Die Post verteidigt Kritik an Hackerin wegen E-Voting
Die Post kritisiert jene Hackerin, welche Sicherheitsmängel im E-Voting-System aufdeckte. Jetzt erklärt die Post den Grund.
Das Wichtigste in Kürze
- Eine Hackerin will den E-Voting-Code der Post veröffentlichen.
- Jetzt erklärt die Post, warum sie die Datenschutzforscherin scharf kritisiert.
- Derweil arbeitet sie – nach dem diesjährigen Debakel – an einem neuen E-Voting-System.
Sie fand gravierende Sicherheitsmängel. Der Quellcode des E-Voting-Systems der Post konnte manipuliert werden, zeigte Sarah Jamie Lewis im März. Dabei war das Ziel des öffentlichen Intrusionstests doch, die Wahl- und Abstimmungssoftware zu verifizieren.
Doch Lewis und andere Hacker fanden Probleme. Konsequenz: Die Bundeskanzlei verbot E-Voting für die folgenden Abstimmungen und schliesslich auch für die Wahlen im Oktober. An der Post gab es dafür viel Kritik.
Nun wollte Datenschutzforscherin Lewis den Quellcode des Post-E-Votings veröffentlichen. Zu Forschungszwecken, wie sie auf Twitter schrieb. Und weil ein öffentliches Interesse bestehe. Das ist gemäss Gesetz erlaubt, ja vorgeschrieben. Doch die Post sagte: Nein, geht nicht.
Post erklärt die scharfe Kritik an Hackerin Lewis
Jetzt erklärt die Post warum. «Die Post ist aus Gründen des Urheberrechtsschutzes nicht einverstanden, dass der Code beliebig weiterverbreitet wird.» Lewis müsse sich registrieren und den offiziellen Quellcode beziehen, erklärt Mediensprecher François Furer.
Die Post könne sonst nicht sicherstellen, dass die «Piratenkopien» dem tatsächlichen Quellcode entsprechen. «Es ist für Forscher somit von Vorteil, mit der offiziellen Version zu arbeiten.»
Lewis müsse den Code deshalb auch nicht selbst veröffentlichen, so Furer weiter. «Die Post hat den Quellcode bereits veröffentlicht. Er ist somit öffentlich und legal beziehbar.» Die Post zähle darauf, dass die Forscher die Urheberrechte respektieren und von der Weiterverbreitung des Codes absehen.
Post hofft auf Unterstützung von Hackern
Um die Unterstützung von Hackern wie Lewis ist man bei der Post dankbar, sagt Furer. «Wir sind froh, dass sie uns gut dokumentiert diese kryptographischen Schwachstellen gemeldet hat. Frau Lewis hat sich dabei immer korrekt gemäss den Prinzipien der verantwortungsvollen Offenlegung verhalten.» Im April sei man regelmässig mit der Kanadierin im Kontakt gestanden, so Furer.
Gelegenheit dazu hat Lewis schon bald. Der Regierungsrat des Kantons Bern will E-Voting nach der diesjährigen Stilllegung ab 2021 wieder anbieten. Die Post steht auch mit Freiburg, Thurgau, Neuenburg und Basel-Stadt im Kontakt. «Zudem haben weitere Kantone Interesse signalisiert», bestätigt Furer. Die Post plane, das überarbeitete System den Kantonen ab 2020 für den Versuchsbetrieb zur Verfügung zu stellen.
«Wir planen, die überarbeitete Version des Quellcodes 2020 zu veröffentlichen. Alle interessierten Kreise werden den Quellcode somit wieder auf Schwachstellen prüfen können.» Dann zählt die Post auch wieder auf die Expertise von Lewis, so Furer. «Wir würden uns freuen, wenn sie ihn bei der Veröffentlichung der überarbeiteten Version des Quellcodes wieder kritisch prüft.»
