Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

Artikel veröffentlicht am , Hanno Böck
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht.
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht. (Bild: qwesy qwesy, Wikimedia Commons/CC-BY 3.0)

Ein Team um die IT-Sicherheitsexpertin Sarah Jamie Lewis hat eine schwere Sicherheitslücke im Code für Schweizer Onlinewahlen entdeckt. Demnach könnte der Betreiber eines der im System verwendeten Server eine Wahl manipulieren, ohne dass die Möglichkeit besteht, dies aufzudecken. Den konkreten Fehler wird der Hersteller des Systems wohl beheben können, doch Sicherheitsexperten gehen davon aus, dass man mit weiteren Problemen rechnen muss.

Stellenmarkt
  1. Supplier / Vendor Governance Expert (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim
  2. Junior Softwareentwickler (m/w/d) Java / Webshop/E-Commerce
    ifm electronic GmbH, Essen
Detailsuche

Die Wahlsoftware wird von der Schweizer Post bereitgestellt. Vor kurzem hatte die Post Sicherheitsexperten dazu aufgerufen, die künftige Version der Software auf Schwachstellen zu prüfen. Es handelt sich aber nicht um die selbe Version der Software, die bereits in einigen Kantonswahlen zum Einsatz kam. Laut der Schweizer Post ist die alte Software von der Sicherheitslücke nicht betroffen.

Für den Sicherheitstest konnte man auch Zugriff auf den Quellcode erhalten, musste jedoch einigen Bedingungen zustimmen. Doch kurze Zeit später tauchte der Quellcode im Netz auf.

Das Wahlsystem nutzt ein kompliziertes kryptographisches Verfahren, mit dem sichergestellt werden soll, dass abgegebene Stimmen anonym bleiben, aber trotzdem korrekt gezählt werden. Doch bei der Umsetzung gab es offenbar einen Fehler bei einem der Sicherheitsbeweise. Die Details haben Lewis und ihr Team in einem wissenschaftlichen Papier erläutert. Unabhängig davon haben zwei weitere Forscher dasselbe Problem entdeckt.

Schweizer Post kannte Fehler seit 2017

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Die Schweizer Post hat inzwischen mit einer Stellungnahme reagiert. Darin bestätigt sie nicht nur das Problem, sondern erklärt auch, dass die Sicherheitslücke bereits seit 2017 bekannt sei. Man habe den Hersteller, die Firma Scytl, damals um eine Korrektur gebeten, die ist aber offenbar nicht erfolgt.

Lewis hatte bereits kurz nach der Veröffentlichung des Quellcodes das System kritisiert. Der Code sei demnach zu komplex und nur schwer zu verstehen und zu analysieren. Die jetzt gefundene Sicherheitslücke dürfte diese Sorgen bestätigen.

Nachtrag vom 12. März 2019, 20:30 Uhr

In der ursprünglichen Version des Artikels war nicht klargestellt, dass es sich um eine Software für zukünftige Wahlen handelt. Wir haben dies entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
eID
Fast die Hälfte der Esten wählt online
artikel-bild
Schweizer Post
Code von Schweizer Online-Wahl geleakt
artikel-bild
Huawei
Schweizer Netzbetreiber schaltet 5G-Netz im März ein
artikel-bild
Paketlieferungen
Schweizer Post fliegt ab 2017 mit Drohnen
artikel-bild
Security
Wireguard-VPN für MacOS erschienen
Meistgelesen
artikel-bild
Rauchgranate
Tesla zeigt Versuch mit Biowaffen-Abwehrmodus des Model Y
artikel-bild
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
artikel-bild
Raspberry Pi
Mit einem DVB-T-Stick die Wetterstation retten
artikel-bild
Coronapandemie
42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
artikel-bild
Bastelrechner
Mini-Linux-Handheld könnte nur 15 US-Dollar kosten
Kommentarübersicht
Re: Wir können online wählen?
Bluejanis 14. Mär 2019

Ich finde Online Wahlen sinnvoll. Diese erfordern weniger Verwaltungsaufwand. Das...

public code view at its best
Kommentator2019 13. Mär 2019

OSS FTW

Re: Schönes Beispiel für das Problem...
leMatin 13. Mär 2019

Es fängt doch allein schon damit an, dass man derart Staatstragendes in externe Hände...

Re: Fehldarstellung: Version, bei welcher die...
Wuestenschiff 13. Mär 2019

Man kann wohl getrost davon ausgehen das die Alte Software noch viel umsicherer ist. Der...

Re: Irreführender Titel
hab (Golem.de) 12. Mär 2019

Danke für den Hinweis, wir haben den Artikel angepasst so dass das jetzt deutlich werden...

Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar. Und das trotz Chipkrise und weiteren Lieferengpässen.

  2. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

  3. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /