Phishing-Angriffe bei E-Voting verhindern

Sprachnavigation

Phishing-Angriffe bei E-Voting verhindern 23.04.2018

Dr. Christian Folini ist Program Chair bei der Swiss Cyber Storm Konferenz und externer Security Engineer bei der Schweizerischen Post.

Phishing-Angriffe sind allgegenwärtig im Internet. Deshalb bedrohen die Angriffe möglicherweise auch Stimmbürger und Stimmbürgerinnen, die ihre Stimme über den elektronischen Kanal abgeben möchten. Aber was ist dieses Phishing eigentlich genau und wie kann man sich beim E-Voting davor schützen? Ein Gastbeitrag von Dr. Christian Folini.

Phishing-Angriffe starten oft mit einer E-Mail-Nachricht oder einer verlockenden Werbung im World Wide Web. In beiden Fällen ist das Ziel, das Opfer dazu zu verleiten, einen Link anzuklicken. Der Link führt auf eine präparierte Webseite und dort geschieht dann typischerweise der Angriff: Man wird darum gebeten, ein bestimmtes Passwort einzugeben, seine Kreditkartennummer preiszugeben oder die Angreifenden attackieren den Browser des Opfers, um sich direkt in diesem einzunisten und zukünftig beim Surfen mitzulauschen.

Bei E-Voting könnte ein Angriff so aussehen: Man gelangt auf eine von Kriminellen erstellten Kopie der E-Voting-Seite. Dort soll man seinen Identifikationscode eingeben und je nachdem sogar den gefälschten Wahlprozess durchgehen. Die abgegebene Stimme würde aber gar nie in die offizielle Wahlurne gelangen.

Könnten dadurch Betrüger an Logininformationen und Codes gelangen, damit sie auf dem echten Abstimmungsportal eine gestohlene Stimme abgeben können?

Sicherheitsmassnahmen und Regeln gegen Phishing-Angriffe

Ja, mit einem erfolgreichen Phishing-Angriff könnte man theoretisch Stimmrechte stehlen und eine Abstimmung beeinflussen. Aus diesem Grund wurden verschiedene Massnahmen ergriffen und Mechanismen installiert, die jedem Stimmbürger und jeder Stimmbürgerin erlauben, Phishing-Angriffe zu erkennen und sicherzustellen, dass die eigene Stimme korrekt eingegeben und korrekt in die Wahlurne übermittelt wurde:

1. Keine Links anklicken, Web-Adresse aus Stimmunterlagen abtippen

Phishing funktioniert nur, wenn man auf einen Link klickt. Wer die Web-Adresse von den mit der Post zugesandten Stimmunterlagen abtippt ist auf der sicheren Seite. Die Kantone verschicken keine E-Mails mit Aufforderungen zum Abstimmen. Wer regelmässig per Computer abstimmt, wird sich diese kantonale Adresse auch merken können; zumal sie nicht dauernd ändern wird. Hat man die Adresse abgetippt, ist man auf jeden Fall auf der sicheren Seite. Gibt der Browser eine Sicherheitswarnung aus, dann bedeutet das: «Finger weg, da ist etwas im Busch».

2. Sicherheitscode des Sicherheitszertifikats des Wahlservers prüfen

Zusätzlich kann man sich absichern, wenn man das Sicherheitszertifikat der Webseite im Browser untersucht. Dazu klickt man auf das Sicherheitssymbol links von der Adresszeile und sucht die Informationen zum Zertifikat (Eine Anleitung findet sich auf dieser Seite).

3. Individuelle Prüfcodes bei der Stimmabgabe vergleichen («individuelle Verifizierbarkeit»)

Bleibt noch der dritte Sicherheitsmechanismus, der zugleich der stärkste ist. Nachdem man seine Stimme abgegeben hat, retourniert der Abstimmungsserver einen individuellen Zahlencode. Dieser persönliche Code ist auch in den Abstimmungsunterlagen für jede einzelne Wahlmöglichkeit abgedruckt. Stimmt man also für eine bestimmte Vorlage «Nein», dann muss der Antwort-Code der Zahl entsprechen, die bei der Nein-Stimme in den Unterlagen abgedruckt ist. Stimmt der Code nicht überein, dann ist das ein Beweis dafür, dass die Stimme nicht so gespeichert wurde, wie man sie abgegeben hat. In diesem Fall sollte man unbedingt mit den Behörden Kontakt aufnehmen. Wer die Prüfcodes vergleicht, kann nicht Opfer einer Phishing-Attacke werden, denn es ist unmöglich, dass ein gefälschtes System die richtigen Prüfcodes retourniert.

Was hat es mit den Prüfcodes auf sich?

Das Prinzip, das sich dahinter verbirgt, nennt sich «individuelle Verifizierbarkeit». Der Prüfcode wird beim Eingang der Stimme in die Wahlurne neu berechnet. Wenn ein Stimmbürger oder eine Stimmbürgerin Opfer einer Phishing-Kampagne wurde, dann kann dieser Code nicht stimmen. Denn einzig die offizielle elektronische Wahlurne kann diesen Code für einen bestimmten Stimmrechtsausweis berechnen und der Code stimmt nur mit den Unterlagen überein, wenn auch die korrekte Stimme abgespeichert wurde. Ein «Ja» anstelle eines «Nein» hätte unweigerlich einen anderen Code zur Folge und der Betrug würde auffliegen. Korrekte Prüfcodes kann nur das echte E-Voting-System retournieren.

Risiko nicht höher als beim Briefkanal

Phishing kann also insbesondere dank den Prüfcodes aktiv verhindert werden. Aber natürlich ist nicht auszuschliessen, dass einzelne Stimmbürgerinnen und Stimmbürger diese Prüfungen allesamt nicht durchführen und es in einzelnen Fällen zu erfolgreichen Phishing-Angriffen kommt. Genauso wenig, wie wir bei der brieflichen Stimmabgabe verhindern können, dass einzelne Stimmzettel entwendet und von Fremden ausgefüllt werden.

Sobald diese Kampagnen aber über ein paar Dutzend Wahlzettel hinausgehen, fliegen sie normalerweise auf. Und analog wird es auf dem elektronischen Kanal geschehen: Die Phishing-Kampagne wird auffliegen und die Behörden werden Ermittlungen anstellen und ähnlich wie beim Abstimmen an der Urne oder per Brief entscheiden, ob die Wahl gültig ist, oder gegebenenfalls annulliert werden muss.