Öffentlicher Hackertest am E-Voting-System der Post

Sprachnavigation

Öffentlicher Hackertest am E-Voting-System der Post 07.02.2019

Die Post führt an ihrem E-Voting-System vom 25. Februar bis 24. März 2019 einen Belastungstest durch. Bei diesem so genannten öffentlichen Intrusionstest (public intrusion test, PIT) können Hacker und andere unabhängige IT-Spezialisten das E-Voting-System der Post mit gewollten Angriffen herausfordern. Wie läuft der Intrusionstest ab und was passiert bei allfälligen Befunden? Die Antworten auf die wichtigsten Fragen.

Wie läuft der Intrusionstest ab?

Im Test wird eine eidgenössische Abstimmung simuliert. Wie bei normalen Abstimmungen startet die mögliche Stimmabgabe, und damit der Intrusionstest, vier Wochen vor dem Abstimmungssonntag. Als Abstimmungssonntag wird der 24. März 2019 angenommen. Der Intrusionstest dauert daher vom 25. Februar bis 24. März.

Interessierte Teilnehmende müssen sich auf der Plattform www.onlinevote-pit.ch registrieren. Bund und Kantone haben die unabhängige Firma SCRT SA beauftragt, den Intrusionstest durchzuführen und die Plattform zu betreiben.

Auf der Plattform können die Teilnehmer ihre Stimmrechtsausweise für den Test herunterladen. Der Stimmrechtsausweis enthält wie bei normalen Abstimmungen die notwendigen Codes, um an der simulierten Abstimmung und damit am Intrusionstest teilzunehmen. Im Gegensatz zu einem normalen Urnengang können die Teilnehmer mehrere Stimmrechtsausweise beziehen. Zudem werden sie nicht per Post geschickt, sondern sind elektronisch verfügbar.

Allfällige Befunde können die Teilnehmenden auf der Plattform www.onlinevote-pit.ch einreichen. Die Firma SCRT wird die Befunde sichten. Ist ein Befund plausibel, leitet sie ihn an die Post weiter. Die Post wird die Befunde analysieren und gegebenenfalls reproduzieren. Kann sie einen Befund bestätigen, gibt sie ihn zur Veröffentlichung frei und der Einreicher hat Anrecht auf eine finanzielle Entschädigung, sofern er den Befund als erster eingereicht hat.

Am Sonntag, 24. März wird die elektronische Urne von der fiktiven Wahlkommission entschlüsselt und geöffnet. Befunde können bis am 25. März um 24:00 Uhr eingereicht werden.

Warum führt die Post einen Intrusionstest an ihrem E-Voting-System durch?

Damit die Kantone E-Voting mit dem vollständig verifizierbaren System der Post künftig sämtlichen Wählerinnen und Wählern anbieten können, benötigt das System eine Zulassung des Bundes. Um die Zulassung zu erhalten, muss das System gemäss den Auflagen des Bundes und der Kantone einen öffentlichen Intrusionstest absolvieren. Die Post entspricht dieser Vorgabe.

Was ist das Ziel des Intrusionstests?

Das vollständig verifizierbare E-Voting-System der Post ist State of the Art. Das bedeutet, es entspricht dem neusten Entwicklungsstand und erfüllt höchste Sicherheitsanforderungen. Intrusionstests sind in der IT-Branche ein gängiges Mittel, um State-of-the-Art-Systeme und -Prozesse auf Herz und Nieren zu prüfen, bevor sie in den Echtbetrieb übergehen. Genau dies ist das Ziel des Intrusionstests am E-Voting-System. Die Ergebnisse des Intrusionstests werden in die Weiterentwicklung des E-Voting-System aufgenommen.

Was können die Teilnehmer genau testen?

Alle Angriffe, die darauf abzielen, Stimmen zu lesen oder die Wahl zu manipulieren, sind zugelassen. Auch Angriffe auf die zentralen Sicherheitsmechanismen des E-Voting-Systems, die individuelle und universelle Verifizierbarkeit, gehören zum Testumfang.

