In wenigen Minuten ausgetrickst

Update: Kanton St. Gallen bezieht Stellung zu "CHVote"-Sicherheitslücken

Uhr | Aktualisiert

Hacker haben bei der Genfer E-Voting-Lösung "CHVote" einige Schwachstellen entdeckt. Nun äusserte sich der Kanton St. Gallen, der das System verwendet, zu den Sicherheitslücken.

(Source: Feng Yu / Fotolia.com)
(Source: Feng Yu / Fotolia.com)

Update vom 08.11.2018

Der Chaos Computer Club Schweiz hat einen Weg gefunden, die Genfer E-Voting-Lösung "CH-Vote" auszutricksen. Der Kanton St. Gallen, der das System verwendet, hat nun Stellung zum Vorfall bezogen: Die Vorgehensweise, welche der Chaos Computer Club angewendet habe, sei keine neue Erkenntnis und werde bereits im Anhang der Verordnung der Bundeskanzlei vom Dezember 2013 über die elektronische Stimmabgabe als ein Szenario beschrieben, für das Vorkehrungen zu treffen seien. 

Ausserdem verweist der Kanton darauf, dass das Genfer E-Voting-System durch Prüfcodes dafür sorgt, dass jeder Wähler selbst überprüfen kann, ob seine Stimme korrekt und unverändert in der elektronischen Urne landet. Weiter müssten zentrale Elemente der Internet-Infrastruktur unter Kontrolle gebracht werden, damit eine grossflächige Umleitung auf eine falsche Seite überhaupt möglich wäre, wie in der Mitteilung des Kantons steht. 

 

Originalmeldung vom 05.11.2018

Das E-Voting-System "ChVote" weist Schwachstellen auf. Volker Birk vom Chaos Computer Club Schweiz konnte die Genfer E-Voting-Lösung, die auch in anderen Kantonen verwendet wird, innert weniger Minuten austricksen, wie das SRF schreibt. Das Genfer System verwende ein unsicheres Verfahren beim Schutz der eigenen Web-Adresse, sagt Birk gegenüber SRF. Hacker könnten an die Stimmabsichten der online Abstimmenden kommen oder Stimmen manipulieren, indem sie User auf eine gefälschte Seite umleiteten.

Gegenüber SRF teilte der Kanton Genf mit, dass das Problem beim E-Voting-System seit längerem bekannt sei und nicht ignoriert werde. Es bestünden bereits gewisse Gegenmassnahmen.

"Eine Attacke auf die Privatsphäre – das Ausspionieren der Stimmen – ist relativ leicht durchführbar, sobald die Hacker den Stimmbürger umgeleitet haben", weiss Eric Dubuis, Professor für Informatik an der Berner Fachhochschule und Leiter des Research Institute for Security in the Information Society. Stimmen zu manipulieren sei hingegen schwieriger. Denn um eine Manipulation zu verhindern werden Verifikationscodes eingesetzt, die der Stimmbürger jeweils abgleichen muss. Diese gehören zu den Gegenmassnahmen, die der Kanton Genf erwähnt, wie Dubuis gegenüber SRF sagt.

Um sich bei den Abstimmungen vom 25. November zu schützen, rät das SRF zu folgenden Massnahmen:

  1. Immer die vollständige URL mit dem https-Präfix in die Adresszeile eingeben.

  2. E-Voting-Plattform nicht über Suchmaschinen aufrufen.

  3. Durch einen Klick auf das Schloss-Symbol in der Browser-Adresszeile verifizieren, dass der Urheber mit den Angaben in den brieflichen Unterlagen übereinstimmt und dass die digitale Signatur korrekt ist.

  4. Anweisungen auf den brieflich zugeschickten Unterlagen genau befolgen und auf keinen Fall davon abweichen.

  5. Prozess sofort abbrechen, falls die Webseite eine andere Prozedur verlangt, als vorgegeben ist. In diesem Fall die Behörden informieren.

 

Webcode
DPF8_114384

Kommentare

« Mehr