Der Plan war einfach: Die Schweizerische Post ist die einzig verbliebene E-Voting-Anbieterin der Schweiz. Ein öffentlicher Hacking-Test, im IT-Slang Penetrations- oder Intrusionstest genannt, soll die Sicherheit ihres Prestigeprojekts untermauern. 

Der Hacking-Test soll offiziell am 25. Februar starten und vier Wochen dauern. Wer erfolgreich hackt, erhält bis zu 50'000 Franken. Hacker sollen also versuchen, die elektronische Stimmabgabe zu manipulieren, ohne dass die Betreiber Wind davon bekommen. Unter den Interessierten, die sich für den Intrusionstest registriert haben, befänden sich auch «bekannte Szenegrössen mit viel Kompetenz in diesem Bereich», lässt sich die Post von der NZZ zitieren.

Wer am Intrusionstest teilnehmen möchte, muss den Verhaltenskodex der Post unterschreiben, sprich sich an die Regeln der Post halten. Diese schreiben vor, was und wie genau gehackt werden darf – oder eben nicht.

Diese Einschränkungen passen nicht allen. Der Quellcode ist darum schon über eine Woche vor dem Start des offiziellen Intrusionstests ins Netz entfleucht – und wird nun von internationalen Kryptografie-Experten genüsslich zerlegt. 

Kryptografie-Gott Matthew Green meldet sich auf Twitter zu Wort und lässt kein gutes Haar an der Post:

Matthew Green ist Professor für Kryptografie an der Johns-Hopkins-Universität in den USA.

Sarah Jamie Lewis ist eine kanadische Kryptografie-Expertin.

Zwei IT-Experten, die sich auf Twitter über den Code des Schweizer E-Voting-Systems auslassen, sollte man nicht als Beweis für dessen generelle Unsicherheit missverstehen, aber der PR-Schaden für die Post im Speziellen und für E-Voting im Allgemeinen ist bereits angerichtet.

PR-Debakel mit Ansage?

Was nun passiert, ist klar: E-Voting-Gegner weltweit stürzen sich auf den im Netz frei verfügbaren Quellcode und werden jeden kleinsten Fehler als Katastrophe ausschlachten. Denn wer den geleakten, also den nicht offiziell veröffentlichten, Code inspiziert, hat den Verhaltenskodex der Post nicht unterschrieben und sieht sich somit auch nicht an die Verhaltensregeln gebunden.

Die unverblümte Kritik bekannter Kryptografie-Experten wird das Schweizer E-Voting-System als angeblich «löchrig wie Emmentaler» in die internationalen Schlagzeilen bringen, was wiederum Wasser auf die Mühlen der Schweizer E-Voting-Gegner ist.

Von diesen wurde der öffentliche Hacking-Test schon im Vorfeld als reine PR-Aktion abgelehnt. Nationalrat Franz Grüter (SVP/LU) sagt: «Sicherheit von E-Voting lässt sich nicht erkaufen. Professionelle DarkNet-Hacker würden sich nie in der Öffentlichkeit zeigen, geschweige denn registrieren. Zudem sind sogenannte Nation-State-Hacker auf einem sehr viel höheren Niveau und nehmen dabei nie an öffentlichen Penetrationstests teil.» Hinzu kommt die Problematik, dass es für professionelle Hacker wohl lukrativer ist, eine Schwachstelle im E-Voting-System an Kriminelle oder Geheimdienste teuer zu verkaufen, statt sie der Post für ein paar tausend Franken zu melden.

Die Post bestimmt, was und wie gehackt werden darf

Von der Kritik unbeeindruckt hat die Post vor knapp zwei Wochen den Quellcode ihres E-Voting-Systems selbst veröffentlicht – aber eben nur unter gewissen Bedingungen. Interessierte müssen sich registrieren, den Spielregeln des Hacking-Tests zustimmen und können danach die Sicherheit der Software, beispielsweise die eingesetzte Verschlüsselung, prüfen. Die Offenlegung des Quellcodes ist eine der Bedingungen des Bundes dafür, dass das E-Voting-System der Post für kommende Abstimmungen flächendeckend auf nationaler Ebene zugelassen wird. 

Die Offenlegung erfolgt also nicht ganz freiwillig und die Post stellt für den Hacking-Test ihre eigenen Spielregeln auf, die von den E-Voting-Gegnern harsch kritisiert werden. 

