Diese schweren Lücken haben Pentester im E-Voting-System der Post entdeckt

28. Oktober 2021 um 12:57
  • e-voting
  • die post
  • security
  • developer
  • it-anbieter
image

Bislang wurden drei als "hoch" klassifizierte Lücken im Betasystem gefunden. Laut Post gibt es für alle eine Lösung.

 Seit Anfang 2021 legt die Post ihr E-Voting-System Schritt für Schritt offen. Damit will der Gelbe Riese Vertrauen schaffen, nachdem er seine E-Voting-Lösung 2019 zurückziehen musste, weil bei öffentlichen Tests erhebliche Mängel entdeckt worden waren. Die sukzessive Veröffentlichung soll ein ähnliches Fiasko verhindern.
Dazu wird nicht nur das System in Etappen veröffentlicht, sondern auch immer wieder Bericht erstattet. So teilt die Post nun mit, dass bislang 111 Meldungen eingegangen seien. Darunter Hinweise auf drei schwerwiegende Probleme – aber keine auf kritische Lücken. Zwei der Hinweise seien bereits zu Beginn des öffentlichen Bug-Bounty-Programms eingegangen, einer davon im Oktober, heisst es von der Post.
Im Juni entdeckten drei Security-Experten, dass ein Angreifer das Stimmgeheimnis von mehreren Bürgerinnen und Bürgern brechen könnte. Dazu müsste er Teile der Server-Infrastruktur der Post und die letzte Offline-Kontrollkomponente, die durch den Kanton betrieben wird, kontrollieren. Die Lücke erhielt die Risikostufe "hoch". Bereits im Februar war einem Tester aufgefallen, dass ein Angreifer an Informationen gelangen könnte, mit deren Hilfe er Prüfcodes und den Bestätigungscode erraten könnte. Wenn er in die E-Voting-Infrastruktur eindringen könnte, wäre er demnach in der Lage, einem Stimmberechtigten die korrekte Registrierung der Stimme vorzugaukeln und im Hintergrund dennoch die Stimme verfälscht zu registrieren. Der Schweregrad wurde hier ebenfalls mit "hoch" angegeben.
Parallel zum öffentlichen Test untersuchen seit Juli auch vom Bund ernannte Experten das System der Post. Der kritische Befund vom Oktober stamme aus dieser Quelle, heisst es vom staatsnahen Unternehmen.
Die vom Bund ernannten Experten haben ebenfalls eine Lücke mit dem Schweregrad "hoch" entdeckt. Dies könnte es einem Angreifer erlauben, einen öffentlichen Schlüssel, der zur sicheren, unveränderten Übermittlung einer Meldung an den Stimmberechtigten zum Einsatz kommt, zu verfälschen. Da sie die anderen Kontrollkomponenten dazu bringen könnten, diesen trotzdem zu akzeptieren, würden Stimmberechtigte ihre Stimmabgabe nicht mehr individuell verifizieren könnte. Der Angriff würde aber bei der Überprüfung durch den Kanton auffallen, hält die Post in einer Beschreibung der "Insufficent Signatur Validation of the Election Public Key" fest.
Man habe zu allen drei Problemen Lösungsvorschläge vorgelegt, in einem Fall die Korrektur bereits umgesetzt, so die Post, die die Befunde auf Gitlab dokumentiert. Die Belohnungabstufungen und die Rangliste der Entdecker kann man auf der Bug-Bounty-Plattform "Yes We Hack" anschauen.
Die Tester können vom Konzern für einen Fund je nach Schweregrad bis zu 250'000 Franken erhalten. Die höchsten Prämien werden für schwerwiegende Entdeckungen gesprochen, etwa wenn es Angreifern gelingen könnte, individuelle Stimmen oder einen Urngengang leicht zu manipulieren, ohne dass dies bemerkt würde. Eine solche kritische Lücke wurde noch nicht entdeckt. Bislang wurden insgesamt 53'000  Franken Belohnung ausbezahlt.

Loading

Mehr erfahren

Mehr zum Thema

image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Iraner wollten US-Wahlkampf mithilfe von ChatGPT beeinflussen

OpenAI hat ChatGPT-Accounts von iranischen Nutzern identifiziert und gesperrt. Diese hatten Inhalte erstellt, um Wählerinnen und Wähler in den USA mit Fake News zu beeinflussen.

publiziert am 19.8.2024