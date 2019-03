Der Fehler im Quellcode sei bereits 2017 identifiziert worden, schreibt die Post. Die Korrektur sei vom Technologiepartner Scytl jedoch nicht vollständig umgesetzt worden, was die Post bedauere.

Die Bundeskanzlei ihrerseits bestätigte, dass der Mangel es zwar nicht erlaube, ins System einzudringen, die Forscher aber aufzeigen konnten, dass das System keine aussagekräftigen mathematischen Beweise zur Überprüfung von allfälligen Manipulationen erzeuge.

Keinen Anspruch auf Belohnung

Seit gut zwei Wochen läuft der von Bund und Kantonen angeordnete öffentliche Intrusionstest des E-Voting-Systems der Post. Über 3000 Hacker rund um die Welt testen bis zum 24. März das System. Wer es geknackt hätte, hätte ein Preisgeld von bis zu 50'000 Franken erhalten. Entdeckt wurde die Lücke jedoch von Experten um die kanadische Sicherheits­forscherin Sarah Jamie Lewis. Sie sind jedoch nicht als Tester registriert und können deshalb keine Prämien beanspruchen.

«Wir glauben, die Leute haben ein Recht auf sichere Abstimmungen mit Systemen, die transparent sind und überprüft und verstanden werden können. Wir tun das nicht wegen des Geldes», sagt Lewis gegenüber dem digitalen Magazin «Republik».

It is 9am Swiss Time, @VTeagueAus , Olivier Pereira & I are releasing details of a cryptographic trapdoor that we found in the Swiss Post #evoting system that would allows admins to falsely "prove" mixes that alter votes & undetectably compromise elections: https://t.co/ETEDuDsSAe

Und noch einen Punkt spricht Lewis an: Es ginge im Zusammenhang mit der entdeckten Sicherheitslücke nicht darum, dass irgendein Hacker das System manipulieren könne. Die Schwere der Lücke liege darin, dass die Post selbst Wahlfälschung hätte betreiben und gleichzeitig beweisen können, dass sie genau dies nicht getan hätte.

That last point is very important in the context of an issue like the trapdoor we discovered. Do not let people minimize this issue. This isn't "some random hacker can steal an election" this is "SwissPost can prove they didn't steal an election, even if they did"

