Auftragshacker knackt elektronische Abstimmung

Sebastien Andrivet verdächtigte Schweizer E-Voting-Anwendungen schon lange, sie seien manipulierbar. Nun hat er den Beweis erbracht – mit einem selbstentwickelten Virus.

Stimmabgabe nach herkömmlicher Art: Box für per Post verschickte Wahlzettel in Winterthur.

Stimmabgabe nach herkömmlicher Art: Box für per Post verschickte Wahlzettel in Winterthur. Bild: Sabina Bobst

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Das elektronische Abstimmungssystem des Kantons Genf ist manipulierbar, und damit wohl auch die Systeme der Kantone Bern, Luzern und Basel-Stadt, welche die Genfer Methode übernommen haben. Diesen Verdacht hegte IT-Spezialist Sebastien Andrivet seit Jahren. Nun hat er nach eigenen Angaben den Beweis erbracht.

Andrivet, der im Auftrag von Firmen als Hacker versucht, in deren System einzudringen, entwickelte ein Virus. Dieses installierte er auf seinem Computer, und damit konnte er seine Stimmabgabe nachträglich verändern. Denkbar wäre auch gewesen, das Virus auf den Server des Kantons zu laden. Doch damit hätte sich Andrivet strafbar gemacht. Seinen Befund präsentierte er im Juni bei einem Hackertreffen in Paris, wie die Zeitungen «Le Matin Dimanche» und «SonntagsZeitung» berichteten.

Andrivet zeigt mit seinem auf Youtube dokumentierten Hackerangriff, dass es möglich ist, den Computer eines einzelnen Stimmbürgers mit einer Schadsoftware zu manipulieren. Aus einem Ja zu einer Vorlage kann so ein Nein werden, noch bevor die Stimmabgabe an den Server des Kantons übermittelt wird. «Schwachstellen dieser Art sind der Bundeskanzlei und den Verantwortlichen in Genf längst bekannt», schreibt die Bundeskanzlei auf Anfrage. Sie betreffen nicht nur Genf und die Kantone, die sich dem Genfer System angeschlossen haben, sondern auch die beiden anderen E-Voting-Systeme, die in der Schweiz in Anwendung sind. Dass dies bis anhin öffentlich nie ein Thema war, begründen mehrere Personen so: Man habe vermeiden wollen, dass Medien das E-Voting schlecht darstellten.

Piraten boten Hilfe an

Gegenüber dem TA wollte sich Andrivet nicht zu seinen Erkenntnissen äussern. Alexis Roussel, der Präsident der Schweizer Piratenpartei, sagt, man habe den Kanton Genf vergeblich aufgefordert, den Quellcode für das E-Voting-System herauszugeben. Der Quellcode ist so etwas wie die DNA eines Computerprogramms. Wer ihn kennt, kann ein Programm prüfen und verändern. Stattdessen lud man die Piraten auf die Staatskanzlei ein, um das Programm unter Aufsicht an einem Computer einzusehen. «Wir haben den Code auf einem Bildschirm gesehen, aber das System nicht überprüfen können», ärgert sich Roussel. Das sei viel zu wenig, schliesslich wolle man die Gesetze für die E-Demokratie kennen und dabei helfen, E-Voting-Systeme zu verbessern. «Das Gesetz verbietet es, den Quellcode herauszugeben», verteidigt Genfs Vizestaatskanzler Christophe Genoud das Vorgehen.

Auch die Genfer Grünen verlangen die Herausgabe des Codes. Sie fordern, mit dem E-Voting-System so lange auszusetzen, bis die Sicherheitslücken geschlossen sind. Wie im Kanton Zürich, wo man bereits Ende 2011 beschloss, das eigene E-Voting-System nicht mehr zu nutzen. Der Kanton gab im Juni bekannt, er wolle ab Anfang 2014 beim Consortium Vote électronique einsteigen. Dieser Zusammenschluss mehrerer Kantone nutzt eine Kopie des ursprünglich von Zürich entwickelten Systems.

Charles Beer, der Präsident der Genfer Kantonsregierung, versucht zu beschwichtigen. Man habe alles unter Kontrolle, sagte der Sozialdemokrat am Sonntag im Westschweizer Radio. Er gestand aber ein: «Die Lücke ist bekannt und technisch verbesserungsfähig, aber das ist so komplex, dass wenig zu gewinnen wäre.»

