Gesellschaft & Politik
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Ein Buerger von Bern wirft seinen Stimmzettel in die Wahlurne im Abstimmungslokal

Ob briefliches Abstimmen oder Gang zum Wahllokal in der Gemeinde: Beim digitalen Auswerten der abgegebenen Stimmen gibt es laut IT-Experten diverse Sicherheitslücken. Bild: KEYSTONE

So unsicher sind die IT-Systeme der Kantone bei Wahlen und Abstimmungen

In einer aufwändigen Recherche legt das «Republik»-Magazin gravierende Schwachstellen kantonaler IT-Systeme offen. Gefordert ist auch der Bund.



Was ist passiert?

Viele Kantone verwenden veraltete oder angreifbare Software, um die Ergebnisse von Wahlen und Abstimmungen zu ermitteln: Dies hat das «Republik»-Magazin am Freitag publik gemacht und beruft sich dabei auf eigene Recherchen, in Zusammenarbeit mit IT-Sicherheitsexperten.

watson fasst die wichtigsten Erkenntnisse zusammen.

Um was für Software handelt es sich?

In der Schweiz findet sonntags nach Abstimmungen und Wahlen eine Auszählung der Stimmen quasi in Echtzeit statt. Dies erfordere eine beträchtliche Automatisierung: «Computer­programme müssen die Sitz­gewinne und -verluste ausrechnen und die Wahl­veränderungen grafisch darstellen.»

Ergebnis­ermittlungs­software kommt laut Bericht bei Wahlen fast in der ganzen Schweiz zum Einsatz. «Bei einigen Kantonen sogar für Abstimmungen.»

Wie schlimm ist es?

Laut Republik besteht «eine krasse Gesetzeslücke»: Die digitale Ergebnis­ermittlung sei überhaupt nicht reguliert.

Mindestens 14 Kantone verwenden laut Recherche «angreifbare und nicht zeit­gemässe Software». Hinweise auf erfolgreiche Hackerangriffe liegen nicht vor (siehe Punkt 5).

Zu den schwerwiegendsten Schwach­stellen und Bedrohungsszenarien gehören gemäss der Untersuchung, die durch IT-Sicherheitsexperten geführt wurde:

Ist so ein Bericht nicht gefährlich kurz vor Abstimmungen?

Um das Risiko zu minimieren, habe die «Republik» die Hersteller, die Bundes­kanzlei und die kantonalen Staats­kanzleien im Voraus über die Ergebnisse der Recherche informiert.

Angriffs­potenziale seien vor allem bei nationalen und kantonalen Wahlen gegeben. «Die aufgezeigten Schwach­stellen könnten allerdings kaum innerhalb einer so kurzen Zeit­spanne (also bis zum Abstimmungs­sonntag am 27. September) ausgenutzt werden, meinen mehrere Experten.»

Welche Kantone sind betroffen?

Bedenkliche Schwachstellen fanden die IT-Sicherheitsexperten in der Software «SESAM Wahlen», die laut «Republik»-Bericht in den folgenden Kantonen eingesetzt wird:

Eine ebenfalls gravierende Schwach­stelle sei in den Systemen der Kantone Wallis und Bern festgestellt worden.

Der Kanton Tessin setzt laut Bericht mit seiner Software «Votel» komplett veraltete Verschlüsselungs­protokolle ein.

Auch bei der Software «VeWork» der Firma Sitrox hätten die beiden IT-Security-Forscher «einige fehlende Sicherheits­vorkehrungen» gefunden. Kundinnen von Sitrox seien die Kantone Aargau, Solothurn und Zug. Allerdings stufte der zuständige Firmenverantwortliche die Befunde der Sicherheitsforscher als irrelevant ein: Man kompensiere die entsprechenden Angriffs­szenarien mit anderen Sicherheits­mechanismen, etwa dem Blockieren von externen IP-Zugriffen.

Eine detaillierte Auflistung mit allen betroffenen Kantonen, geordnet nach Software-Produkten, gibt's im technischen Bericht zur Recherche (siehe Quellen).

Wurden die IT-Schwachstellen bereits ausgenutzt?

Dafür gibt es laut Bericht keine Hinweise. Man habe «keine Hinweise dafür erhalten oder gefunden», heisst es.

Was tut der Bund?

