• IT-Karriere:
  • Services:

Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

Artikel veröffentlicht am , Hanno Böck
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht.
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht. (Bild: qwesy qwesy, Wikimedia Commons/CC-BY 3.0)

Ein Team um die IT-Sicherheitsexpertin Sarah Jamie Lewis hat eine schwere Sicherheitslücke im Code für Schweizer Onlinewahlen entdeckt. Demnach könnte der Betreiber eines der im System verwendeten Server eine Wahl manipulieren, ohne dass die Möglichkeit besteht, dies aufzudecken. Den konkreten Fehler wird der Hersteller des Systems wohl beheben können, doch Sicherheitsexperten gehen davon aus, dass man mit weiteren Problemen rechnen muss.

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. THD - Technische Hochschule Deggendorf, Deggendorf

Die Wahlsoftware wird von der Schweizer Post bereitgestellt. Vor kurzem hatte die Post Sicherheitsexperten dazu aufgerufen, die künftige Version der Software auf Schwachstellen zu prüfen. Es handelt sich aber nicht um die selbe Version der Software, die bereits in einigen Kantonswahlen zum Einsatz kam. Laut der Schweizer Post ist die alte Software von der Sicherheitslücke nicht betroffen.

Für den Sicherheitstest konnte man auch Zugriff auf den Quellcode erhalten, musste jedoch einigen Bedingungen zustimmen. Doch kurze Zeit später tauchte der Quellcode im Netz auf.

Das Wahlsystem nutzt ein kompliziertes kryptographisches Verfahren, mit dem sichergestellt werden soll, dass abgegebene Stimmen anonym bleiben, aber trotzdem korrekt gezählt werden. Doch bei der Umsetzung gab es offenbar einen Fehler bei einem der Sicherheitsbeweise. Die Details haben Lewis und ihr Team in einem wissenschaftlichen Papier erläutert. Unabhängig davon haben zwei weitere Forscher dasselbe Problem entdeckt.

Schweizer Post kannte Fehler seit 2017

Die Schweizer Post hat inzwischen mit einer Stellungnahme reagiert. Darin bestätigt sie nicht nur das Problem, sondern erklärt auch, dass die Sicherheitslücke bereits seit 2017 bekannt sei. Man habe den Hersteller, die Firma Scytl, damals um eine Korrektur gebeten, die ist aber offenbar nicht erfolgt.

Lewis hatte bereits kurz nach der Veröffentlichung des Quellcodes das System kritisiert. Der Code sei demnach zu komplex und nur schwer zu verstehen und zu analysieren. Die jetzt gefundene Sicherheitslücke dürfte diese Sorgen bestätigen.

Nachtrag vom 12. März 2019, 20:30 Uhr

In der ursprünglichen Version des Artikels war nicht klargestellt, dass es sich um eine Software für zukünftige Wahlen handelt. Wir haben dies entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-78%) 3,99€
  2. (-15%) 42,49€
  3. (-50%) 29,99€
  4. 19,99€

Bluejanis 14. Mär 2019

Ich finde Online Wahlen sinnvoll. Diese erfordern weniger Verwaltungsaufwand. Das...

Kommentator2019 13. Mär 2019

OSS FTW

leMatin 13. Mär 2019

Es fängt doch allein schon damit an, dass man derart Staatstragendes in externe Hände...

Wuestenschiff 13. Mär 2019

Man kann wohl getrost davon ausgehen das die Alte Software noch viel umsicherer ist. Der...

hannob (golem.de) 12. Mär 2019

Danke für den Hinweis, wir haben den Artikel angepasst so dass das jetzt deutlich werden...


Folgen Sie uns
       


Cirrus7 Incus A300 - Test

Wir testen den Incus A300 von Cirrus7, einen passiv gekühlten Mini-PC für AMDs Ryzen 2000G/3000G.

Cirrus7 Incus A300 - Test Video aufrufen
    •  /