Update: Kanton Genf mahnt E-Voting-Hacker

Update vom 22.11.2018

Ende Oktober zeigten Mitglieder des Chaos Computer Club Schweiz, wie das Schweizer E-Voting-System „CHVote“ ausgetrickst werden kann. Der Kanton Genf, der für das System verantwortlich ist, reagiert darauf nun mit einer Abmahnung. Wie Rechtsanwalt Martin Steiger auf seinem Blog Steiger Legal mitteilt, beschwert sich die Genfer Staatskanzlei darüber, dass der Chaos Computer Club auf der gefälschten Website, auf welche Wähler umgeleitet werden könnten, die Wappen von verschiedenen Kantonen einschliesslich Genf verwendet hatte. Der Kanton Genf habe dabei auf Artikel 28 des Wappengesetzes verwiesen. 

Ausserdem werfe der Kanton dem Club „Vergehen gegen den Volkswillen“ vor. Der Chaos Computer Club untermauere das Vertrauen der Stimmbürger in die Stimmergebnisse und störe die Volksabstimmung vom 25. November, zitiert Steiger die Staatskanzlei. 

Der Rechtsspezialist schätzt die Drohungen des Kantons als ernstzunehmend ein. Er verweist darauf, dass ein Journalist, der vor einigen Jahren gezeigt habe, dass man mit dem E-Voting-System doppelt abstimmen könne vom Bundesstrafgericht wegen Wahlfälschung verurteilt worden sei. 

Update vom 08.11.2018

Kanton St. Gallen bezieht Stellung zu "CHVote"-Sicherheitslücken 

Der Chaos Computer Club Schweiz hat einen Weg gefunden, die Genfer E-Voting-Lösung "CH-Vote" auszutricksen. Der Kanton St. Gallen, der das System verwendet, hat nun Stellung zum Vorfall bezogen: Die Vorgehensweise, welche der Chaos Computer Club angewendet habe, sei keine neue Erkenntnis und werde bereits im Anhang der Verordnung der Bundeskanzlei vom Dezember 2013 über die elektronische Stimmabgabe als ein Szenario beschrieben, für das Vorkehrungen zu treffen seien. 

Ausserdem verweist der Kanton darauf, dass das Genfer E-Voting-System durch Prüfcodes dafür sorgt, dass jeder Wähler selbst überprüfen kann, ob seine Stimme korrekt und unverändert in der elektronischen Urne landet. Weiter müssten zentrale Elemente der Internet-Infrastruktur unter Kontrolle gebracht werden, damit eine grossflächige Umleitung auf eine falsche Seite überhaupt möglich wäre, wie in der Mitteilung des Kantons steht. 

Originalmeldung vom 05.11.2018

Sicherheitslücken bei E-Voting-System aufgedeckt  

Das E-Voting-System "ChVote" weist Schwachstellen auf. Volker Birk vom Chaos Computer Club Schweiz konnte die Genfer E-Voting-Lösung, die auch in anderen Kantonen verwendet wird, innert weniger Minuten austricksen, wie das SRF schreibt. Das Genfer System verwende ein unsicheres Verfahren beim Schutz der eigenen Web-Adresse, sagt Birk gegenüber SRF. Hacker könnten an die Stimmabsichten der online Abstimmenden kommen oder Stimmen manipulieren, indem sie User auf eine gefälschte Seite umleiteten.

Gegenüber SRF teilte der Kanton Genf mit, dass das Problem beim E-Voting-System seit längerem bekannt sei und nicht ignoriert werde. Es bestünden bereits gewisse Gegenmassnahmen.

"Eine Attacke auf die Privatsphäre – das Ausspionieren der Stimmen – ist relativ leicht durchführbar, sobald die Hacker den Stimmbürger umgeleitet haben", weiss Eric Dubuis, Professor für Informatik an der Berner Fachhochschule und Leiter des Research Institute for Security in the Information Society. Stimmen zu manipulieren sei hingegen schwieriger. Denn um eine Manipulation zu verhindern werden Verifikationscodes eingesetzt, die der Stimmbürger jeweils abgleichen muss. Diese gehören zu den Gegenmassnahmen, die der Kanton Genf erwähnt, wie Dubuis gegenüber SRF sagt.

Um sich bei den Abstimmungen vom 25. November zu schützen, rät das SRF zu folgenden Massnahmen:

1. Immer die vollständige URL mit dem https-Präfix in die Adresszeile eingeben.

2. E-Voting-Plattform nicht über Suchmaschinen aufrufen.

3. Durch einen Klick auf das Schloss-Symbol in der Browser-Adresszeile verifizieren, dass der Urheber mit den Angaben in den brieflichen Unterlagen übereinstimmt und dass die digitale Signatur korrekt ist.

4. Anweisungen auf den brieflich zugeschickten Unterlagen genau befolgen und auf keinen Fall davon abweichen.

5. Prozess sofort abbrechen, falls die Webseite eine andere Prozedur verlangt, als vorgegeben ist. In diesem Fall die Behörden informieren.