Die Recherche zeige eine klare Regulierungs­lücke auf, betont die Journalistin Adrienne Fichter in ihrem Artikel. Obwohl es sich um sogenannte «kritische Infrastruktur» handle, existierten bis heute keine Sicherheits­vorgaben des Bundes für den Einkauf und den Betrieb solcher Systeme. Und damit herrsche auch keine Transparenz über die Funktions­weise der Software.

«Die Bundes­kanzlei sieht sich nicht zuständig, weil die sichere Durch­führung von Abstimmungen und Wahlen Sache der Kantone sei. Sie fordert zwar von den Kantonen, die Befunde der Republik-Recherche zu prüfen und Schwach­stellen zu beheben. Doch niemand auf Bundes­ebene kontrolliert die Sicherheit der eingesetzten Software. Und die breite Öffentlichkeit weiss nicht einmal von der Existenz solcher Systeme.»

quelle: republik.ch

Es seien dringend strengere Sicherheits­überprüfungen nötig, zitiert die Republik, den Staats­rechtler und Direktor des Aarauer Zentrums für Demokratie, Andreas Glaser. Ansonsten sei künftiger Manipulation Tür und Tor geöffnet.

Quellen

SwissCovid-App noch nicht installiert? Wir helfen dir

Video: watson/Jara Helmi

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Die bösartigsten Computer-Attacken aller Zeiten

Schamloses Rülpsen und 8 andere Gründe, eine Maske zu tragen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

54
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
54Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Hadock50 26.09.2020 14:33
    Highlight Highlight E-Voting öffnet Tür und Tor für Betrüger!
    Brieflich abstimmen mag zwar altmodisch erscheinen dafür ist ein Walbetrug um ein vielfaches schwieriger.
    Wenn man also gegen E-Voting ist hat dies nichts mit Rückständigkeit zu tun!!
  • Turbi 26.09.2020 09:38
    Highlight Highlight Da konstruiert wieder einmal jemand ein Problem.
    Die Stimmzettel müssen mindestens bis zum Ablauf der Beschwerdefrist von den Gemeinden aufbewahrt werden. Das Resultat ist also jederzeit verifizierbar.
    Was in dem Ariikel noch fehlt ist die Unterstellung dass die SVP eine eigene Hacker-Truppe beschäftigt.
  • Rethinking 26.09.2020 08:16
    Highlight Highlight Unsere Behörden und die IT... Ein Trauerspiel…

    Da wird man gehackt, setzt Millionen in den Sand, spioniert befreundete Staaten aus, ist sowas von hinterher bei E-Gov…
  • Piz Corvatsch 26.09.2020 07:40
    Highlight Highlight Herkömmliche Systeme werden nie ganz fälschungssicher sein.
    Wahlen und Abstimmungen könnten in Zukunft sicher auf einer Blockchain wie zB Cardano durchgeführt werden. Das würde dieses Problem lösen...
  • raketenpippo 26.09.2020 06:54
    Highlight Highlight Geht wählen!
  • derEchteElch 26.09.2020 00:48
    Highlight Highlight Ich kann Aussagen der Republik nicht teilen. So z.B. aus dem technischen Hintergrund und Glossar zur Abraxas...

    „...Wahl­daten bei einer Firma zu speichern, finden Limacher und Killer per se heikel, da es sich um kritische Infra­struktur handelt, die in der Hoheit der Kantone liegen muss...“

    Zitat Limmattaler Zeitung: „Denn der Staat ist nicht nur ihr Kunde, sondern auch Eigentümer. So gehört die Abraxas je zur Hälfte den Kantonen Zürich und St. Gallen.“
  • Hadock50 26.09.2020 00:04
    Highlight Highlight Andreas Eschbach "Ein König für Deutschland"
    Dieses Buch lesen und ihr seid gegen E-Voting.
    Danke.
    😉
    • Einfach meine Meinung 26.09.2020 13:40
      Highlight Highlight Genau, ganz genau
  • Antinatalist ⚠ Lockdown-Fan-Club 25.09.2020 22:28
    Highlight Highlight ...und ich Dusel dachte immer, in der Schweiz werden Wahl- und Abstimmungsergebnisse sicher und unkorrumpierbar mit dem Rechenschieber ermittelt. Und jetzt dies... 😨
  • Thurgauo 25.09.2020 22:03
    Highlight Highlight Ich habe für einen Dienstleister gearbeitet, der Software für kantonale Behörden geschrieben hat. Früher gab es keine Passwortrichtlinien bzw. Vorgaben. Es gab ÜBER 40 Nutzer mit EINSTELLIGEN Passwörtern!

