte er oder sie dem Opfer eine gefälschte Onlineanleitung zum E-Voting anzeigen – "a different protocol, one that is cheatable", wie Kuster sich ausdrückt. "Machen Sie sich mit dem richtigen Verfahren vertraut", lautet in der Folge sein Plädoyer. Und er stellt auch schon eine Schritt-für-Schritt-Anleitung des E-Voting-Prozesses zur Verfügung.

In seiner Analyse kommt DNIP-Autor Patrick Seemann zum Schluss, es müsse praktisch gesehen einiges schiefgehen, "um mit der beschriebenen Methode Wahlen oder Abstimmungen signifikant (im Sinne einer Verfälschung des Ergebnis) beeinflussen zu können".

Von DNIP auf Kusters Szenario angesprochen, sagten Behörden und die Post, man sehe keinen Grund für kurzfristige Massnahmen. Die Bundeskanzlei sehe darin aber einen guten Grund, die Information der Stimmberechtigten weiter zu verbessern. Und auch die Kantone wollen eine Konkretisierung der Instruktionen prüfen.

E-Voting ist nur eines von diversen heissen Eisen der Schweizer Digitalpolitik. Anlässlich der Wahlen 2023 verrieten Parlamentarierinnen und Parlamentarier wichtiger Parteien, wie sie die digitale Schweiz voranbringen wollen. Den Beitrag und alle Interviews dazu finden Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
eAYzwdvM