Abo
  • IT-Karriere:

Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

Artikel veröffentlicht am , Hanno Böck
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht.
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht. (Bild: qwesy qwesy, Wikimedia Commons/CC-BY 3.0)

Ein Team um die IT-Sicherheitsexpertin Sarah Jamie Lewis hat eine schwere Sicherheitslücke im Code für Schweizer Onlinewahlen entdeckt. Demnach könnte der Betreiber eines der im System verwendeten Server eine Wahl manipulieren, ohne dass die Möglichkeit besteht, dies aufzudecken. Den konkreten Fehler wird der Hersteller des Systems wohl beheben können, doch Sicherheitsexperten gehen davon aus, dass man mit weiteren Problemen rechnen muss.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Adecco Personaldienstleistungen GmbH, Erfurt

Die Wahlsoftware wird von der Schweizer Post bereitgestellt. Vor kurzem hatte die Post Sicherheitsexperten dazu aufgerufen, die künftige Version der Software auf Schwachstellen zu prüfen. Es handelt sich aber nicht um die selbe Version der Software, die bereits in einigen Kantonswahlen zum Einsatz kam. Laut der Schweizer Post ist die alte Software von der Sicherheitslücke nicht betroffen.

Für den Sicherheitstest konnte man auch Zugriff auf den Quellcode erhalten, musste jedoch einigen Bedingungen zustimmen. Doch kurze Zeit später tauchte der Quellcode im Netz auf.

Das Wahlsystem nutzt ein kompliziertes kryptographisches Verfahren, mit dem sichergestellt werden soll, dass abgegebene Stimmen anonym bleiben, aber trotzdem korrekt gezählt werden. Doch bei der Umsetzung gab es offenbar einen Fehler bei einem der Sicherheitsbeweise. Die Details haben Lewis und ihr Team in einem wissenschaftlichen Papier erläutert. Unabhängig davon haben zwei weitere Forscher dasselbe Problem entdeckt.

Schweizer Post kannte Fehler seit 2017

Die Schweizer Post hat inzwischen mit einer Stellungnahme reagiert. Darin bestätigt sie nicht nur das Problem, sondern erklärt auch, dass die Sicherheitslücke bereits seit 2017 bekannt sei. Man habe den Hersteller, die Firma Scytl, damals um eine Korrektur gebeten, die ist aber offenbar nicht erfolgt.

Lewis hatte bereits kurz nach der Veröffentlichung des Quellcodes das System kritisiert. Der Code sei demnach zu komplex und nur schwer zu verstehen und zu analysieren. Die jetzt gefundene Sicherheitslücke dürfte diese Sorgen bestätigen.

Nachtrag vom 12. März 2019, 20:30 Uhr

In der ursprünglichen Version des Artikels war nicht klargestellt, dass es sich um eine Software für zukünftige Wahlen handelt. Wir haben dies entsprechend angepasst.

Zu den Kommentaren springen
Meistgelesen
  1. 50 Jahre Mondlandung
    Die Krise der Raumfahrtbehörden
  2. Probefahrt mit Maxus EV80
    Der chinesische E-Transporter zum Kampfpreis
  3. Indiegames-Rundschau
    Von Bananen und Astronauten
  4. Gartner
    In Europa wächst der PC-Markt, im Rest der Welt nicht
  5. Ladestation
    Tesla eröffnet Supercharger für 1.500 Fahrzeuge täglich
Anzeige
Hardware-Angebote
  2. 127,99€ (Bestpreis!)
  4. 529,00€
Kommentarübersicht
Re: Wir können online wählen?
Bluejanis 14. Mär 2019

Ich finde Online Wahlen sinnvoll. Diese erfordern weniger Verwaltungsaufwand. Das...

public code view at its best
Kommentator2019 13. Mär 2019

OSS FTW

Re: Schönes Beispiel für das Problem...
leMatin 13. Mär 2019

Es fängt doch allein schon damit an, dass man derart Staatstragendes in externe Hände...

Re: Fehldarstellung: Version, bei welcher die...
Wuestenschiff 13. Mär 2019

Man kann wohl getrost davon ausgehen das die Alte Software noch viel umsicherer ist. Der...

Re: Irreführender Titel
hannob (golem.de) 12. Mär 2019

Danke für den Hinweis, wir haben den Artikel angepasst so dass das jetzt deutlich werden...

Folgen Sie uns
       
Linux für Gaming installieren - Tutorial

Die Linux-Distribution Manjaro eignet sich gut für Spiele - wir erklären im Video wie man sie installiert.

Linux für Gaming installieren - Tutorial Video aufrufen
EU-Kommission
Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU
Nachhaltigkeit
Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg
AMD Navi
Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /