Bern – Der von Bund und Kantonen angeordnete öffentliche Intrusionstest am neuen E-Voting-System der Schweizerischen Post ist beendet. Obwohl die elektronische Urne nicht gehackt werden konnte, zeigen die Rückmeldungen zum offengelegten Quellcode kritische Fehler. Weil die Integrität von Abstimmungen und Wahlen oberste Priorität habe, werde die Post den Quellcode korrigieren und von unabhängigen Experten erneut überprüfen lassen, schreibt sie in einer Mitteilung. Für die Abstimmungen vom 19. Mai wird sie ihr E-Voting-System den Kantonen deshalb nicht zur Verfügung stellen.
Zwischen dem 25. Februar und dem 24. März 2019 führte die Schweizerische Post einen öffentlichen Intrusionstest (Hackertest) an ihrem neuen E-Voting-System mit universeller Verifizierbarkeit durch. Zusätzlich zum Intrusionstest hat sie am 7. Februar den Quellcode ihres E-Voting-Systems veröffentlicht. Obwohl die notariell beglaubigte Urne nicht gehackt werden konnte, zeigen die Rückmeldungen zum offengelegten Quellcode kritische Fehler.
Ein Fehler betrifft auch das individuell verifizierbare System, das die Kantone Thurgau, Neuenburg, Freiburg und Basel-Stadt seit 2016 einsetzen. Es könne ausgeschlossen werden, dass bisherige Abstimmungen oder Wahlen manipuliert worden seien, schreibt die Post. Der Fehler würde zu ungültigen Stimmen führen. Dies würde bei der Entschlüsselung der Urne in jedem Fall erkannt werden.
Keine manipulierten Stimmen
Während des vierwöchigen Härtetests haben rund 3200 internationale IT-Experten das neue E-Voting-System gezielt angegriffen. Die Hacker haben insgesamt 173 Befunde eingereicht. Davon haben Bundeskanzlei, Kantone und Post 16 bestätigt. Sie fallen in die unterste Klassifizierungsstufe «Best Practice» und können somit als unkritisch eingestuft werden. Der gesamte Prozess zur Beurteilung der Befunde wurde von Vertretern von Bund und Kantonen überwacht. Die Post nimmt die Erkenntnisse in die Weiterentwicklung des neuen E-Voting-Systems auf. Der Quellcode bleibt dauerhaft veröffentlicht. Forschende können ihn weiterhin überprüfen und der Post ihre Beobachtungen melden. (Post/mc/pg)