Tatsächlich ist die Liste der Angriffsmethoden, die von der Post vom Hacking-Test ausgeschossen wurden, ziemlich lang. In den Bedingungen des öffentlichen Intrusionstests ist etwa zu lesen: «Ausgeschlossen vom Test sind Angriffe, die darauf abzielen, Stimmen zu lesen, indem Malware auf die zur Stimmabgabe verwendeten Geräte verbreitet wird.»

Die Post definiert, welche Angriffe auf das E-Voting nicht erlaubt sind.

Die Post definiert, welche Angriffe auf das E-Voting nicht erlaubt sind.

Vereinfacht gesagt lassen Bund und Post im Rahmen des Intrusionstests nur direkte Angriffe auf das Kernsystem der E-Voting-Infrastruktur der Post zu. Indirekte Angriffsmethoden, die etwa bei den Abstimmenden ansetzen, werden explizit verboten.

Die Post will so sicherstellen, dass tatsächlich das E-Voting-System getestet wird – und eben nicht andere Schwachstellen, die sie nicht kontrollieren kann. Gemeint sind zum Beispiel mit Schadsoftware infizierte Computer der E-Voting-Nutzer oder Angriffe, die das Verhalten der Wähler mit gefälschten Nachrichten manipulieren. 

Für die Post mag das Vorgehen Sinn machen, Hacker oder Geheimdienste würden aber alle Wege ausschöpfen – und sich nicht an die Vorgaben der Post halten, spotten die E-Voting-Gegner. Sie stellen etwa die rhetorische Frage, ob Bund und Post glauben, dass sich die NSA und andere Geheimdienste an die Teilnahmebedingungen halten.

Was nicht nur Laien erstaunen dürfte, ist folgende Aussage der Post: «Wir betrachten die NSA oder eine andere Regierungsbehörde nicht als ein Bedrohungsmodell im Rahmen dieses öffentlichen Intrusionstests.» Dies verwundert nicht zuletzt darum, da seit den Enthüllungen des ehemaligen CIA-Mitarbeiters Edward Snowden bekannt ist, dass die NSA in internen Dokumenten Aktivitäten wie E-Voting als Einladung zur Manipulation sieht.

Das sagt die Post

Bundeskanzlei und Post begründen die Einschränkungen beim Hacking-Test laut inside-it.ch wie folgt: «Andere Organisationen (für Wahlen und Abstimmungen zuständige Stellen bei den Kantonen, Druckereien der Kantone, weitere Dienstleistungen der Post) nehmen am öffentlichen Intrusionstest nicht teil, dementsprechend dürfen sie auch nicht angegriffen werden.»

Dass Bund und Post nicht die halbe Schweiz zum Hacking freigeben wollen, ist verständlich, zeigt aber auch schonungslos die Grenzen des Intrusionstests auf. So wie der Test nun durchgeführt wird, kann die Sicherheit des Schweizer E-Votings nicht umfassend und schon gar nicht abschliessend getestet werden.

Das ist laut Post aber auch nicht das Ziel: «Der Intrusionstest beweist nicht die Sicherheit des Systems und soll es auch nicht. Es geht darum, Angriffsszenarien testen zu lassen, und das System auf Herz und Nieren zu prüfen.» Der öffentliche Intrusionstest sei nur «eine Sicherheitsmassnahme unter vielen», schreibt die Bundeskanzlei.

Fazit: E-Voting bleibt Vertrauenssache

Die Sicherheit von E-Voting kann vielleicht nie abschliessend gewährleistet oder bewiesen werden. Dies behaupten auch Bund und Post nicht. Sie wollen mit dem Intrusionstest und weiteren Massnahmen eine grösstmögliche Sicherheit erreichen. Werden während des Intrusionstests Lücken gemeldet, verbessert dies die Sicherheit tatsächlich. Problematisch wird es, wenn der Test als angeblicher Beweis für die generelle Sicherheit von E-Voting angepriesen wird.

Ob man dem E-Voting-System der Post vertraut, ist und bleibt eine Glaubensfrage. Schlussendlich muss jeder für sich entscheiden, ob er oder sie eine allenfalls bequemere Stimmabgabe für die Risiken des E-Votings opfern will.