Zum Inhalt springen
Inhalt

Elektronische Abstimmungen Hacker finden Schwachstelle im grössten Schweizer E-Voting-System

Sicherheitsexperten haben das Genfer E-Voting untersucht – und innert kurzer Zeit ein gravierendes Problem entdeckt.

Legende: Video Volker Birk vom Chaos Computer Club erklärt die Sicherheitslücke abspielen. Laufzeit 01:43 Minuten.
Aus News-Clip vom 02.11.2018.

Eine Auslandschweizerin, stimmberechtigt im Kanton Luzern, will beim eidgenössischen Urnengang vom 25. November elektronisch abstimmen. Dafür benutzt sie das E-Voting-System des Kantons Genf, der dies anderen Kantonen zur Verfügung stellt.

Sobald sie die Adresse evote-ch.ch/lu, Link öffnet in einem neuen Fenster in ihren Webbrowser eingegeben hat, wird sie auf eine gefälschte Seite umgeleitet. Eine Seite, die Hacker präpariert haben – um an die Stimmabsichten der Frau zu gelangen, oder noch schlimmer: um ihre Stimme zu manipulieren.

Das Perfide: Die Frau bemerkt den Angriff nicht. Ihr Browser zeigt ihr an, dass es sich um eine authentische Website mit gültigem Sicherheitszertifikat handelt – das kleine Schloss oben links leuchtet grün.

Schwachstelle innert weniger Minuten entdeckt

Das Szenario ist fiktiv, könnte aber in dieser oder ähnlicher Form bereits bei der aktuellen Abstimmung vom 25. November Realität werden. Das sagt Volker Birk vom Chaos Computer Club Schweiz. Der Hacker hat die Schwachstelle am Mittwochabend entdeckt.

Mit modernen Sicherheitsstandards wäre ein solches Manöver nicht so leicht durchführbar.
Autor: Volker BirkSprecher Chaos Computer Club

«Das Genfer System verwendet ein unsicheres Verfahren beim Schützen der eigenen Web-Adresse.» Wären bestimmte moderne Sicherheitsstandards richtig umgesetzt, wäre ein derartiges Täuschungsmanöver nicht mehr so leicht durchführbar. «Die Genfer unterlassen alle modernen Mittel, um solche Angriffe, wie wir sie aufzeigen, zumindest zu erschweren.»

Um die Schwachstelle zu finden, benötigte Birk nur wenige Minuten. Denn das Problem sei eigentlich seit Jahrzehnten bekannt, eine Lösung grundsätzlich verfügbar. Birk kann deshalb nicht verstehen, wieso der Kanton Genf nicht versucht hat, die Adressfälschung zu unterbinden.

So funktioniert der Hack

Personen-Box aufklappenPersonen-Box zuklappen
Ein Computer-Terminal, das eine Ordnerstruktur zeigt
Legende:Pixabay.com
  1. Angreifer manipulieren in einem ersten Schritt sogenannte Nameserver. Zum Beispiel solche von lokalen Providern, die ungenügend geschützt sind. Nameserver sind Knotenpunkte im Internet, die Anfragen von Webbrowsern zu den richtigen – oder eben falschen – Servern leiten. Sie übersetzen eine Domain wie evote-ch.ch zu einer IP-Adresse. Diese braucht es letztendlich, um mit einem anderen Computer zu kommunizieren.
  2. Da die Adresse evote-ch.ch nicht durch ein Verfahren namens «DNSSEC» (Domain Name System Security Extensions) geschützt ist, lässt sich diese Übersetzung einfach manipulieren. Die Hacker übertölpeln die Nameserver dazu, nicht die Original-IP von evote-ch.ch auszuliefern, sondern die zu ihrem eigenen Server – zu ihrer gefälschten Seite. Davon betroffen sind potenziell alle Stimmbürger, die über den angegriffenen Provider Internet beziehen.
  3. Gibt nun ein Nutzer die Adresse evote-ch.ch in den Browser ein (ohne vorangestelltes https://), landet seine Anfrage direkt bei den Hackern statt beim Kanton. Der Hacker-Server leitet den Browser des Stimmbürgers augenblicklich auf https://evote-net.ch, Link öffnet in einem neuen Fenster um. Diese URL ist kaum unterscheidbar von https://evote-ch.ch, Link öffnet in einem neuen Fenster – und scheinbar legitim, denn sie hat ein gültiges Sicherheitszertifikat. Das bekannte und vertrauenswürdige Schloss-Symbol erscheint.
  4. Die Angreifer sind nun «Man in the Middle» – sie sitzen in der Leitung zwischen Stimmbürger und Kanton und leiten jeweils Anfragen und Antworten hin- und her. Sie können dabei mitlesen, was der Bürger abstimmt oder wen er wählt. Sie können Anfragen an den Server des Kantons aber auch gezielt manipulieren, zum Beispiel aus einem «Ja» ein «Nein» machen. Dazu müssen sie jedoch den Stimmbürger übertölpeln und ihn zu Aktionen bewegen, die das E-Voting-Protokoll nicht vorsieht – wie beim Phishing, das bekanntlich zu den erfolgreichsten Angriffsmethoden im Internet zählt.

