Die Angriffsmethode ist bekannt, die Abwehrmethode eigentlich auch. Wie riskant ist die Lücke? Der Streit ist schon entbrannt.
Der Chaos Computer Club Schweiz (CCC) hat eine Schwachstelle im E-Voting-System entdeckt, dass der Kanton Genf entwickelt hat und das bei weiteren Kantonen im Einsatz ist. Dies meldete 'SRF'.
CCC-Vertreter setzten erfolgreich eine DNS-Cache-Poisoning-Attacke ein. In einem ersten Schritt hat der CCC laut 'SRF' einen Name Server manipuliert, dieser lieferte dann dem Wähler nicht die IP-Adresse der eingetippten E-Voting-URL (evote-ch.ch) aus, sondern leitete die Anfrage zu ihrem eigenen Server um und zu einer gefälschten Seite mit einer sehr ähnlich aussehenden URL weiter.
"In fünf Minuten hatten wir das Loch", so CCC-Sprecher Volker Brink in '10 vor 10'. Der rasche Erfolg des CCC liegt vermutlich daran, dass Cache-Poisoning als Methode seit vielen Jahren bekannt und bei Hackern für Man in the Middle-Angriffe beliebt ist.
Beim DNS-Konzept handelt sich um einen offenen Dienst im Netzwerk, der nicht ordnungsgemäss überwacht wird und für den herkömmliche Sicherheitslösungen keinen effizienten Schutz bieten können.
Der Schad-Code wird häufig in URLs gefunden, die über Spam- oder Phishing-E-Mails gesendet werden. Das Hauptrisiko bei DNS-Vergiftungen ist der Diebstahl von Daten wie Passworten, Kreditkarten oder anderen persönlichen Informationen.
Im Falle des E-Votings würden Hacker zumindest sehen, wie ein Bürger wählt oder abstimmt. Je nachdem könnten sie auch aus einem "Nein" ein "Ja" machen, so der Medienbericht.
"Sicherheitsmassnahmen sind vorhanden"
Die Genfer wehren sich dagegen, eine Security-Lücke zu haben. Weder sei die Angriffstechnik neu, noch würden sie diese nicht kennen. Im Gegenteil, so eine Stellungnahme gegenüber 'SRF': "Dies ist keine Sicherheitslücke, da Sicherheitsmassnahmen vorhanden sind", schreiben die Zuständigen (
PDF).
In den Stimmunterlagen sei zum einen ein elektronisches Zertifikat enthalten. Somit sei es möglich, den legitimen Server des E-Voting-Systems zu authentisieren, beziehungsweise einen illegitimen eben nicht.
Zweitens kommen individuelle Identifizierungscodes zum Einsatz, damit ein Bürger seine Stimme registrieren könne. Diese Codes seien eindeutig für jeden Wähler, jede Abstimmung und jede Antwortmöglichkeit. Sie seien "fälschungssicher und auch "nicht mit ausreichender Wahrscheinlichkeit zu erraten".
Also würde der Staat eine Manipulation bemerken und ohne die Codes würde auch keine manipulierte Stimme abgegeben werden können. Dies folgern die Genfer.
DNSSEC soll eine sichere DNS-Datenauthentifizierung ermöglichen und ist seit mehreren Jahren verfügbar. Es sichert die Übertragung von Resource Records (die grundlegende Informationseinheit beim DNS) durch digitale Signaturen ab. Eine Authentifizierung von Servern oder Clients findet nicht statt.
Ein Kritikpunkt aber, der in diesem behördlichen Kontext eine Rolle spielen könnte: Momentan findet die Verwaltung des DNSSEC-Schlüssels für die Root-Zone, die Top-Level-DNS-Zone, ausschliesslich an zwei US-Standorten statt. Es gibt Stimmen, welche diese Zentralisierung für unklug halten.
"Kein Risiko" oder "eklatantes Risiko"?
Zürichs Datenschützer, Bruno Baeriswyl, beruhigt in dem 'SRF'-Bericht: "Dies kann man sehr schnell stopfen." Es bestehe für die bevorstehende Abstimmung kein Risiko, weil kein flächendeckendes E-Voting stattfinde.
Etwas anders sehen dies der CCC, alt-Nationalrat Jean Christophe Schwaab sowie SVP-Nationalrat und Green-VRP Franz Grüter in einer gemeinsamen Mitteilung: "Wir sind besorgt über die neusten Erkenntnisse aus dem Debakel um die E-Voting-Plattform des Kantons Genf." Es seien "eklatante Schwachstellen und Sicherheitsrisiken". Man sehe sich bestätigt, dass E-Voting unsicher sei. Sie kündigen an, dass ihre Volksinitiative für ein E-Voting-Moratorium im ersten Quartal 2019 lanciert werde. (Marcel Gamma)