Behörden reagieren auf Kritik der E-Voting Gegner am Intrusionstest
Der Hacker-Test für E-Voting tauge nichts, sagen die Gegner. Jetzt kontern die Behörden und erklären, warum lahmgelegte Server nicht Teil des Tests sind.
Das Wichtigste in Kürze
- Das E-Voting-System der Post wird einem öffentlichen Sicherheitstest unterzogen.
- E-Voting-Gegner kritisieren, dass viele Hacker-Methoden vom Test ausgeschlossen sind.
- Die Behörden erklären die Gründe dahinter.
Beim von der Post aufgebaute E-Voting-System findet ein grosser Test statt für alle, die sich Hacker nennen und ein paar Tausend Franken verdienen möchten. Nur: Die meisten gängigen Hacker-Methoden dürfen nicht getestet werden. Die E-Voting-Gegner sprechen deshalb von einem «schlechten Witz».
«Es geht um den Kern – nicht den User-PC»
Sogenannte DDoS-Attacken, bei denen mit einer Flut von Anfragen ganze Server-Systeme lahmgelegt werden, sind vom Test ausgeschlossen. Die Manipulation von privaten Geräten bei der Stimmabgabe ebenfalls. Doch das sei richtig so, sagt Philipp Egger von der Staatskanzlei St. Gallen. Er ist Mitglied im Leitungsausschuss von Bund und Kantonen für solche öffentlichen Intrusionstests.
«Beim Intrusionstest geht es um das Kernsystem des E-Voting und insbesondere die universelle Verifizierbarkeit: Kann diese manipuliert werden.» Der heimische PC dagegen sei nicht im Fokus: «Da sind zum Beispiel Kantone und Wahlbehörden zuständig, die Bevölkerung zu informieren und zu schulen.»
«DDoS wäre nicht so schwerwiegend»
Was nicht heissen solle, dass die anderen Sicherheits-Bereiche nicht auch wichtig seien. Mit einem DDoS-Angriff müsse man immer rechnen, bestätigt Egger, aber wäre im Schweizer System nicht schwerwiegen. Die «elektronische Urne» sei ja vier Wochen lang offen und schliesse vor dem Stimmlokal. «Wenn wegen DDoS ein Tag lang der Server lahmgelegt ist, hat man immer noch Zeit, später abzustimmen.»
Ein abgefedertes Risiko also, zumindest auf der technischen Seite. Viel gravierender, sagen die E-Voting-Gegner, wäre aber der dadurch entstehende Vertrauensverlust der Bevölkerung in die Demokratie. Egger ist sich dessen bewusst: «Es ist auf jeden Fall eine Gratwanderung, das Vertrauen der Bevölkerung in E-Voting zu erlangen.»
Schrittweises Vorgehen
Genau wie bei der Einführung der brieflichen Stimmabgabe brauche ein neuer Kanal Zeit, bis dass das Vertrauen sich gebildet habe. Deshalb das schrittweise Vorgehen bei der Einführung – genauso wie jetzt auch nur ein Teil des Gesamtsystems getestet werde.
«Das heisst nicht, dass man die anderen Teile nie testet», betont Egger. «Genauso wie die Resultate dieses Intrusionstests nicht abschliessend ein Gütesiegel fürs E-Voting bedeuten.» Sondern einfliessen sollen in die Weiterentwicklung, um E-Voting noch sicherer zu machen. «Es ist nicht so dass, wir hier sitzen und warten und hoffen man findet nichts.»