Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

Artikel veröffentlicht am , Hanno Böck
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht.
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht. (Bild: qwesy qwesy, Wikimedia Commons/CC-BY 3.0)

Ein Team um die IT-Sicherheitsexpertin Sarah Jamie Lewis hat eine schwere Sicherheitslücke im Code für Schweizer Onlinewahlen entdeckt. Demnach könnte der Betreiber eines der im System verwendeten Server eine Wahl manipulieren, ohne dass die Möglichkeit besteht, dies aufzudecken. Den konkreten Fehler wird der Hersteller des Systems wohl beheben können, doch Sicherheitsexperten gehen davon aus, dass man mit weiteren Problemen rechnen muss.

Stellenmarkt
  1. Supplier / Vendor Governance Expert (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim
  2. Junior Softwareentwickler (m/w/d) Java / Webshop/E-Commerce
    ifm electronic GmbH, Essen
Detailsuche

Die Wahlsoftware wird von der Schweizer Post bereitgestellt. Vor kurzem hatte die Post Sicherheitsexperten dazu aufgerufen, die künftige Version der Software auf Schwachstellen zu prüfen. Es handelt sich aber nicht um die selbe Version der Software, die bereits in einigen Kantonswahlen zum Einsatz kam. Laut der Schweizer Post ist die alte Software von der Sicherheitslücke nicht betroffen.

Für den Sicherheitstest konnte man auch Zugriff auf den Quellcode erhalten, musste jedoch einigen Bedingungen zustimmen. Doch kurze Zeit später tauchte der Quellcode im Netz auf.

Das Wahlsystem nutzt ein kompliziertes kryptographisches Verfahren, mit dem sichergestellt werden soll, dass abgegebene Stimmen anonym bleiben, aber trotzdem korrekt gezählt werden. Doch bei der Umsetzung gab es offenbar einen Fehler bei einem der Sicherheitsbeweise. Die Details haben Lewis und ihr Team in einem wissenschaftlichen Papier erläutert. Unabhängig davon haben zwei weitere Forscher dasselbe Problem entdeckt.

Schweizer Post kannte Fehler seit 2017

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Die Schweizer Post hat inzwischen mit einer Stellungnahme reagiert. Darin bestätigt sie nicht nur das Problem, sondern erklärt auch, dass die Sicherheitslücke bereits seit 2017 bekannt sei. Man habe den Hersteller, die Firma Scytl, damals um eine Korrektur gebeten, die ist aber offenbar nicht erfolgt.

Lewis hatte bereits kurz nach der Veröffentlichung des Quellcodes das System kritisiert. Der Code sei demnach zu komplex und nur schwer zu verstehen und zu analysieren. Die jetzt gefundene Sicherheitslücke dürfte diese Sorgen bestätigen.

Nachtrag vom 12. März 2019, 20:30 Uhr

In der ursprünglichen Version des Artikels war nicht klargestellt, dass es sich um eine Software für zukünftige Wahlen handelt. Wir haben dies entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Bluejanis 14. Mär 2019

Ich finde Online Wahlen sinnvoll. Diese erfordern weniger Verwaltungsaufwand. Das...

Kommentator2019 13. Mär 2019

OSS FTW

leMatin 13. Mär 2019

Es fängt doch allein schon damit an, dass man derart Staatstragendes in externe Hände...

Wuestenschiff 13. Mär 2019

Man kann wohl getrost davon ausgehen das die Alte Software noch viel umsicherer ist. Der...

hab (Golem.de) 12. Mär 2019

Danke für den Hinweis, wir haben den Artikel angepasst so dass das jetzt deutlich werden...



Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar. Und das trotz Chipkrise und weiteren Lieferengpässen.

  2. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

  3. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /