Sicherheitslücke in Genfer E-Voting-Software demonstriert

Malware könnte Stimmen auf den PCs von Abstimmenden ändern, ohne dass diese etwas mitkriegen.
 
Wie die 'SonntagsZeitung' berichtet, hat der Genfer Sicherheitsexperte Sebastien Andrivet eine Sicherheitslücke in der E-Voting-Software gefunden, die im Kanton Genf verwendet wird. Die Schwachstelle könnte es erlauben, durch das Einschleusen von Malware auf den PCs von Stimmbürgern deren Stimmen zu fälschen, ohne dass sie das merken.
 
Andrivet hat in einem Vortrag an einem Security-Kongress detailliert geschildert, wie er diese Sicherheitslücke durch einen "Proof-of-Concept"-Angriff ausnützen konnte. Ein Video des kompletten, rund 45 Minuten langen Vortrags (auf französisch), findet man auf YouTube.
 
Laut Andrivet hat das Genfer E-Voting-System einige konzeptionelle Schwächen: Abstimmende können ihre Eingabe noch ändern, bevor sie abgeschickt wird und der Bestätigungscode wird schon angezeigt, bevor man tatsächlich abgestimmt hat. Der Code ändert sich auch nicht, wenn man "Ja" oder "Nein" stimmt, und ist zudem auch für alle Einzelabstimmungen gleich. Andrivet hat dies ausgenützt und eine Sofware geschrieben, die sich auf dem PC eines Users unsichtbar in die Abstimmungssoftware einklinkt und das Verhalten der Schaltfläche "Voter" ("Abstimmen") geändert. Dieser Knopf bewirkt eigentlich den Anschluss des Stimmvorgangs und schickt den elektronischen Stimmzettel auf die Server des E-Voting-Systems. Die manipulierte Schaltfläche ändert allerdings vorher noch schnell die Anworten auf alle Einzelabstimmungen auf "Ja", ohne dass der User dies sieht.
 
Das Genfer E-Voting-System wird laut der 'SonntagsZeitung' auch in den Kantonen Bern, Luzern und Basel-Stadt verwendet. Die Genfer Staatskanzlei erklärte gegenüber der 'SonntagsZeitung', dass die von Andrivet demonstrierte Lücke bekannt sei, und dass bereits Massnahmen eingeleitet worden seien, um sie zu schliessen. (hjm)