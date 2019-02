Die Post lässt ab heute während einem Monat ihr E-Votingsystem testen. So sollen mögliche Schwachstellen gefunden werden.

Bei dem so genannten Intrusionstest sollen möglichst viele Hacker und Computerspezialisten versuchen, das System zu knacken.

Im Vorfeld des Tests kam es zu einer Panne: Der Quellcode wurde von Unbekannten veröffentlicht. Das war so nicht vorgesehen.

Während einem Monat sollen Hacker aus aller Welt versuchen, das E-Votingsystem der Post zu knacken. Dafür konnten sich Interessierte online registrieren, so erhalten sie Zugang zum Programmcode. Dies ist nötig, um das System auf Herz und Nieren zu testen.

Nun ist der Quellcode vor einigen Tagen jedoch von Unbekannten im Internet veröffentlicht worden – jeder hat dazu jetzt also Zugang, nicht bloss die registrierten Hacker.

Wer hat den Code veröffentlicht?

«Es ist möglich, dass diese Veröffentlichung aus Unmut über die Post erfolgt ist», sagt dazu SRF-Digitalredaktorin Melanie Sieber. So war der Post im Vorfeld des Tests vorgeworfen worden, die Informationen und die Dokumentationen zum Code seien zu dürftig.

Schon kurz nach Veröffentlichung des Codes wurde von Spezialisten moniert, die Umsetzung der Verschlüsselungsalgorithmen im E-Votingsystem der Post sei mangelhaft. Für Sieber allerdings ist es viel zu früh, jetzt schon ein Urteil über den Code abzugeben. Dieser müsse nun zuerst ausgiebig getestet werden.

Test dauert vier Wochen

In der Tat dauert der sogenannte Intrusionstest des E-Votingsystems der Post einen ganzen Monat. Erst danach wird ein Fazit gezogen.

Laut der Bundeskanzlei handelt es sich beim System der Post um das erste schweizerische System, das vollständig verifizierbar ist. Dies gewährleiste, dass systematische Fehlfunktionen infolge von Softwarefehlern, menschlichen Fehlleistungen oder Manipulationsversuchen erkannt würden.

Können Stimmen manipuliert werden?

Gemäss den Anforderungen des Bundesrechts muss das System vor dem Ersteinsatz zertifiziert und der Quellcode offengelegt werden. Zusätzlich hätten Bund und Kantone entschieden, das E-Voting System vor dem Ersteinsatz einem öffentlichen Intrusionstest zu unterziehen, so die Bundeskanzlei.

Die weltweite Hacker-Community soll also versuchen, Stimmen zu manipulieren oder abgegebene Stimmen zu lesen. Zum Test gehört auch der Versuch, Sicherheitsvorkehrungen ausser Kraft zu setzen oder zu umgehen, welche die Stimmen und sicherheitsrelevante Daten schützen.

Test kostet mindestens 250'000 Franken

Der Test dauert bis am 24. März. Die auf Intrusionstests spezialisierte Firma SCRT registriert im Auftrag von Bund und Kantonen die Teilnehmenden. SCRT bewertet auch die Rückmeldungen und nimmt sobald als möglich zu ihnen Stellung.

Bund und Kantone bezahlen 250'000 Franken an den Intrusionstest. Davon gehen 150'000 Franken als Beitrag an die Gesamtkosten an die Post. Die Aufwände von SCRT werden mit 100'000 Franken abgegolten. Zudem sollen besonders wertvolle Meldungen von Sicherheitslücken finanziell belohnt werden.