Post schiesst gegen Hackerin, die ihr E-Voting kritisierte
Die Post und die Datenschutzforscherin Sarah Jamie Lewis liefern sich einen heftigen Schlagabtausch. Die Hackerin hatte das E-Voting der Post kritisiert.
Das Wichtigste in Kürze
- Eine Hackerin veröffentlicht den Code des E-Votingsystems der Post.
- Daraufhin rüffelt die Post die Datenschutzforscherin.
«Hallo Post Schweiz!» Sarah Jamie Lewis wendet sich auf Twitter direkt an die Schweizerische Post AG. Die kanadische Sicherheitsexpertin informiert: «Ich werde eine Kopie des E-Voting-Quellcodes zu Forschungszwecken und aus öffentlichem Interesse publizieren.»
Im Februar hatte die Post ihr E-Voting-System in einem öffentlichen Stresstest für Hacker veröffentlicht. Diese sollten Sicherheitslücken finden. Das taten sie dann auch.
Und wie: Die gefundenen Fehler waren derart gravierend, dass die Bundeskanzlei E-Voting für die folgenden Abstimmungen und schliesslich auch für die Wahlen im Oktober verbot.
Post rügt Hackerin, weil sie E-Voting Code veröffentlicht
Sarah Jamie Lewis, Datenschutzforscherin bei der Organisation Open Privacy, fand einige der sensibelsten Fehler. Bei der individuellen Verifizierbarkeit sollte ein Abstimmender überprüfen können, ob seine Stimme korrekt angekommen ist. Das System der Post, welches bereits in einigen Kantonen im Einsatz stand, liess sich an diesem Punkt manipulieren, wie Lewis zeigen konnte.
This browser does not support the video element.
SRF - Datenschutzforscherin Sarah Jamie Lewis erklärt bei «10vor10» warum die individuelle Verifizierbarkeit im Post-E-Voting-System nicht funktioniert.
Allerdings: Lewis registrierte sich nicht offiziell für den Post-Test, sondern nutzte einen geleakten Code. Sie tüftelte aus eigenem Interesse an der E-Voting-Software herum und verweigerte die Registrierung bei der Post. Deshalb schiesst die Post nun direkt zurück. «Liebe Frau Lewis, Ihre Idee scheint nicht umsetzbar zu sein.»
Der Code müsse rechtmässig erworben worden sein, will man ihn für die Weiternutzung freigeben. «Deshalb ist die Verwendung einer geleakten Kopie nicht möglich», schreibt die Post auf Twitter.
Das verärgert wiederum Hackerin Lewis. «Es ist also Ihr Argument, dass ich während unserer Forschung, die mehrere kritische Schwachstellen in Ihrem E-Voting-System offenbarte, rechtswidrig gehandelt habe? Interessante Haltung.»
Sarah Jamie Lewis: «Ich brauche Ihre Erlaubnis nicht»
Gemäss Verordnung der Bundeskanzlei über die elektronische Stimmabgabe muss der Code jedoch öffentlich beziehbar sein. «Jeder darf den Quellcode zu ideellen Zwecken untersuchen, verändern, kompilieren und ausführen sowie dazu Studien verfassen und diese publizieren.»
Lewis antwortet deshalb, dass sie die Post nicht um Erlaubnis frage. Schliesslich bestehe ein grosses öffentliches Interesse. Und die Öffentlichkeit solle überprüfen können, dass der Code «erhebliche kryptographische Schwachstellen» aufweise.
Die Post jedoch bleibt dabei: Lewis müsse sich korrekt anmelden. «Sie können dann rechtmässig eine private Kopie erstellen.» Über 1'500 Forscher hätten sich für den Verhaltenskodex der Post zum E-Voting registriert und eingehalten. Ob sich Hackerin Lewis doch noch ordentlich bei der Post anmeldet, darf bezweifelt werden.