Öffentlicher E-Voting-Hack startet mit Präzisierungen

Die Bundeskanzlei und die Post erläutern den PIT, kommentieren Kritik und geben eine Verbesserung bekannt.
 
Heute Mittag begann der Public-Intrusion-Test (PIT) des E-Voting-Systems der Post. Und nach Spekulationen, kritischen Fragen, Spott, einem Quell-Code-"Leak" und mitten im Polittrubel eines angekündigten E-Voting-Moratoriums wollten die Zuständigen der Bundeskanzlei und der Post den Medien die Ziele und die Faktenlage erklären.
 
Getestet wird das proprietäre E-Voting System der Post, welches von der spanischen Firma Scytl gebaut wurde, aber in einer neuen Version: Diese bietet die "universelle Verifizierbarkeit", im Unterschied zur seit 2015 eingesetzten Post-Lösung mit "individueller Verifizierbarkeit".
 
Zu Spekulationen, Spott und Kritik hielten die Anwesenden zuerst einmal die Zuständigkeiten fest: "Die Kantone sind die Treiber für das E-Voting, nicht der Bund", grenzte Sprecher René Lenzin die Bundeskanzlei erneut ab. "Sie beschaffen und betreiben E-Voting-Systeme."
 
Zum als falsch kritisierten Scope des Tests (Umsysteme, Endpoints sind nicht Bestandteil) hiess es, es handle sich um gängige Security-Praxis. Die Bundeskanzlei sei von externen Experten beraten worden und Denis Morel, Leiter E-Voting der Post, hielt fest, man halte sich an die Vorgaben des Staats. "Ich bin nicht einverstanden mit der Kritik, der Scope sei zu eng gefasst. Mit dem Intrusionstest kann viel getestet werden, er bietet Interessierten breite Angriffsmöglichkeiten", so Morel zu den Medien.
 
Die welsche Firma SCRT ihrerseits wurde beauftragt, den PIT durchzuführen. Sie macht die Triage der Eingaben von registrierten Hack-Willigen und leitet plausible Befunde an die Post weiter. Nicht direkt involviert sind die Kantone, welche E-Voting-Lösungen beschaffen und mit einer Bewilligung aus Bern einsetzen. Diese sind verantwortlich für die Security ihrer Plattformen, ebenso für Social-Engineering-Abwehr und die Sensibilisierung der Bürger.
 
Bereits zuvor war dementiert worden, dass es ein "Leak" des Quellcodes gegeben habe. Und zum viel retweeteten Vorwurf eines Kryptographen wegen einer Schwachstelle hielt die Post im eigenen Blog fest, dabei handle es sich laut einer Expertenprüfung nicht um eine Lücke.
 
Kritisiert wurde im Vorfeld ebenfalls die Qualität der Dokumentation, beziehungsweise den Mangel daran. Man habe die Anregung erhalten und werde die Dokumentation verbessern, versprach Morel seitens der Post.
 
Zum Ist-Zustand: Im vierwöchigen Test – solange wie eine elektronische Urne bei einer realen Abstimmung oder Wahl offen wäre – können registrierte Personen Angriffe auf das Kernsystem der Post machen. Sie sollen versuchen die Server zu hacken, Stimmen zu fälschen oder das Stimmgeheimnis zu brechen.
 
Das Ziel des PIT sei "Erkenntnisgewinn", so die Zuständigen, zudem gehe es um Transparenz und, so betonten die Bundeskanzlei wie die Post, "eine faktenbasierte Diskussion". Die Hoffnung ist, man lerne anhand all der registrierten Hacker unkonventionelle Angriffsmethoden oder allfällige Lücken im Post-Kernsystem. Die Sicherheit des E-Votings an sich lasse sich so aber nicht überprüfen, hielten Bundeskanzlei und Post fest. Dies ist auch die Meinung von uns befragten ICT-Security-Experten.
 
Einigen Erkenntnisgewinn habe das E-Voting schon heute, hielt Philipp Egger, Head of IT und Infrastruktur des Kantons St. Gallen fest. Es seien heute schon elektronische Systeme im Einsatz, sei es das Stimmrechtsregister oder in der Druckerei für die Unterlagen. "E-Voting führt zu grossem Knowhow-Aufbau über alle Stimmsystem-Elemente und Prozesse hinweg", so Egger.
 
Zur Architektur der E-Voting-Lösungen der Postkunden wurde übrigens gesagt, dass jeder Kanton eine eigene Instanz der E-Voting-Lösung erhalte. Diese seien untereinander logisch getrennt, aber nicht physisch. Auch werden kantonale Lösungen und Prozesse auf die Sicherheit hin zertifiziert. “Sensible Arbeiten geschehen direkt bei den Kantonen”, so Philipp Egger vom Kanton St. Gallen.
 
Zur Definition von Sicherheit gab und gibt es wenig Überprüfbares. "Schwachstellen müssen Sicherheitsmassnahmen gegenüber stehen, die hinreichend wirksam sind", so das Security-Ziel aus Sicht Bundeskanzlei. Konkreter – wann ist die Lösung praxistauglich oder nicht – äusserten sich weder Post noch Bundeskanzlei. Welche Benchmarks erfüllt sein müssen ist Aussenstehenden nicht klar. Sobald Kantone ein Zulassungsgesuch stellen, werde der Bund entscheiden, so Oliver Spycher, stellvertretender Projektleiter Vote électronique bei der Bundeskanzlei.
 
Im Fokus des PIT steht die neue "Universelle Verifizierbarkeit", die Seele der neuen Lösung. Damit gemeint ist "die öffentliche Buchhaltung" des E-Votings, mit dem unter gewissen Annahmen nachgewiesen werden kann, dass eine Stimme nach dem Prinzip "cast-as-intended", "recorded-as-cast" und "counted-as-recorded" abgegeben, via Internet übermittelt und gezählt wurde.
 
In Zusammenhang mit der Post-Lösung wird eine Stimme in vier unterschiedlichen Komponenten abgespeichert und ein Aussenstehender, beispielsweise ein Mitglied der Wahlbehörde kann die Abstimmung überprüfen. Dabei bleibe das Stimmgeheimnis jederzeit gewahrt. Die spezielle Kryptographie basiere auf dem wissenschaftlichen Fundament grosser Universitäten und komme nicht vom Staat oder der Post.
 
Einige E-Voting-Experten schlagen vor, dass jedermann in einem "Bulletin Board" nachprüfen können soll, wie die Stimmabgabe verlief. Spycher sagt, die vier Komponenten könne man auch als vier "Bulletin Boards" verstehen. Der Post-Zuständige ergänzt, die Ebene der universellen Verifizierbarkeit habe Scytl im Auftrag der Post gebaut.
 
Bis Testende, dem 25. März, ist nun ein Postteam dafür zuständig, Anfragen der registrierten Hacker zu beantworten. "Die Tester werden möglichst schnell eine Antwort auf ihre Fragen kriegen", verspricht Morel. Rund 2700 Interessierte aus der ganzen Welt haben sich bis anhin angemeldet, dies sind laut den Verantwortlichen sehr viele. Zu den Qualifikationen der Angemeldeten lässt sich nichts sagen, steht die Anmeldung zum Test doch jedem offen. (Marcel Gamma)