Der Intrusionstest verfolgt das Ziel, das E-Voting-System zu testen, nicht die anderen Systeme und Prozesse rund um das elektronische Abstimmen. Deshalb sind Szenarien, die andere Systeme oder Prozesse angreifen, vom Test ausgeschlossen. Ebenfalls ausgeschlossen sind Angriffe, die bekannt sind und gegen die bereits
Sicherheitsvorkehrungen bestehen. Solche Szenarien würden keinen Erkenntnisgewinn bringen. Zu den ausgeschlossenen Szenarien gehören zum Beispiel:

  • Angriffe auf den PC, Laptop oder das Tablet des Stimmbürgers: Gegen diese Angriffe besteht mit der individuellen Verifizierbarkeit ein Sicherheitsmechanismus. Die individuelle Verifizierbarkeit ist Teil des Intrusionstests.
  • Social Engineering: Solche Angriffe nutzen die Gutgläubigkeit oder die Unsicherheit von Personen aus, um an vertrauliche Daten zu gelangen. Es ist schwierig, solches komplexes Verhalten in einem Test zu simulieren. Zudem besteht gegen Social Engineering bei Wählern mit der individuellen Verifizierbarkeit ein Sicherheitsmechanismus. Social Engineering bei den Wahlkommissionen betrifft die Prozesse in den Kantonen, auf die die Post keinen Einfluss hat, z. B. die Entschlüsselung und Auszählung der elektronischen Urne.
  • Überlastungsangriffe (DDoS-Attacken): DDoS-Attacken gehören grundsätzlich zur Sicherheitsinfrastruktur von IT-Systemen. Dennoch kennt jedes System Belastungsgrenzen. DDoS-Attacken sind jedoch nicht Teil des Tests, denn sie sind nicht e-voting-spezifisch und würden keinen Erkenntnisgewinn bringen. Diese Einschränkung ist üblich bei Intrusionstests. Die Post führt regelmässig praxisnahe DDoS-Tests zur Abwehr solcher Angriffe durch.

Details finden sich im Code of Conduct.

Was macht die Post, falls eine Schwachstelle entdeckt wird?

Wer einen öffentlichen Intrusionstest durchführt, setzt sich bewusst der Raffinesse unabhängiger Hacker aus und muss mit Befunden rechnen.

Die Post wird eingereichte Befunde evaluieren, nach Schweregrad einordnen und risikogerecht beheben.

Führt die Post den Intrusionstest transparent und glaubwürdig durch?

Ja, unter anderem, weil:

  • Alle Angriffe, die darauf abzielen, Stimmen zu lesen oder die Wahl zu manipulieren, sind zugelassen.
  • Alle bestätigten Befunde werden auf der Plattform www.onlinevote-pit.ch publiziert.
  • Jeder Teilnehmer erhält nach maximal 45 Tagen das Recht, seine Befunde zu veröffentlichen. Bei vielen anderen Intrusionstests ist dies nicht erlaubt.
  • Es gibt keine Teilnahmebeschränkungen. Eine Registrierung der Teilnehmer ist jedoch notwendig.
  • Die Tester können nicht nur einen, sondern mehrere Stimmrechtsausweise anfordern, um das System mehrfach anzugreifen.
  • Der Quellcode des Systems ist veröffentlicht, inklusive der Dokumentationen, die notwendig sind, um alle Sicherheitsaspekte des Systems zu prüfen.

Mit diesen Rahmenbedingungen erfüllt die Post die Vorgaben von Bund und Kantonen und geht teilweise über die für Intrusionstests gängige Praxis der IT-Branche hinaus.

Gibt es beim Intrusionstest Unterschiede zu einem echten Urnengang?

Ja, es gibt einige Unterschiede, insbesondere:

  • Die Post wird bestimmte Sicherheitsmassnahmen des Systems deaktivieren, damit sich die Teilnehmer voll auf den Angriff auf das Kernsystem konzentrieren können. Dank der Erfahrung im normalen Betrieb kann die Post potentielle Angriffe rasch identifizieren. Diese Warnsignale werden im Intrusionstest ignoriert.
  • Der Versand der Stimmrechtsausweise erfolgt beim Intrusionstest aus praktischen Gründen elektronisch statt per Post. Zudem werden die Ausweise von der Post generiert und nicht von den kantonalen Behörden.
  • Die Tester können nicht nur einen, sondern mehrere Stimmrechtsausweise bestellen.

Wer darf teilnehmen?

Alle dürfen sich anmelden. Es gibt keine Beschränkung. Gewisse Personen sind aber nicht entschädigungsberechtigt, zum Beispiel Mitarbeitende der Post.

Wo melden sich die Teilnehmer an?

Auf der Plattform www.onlinevote-pit.ch.

Wieso müssen sich die Teilnehmer anmelden?

Eine Anmeldung ist aus drei Gründen notwendig:

  • Sie stellt sicher, dass Teilnehmer das System aus rechtlicher Sicht angreifen dürfen.
  • Sie stellt sicher, dass bei bestätigten Befunden eine Entschädigung ausbezahlt werden kann.
  • Sie ist notwendig, um sicherzustellen, dass die Teilnehmenden die Teilnahmebedingungen unterzeichnen. Dies ist unabdingbar, um bei über 2500 angemeldeten, weltweit verteilten Teilnehmern einen geordneten Ablauf und Dialog sicherzustellen.

