Diese schweren Lücken haben Pentester im E-Voting-System der Post entdeckt

28. Oktober 2021 um 12:57
  • e-voting
  • die post
  • security
  • developer
  • it-anbieter
image

Bislang wurden drei als "hoch" klassifizierte Lücken im Betasystem gefunden. Laut Post gibt es für alle eine Lösung.

 Seit Anfang 2021 legt die Post ihr E-Voting-System Schritt für Schritt offen. Damit will der Gelbe Riese Vertrauen schaffen, nachdem er seine E-Voting-Lösung 2019 zurückziehen musste, weil bei öffentlichen Tests erhebliche Mängel entdeckt worden waren. Die sukzessive Veröffentlichung soll ein ähnliches Fiasko verhindern.
Dazu wird nicht nur das System in Etappen veröffentlicht, sondern auch immer wieder Bericht erstattet. So teilt die Post nun mit, dass bislang 111 Meldungen eingegangen seien. Darunter Hinweise auf drei schwerwiegende Probleme – aber keine auf kritische Lücken. Zwei der Hinweise seien bereits zu Beginn des öffentlichen Bug-Bounty-Programms eingegangen, einer davon im Oktober, heisst es von der Post.
Im Juni entdeckten drei Security-Experten, dass ein Angreifer das Stimmgeheimnis von mehreren Bürgerinnen und Bürgern brechen könnte. Dazu müsste er Teile der Server-Infrastruktur der Post und die letzte Offline-Kontrollkomponente, die durch den Kanton betrieben wird, kontrollieren. Die Lücke erhielt die Risikostufe "hoch". Bereits im Februar war einem Tester aufgefallen, dass ein Angreifer an Informationen gelangen könnte, mit deren Hilfe er Prüfcodes und den Bestätigungscode erraten könnte. Wenn er in die E-Voting-Infrastruktur eindringen könnte, wäre er demnach in der Lage, einem Stimmberechtigten die korrekte Registrierung der Stimme vorzugaukeln und im Hintergrund dennoch die Stimme verfälscht zu registrieren. Der Schweregrad wurde hier ebenfalls mit "hoch" angegeben.
Parallel zum öffentlichen Test untersuchen seit Juli auch vom Bund ernannte Experten das System der Post. Der kritische Befund vom Oktober stamme aus dieser Quelle, heisst es vom staatsnahen Unternehmen.
Die vom Bund ernannten Experten haben ebenfalls eine Lücke mit dem Schweregrad "hoch" entdeckt. Dies könnte es einem Angreifer erlauben, einen öffentlichen Schlüssel, der zur sicheren, unveränderten Übermittlung einer Meldung an den Stimmberechtigten zum Einsatz kommt, zu verfälschen. Da sie die anderen Kontrollkomponenten dazu bringen könnten, diesen trotzdem zu akzeptieren, würden Stimmberechtigte ihre Stimmabgabe nicht mehr individuell verifizieren könnte. Der Angriff würde aber bei der Überprüfung durch den Kanton auffallen, hält die Post in einer Beschreibung der "Insufficent Signatur Validation of the Election Public Key" fest.
Man habe zu allen drei Problemen Lösungsvorschläge vorgelegt, in einem Fall die Korrektur bereits umgesetzt, so die Post, die die Befunde auf Gitlab dokumentiert. Die Belohnungabstufungen und die Rangliste der Entdecker kann man auf der Bug-Bounty-Plattform "Yes We Hack" anschauen.
Die Tester können vom Konzern für einen Fund je nach Schweregrad bis zu 250'000 Franken erhalten. Die höchsten Prämien werden für schwerwiegende Entdeckungen gesprochen, etwa wenn es Angreifern gelingen könnte, individuelle Stimmen oder einen Urngengang leicht zu manipulieren, ohne dass dies bemerkt würde. Eine solche kritische Lücke wurde noch nicht entdeckt. Bislang wurden insgesamt 53'000  Franken Belohnung ausbezahlt.

Loading

Mehr zum Thema

image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025
image

Report: Deepseek ist anfällig für Manipulationen

Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.

publiziert am 5.2.2025
image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025