Die Post kritisiert jene Hackerin, welche Sicherheitsmängel im E-Voting-System aufdeckte. Jetzt erklärt die Post den Grund.
Die Post
Der Hauptsitz der Post in Bern. Die Post verteidigt sich. - Keystone

Das Wichtigste in Kürze

  • Eine Hackerin will den E-Voting-Code der Post veröffentlichen.
  • Jetzt erklärt die Post, warum sie die Datenschutzforscherin scharf kritisiert.
  • Derweil arbeitet sie – nach dem diesjährigen Debakel – an einem neuen E-Voting-System.
Ad

Sie fand gravierende Sicherheitsmängel. Der Quellcode des E-Voting-Systems der Post konnte manipuliert werden, zeigte Sarah Jamie Lewis im März. Dabei war das Ziel des öffentlichen Intrusionstests doch, die Wahl- und Abstimmungssoftware zu verifizieren.

Doch Lewis und andere Hacker fanden Probleme. Konsequenz: Die Bundeskanzlei verbot E-Voting für die folgenden Abstimmungen und schliesslich auch für die Wahlen im Oktober. An der Post gab es dafür viel Kritik.

sarah lewis e-voting
Sarah Jamie Lewis ist IT-Sicherheitsexpertin und arbeitet für die Forschungsorganisation Open Privacy. Sie kritisiert die Post, denn sie fand Schwachstellen in deren E-Voting. - Twitter

Nun wollte Datenschutzforscherin Lewis den Quellcode des Post-E-Votings veröffentlichen. Zu Forschungszwecken, wie sie auf Twitter schrieb. Und weil ein öffentliches Interesse bestehe. Das ist gemäss Gesetz erlaubt, ja vorgeschrieben. Doch die Post sagte: Nein, geht nicht.

Post erklärt die scharfe Kritik an Hackerin Lewis

Jetzt erklärt die Post warum. «Die Post ist aus Gründen des Urheberrechtsschutzes nicht einverstanden, dass der Code beliebig weiterverbreitet wird.» Lewis müsse sich registrieren und den offiziellen Quellcode beziehen, erklärt Mediensprecher François Furer.

die post e-voting
Die Post entwickelt ein E-Voting-System. Dafür arbeitet sie mit der spanischen Firma Scytl zusammen. - Keystone

Die Post könne sonst nicht sicherstellen, dass die «Piratenkopien» dem tatsächlichen Quellcode entsprechen. «Es ist für Forscher somit von Vorteil, mit der offiziellen Version zu arbeiten.»

Lewis müsse den Code deshalb auch nicht selbst veröffentlichen, so Furer weiter. «Die Post hat den Quellcode bereits veröffentlicht. Er ist somit öffentlich und legal beziehbar.» Die Post zähle darauf, dass die Forscher die Urheberrechte respektieren und von der Weiterverbreitung des Codes absehen.

Post hofft auf Unterstützung von Hackern

Um die Unterstützung von Hackern wie Lewis ist man bei der Post dankbar, sagt Furer. «Wir sind froh, dass sie uns gut dokumentiert diese kryptographischen Schwachstellen gemeldet hat. Frau Lewis hat sich dabei immer korrekt gemäss den Prinzipien der verantwortungsvollen Offenlegung verhalten.» Im April sei man regelmässig mit der Kanadierin im Kontakt gestanden, so Furer.

die post
Die Post will ihr E-Voting-System weiter vorantreiben. Mehrere Kantone haben bereits Interesse angemeldet. - Keystone

Gelegenheit dazu hat Lewis schon bald. Der Regierungsrat des Kantons Bern will E-Voting nach der diesjährigen Stilllegung ab 2021 wieder anbieten. Die Post steht auch mit Freiburg, Thurgau, Neuenburg und Basel-Stadt im Kontakt. «Zudem haben weitere Kantone Interesse signalisiert», bestätigt Furer. Die Post plane, das überarbeitete System den Kantonen ab 2020 für den Versuchsbetrieb zur Verfügung zu stellen.

«Wir planen, die überarbeitete Version des Quellcodes 2020 zu veröffentlichen. Alle interessierten Kreise werden den Quellcode somit wieder auf Schwachstellen prüfen können.» Dann zählt die Post auch wieder auf die Expertise von Lewis, so Furer. «Wir würden uns freuen, wenn sie ihn bei der Veröffentlichung der überarbeiteten Version des Quellcodes wieder kritisch prüft.»

Ad
Ad

Mehr zum Thema:

E-VotingHackerGesetzTwitterDie Post