Öffentlicher E-Voting-Hack: Gab es ein Leak?

In der nationalen Verordnung, welche das E-Voting reguliert, heisst es: "Der Quellcode der Software des Systems muss offengelegt werden." Die Dokumentation über das System und den Betrieb müsse ebenfalls offengelegt werden. Die Offenlegung ist eine der Bedingungen, die ein Kanton erfüllen muss, will er eine Bewilligung zum E-Voting-Einsatz erhalten. Soweit die gültige Verordnung.
 
Nun ist der Quellcode des E-Voting-Systems der Post samt Dokumentation bereits vor dem öffentlichen Hack-Test (PIT) auf Gitlab aufgetaucht. Dies sei ein "Leak" und zeige die Naivität des Test-Settings und der Post, heisst es in Tweets.
 
"Cybervoting/Leaks - restrictively licensed and proprietary cybervoting software of @swisspost/@scytl was leaked", twittert beispielsweise der Schweizer 'Chaos Computer Club'. Das betreffende Gitlab-Repository trägt den Namen "fickdiepost" und wurde am 9. Februar publiziert.
 
Ist dies denn überhaupt ein Leck? "Nein", antwortet ein Sprecher der Post. "Es wurde kein Quellcode geleakt. Den Quellcode ihres E-Voting-Systems haben die Post und Scytl (Hersteller des E-Votings, Anm. d. Red) am 7. Februar veröffentlicht (post.ch/evoting-sourcecode). Seither kann jeder und jede den Quellcode herunterladen, analysieren und wissenschaftlich damit arbeiten. Studien dürfen publiziert werden und es kann aus dem Quellcode zitiert werden."
 
Es handle sich um den gesamten Code und nicht nur um Teile, so die Post. "Der legale Zugang zum offengelegten Quellcode der Post erfolgt über die offizielle Webseite". Nun muss man sich registrieren, um darauf Zugriff zu erhalten, und Bedingungen akzeptieren, was dem Öffentlichkeitsprinzip aber nicht entspreche, monieren Kritiker das Setting. Der Bund schreibt aber nur vor: "Er muss einfach und unentgeltlich über das Internet beziehbar sein."
 
Für die Post gibt es keinerlei Konsequenzen aus der Publikation auf Gitlab zu ziehen. "Der offengelegte Quellcode hat nichts mit den Regeln des Intrusionstests zu tun." Die Bundeskanzlei stimmt zu: "Die Anforderungen von Bund und Kantonen zum PIT werden durch eine weitergehende Veröffentlichung des Quellcodes nicht verletzt", so die Sprecherin. "Auch nach dem Intrusionstest kann man den Quellcode herunterladen und gemäss den Prinzipien der verantwortungsvollen Offenlegung der Post Beobachtungen melden", sagt der Post-Sprecher weiter.
 
Laut der Verordnung des Bundes müssen nicht alle Komponenten des E-Voting-Systems offengelegt werden. Ausgenommen ist Quellcode von "Drittkomponenten wie Betriebssystemen, Datenbanken, Web- und Applikationsservern, Rechteverwaltungssystemen, Firewalls oder Routern, sofern diese weit verbreitet sind und laufend aktualisiert werden sowie Behördenportalen, die mit einem System verbunden sind".
 
Zu den PIT-Regeln gehört, dass nur die Software öffentlich getestet wird, alles andere aber nur intern. Warum dem so ist, haben Bundeskanzlei und Post auf Anfrage präzisiert. Informationen zu diesen Tests bezüglich Umfang, Häufigkeit, Verantwortliche oder erzielte Ergebnisse sind nicht öffentlich verfügbar.
 
Entsprechend kann man viele grundsätzliche Fragen angesichts des Settings stellen, zur Lösung der spanischen Firma Scytl ebenso. Allerdings sind diese nicht Bestandteil dieses PIT.
 
Ein zweiter Vorwurf, der via Twitter mehrfach gemacht wird, hingegen schon: Die publizierte Dokumentation sei schlecht. Sollte sich diese Kritik unabhängig von politischen Interessen der E-Voting-Gegner bewahrheiten, so wäre dies ein Rückschlag für die Post und auch die Bundeskanzlei. Die Verordnung verlangt nämlich, "der Quellcode muss nach besten Praktiken aufbereitet und dokumentiert werden" Zudem: "Eine Dokumentation zum System und zu dessen Betrieb muss die Relevanz der einzelnen Teile des Quellcodes für die Sicherheit der elektronischen Stimmabgabe erklären." (mag)
 
(Update (19:58 Uhr): Der Quellcode des E-Voting-Systems wurde über Gitlab veröffentlicht, nicht Github, wie es in einer früheren Version dieses Textes hiess.)