Aus der Sicht eines Hackers: Wie sicher ist das E-Voting-System der Post?

Die Schweizerische Post hat stets betont, dass sie den Kantonen ein sicheres E-Voting-System zur Verfügung stellen will. Deshalb wollten wir wissen: Wie sicher ist das E-Voting-System wirklich? Anlässlich des öffentlichen Intrusionstests haben wir mit einem ethischen Hacker gesprochen. Die Post lädt seit mehreren Jahren Hackerinnen und Hacker ein, ihre IT-Systeme auf Sicherheitslücken zu überprüfen, und zahlt Belohnungen für gefundene Schwachstellen. Nun wendet sie dasselbe Prinzip auf das E-Voting-System an.

Ruben Santamarta (40) lebt in Spanien. Er interessierte sich schon mit 15 Jahren für Hacking und Informationssicherheit. Seine offizielle Berufsbezeichnung lautet «Sicherheitsforscher».

Aktuell läuft ein öffentlicher Intrusionstest. Dabei versuchen ethische Hackerinnen und Hacker, das zukünftige E-Voting-System der Post anzugreifen. Das heisst, dass sie die E-Voting-Infrastruktur während vier Wochen attackieren dürfen. Damit können sie erstmals auch den Prozess der Stimmabgabe auf dem Abstimmungsportal mit Musterstimmrechtsausweisen 1:1 durchspielen und ins Visier nehmen. Ziel ist es, mögliche Schwachstellen aufzudecken und frühzeitig zu beheben. Bestätigte Schwachstellen im Rahmen des Intrusionstests belohnt die Post mit bis zu 30 000 Franken. Das ist eine weitere Testmöglichkeit, denn bereits seit Anfang 2021 prüfen unabhängige Fachpersonen aus der ganzen Welt das zukünftige E-Voting- System der Schweizerischen Post. Dabei zahlt die Post insgesamt sogar Belohnungen bis zu 250 000 Franken.

Wir haben die Gelegenheit genutzt und mit einem ethischen Hacker gesprochen. Ruben Santamarta (40) arbeitet schon sein halbes Leben im Bereich Informationssicherheit und gibt uns einen Einblick in seine Tätigkeit. Der Spanier hat schon weltweit für die unterschiedlichsten Unternehmen gearbeitet.

Ruben Santamarta, der öffentliche Intrusionstest ist derzeit im Gange. Deshalb möchten wir mit der Frage starten: Wie einfach ist es deiner Meinung nach, das System zu hacken?
Es ist überhaupt nicht einfach. Eine Person mit böswilligen Absichten, die in das E-Voting-System der Schweizerischen Post eindringen und den Abstimmungsprozess beeinflussen will, braucht nur schon für einen Versuch einiges an Ressourcen.

Du bist ein sogenannter ethischer Hacker. Kannst du uns erklären, worum es beim ethischen Hacking geht? Und was ist der Unterschied zu nicht ethischem Hacking?
Von der technischen Perspektive aus gesehen sind ethisches und nicht ethisches Hacking sehr ähnlich. Sowohl die Technik wie auch die Methoden sind bei beiden gleich. Ziel des Hacking ist es, an Informationen und somit an Wissen zu kommen, das man eigentlich nicht haben darf. Der Unterschied liegt also beim Ergebnis. Ein ethischer Hacker informiert transparent über die Erkenntnisse seiner Aktionen, um ein System zu verbessern und um Unternehmen zu unterstützen. Ein nicht ethischer Hacker hingegen, verwendet die Resultate, um jemandem zu schaden.

Die Berufsbezeichnung «Hacker» ist ziemlich ungewöhnlich. Wie kommt es, dass du Hacker geworden bist?
Ich habe mich schon als Teenager für Computer und Sicherheit interessiert. Mit 15 begann ich mich in der Freizeit mit Programmieren und mich mit den Grundlagen des Hackings und Computersicherheit zu beschäftigen. Ich wollte schon immer wissen, wie die Dinge funktionieren. Wenn ich Schwachstellen entdeckte, die niemand vor mir erkannt hatte, war das sehr aufregend und motivierte mich. Das ist auch heute noch so. Es ist immer ein tolles Gefühl, wenn zum Beispiel ein Unternehmen dank meiner Arbeit ein System verbessern kann.

Nach dem Gymnasium fing ich als Programmierer an. Der Job war nicht in Verbindung mit dem Thema IT-Sicherheit, aber ich lernte sehr viel dabei. Mit Anfang 20 hat mich ein Antiviren-Unternehmen angestellt. Seit 2006 bin ich als selbstständiger Sicherheitsforscher tätig und habe schon für zahlreiche internationale Organisationen und Unternehmen gearbeitet.

Sich den Alltag eines Hackers vorzustellen, ist ziemlich schwierig. Wie sieht bei dir ein normaler Arbeitstag aus?
Ich kenne keine «normalen Arbeitstage». Als selbstständiger Sicherheitsforscher arbeite ich, wann ich will. Es gibt Tage – und auch Nächte –, in denen ich stark auf ein Projekt fokussiert bin und mich fast nicht losreissen kann. Und an anderen Tagen recherchiere ich oder lese Unterlagen.

Und wie gehst du deine Arbeit an?
Normalerweise sammle ich als Erstes so viele Informationen wie möglich. Ich lese zum Beispiel technische Dokumentationen oder schaue Videos, damit ich das ganze System, das ich analysieren will, wirklich verstehe. Erst danach analysiere ich den Code. Ich versuche zu begreifen, wie er funktioniert. Und erst, wenn ich alles genau verstehe, führe ich eine Aktion durch. Zum Beispiel: Erst als mir klar war, wie die E-Voting-Komponenten funktionieren, versuchte ich, das System anzugreifen und Schwachstellen zu finden. Man kann meine Arbeit mit der eines Detektivs vergleichen. Man muss wirklich alles untersuchen, Beweise sammeln und versuchen herauszufinden, was passiert ist. Und erst danach tritt man in Aktion.

Und wieso willst du ein Unternehmen wie die Schweizerische Post hacken?
Ich bin mit der Post wegen ihres E-Voting-Systems in Kontakt getreten. Ein solches System ist für viele Leute wichtig. Die Post vereinfacht und unterstützt damit demokratische Prozesse in der Schweiz. Und deshalb interessiert es mich, bei den Tests mitzumachen. In diesem Fall wollte ich nicht nur wissen, wie das System funktioniert, sondern ich betrachte es auch als sinnvolles und wichtiges Projekt. Der Online-Abstimmungsprozess ist auf die Sicherheit des Systems angewiesen. Deshalb finde ich es sehr interessant, bei den Tests mitzumachen.

Gibt es Unterschiede zu anderen Programmen, an denen du teilgenommen hast?
Ja, der Ansatz der Post unterscheidet sich von demjenigen anderer Programme. Der wichtigste Unterschied ist: Der ganze Prozess ist sehr transparent. Als ethischer Hacker erhält man Zugriff auf alles – auf alle möglichen Dokumente und internen Informationen. Und die Post beantwortet sogar Fragen. Bei anderen Programmen erhält man solche Informationen normalerweise nicht. Mit dieser Transparenz hebt sich die Post also von anderen Programmen ab, an denen ich teilgenommen habe. Und ein zweiter Unterschied: Die Post zahlt höhere Belohnungen. Das ist natürlich nicht der Grund, um das System zu hacken, aber es wirkt motivierend.

Ganz ehrlich: Wie sicher ist das E-Voting-System der Post aus der Sicht eines Hackers?
In meinen Augen hat sich das System im Vergleich zur ersten Version, die 2019 veröffentlicht wurde, stark verbessert. Ich habe das System nun ziemlich lange untersucht und finde, dass das Sicherheitsniveau recht hoch ist. Natürlich gibt es immer noch etwas zu verbessern. Es gibt zum Beispiel Schwachstellen, die während des Bug-Bounty-Programms gefunden wurden und nun behoben werden müssen. Hinzu kommt, dass die Post das System noch mit weiteren Funktionen erweitert. Das heisst, der Prozess ist noch nicht abgeschlossen. Aber im Allgemeinen habe ich einen guten Eindruck von der Sicherheit des Systems.

Link auf Portal E-Voting mit allen fachspezifischen E-Voting-Blogs