Der TA weiss aus sicherer Quelle, dass Experten Informatiker des Kantons Genf bei externen Überprüfungen mehrfach auf Probleme beim E-Voting aufmerksam machten. Man habe Empfehlungen von IT-Spezialisten aber geflissentlich ignoriert. Es wird sogar vermutet, dass wirtschaftliche Gründe dahinterstecken, um den Verkauf des Systems im In- und Ausland nicht zu gefährden. Im Jahr 2002, als das Genfer System entworfen wurde, hat Internet-Sicherheitsspezialist Rolf Oppliger seine Sicherheitsbedenken geäussert. Oppliger bestätigt, im Auftrag des Kantons eine entsprechende Konzeptstudie, aber keine eigentliche Sicherheitsuntersuchung durchgeführt zu haben. Er habe eine Auslegeordnung über mögliche Lösungsansätze gemacht, aber es sei nie darum gegangen, seine Empfehlungen genauso umzusetzen. Fairerweise müsse er sagen, erklärt Oppliger, dass bei allen E-Voting- und E-Commerce-Systemen seitens der Nutzer ein erhebliches und häufig unterschätztes Sicherheitsrisiko bestehe.

Bund will Sicherheit erhöhen

Um die Risiken vor Manipulationen möglichst gering zu halten, dürfen bislang nur eine begrenzte Anzahl Stimmbürger elektronisch abstimmen: Bei eidgenössischen Urnengängen beträgt die Limite 10 Prozent, bei kantonalen Versuchen mit E-Voting 30 Prozent. Laut der Bundeskanzlei sind bei eidgenössischen Abstimmungen bisher aber nur gerade rund 3 Prozent aller Stimmberechtigten effektiv für E-Voting zugelassen. Bei den eidgenössischen Vorlagen Anfang Juni beispielsweise gaben rund 19'000 Personen aus zwölf Kantonen ihre Stimme per Mausklick ab. Rund die Hälfte aller Kantone nutzt E-Voting bisher gar nicht.

Für den Bundesrat ist E-Voting eine «natürliche und logische Konsequenz der gesellschaftlichen Entwicklung der letzten Jahrzehnte im Bereich der Kommunikation», wie er in einem kürzlich veröffentlichten Bericht schreibt. Weil die aktuellen E-Voting-Systeme für eine flächendeckende Nutzung aber nicht sicher genug sind, hat er in einer Verordnungsänderung neue Sicherheitsstandards festgelegt. Diese tritt Anfang 2014 in Kraft. Im Zentrum steht die sogenannte Verifizierbarkeit: Jeder Stimmbürger soll sich vergewissern können, dass seine Stimme im Internet korrekt übermittelt wurde. Dadurch würden Manipulationen der Computer, wie sie Experte Andrivet demonstriert hat, sofort bemerkt. Sobald ein Kanton mit seinem E-Voting-System diese Vorgabe erfüllt, dürfen 50 Prozent der Stimmberechtigten online abstimmen.

Die Bundeskanzlei rechnet damit, dass die ersten Kantone bereits im nächsten Jahr so weit sein werden. Können die Stimmenden in einem Kanton auch überprüfen, ob ihre Stimme korrekt auf dem Server des Kantons abgespeichert und dann auch korrekt ausgezählt wurde, fallen die Limiten für das E-Voting ganz weg. Gemäss der Bundeskanzlei dürften einzelne Kantone aber frühestens im Jahr 2018 so weit sein.

(Tages-Anzeiger)

Erstellt: 23.07.2013, 11:21 Uhr

Umfrage

Welche Art der Stimmabgabe bevorzugen Sie?

Persönlich

 
9.2%

Brieflich

 
64.2%

Elektronisch

 
26.5%

3558 Stimmen


Paid Post

Angst ist ein schlechter Ratgeber

Grosse Enttäuschungen haben ihren Ursprung in zu grossen Erwartungen. Was die Aktienmärkte 2018 belastete, könnte 2019 zu positiven Überraschungen führen.

Kommentare

Blogs

Geldblog So investieren Sie günstig in saubere Energie
Mamablog Hört mir auf mit dem Bauchgefühl!
Blog: Never Mind the Markets Folgt der umgekehrte Frankenschock?

Werbung

Weiterbildung

Ausbildung & Weiterbildung Finden Sie die passende Weiterbildung Technischer Kaufmann, Deutsch lernen, Coaching Ausbildung, Präsentationstechnik, Persönlichkeitsentwicklung

Die Welt in Bildern

Sie bringen Licht ins Dunkel: Die Angestellten einer Werkstatt in Tuntou, China, fertigen Laternen in Handarbeit. Diese werden als Dekoration für das chinesische Neujahrsfest dienen, das Anfang Februar stattfindet. (Januar 2019)
(Bild: Roman Pilipey/EPA) Mehr...