Schweizer E-Voting: Kritische Lücke im Quellcode ist kleineres Problem

Beim öffentlichen Intrusion-Tests der Post wurde eine kritische Security-Lücke entdeckt und geschlossen. Dabei zeigen sich mindestens drei wichtigere Security-Probleme.
 
IT-Security-Forscher fanden parallel zum laufenden Public Intrusion Test (PIT) einen kritischen Fehler im Quellcode des E-Votings der Post. Dies meldet die Post.
 
Der Fehler beeinträchtigt die sogenannte "universelle Verifizierbarkeit". Diese ist das technologische Äquivalent einer Nachzählung von Stimmzetteln auf Papier. "Die Experten konnten aufzeigen, dass diese Lücke dazu genutzt werden könnte, um Stimmen zu manipulieren, ohne dass dies nachgewiesen werden könnte", schreibt die Post.
 
Die heute schon bewilligten Live-Systeme hätten diese Lücke nicht, sondern nur die neue, nicht zugelassene, nun öffentlich getestete E-Voting-Lösung.
 
Die Post habe den E-Voting-Hersteller, die spanische Firma Scytl informiert und die Lücke sei geschlossen. In einer Beschreibung der Lücke und deren Schliessung zeigt die Post grundsätzlich den technischen Hintergrund auf. Vereinfacht gesagt, konnte man die Funktionsweise eines "Zufallgenerators" nicht überprüfen.

Aber, so erklärt die Post, "die Funktion, die die zufälligen Generatoren generiert, wurde mit einer verifizierbaren ausgetauscht, welche konform zum anerkannten Standard NIST FIPS 186-4 Appendix 2.3 ist. Das beschriebene Problem ist dadurch gelöst."
 
Die Lücke war seit 2017 bekannt
Wie gravierend war die Lücke tatsächlich? Sie sei zwar kritisch, aber "der Fehler allein ermöglicht es jedoch nicht, ins E-Voting-System einzudringen", so die Mitteilung der Post. Es gäbe viele Security-Hürden zu überwinden, bevor Hacker die Lücke tatsächlich ausnutzen könnten: "Sie bräuchten beispielsweise Kontrolle über die gesicherte IT-Infrastruktur der Post sowie die Hilfe von mehreren Insidern mit Spezialwissen bei der Post oder den Kantonen."
 
Die Bundeskanzlei ihrerseits bestätigte, dass die Lücke es nicht erlaube, ins System einzudringen. Aber die Security-Forscher hätten zeigen können, dass das System keine aussagekräftigen mathematischen Beweise zur Überprüfung von allfälligen Manipulationen erzeuge. "Mit diesem Mangel erfüllt das System der Post somit die gesetzlichen Anforderungen nicht", schreibt die Bundeskanzlei, die ein E-Voting bewilligen muss, in einer Mitteilung.
 
Wäre dies alles, so könnte man von allenfalls einem Teilerfolg des PIT sprechen. Lücke entdeckt, geschlossen, Sicherheit weiter erhöht.
 
Aber davon kann man nicht sprechen. In einem Satz der Medienmitteilung steht nämlich: "Der Fehler wurde bereits 2017 identifiziert. Die Korrektur wurde vom Technologiepartner Scytl, der für den Quellcode verantwortlich ist, jedoch nicht vollständig umgesetzt."
 
Es sind je nach Zählweise fünf oder mehr Probleme, die sich hier manifestieren und von denen einige beispielsweise bei einem IT-Service Management nach ITIL gar nicht auftreten dürften.
 
Erstens funktionierte bis anhin das Fehlermanagement und Bugfixing bei Post und Scytl nicht einwandfrei und dies bei Kernkomponenten. Zweitens funktioniert das Change Management nicht richtig. Es kontrollieren weder die Post noch Scytl, ob Updates, Patches etcetera vollständig und korrekt eingespielt werden. Drittens bemerkt dies in bisherigen Audits und Zulassungen keiner der Beteiligten.
 
Hier offenbaren sich zwei weitere Probleme. Denn dies alles hat nichts mit E-Voting an sich zu tun, ebensowenig mit dem technologischen oder kryptographischen Neuland. Ein Security-Experte erklärte uns kürzlich "off the record", man könne den Kern eines E-Voting-Systems durchaus äusserst sicher umsetzen und die nötige Kryptographie sei gut erforscht, umsetz- und auditierbar.
 
Der Experte, der an Projekten mit höchsten Anforderungen von Staat und Firmen (aber weder am PIT noch am E-Voting) beteiligt ist, wies darauf hin, eines der grössten Probleme liege in der operativen Umsetzung. Programmierfehler werde man in jedem Quellcode finden und fehlerfreies Programmieren sei an sich schon sehr aufwändig. Noch mehr Gewicht müsse man auf die saubere, rasche Umsetzung von Änderungen durch unterschiedliche Beteiligte legen. All dies sei nicht nur eine Frage von Rollen und Prozessen. Es sei eine Frage der Zeit- und Budgetvorgaben und diese spielen bei jedem kommerziellen Projekt eine Rolle.
 
Diese Aussage ist hier relevant, denn die E-Voting-Lösung ist für Scytl und für die Post ein Projekt und ein viel versprechendes Geschäftsfeld, mit welchem sie Geld verdienen wollen. Es stellen sich bei diesem "Champions-League-Projekt" der Schweizer Informatik nun erstmals Fragen nach Geld, Zeit, dem exakten Auftrag von Scytl, ganz abgesehen von der Qualitätssicherung und der Qualität von Audits und dem Incident Management. (Marcel Gamma)