Der Kanton Genf, der das E-Voting-System in Eigenregie entwickelt hat, lässt schriftlich verlauten, dass das Problem seit längerem bekannt sei – und auch nicht ignoriert werde. Seit längerem bestünden gewisse Gegenmassnahmen.

Ausserdem habe man bisher keine Anomalien bei der Durchführung eines Abstimmungsprozesses festgestellt. Das System werde so überwacht, dass man bemerken würde, wenn zu viele Wähler auf eine bösartige Website umgeleitet würden.

Ein leichtes Einfallstor?

Eric Dubuis ist Professor für Informatik an der Berner Fachhochschule und Leiter des Research Institute for Security in the Information Society, das sich mit E-Voting auseinandersetzt. Dubuis bestätigt gegenüber SRF die Angriffsmöglichkeit, die der Chaos Computer Club demonstriert hat. «Eine Attacke auf die Privatsphäre – das Ausspionieren der Stimmen – ist relativ leicht durchführbar, sobald die Hacker den Stimmbürger umgeleitet haben.»

Schwieriger werde es beim Manipulieren von Stimmen. Um dies zu unterbinden, würden Verifikationscodes eingesetzt, die der Stimmbürger jeweils abgleichen müsse. Diese gehören zu den Gegenmassnahmen, die der Kanton Genf in seiner Stellungnahme erwähnt. Dubuis räumt aber ein, dass es wahrscheinlich auch Bürger gebe, die diesen Schritt ignorierten. Und: Mit psychologischen Tricks könnten die Hacker die Benutzer auch dazu verführen, Dinge zu tun, die sie nicht sollten. Dann stünde der Stimmmanipulation Tür und Tor offen.

«Beim E-Voting der heutigen Form ist man auf die digitale Mündigkeit des Stimmbürgers angewiesen», fasst Dubuis zusammen. Er glaubt aber nicht, dass für die laufenden Abstimmungen eine reelle Gefahr besteht. Er kann sich keine Gruppierung vorstellen, die, ausser zu Demonstrationszwecken, das System hacken wollte. Klar ist für ihn: «Die Gesellschaft – und nicht Sicherheitsforscher wie ich – muss abwägen, ob das Risiko tragbar ist oder nicht.»

