Post lässt ihr Abstimmungssystem durch Hacker auf Herz und Nieren testen
Die Schweizerische Post setzt vom 25. Februar bis 24. März 2019 ihr E-Voting System einem öffentlichen Hackertest aus. Damit erfüllt sie die Vorgaben von Bund und Kantone. Mit dem sogenannten «Intrusionstest» können angemeldete IT-Spezialisten das System auf Herz und Nieren prüfen und bei einem fiktiven Urnengang das Resultat zu manipulieren versuchen. Die Post wird die Ergebnisse des Hackertests in die Weiterentwicklung ihres E-Voting-Systems aufnehmen. Heute veröffentlicht die Post zudem den Quellcode ihres Systems. Unabhängige Experten können auch diesen kritisch prüfen und sich eingehend auf den Intrusionstest vorbereiten. Denis Morel, Leiter E-Voting bei der Schweizerischen Post, bereitet diese für die Schweiz seltene Vorgehensweise keine schlaflosen Nächte, wie er im Interview darlegt. Gespannt auf die Kreativität und Raffinesse der hochspezialisierten Hacker ist er aber allemal.
Denis Morel, Bund und Kantone machen zur Auflage, dass zum Einsatz eines E-Voting-Systems neuster Generation in der Schweiz ein öffentlicher Hackertest durchgeführt wird. Haben Sie deshalb schlaflose Nächte?
Nein, ich schlafe diesbezüglich sehr gut. Mit gutem Grund: Das E-Voting-System der Post ist bereits seit Jahren im Einsatz und die Hacker warten nicht auf einen angekündigten und definierten Termin eines öffentlichen Stresstest für das System. Wir führen etwa alle zwei Monate intern solche Intrusionstests mit Spezialisten aus den verschiedensten Bereichen durch.
Sie haben international bereits dazu aufgerufen, sich für den Sicherheits-Bewährungstest im Februar anzumelden. Wird die Post mit Anmeldungen überrannt?
Das Interesse ist in der Tat sehr gross. Wir haben rund 450 Voranmeldungen erhalten. In der Schweiz gibt es nur sehr wenige öffentliche Hackertests. Sie sind weltweit bekannt, etwa bei Google oder in der Schweiz bei Swisscom. Unter den angemeldeten Interessierten befinden sich auch bekannte Szenengrössen mit viel Kompetenz in diesem Bereich. Eine Anmeldung ist zwingend, um die anderen Applikationen auf dem Postserver vor den Hackversuchen zu schützen. Das ist auch im Verhaltenskodex so vereinbart. Systeme zu hacken ist in der Schweiz strafbar. Auch hier braucht es entsprechende Vereinbarungen, um die Hacker zu schützen.
Wie sieht ein solcher Härtetest für die Sicherheitsvorkehrungen im E-Voting aus, wie läuft dieser konkret ab?
Mit unserem System simulieren wir einen Urnengang im üblichen Zeitrahmen von vier Wochen. Dies umfasst den Versand der Stimmrechtsausweise über die Stimmabgabe bis zur Auszählung des Resultates. Der Test bildet also einen normalen Urnengang ab. Während dieser Zeit können sich die Hacker mit mehreren Stimmrechtsausweisen im E-Voting-System austoben. Es geht für sie darum, die Abstimmungsurne zu manipulieren, ohne dass wir davon etwas merken.
Was verspricht sich die Post von diesem öffentlichen Hackertest? Die Sicherheitsauflagen der Bundeskanzlei entsprechen ja bereits dem zurzeit weltweit höchsten Standard?
Die hohe Sicherheit wird gegeben durch ein Gesamtkonzept der eingesetzten Technik und nicht durch eine einzelne Massnahme oder eine bestimmte Software. Unser E-Voting-System erfüllt die sehr hohen Sicherheitsanforderungen. Sie können dies bildhaft und sehr vereinfacht vergleichen mit einem Igel: Der rollt sich reflexartig zum Schutz zusammen. Der Fuchs sticht sich seine Nase an den Stacheln blutig und hat in der Regel kaum eine Chance. Es sei denn, «Meister Reineke» findet als ausgefuchster Überlebenskünstler mit seiner Schlauheit und cleveren Verhaltensweise einen Weg, den Igel zu überlisten. Auf die gleiche Art erhoffen wir uns Einsicht und Erkenntnisse, welche Ideen, Phantasie, Intelligenz und Szenarien die Hacker als gewiefte Spezialisten bei unserem System anwenden, um «unseren Igel» allenfalls in Bedrängnis zu bringen, ohne dabei eine blutige Nase zu bekommen.
