Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

Artikel veröffentlicht am , Hanno Böck
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht.
Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht. (Bild: qwesy qwesy, Wikimedia Commons/CC-BY 3.0)

Ein Team um die IT-Sicherheitsexpertin Sarah Jamie Lewis hat eine schwere Sicherheitslücke im Code für Schweizer Onlinewahlen entdeckt. Demnach könnte der Betreiber eines der im System verwendeten Server eine Wahl manipulieren, ohne dass die Möglichkeit besteht, dies aufzudecken. Den konkreten Fehler wird der Hersteller des Systems wohl beheben können, doch Sicherheitsexperten gehen davon aus, dass man mit weiteren Problemen rechnen muss.

Stellenmarkt
  1. IT-Spezialist (m/w/d)
    Lotto Bayern | Abteilung 1 Referat 12 | HR-Marketing & Entwicklung, München
  2. Sachbearbeiter Laufendhaltung Dokumentenmanagementsystem DMS (m/w/d)
    GDMcom GmbH, Leipzig
Detailsuche

Die Wahlsoftware wird von der Schweizer Post bereitgestellt. Vor kurzem hatte die Post Sicherheitsexperten dazu aufgerufen, die künftige Version der Software auf Schwachstellen zu prüfen. Es handelt sich aber nicht um die selbe Version der Software, die bereits in einigen Kantonswahlen zum Einsatz kam. Laut der Schweizer Post ist die alte Software von der Sicherheitslücke nicht betroffen.

Für den Sicherheitstest konnte man auch Zugriff auf den Quellcode erhalten, musste jedoch einigen Bedingungen zustimmen. Doch kurze Zeit später tauchte der Quellcode im Netz auf.

Das Wahlsystem nutzt ein kompliziertes kryptographisches Verfahren, mit dem sichergestellt werden soll, dass abgegebene Stimmen anonym bleiben, aber trotzdem korrekt gezählt werden. Doch bei der Umsetzung gab es offenbar einen Fehler bei einem der Sicherheitsbeweise. Die Details haben Lewis und ihr Team in einem wissenschaftlichen Papier erläutert. Unabhängig davon haben zwei weitere Forscher dasselbe Problem entdeckt.

Schweizer Post kannte Fehler seit 2017

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Die Schweizer Post hat inzwischen mit einer Stellungnahme reagiert. Darin bestätigt sie nicht nur das Problem, sondern erklärt auch, dass die Sicherheitslücke bereits seit 2017 bekannt sei. Man habe den Hersteller, die Firma Scytl, damals um eine Korrektur gebeten, die ist aber offenbar nicht erfolgt.

Lewis hatte bereits kurz nach der Veröffentlichung des Quellcodes das System kritisiert. Der Code sei demnach zu komplex und nur schwer zu verstehen und zu analysieren. Die jetzt gefundene Sicherheitslücke dürfte diese Sorgen bestätigen.

Nachtrag vom 12. März 2019, 20:30 Uhr

In der ursprünglichen Version des Artikels war nicht klargestellt, dass es sich um eine Software für zukünftige Wahlen handelt. Wir haben dies entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Bitkom: Entscheidungsfreudiges Digitalministerium im Bund nötig
    Bitkom
    "Entscheidungsfreudiges" Digitalministerium im Bund nötig

    Die Verbände Bitkom und Eco sind sich beim Digitalministerium einig. Eine kompetente Führung sei gefragt.

  3. Streit mit den USA: EU stellt geplante Digitalsteuer zurück
    Streit mit den USA
    EU stellt geplante Digitalsteuer zurück

    Der Kampf um die internationale Mindeststeuer für IT-Konzerne geht in die nächste Runde.

Kommentarübersicht
Re: Wir können online wählen?
Bluejanis 14. Mär 2019

Ich finde Online Wahlen sinnvoll. Diese erfordern weniger Verwaltungsaufwand. Das...

public code view at its best
Kommentator2019 13. Mär 2019

OSS FTW

Re: Schönes Beispiel für das Problem...
leMatin 13. Mär 2019

Es fängt doch allein schon damit an, dass man derart Staatstragendes in externe Hände...

Re: Fehldarstellung: Version, bei welcher die...
Wuestenschiff 13. Mär 2019

Man kann wohl getrost davon ausgehen das die Alte Software noch viel umsicherer ist. Der...

Re: Irreführender Titel
hab (Golem.de) 12. Mär 2019

Danke für den Hinweis, wir haben den Artikel angepasst so dass das jetzt deutlich werden...

Folgen Sie uns
       
Verwandte Artikel
artikel-bild
eID
Fast die Hälfte der Esten wählt online
artikel-bild
Schweizer Post
Code von Schweizer Online-Wahl geleakt
artikel-bild
Huawei
Schweizer Netzbetreiber schaltet 5G-Netz im März ein
artikel-bild
Paketlieferungen
Schweizer Post fliegt ab 2017 mit Drohnen
Meistgelesen
artikel-bild
Fifa, Battlefield und Co.
Der EA-Hack startete mit Cookies für 10 US-Dollar
artikel-bild
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr
artikel-bild
Zhurong
Chinesischer Marsrover sendet hochauflösende Selfies zurück
artikel-bild
Ubisoft
Avatar statt Assassin's Creed
Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /