Fachleute über Verwundbarkeit des Genfer E-Voting-Systems uneins

IT-Security-Experten des Schweizer Chaos Computer Clubs (CCC-CH) haben kürzlich das Genfer E-Voting-System untersucht und eine Schwachstelle gefunden. Das fiktive Szenario: Eine Auslandschweizerin, stimmberechtigt im Kanton Luzern, benutzt das E-Voting-System des Kantons Genf. Sobald sie die Webadresse evote-ch.ch/lu eingibt, wird sie auf eine gefälschte Seite umgeleitet.

«Das Genfer System verwendet ein unsicheres Verfahren beim Schützen der eigenen Webadresse», zitierte SRF Volker Birk vom CCC-CH. Der Hacker habe nur wenige Minuten benötigt, um die Schwachstelle zu entdecken. Eigentlich sei das Problem seit Jahrzehnten bekannt.

Der Kanton Genf, der das E-Voting-System entwickelt hat, liess gegenüber SRF schriftlich verlauten, dass das Problem seit Längerem bekannt sei – und auch nicht ignoriert werde. Seit Längerem bestünden gewisse Gegenmassnahmen.

«Es kann den Genfer Behörden keine Unterlassung vorgeworfen werden, durch die das Umleiten von Internetnutzern entscheidend begünstigt worden wäre», sagt René Lenzin, Stv. Leiter Kommunikation der Bundeskanzlei, auf Anfrage von PCtipp. Zudem bestünden keine Anhaltspunkte, dass es im Rahmen des SRF-Beitrags gelungen wäre, die Internetnutzer grossflächig auf das gefälschte Stimmportal umzuleiten.

«Vielmehr ist von einer Demonstration unter Laborbedingungen auszugehen, die es von einem gelungenen Hack, der ungleich schwieriger durchzuführen wäre, klar abzugrenzen gilt», so Lenzin weiter.

Die Berichterstattungen haben nun das E-Voting-No-Komitee auf den Plan gerufen. In einer Mitteilung heisst es, man sei «besorgt» über die jüngsten Erkenntnisse. Das Initiativkomitee fühle sich «erneut» in seiner Auffassung bestätigt, dass E-Voting unsicher sei und «grosse Mängel» aufweise. 

Zudem sei man beunruhigt über die «Naivität und Blauäugigkeit» der Behörden in einigen Kantonen und beim Bund.

Dem widerspricht René Lenzin, Stv. Leiter Kommunikation der Bundeskanzlei: «Von Naivität und Blauäugigkeit kann keine Rede sein.» Seit 2004 hätten gut 300 erfolgreiche E-Voting-Versuche stattgefunden. «Der Bund lässt nur E-Voting-Systeme zu, welche die hohen bundesrechtlichen Sicherheitsanforderungen erfüllen.» Diese Sicherheitsanforderungen würden Cyberrisiken berücksichtigen und seien mit Vertreterinnen und Vertretern aus Wissenschaft und Technik abgestimmt.

«Ausserdem beruhen alle Versuche auf gesetzlichen Grundlagen, die sowohl auf Bundes- als auch auf Kantonsebene von den jeweiligen Parlamenten verabschiedet worden sind», so Lenzin weiter.

Beat Rudin, Präsident der Vereinigung der kantonalen Datenschutzbehörden (Privatim), sagt zu den oben genannten Aussagen des E-Voting-No-Komitees Folgendes: «Privatim vertritt die Meinung, dass alle Risiken beim E-Voting in einer umfassenden Risikoanalyse berücksichtigt und die rechtlichen Vorgaben in Bezug auf das Wahl- und Abstimmungsgeheimnis garantiert werden müssen.»

Für die Umsetzung der notwendigen Massnahmen seien die Kantone verantwortlich. Privatim sagt weiter, die Datenschutzbeauftragten seien für die Beurteilung der Risikoanalyse und der vorgeschlagenen Massnahmen beizuziehen.

Der Kanton Genf stellt seine E-Voting-Plattform auch anderen Kantonen zur Verfügung, unter anderem dem Kanton Aargau.