Sie versprechen eine noch höhere Sicherheit als das heute zum Alltag gewordene E-Banking. Dies, dank der Begriffe «individuelle und universelle Verifizierbarkeit». Was heisst das für mich als Laie?
Bei E-Voting sind oft primär Emotionen und nicht Fakten als Argumente im Spiel – der Intrusionstest soll eine faktenorientierte Diskussion ermöglichen. Er soll aufzeigen, dass die Vorkehrungen für den sensiblen Bereich von Abstimmungen und Wahlen im Digitalen so getroffen sind, dass im Gegensatz zu den heutigen Abstimmungsvorgängen allfällige Manipulationen sofort bemerkt werden. Mit der individuellen Verifizierbarkeit erhalte ich vom System mit einer Zahlenreihe die Bestätigung, dass meine Stimme so in der Urne gelandet ist, wie ich es wollte – der Bürger selbst merkt also einen allfälligen Manipulationsversuch auf dem Weg seiner Stimme in die Urne, wenn die erhaltene Zahlenreihe nicht mit derjenigen auf seinem Stimmrechtsausweis übereinstimmt.
…und die universelle Verifizierbarkeit?
Die universelle Verifizierbarkeit stellt als System beweiskräftig sicher, dass die Urne richtig ausgezählt worden ist. Wir haben also für den gesamten digitalen Weg der Stimme von der Abgabe bis in die Urne und dann zur Auszählung der Stimmen Sicherheitsvorkehrungen im System, die jeden Manipulationsversuch entweder dem Bürger selbst oder den Kantonen melden.
Die Post publiziert ab heute auch den Quellcode? Was heisst das genau, welche Einsicht erhalten IT-Experten damit?
Die elektronische Urne besteht aus verschiedenen technischen Komponenten. Darunter auch eine Software mit allen kryptografischen Elementen, beispielsweise mit Verschlüsselung oder mit Verifizierbarkeit. Der Quellcode stellt dabei dar, wie die Software geschrieben ist, wie sie funktioniert. Bildlich gesprochen ist der Quellcode das Kochrezept inklusive Beschreibung und Nennung der benötigten Infrastruktur. Köche erhalten hier Einsicht ins Rezept. Ob Ihnen mit ihrem Geschick das Menu gleich gut gelingt wie dem Rezeptersteller, sei dahingestellt. Es wird somit viel offengelegt. Das ist auch wichtig: Nur mit Transparenz schaffen wir das nötige Vertrauen in einen zukünftigen digitalen Abstimmungs- oder Wahlprozess.
Wagen Sie eine Prognose für den Bewährungstest im Februar?
Wir sind gespannt auf die Kreativität, Raffinesse und Vielseitigkeit der «Hacker» und wie diese im Stresstests auf unser E-Voting-System eingehen und es herausfordern. Dabei geht es nicht darum, ob dieser oder jener Weg zur Problemlösung gewählt worden ist, sondern ob das System verlässlich Manipulationsversuche erkennt und Alarm schlägt.
Welche Summe erhält ein erfolgreicher Hacker, wenn er der Post Lücken nachweisen kann?
Das Projekt sieht hier eine Gesamtsumme von 150’000 Franken vor, die fein abgestuft je nach Erfolg und Empfehlung einen Höchstbetrag von 50’000 Franken für Aufwendungen abgeltet.
Bund und Kantone im Lead
Die Bundeskanzlei und die Kantone informieren heute Donnerstag mit einer Medienmitteilung über einen weiteren Meilenstein auf dem Weg zu einem E-Voting-System in der Schweiz: Gemäss den Anforderungen des Bundesrechtes muss ein E-Voting System mit vollständiger Verifizierbarkeit vor dem Ersteinsatz einem öffentlichen Intrusionstest unterzogen werden. In diesem Härtetest wird die Sicherheit geprüft. Das System wird gezielt öffentlichen Hackerangriffen ausgesetzt. Damit entspricht die Post den Vorgaben von Bund und Kantone.
Die Post begrüsst dieses Vorgehen, unterstützt es doch eine faktenorientierte Diskussion in der Öffentlichkeit über Fragen der Sicherheit. Es ist an den kantonalen Parlamenten und an der Bevölkerung zu entscheiden, ob sie E-Voting als dritten zusätzlichen Kanal nebst Urne und Brief einführen möchten.
Die Post transportiert heute rund 20 Millionen Briefsendungen pro Jahr auf dem Postweg allein für die Wahlen und Abstimmungen.
Weitergehende Infos:
Anmeldungen für Intrusionstest: www.onlinevote-pit.ch
Kategorisiert in:
