Diese schweren Lücken haben Pentester im E-Voting-System der Post entdeckt

28. Oktober 2021, 12:57
  • e-voting
  • die post
  • security
  • developer
  • it-anbieter
image

Bislang wurden drei als "hoch" klassifizierte Lücken im Betasystem gefunden. Laut Post gibt es für alle eine Lösung.

 Seit Anfang 2021 legt die Post ihr E-Voting-System Schritt für Schritt offen. Damit will der Gelbe Riese Vertrauen schaffen, nachdem er seine E-Voting-Lösung 2019 zurückziehen musste, weil bei öffentlichen Tests erhebliche Mängel entdeckt worden waren. Die sukzessive Veröffentlichung soll ein ähnliches Fiasko verhindern.
Dazu wird nicht nur das System in Etappen veröffentlicht, sondern auch immer wieder Bericht erstattet. So teilt die Post nun mit, dass bislang 111 Meldungen eingegangen seien. Darunter Hinweise auf drei schwerwiegende Probleme – aber keine auf kritische Lücken. Zwei der Hinweise seien bereits zu Beginn des öffentlichen Bug-Bounty-Programms eingegangen, einer davon im Oktober, heisst es von der Post.
Im Juni entdeckten drei Security-Experten, dass ein Angreifer das Stimmgeheimnis von mehreren Bürgerinnen und Bürgern brechen könnte. Dazu müsste er Teile der Server-Infrastruktur der Post und die letzte Offline-Kontrollkomponente, die durch den Kanton betrieben wird, kontrollieren. Die Lücke erhielt die Risikostufe "hoch". Bereits im Februar war einem Tester aufgefallen, dass ein Angreifer an Informationen gelangen könnte, mit deren Hilfe er Prüfcodes und den Bestätigungscode erraten könnte. Wenn er in die E-Voting-Infrastruktur eindringen könnte, wäre er demnach in der Lage, einem Stimmberechtigten die korrekte Registrierung der Stimme vorzugaukeln und im Hintergrund dennoch die Stimme verfälscht zu registrieren. Der Schweregrad wurde hier ebenfalls mit "hoch" angegeben.
Parallel zum öffentlichen Test untersuchen seit Juli auch vom Bund ernannte Experten das System der Post. Der kritische Befund vom Oktober stamme aus dieser Quelle, heisst es vom staatsnahen Unternehmen.
Die vom Bund ernannten Experten haben ebenfalls eine Lücke mit dem Schweregrad "hoch" entdeckt. Dies könnte es einem Angreifer erlauben, einen öffentlichen Schlüssel, der zur sicheren, unveränderten Übermittlung einer Meldung an den Stimmberechtigten zum Einsatz kommt, zu verfälschen. Da sie die anderen Kontrollkomponenten dazu bringen könnten, diesen trotzdem zu akzeptieren, würden Stimmberechtigte ihre Stimmabgabe nicht mehr individuell verifizieren könnte. Der Angriff würde aber bei der Überprüfung durch den Kanton auffallen, hält die Post in einer Beschreibung der "Insufficent Signatur Validation of the Election Public Key" fest.
Man habe zu allen drei Problemen Lösungsvorschläge vorgelegt, in einem Fall die Korrektur bereits umgesetzt, so die Post, die die Befunde auf Gitlab dokumentiert. Die Belohnungabstufungen und die Rangliste der Entdecker kann man auf der Bug-Bounty-Plattform "Yes We Hack" anschauen.
Die Tester können vom Konzern für einen Fund je nach Schweregrad bis zu 250'000 Franken erhalten. Die höchsten Prämien werden für schwerwiegende Entdeckungen gesprochen, etwa wenn es Angreifern gelingen könnte, individuelle Stimmen oder einen Urngengang leicht zu manipulieren, ohne dass dies bemerkt würde. Eine solche kritische Lücke wurde noch nicht entdeckt. Bislang wurden insgesamt 53'000  Franken Belohnung ausbezahlt.

Loading

Mehr zum Thema

image

Post erwirbt Mehrheit an EPD-Betreiber Axsana

Der Konzern erhofft sich mit dem Zukauf einen Schub für das elektronische Patientendossier und will eine einheitliche Infrastruktur schaffen.

publiziert am 9.8.2022
image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022
image

Post startet Bug-Bounty-Programm für ihr E-Voting-System

Vier Wochen lang sollen ethische Hacker erstmals auch die für den realen Einsatz vorgesehene Infrastruktur der Post testen können.

publiziert am 8.8.2022