Die Schweiz kurz vor dem Härtetest ihres E-Voting-Systems
Am Montag startet der von der Schweizerischen Post lancierte Intrusiontest des E-Voting-Systems, doch schon jetzt gibt es Bedenken wegen der Sicherheit.
(Bild: pixabay.com)
Am Montag, den 25. Februar wird er beginnen, der öffentliche Penetrationstest der Schweizerischen Post und soll bis 24. März dauern. Vier Wochen also, in denen IT-Security-Spezialisten und Hacker Zeit haben, um das einzig verbliebene E-Voting-System in der Schweiz dem Härtetest zu unterziehen. Bis zu 50.000 Franken (rund 44.000 EUR) winken erfolgreichen IT-Experten, je nachdem welches Sicherheitsproblem sie ausfindig machen.
Ein "Maulkorb" für die Tester
(Bild: swissinfo.ch)
Wer beim "Public Intrusion Test" (PIT) mitmachen will, muss sich registrieren und die Nutzungsbedingungen akzeptieren. Dann gibt es den Zugang zum Quellcode. Dafür ist man verpflichtet, bei Entdeckung einer Sicherheitslücke diese der Post umgehend mitzuteilen und eine Wartefrist abzuwarten (laut Medienberichten 45 Tage), bevor die Schwachstelle veröffentlicht werden darf. Bis zum 18. Februar seien bereits rund 30 Hinweise eingereicht worden, und für den PIT seien rund 2500 Anmeldungen aus aller Welt eingegangen, teilt die Post mit. Falls nach der Wartefrist Schwachstellen publiziert würden, dürfen lediglich die "relevanten Teile des Quellcodes zitiert werden". Verboten ist jedoch, den Quellcode weiterzugeben oder zu publizieren. Das betrachten viele IT-Experten als Maulkorb.
Dumm nur, dass der Source-Code für das E-Voting-System der Post (der auf einer Lösung von Scytl, eine spanischen Firma für E-Government-Software, basiert) vorletzte Woche auf GitLab unter einem Account "fickdiepost" aufgetaucht ist. Was an sich unproblematisch wäre, da die Post ja ohnehin am 7. Februar den Quellcode prinzipiell zur Verfügung stellte. Mittlerweile werden die Webadressen, unter denen der geleakte Quellcode zu finden war, blockiert. Bei GitHub wird ein "DMCA Takedown" vermutet.
275.000 Zeilen Java-Code, dürftige Dokumentation
Dennoch wird nun an verschiedenen Orten – inzwischen weltweit – der Programmcode uneingeschränkt geprüft. Und vielfach für zu leicht befunden. Respektive auch auf eigenartige Weise unzugänglich. So bemängelte das Schweizer Online-Magazin Republik in einem detailfreudigen Artikel "das Gebaren der Post, dem interessierten Fachpublikum 275.000 Zeilen Java-Code mehr oder weniger kommentarlos hinzuwerfen (und) auf Nachfragen per E-Mail nicht zu reagieren".
Die mit dem Quellcode gelieferte Dokumentation zu Kompilierung und Deployment sei recht dürftig, wird von Beobachtern bemängelt. Konkret sind darin keine Anleitungen auffindbar, um eigene Abstimmungen und Wahlen durchzuführen, so Hernâni Marques, Pressesprecher des Schweizer CCC. Dazu wäre die Post aber per Gesetzgebung eigentlich sogar verpflichtet. Auf Nachfragen von Marques, gab es von der Schweizer Post bisher keine Antworten.
Noch dazu gebe es laut Republik keinerlei "Anleitung, wie die zahlreichen Komponenten und Dienste in Betrieb genommen werden und wie sie miteinander kommunizieren können". Die im Projekt federführende Bundeskanzlei rechtfertigt sich in den Medien: "Falls Sie finden, die Systemdokumentation sei unvollständig oder der Quellcode sei zu schwer zum Laufen zu bringen, können Sie der Post Ihre Erkenntnisse melden."
Bei Sarah Jamie Lewis, laut Vice eine frühere Ingenieurin für IT-Sicherheit bei Amazon und Ex-Mitarbeiterin des englischen Geheimdiensts GCHQ, gingen ebenfalls gleich "sämtliche Warnsignale an". In einem Artikel des englischen Online-Magazins beschreibt sie obige Ausgangssituation analog: "Der Großteil des Systems ist in Hunderte von verschiedenen Dateien aufgeteilt, wobei jede Datei auf unterschiedlichen Schichten konfiguriert ist." Sie sei gewohnt mit Java-Code umzugehen, "der kreuz und quer zwischen verschiedenen Paketen und verschiedenen Entwicklerteams läuft", doch der Code der E-Voting-Plattform "bezwingt irgendwie selbst meine Auffassungsgabe".
