Im letzten September
berichtete inside-it.ch von Problemen mit Software zur Ermittlung von Wahl- und Abstimmungsergebnissen. Das Magazin 'Republik' hatte damals einen technischen Report publiziert, der Schwachstellen aufzeigte. In der Kritik stand auch "Sesam", die am weitesten verbreitete Lösung für diesen Bereich.
Sesam, die Wahlsoftware der gleichnamigen Zürcher Firma, wird von den Kantonen Graubünden, Glarus, Uri, Baselland, Basel-Stadt, Luzern, Schaffhausen, Nidwalden und Obwalden benutzt. Ein Kritikpunkt im letzten Herbst lautete, dass das Default-Passwort des Systems "Wahlen" lautete. Dies sei in der Anleitung zu finden, die man im Internet abrufen könne.
Sesam versprach Massnahmen. Nun erklärt Geschäftsleiter Reinhard Semlitsch, dass man die Anleitung aus dem Internet entfernt und die Kantone zur Änderung des Passworts aufgefordert habe.
Offenbar haben auch die Kantone reagiert und in Folge der Medienberichte eine Arbeitsgruppe gegründet. Dies geht aus einer Antwort der Schaffhauser Regierung auf eine Anfrage im Kantonsrat hervor: Die Kantone hätten "vereinbart, künftig in diesem Bereich vermehrt zusammenzuarbeiten und in einen noch engeren Austausch mit dem Anbieter der Software insbesondere auch in Sachen Sicherheitsaspekte zu treten".
Sesam-Geschäftsführer Semlitsch unterstreicht, dass die Lösung auf den internen Servern der Kunden laufe, ein Angriff von aussen also praktisch ausgeschlossen sei. Der Kanton Schaffhausen speise die Resultate in ein internes Netz ohne Internet-Verbindung ein, womit Angriffe von aussen ausgeschlossen seien, schreibt auch die Regierung.
Sie sehe keinen Anlass, eine neue Software für die Ermittlung der Wahlresultate in Betracht zu ziehen. IT-Experten hatten im Herbst Anfälligkeit für Insider-Angriffe festgestellt: Es werde ein einzelnes Userkonto für die Datenbank verwendet, mit dem man umfassende Administrationsbefugnisse erhalte. Wer Zugriff habe, können die Datensätze uneingeschränkt manipulieren.
Auch Zugriffe auf die Datenbank befürchtet man in der Schaffhauser Exekutive offenbar nicht. "Die für die Resultatermittlung eingesetzten Zweierteams haben keinen Zugriff auf die gesamte Datenbank", sondern könnten nur die ihnen zugeteilten veränderten Wahlzettel in die Software einspeisen. Einblick in die Resultate seien nicht möglich, zudem würden die Personen auf Einhaltung von Stimmgeheimnis und Datenschutz hingewiesen.
Semlitsch weist darauf hin, dass Sesam vom "Wahlzettel bis zum Endresultat" transparent und verifizierbar sei. Auch ein interner Angreifer hätte also angesichts der Prozesse kein leichtes Spiel. Die mit Sesam ermittelten Wahlergebnisse würden vom Kanton anhand von den Gemeinden gelieferten Formularen überprüft. Zusätzlich würde diesen der Sesam-Report übermittelt, der dann von der zuständigen Person in der Gemeinde geprüft und unterzeichnet würde, schreibt die Regierung von Schaffhausen.