Kaum ein Schweizer E-Government-Projekt erregte soviel internationales Aufsehen, wie der öffentliche PIT-Test des E-Voting-Systems der Post diesen Frühling. Nun ist der Schlussbericht des Steuerungsausschusses von der Bundeskanzlei (BK) publiziert worden, inklusive dem Bericht der mit dem PIT beauftragten Firma SCRT.

Wohlgemerkt, es handelt sich primär um das E-Voting-System mit der vollständigen Verifizierbarkeit, das noch nie eingesetzt wurde und das schon vor dem PIT wegen der Code-Qualität kritisiert worden war.

Ganz grundsätzlich bestätigt der Bericht die öffentlich geäusserten Einschätzungen von Experten und Aktivisten: Die Mängel im Code waren "erheblich", so der Bericht. Der Steuerungsausschuss, bestehend aus Bundes- und Kantonsvertretern, legt den Verantwortlichen in Konsequenz drei Dinge nahe:

Erstens Bug Bounty für Mängel im Quellcode und Dokumentationen ausschreiben. Zweitens seien "die gemachten Erfahrungen wegweisend für die Etablierung einer Qualitäts- und Fehlerkultur". Und drittens bestehe speziell im Bereich Offenlegung und Aufbereitung des Source Codes "Handlungsbedarf".

Die Empfehlungen basieren auch auf dem schon produktiv im Einsatz stehenden zweiten E-Voting-System der Post mit "individueller Verifizierbarkeit". Bei diesem wurden drei Mängel ausserhalb des PIT entdeckt, die die Autoren von Bund und Kanton als "erheblich" einschätzen. Neben dem PIT-Test des künftigen Systems wurde so die Post gezwungen, dieses zugelassene System bei der Mai-Abstimmung in Kantonen gar nicht mehr einzusetzen.

Im eigenen Bericht der Post, den diese separat publizierte, werden nur die Schwachstellen behandelt, die im Rahmen des öffentlichen PIT festgestellt wurden. Dieser ergab laut Post: Die Hacker haben insgesamt 173 Befunde eingereicht. Davon haben Bundeskanzlei, Kantone und Post 16 bestätigt. Sie fallen in die unterste Klassifizierungsstufe "Best Practice" und können somit als unkritisch eingestuft werden. Für diese wurden zwischen 100 und 400 Franken Bug Bounty ausbezahlt.

Etwas vorsichtiger drückt sich SCRT, zuständig für den PIT-Test, in ihrem von der Bundeskanzlei soeben publizierten Abschlussbericht aus. "Der Umfang des PIT scheint richtig definiert und relevant zu sein, um die Sicherheit des Systems gegen böswillige Wähler und Angreifer zu bewerten, die das E-Voting-System über das Internet angreifen", schreiben die Pen-Tester. Allerdings sei die Angriffsfläche "sehr begrenzt, da das Backend für die Teilnehmer nicht direkt zugänglich war", fügen sie hinzu.

Auf Basis der publizierten Berichte bilanzieren die Kantons- und Bundesvertreter: "Ein Eindringen in die Infrastruktur, eine Manipulation von Stimmen oder ein Brechen des Stimmgeheimnisses konnte im Rahmen des PIT nicht festgestellt werden." Die Post habe die Anforderungen von Bund und Kantonen "in den meisten Punkten erfüllt", schliesst der Bericht.

Die Bundeskanzlei hat aber vom PIT unabhängig weitere Berichte bestellt, die Ende Juli, mitten in den Sommerferien publiziert wurden, ohne dies mit einer Medienmitteilung zu verbinden.

Die vormals produktive E-Voting-Lösung steht dabei in der Kritik eines Berichtes der Security-Forscher Olivier Pereira (Belgien) und Vanessa Teague (Melbourne) unter dem Titel "Report on the SwissPost-Scytl e-voting system, trusted-server version". Sie konstatieren: "Wir fanden signifikante Fehler und Auslassungen im Nachweis der individuellen Verifikation sowie signifikante Abweichungen vom aktuellen Protokoll. Es gibt auch Unterschiede zwischen Spezifikation und dem Code." Sie hätten keine Beweise finden können, dass der Stimmende verifizieren kann, dass er wie beabsichtigt gestimmt hat ("Cast-as-intended"). Allerdings auch keine Beweise für das Gegenteil. Dieses System ist inzwischen Teil der Schweizer Technologie-Geschichte.

Ein zweiter Bericht vom Juli 2019, den die Bundeskanzlei bei den Wissenschaftern Philipp Locher, Rolf Haenni und Reto E. Koenig der Berner Fachhochschule bestellt hat, besagt auf der positiven Seite, dass eine gravierende Lücke beseitigt worden sei: "Ein spezifisches Problem erlaubte es einem Angreifer, den individuellen Verifizierungsmechanismus so zu umgehen, dass Stimmmanipulationen unentdeckt blieben. In Bezug auf dieses spezifische Problem bestätigt unsere Analyse des aktuellen Systems, dass das Problem behoben wurde und dass die entsprechenden Dokumente angemessen aktualisiert wurden".

Andererseits erhält die kryptographische Implementierung der E-Voting-Lösung bei den Bernern keine guten Noten. Vier Probleme haben die Forscher festgesellt. Die kryptographischen Parameter können unentdeckt manipuliert werden, zudem gebe es Probleme mit Tabellen. Des Weiteren gebe es "eine grosse Abweichung vom kryptographischen Protokoll in einem der Kernalgorithmen des Protokolls, die bei der Stimmabgabe verwendet wird". Viertens resultieren Probleme offenbar aus dem Fehlen einer Überprüfung der Eingabeparameter einiger kryptographischer Algorithmen, wie die Autoren schreiben.

Sie beurteilen dies im Bericht "Analysis of the Cryptographic Implementation of the Swiss Post Voting Protocol" als "erhebliche Probleme".

Nicht zuletzt beschäftigt sich ein Security-Audit von Oneconsult von Ende Juni ergänzend mit dem Betrieb des E-Votings sowie den zuständigen Teams. Der Audit stellte keine Schwachstellen fest, die das E-Voting "ernsthaft gefährden" beziehungsweise direkte Manipulationen ermöglichen würden. Das positive Urteil erstrecke sich von der Personal-Rekrutierung über den Betrieb vor, während und nach Abstimmungen bis hin zum IT-Notfallmanagement. Prüfnorm hier war insbesondere ISO 27002:2013 für eine vertiefte, aber nicht umfassende Security-Prüfung.

Die Dokumente sind einzeln als PDF bei der Bundeskanzlei sowie der Post verfügbar und richten sich mehrheitlich an Security-Fachleute. Die Post ihrerseits hat bereits entschieden, nur am neuen System mit universeller Verifizierbarkeit weiterzuarbeiten und will es 2020 testen. (Marcel Gamma)