Schweizer E-Voting: Kritische Lücke im Quellcode ist kleineres Problem

12. März 2019 um 11:23
  • security
  • e-voting
  • schweiz
  • die post
image

Beim öffentlichen Intrusion-Tests der Post wurde eine kritische Security-Lücke entdeckt und geschlossen. Dabei zeigen sich mindestens drei wichtigere Security-Probleme.

Beim öffentlichen Intrusion-Tests der Post wurde eine kritische Security-Lücke entdeckt und geschlossen. Dabei zeigen sich mindestens drei wichtigere Security-Probleme.
IT-Security-Forscher fanden parallel zum laufenden Public Intrusion Test (PIT) einen kritischen Fehler im Quellcode des E-Votings der Post. Dies meldet die Post.
Der Fehler beeinträchtigt die sogenannte "universelle Verifizierbarkeit". Diese ist das technologische Äquivalent einer Nachzählung von Stimmzetteln auf Papier. "Die Experten konnten aufzeigen, dass diese Lücke dazu genutzt werden könnte, um Stimmen zu manipulieren, ohne dass dies nachgewiesen werden könnte", schreibt die Post.
Die heute schon bewilligten Live-Systeme hätten diese Lücke nicht, sondern nur die neue, nicht zugelassene, nun öffentlich getestete E-Voting-Lösung.
Die Post habe den E-Voting-Hersteller, die spanische Firma Scytl informiert und die Lücke sei geschlossen. In einer Beschreibung der Lücke und deren Schliessung zeigt die Post grundsätzlich den technischen Hintergrund auf. Vereinfacht gesagt, konnte man die Funktionsweise eines "Zufallgenerators" nicht überprüfen.
Aber, so erklärt die Post, "die Funktion, die die zufälligen Generatoren generiert, wurde mit einer verifizierbaren ausgetauscht, welche konform zum anerkannten Standard NIST FIPS 186-4 Appendix 2.3 ist. Das beschriebene Problem ist dadurch gelöst."
Die Lücke war seit 2017 bekannt
Wie gravierend war die Lücke tatsächlich? Sie sei zwar kritisch, aber "der Fehler allein ermöglicht es jedoch nicht, ins E-Voting-System einzudringen", so die Mitteilung der Post. Es gäbe viele Security-Hürden zu überwinden, bevor Hacker die Lücke tatsächlich ausnutzen könnten: "Sie bräuchten beispielsweise Kontrolle über die gesicherte IT-Infrastruktur der Post sowie die Hilfe von mehreren Insidern mit Spezialwissen bei der Post oder den Kantonen."
Die Bundeskanzlei ihrerseits bestätigte, dass die Lücke es nicht erlaube, ins System einzudringen. Aber die Security-Forscher hätten zeigen können, dass das System keine aussagekräftigen mathematischen Beweise zur Überprüfung von allfälligen Manipulationen erzeuge. "Mit diesem Mangel erfüllt das System der Post somit die gesetzlichen Anforderungen nicht", schreibt die Bundeskanzlei, die ein E-Voting bewilligen muss, in einer Mitteilung.
Wäre dies alles, so könnte man von allenfalls einem Teilerfolg des PIT sprechen. Lücke entdeckt, geschlossen, Sicherheit weiter erhöht.
Aber davon kann man nicht sprechen. In einem Satz der Medienmitteilung steht nämlich: "Der Fehler wurde bereits 2017 identifiziert. Die Korrektur wurde vom Technologiepartner Scytl, der für den Quellcode verantwortlich ist, jedoch nicht vollständig umgesetzt."
Es sind je nach Zählweise fünf oder mehr Probleme, die sich hier manifestieren und von denen einige beispielsweise bei einem IT-Service Management nach ITIL gar nicht auftreten dürften.
Erstens funktionierte bis anhin das Fehlermanagement und Bugfixing bei Post und Scytl nicht einwandfrei und dies bei Kernkomponenten. Zweitens funktioniert das Change Management nicht richtig. Es kontrollieren weder die Post noch Scytl, ob Updates, Patches etcetera vollständig und korrekt eingespielt werden. Drittens bemerkt dies in bisherigen Audits und Zulassungen keiner der Beteiligten.
Hier offenbaren sich zwei weitere Probleme. Denn dies alles hat nichts mit E-Voting an sich zu tun, ebensowenig mit dem technologischen oder kryptographischen Neuland. Ein Security-Experte erklärte uns kürzlich "off the record", man könne den Kern eines E-Voting-Systems durchaus äusserst sicher umsetzen und die nötige Kryptographie sei gut erforscht, umsetz- und auditierbar.
Der Experte, der an Projekten mit höchsten Anforderungen von Staat und Firmen (aber weder am PIT noch am E-Voting) beteiligt ist, wies darauf hin, eines der grössten Probleme liege in der operativen Umsetzung. Programmierfehler werde man in jedem Quellcode finden und fehlerfreies Programmieren sei an sich schon sehr aufwändig. Noch mehr Gewicht müsse man auf die saubere, rasche Umsetzung von Änderungen durch unterschiedliche Beteiligte legen. All dies sei nicht nur eine Frage von Rollen und Prozessen. Es sei eine Frage der Zeit- und Budgetvorgaben und diese spielen bei jedem kommerziellen Projekt eine Rolle.
Diese Aussage ist hier relevant, denn die E-Voting-Lösung ist für Scytl und für die Post ein Projekt und ein viel versprechendes Geschäftsfeld, mit welchem sie Geld verdienen wollen. Es stellen sich bei diesem "Champions-League-Projekt" der Schweizer Informatik nun erstmals Fragen nach Geld, Zeit, dem exakten Auftrag von Scytl, ganz abgesehen von der Qualitätssicherung und der Qualität von Audits und dem Incident Management. (Marcel Gamma)

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024