So können Sie sich schützen

Wenn auch ein solcher Angriff für Sie unwahrscheinlich klingen mag, sollten Sie trotzdem gewisse Vorkehrungen treffen, falls Sie elektronisch abstimmen wollen:

  1. Geben Sie immer vollständige URLs mit dem https-Präfix in die Adresszeile Ihres Browsers ein: «https://evote-ch.ch».
  2. Rufen Sie die E-Voting-Plattform nicht über Suchmaschinen wie Google auf.
  3. Verifizieren Sie durch einen Klick auf das Schloss-Symbol in der Browser-Adresszeile, dass der Urheber mit den Angaben in den brieflichen Unterlagen übereinstimmt (also zum Beispiel «Republic et Canton de Genève»), und dass die digitale Signatur korrekt ist (Angaben dazu finden Sie in den brieflichen Unterlagen).
  4. Weichen Sie in keinem Fall von den Ihnen zugeschickten brieflichen Unterlagen ab. Befolgen Sie diese Informationen penibel genau.
  5. Verlangt die Website eine andere Prozedur als vorgegeben, sei es auch nur eine kleine Änderung, brechen Sie den Prozess sofort ab und informieren Sie die zuständige Behörde.

Volker Birk vom Chaos Computer Club hat seine Meinung gemacht: «Die Vertrauensfrage kann man nicht an den Stimmbürger auslagern, nur weil sie technisch nicht oder nur schlecht lösbar ist.»

Man sollte alle E-Voting-Projekte aufgeben.
Autor: Chaos Computer Club Schweiz

Verschiedene Beispiele aus dem Ausland zeigten, dass gerade staatliche Akteure ein Interesse und die Mittel hätten, elektronische Wahlen zu beeinflussen. Die Snowden-Dokumente zum Beispiel zeigten, dass die NSA sogar eine Absicht dazu geäussert hätten. Der Chaos Computer Club plädiere deswegen für die Aufgabe aller E-Voting-Projekte.

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen.

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren.

47 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Alex Volkart (Lex18)
    E-Voting wird nie sicher sein denn der einzige Vorteil, das Internet, ist gleichzeitig die einzige Schachstelle. Jeder Sicherheitsexperte kann das bestätigen. E-Voting gehört verboten.
    Ablehnen den Kommentar ablehnen
  • Kommentar von Hans Haller (panasawan)
    Mit E-Voting wird das Manipulieren und Betrügen leichter gemacht. Und darüber freuen sich Hacker und die IT-Banche. - E-Voting muss man flächendeckend verbieten. Ich bind sogar der Meinung, dass dies in der Verfassung zu verankern ist. Ich habe seit 1980 in der IT-Branche gearbeitet. Ich hatte schon privat ein PC als andere nur davon träumen konnten einen PC überhaupt bekommen zu können. Ich bestätige jedem, der mit IT zu tun hat, dass er an Aufträgen interessierter ist als an Sicherheit !
    Ablehnen den Kommentar ablehnen
    1. Antwort von R. Berger (RB.)
      Zurzeit wird an einer Initiative gegen eVoting gearbeitet - suchen Sie mal nach e voting moratoriu
      Ablehnen den Kommentar ablehnen
  • Kommentar von Anna Jakob (Anjak15)
    Die Aussage des Kantons man würde „zu viele“ Wahlbetrugsversuche merken deutet auf die fehlende Ernsthaftigkeit der Verantwortlichen hin. Ist denn nicht schon der unbemerkte Wahlbetrug einer einzigen Stimme verheerend? Der Kt. Genf handelt grobfahrlässig in dem er altbekannte Schwachstellen offen lässt. Das ist so, wie wenn man ein „sicheres“ Haus baut, welches nur offene Türen hat! Und ja, es gibt sichere IT Systeme die man nicht so schnell knacken kann z.b. in Luftfahrt, Militär, e-Banking...
    Ablehnen den Kommentar ablehnen
    1. Antwort von R. Berger (RB.)
      eBanking etc. haben aber einen Unterschied: sie haben kein Stimmgeheimnis. Die Bank weiss, wieviel Geld du hast. Der Staat darf hingegen nicht wissen, wie du gestimmt hast. Dass das Stimmgeheimnis mit eVoting sehr einfach verletzt werden kann, ist schon in der Praxis bewiesen worden. Einfach mal auf YouTube nach "evoting poc" suchen und das erste Video ansehen.
      Ablehnen den Kommentar ablehnen