Warum führt eine Drittfirma den Intrusionstest durch? Welche Funktion hat diese Firma beim Intrusionstest?

Bund und Kantone haben die Schweizer Firma SCRT SA beauftragt, den Intrusionstest operativ umzusetzen. Dadurch ist eine unabhängige Durchführung und Erstbewertung der Resultate gewährleistet. Die SCRT SA ist auf die Durchführung von Intrusionstests spezialisiert. Ihre wichtigsten Aufgaben sind:

  • Betrieb der Plattform für die Registration und Einreichung von Befunden www.onlinevote-pit.ch
  • Erste Sichtung der eingereichten Befunde
  • Kommunikation mit den Teilnehmern und Koordination zwischen den Teilnehmern und der Post

Wo reichen die Teilnehmer Befunde ein? Bis wann können Befunde eingereicht werden?

Die Teilnehmer reichen Befunde bis am Montag, 25. März 2019 um 24:00 Uhr auf www.onlinevote-pit.ch ein.

Wie läuft die Beurteilung der Befunde ab?

Wenn ein Hacker glaubt, eine Schwachstelle entdeckt zu haben, meldet er dies auf der Plattform www.onlinevote-pit.ch. Die von Bund und Kantonen beauftragte unabhängige Firma SCRT SA nimmt eine erste Sichtung der Befunde vor. Wenn ein Befund plausibel ist, leitet ihn die SCRT SA an eine Spezialistengruppe der Post weiter. Diese analysiert und beurteilt den Befund und versucht allenfalls, ihn zu reproduzieren.

Nach dieser Analyse erhält der Einreicher Bescheid, ob er tatsächlich eine relevante Schwachstelle entdeckt hat. Nach einer Wartefrist von 45 Tagen kann der Einreicher bestätigte Befunde selbst publizieren. Bei vielen anderen Intrusionstests ist dies nicht erlaubt. Der gesamte Prozess wird von Vertretern von Bund und Kantonen überwacht.

Für bestätigte Befunde gelten für die Teilnehmer die im Code of Conduct beschriebenen Publikationsregeln.

Warum gilt für die Veröffentlichung von bestätigten Befunden eine Wartefrist von 45 Tagen?

Jeder Teilnehmer erhält das Recht, seine Befunde zu veröffentlichen. Bei vielen anderen Intrusionstests ist dies nicht erlaubt. Im Gegenzug hat die Post festgelegt, dass die Teilnehmer für die Publikation eines Befunds eine Wartefrist von maximal 45 Tagen einhalten müssen. Damit stellt die Post sicher, dass sie die eingereichten Findings sorgfältig prüfen und dem Einreicher ein fundiertes Feedback geben kann.

Wie lauten die Entschädigungsregeln?

Ein Teilnehmer erhält eine Entschädigung, wenn er einen Befund als erster einreicht und Bund, Kantone und die Post ihn bestätigen. Die Höhe der Entschädigung hängt vom Schweregrad des Befundes ab. Folgende Kategorien wurden definiert.

Kategorie
Mindestentschädigung in CHF
Best Practice (unkritische Optimierungsmöglichkeiten)
100.-
Eindringen in das E-Voting-System (Intrusion)
1‘000.-
Korrumpieren oder Unbrauchbarmachen von Stimmen
5‘000.-
Erfolgreicher Angriff auf das Stimmgeheimnis auf den Servern
10‘000.-
Stimmenmanipulation, die vom System bemerkt wird
20‘000.-
Unbemerkte Stimmenmanipulation
30‘000.- bis 50‘000.-

Die Details zu den Entschädigungen finden sich in den Teilnahmebedingungen.

Welche Regeln müssen die Teilnehmer befolgen?

Die Verhaltensregeln und Teilnahmebedingungen sind hier publiziert. Sie halten beispielsweise fest, was die Teilnehmer genau testen dürfen. Auch die Entschädigung oder Regeln zur Veröffentlichung von Befunden sind darin definiert.

An wen müssen sich Teilnehmer bei Fragen zum Intrusionstest wenden?

Fragen werden über ein Kontaktformular auf der Plattform www.onlinevote-pit.ch eingereicht.

Wo wurde der Quellcode veröffentlicht?

Die Post hat den Quellcode am 7. Februar 2019 hier veröffentlicht. Um ihn einsehen zu können, ist eine Registrierung erforderlich. Der Quellcode wird dauerhaft veröffentlicht.

Die Post entspricht damit den gesetzlichen Vorgaben. Weitere Informationen zum Quellcode finden sich im Blogbeitrag.

Wurde der Quellcode «geleaked», wie in den Medien zu lesen war?

Nein, siehe dazu den Blogbeitrag.

Weitere Informationen zum Intrusionstest