    Nicht nur darum, von mir ein ganz klares Nein zu E-Voting. Einfach zu unsicher und die Kompetenz dafür spreche ich den Behörden nach heutigem Stand einfach ab. Da sitzen zu viele, meist ältere Herrschaften, die schlichtweg 0 Ahnung von der Materie haben.
    • Sinthobob 25.09.2020 22:45
      Highlight Highlight Du vergleichst Äpfel mit Birnen. Die Security kann man nicht an die Eigenverantwortung der Nutzer koppeln und die Software hätte eine gewisse Passwortkomplexität vorschreiben sollen, wenn die Macher etwas auf Security (vlt. mit einer Mischung Berufsethik) geben würden. Das wäre zB bei einem Security Review (vlt sogar OpenSource) aufgefallen.
      Die perfekte eVoting software gibts wohl noch nicht, aber sie wäre dezentral, opensource, nachverfolgbar, ausreichend geprüft. Damit könnte ich sicherstellen, das meine Stimme wirklich ankommt. Heute ist das leider nicht der Fall.
    • Thurgauo 26.09.2020 08:08
      Highlight Highlight @Sinthobob Grundsätzlich gebe ich dir ja recht, es ist ein riesiger Fehler des ursprünglichen Machers. Zeigt aber schön auf, wie viel Wert die Mitarbeiter teilweise auf die Sicherheit der Daten legen ... Es hätte ja die Möglichkeit bestanden, ein wesentlich komplexeres Passwort zu erfassen.

      Die Richtlinien wurden übrigens später aus unserem Antrieb heraus verschärft.
    • Flixo 26.09.2020 14:04
      Highlight Highlight Hmm, vergleichst du da nicht Äpfel (heutige Software) mit Birnen (zukünftiges E-Voting per Blockchain)?
  • Sinthobob 25.09.2020 21:31
    Highlight Highlight Das Briefsystem hat mich dafür heute abgehalten wählen zu gehen. Als ich heute Abend die Wahlunterlagen ausgepackt habe, stand da die Info, das man nur zu Bürozeiten noch persönlich bei der Gemeinde hätte abstimmen hätte können. Ansonsten gibts noch das kurze Zeitfenster am Sonntag, wo ich halt nicht da bin. Wird endlich Zeit, wenn e-voting kommt. Ich will abstimmen, wann ich will.
    • Anti-Bot 25.09.2020 21:49
      Highlight Highlight Man hat (je nach Kanton) circa 3 Wochen um abzustimmen. Also wann man will. Nach der Abstimmung ist dann halt zu spät...
    • Francis Begbie 25.09.2020 22:00
      Highlight Highlight Dann öffne den Umschlag ein paar Tage davor und versende ihn per Post oder gehe bis zum Urnenschluss bei der Gemeindekanzlei vorbei und wirf den Brief persönlich ein.
    • Thurgauo 25.09.2020 22:03
      Highlight Highlight Gefühlt noch wesentlich mehr als drei Wochen ... ich kann mich schon gar nicht mehr erinnern, wann ich die abgeschickt habe.
    Weitere Antworten anzeigen
  • Sharkdiver 25.09.2020 20:51
    Highlight Highlight Die Schweiz und IT: 4. Welt Niveau.
  • Dorian Nyffeler 25.09.2020 20:25
    Highlight Highlight Und dann gibt es Leute die denken, dass es mit eVoting besser wird...
  • yey 25.09.2020 19:50
    Highlight Highlight Aha, die Republik hat mal wieder einen dramatischen Artikel geschrieben, aber beim genaueren hinsehen ist halt doch wieder kein „Fleisch am Knochen“ und alles nur graue Theorie.

    Glaube nicht, dass ich das Palaver nochmals abonniere.
    • Superreicher 25.09.2020 20:58
      Highlight Highlight Wenn es dir nicht passt, was die schreiben, lass es sein. Du bist nicht gezwungen, die Republik zu abonnieren.
    • Bildung & Aufklärung 25.09.2020 21:26
      Highlight Highlight Und ich glaube nicht, dass du jemals Qualitätsjournalismus abonniert oder sachlich erfasst hattest.

      Ich weiss aber, dass 'Republik' zu den seriösesten und qualitativsten Medien im Lande gehört und deswegen entsprechend viel Annerkennung erhält und mit die besten JournalistInnen des Landes beherbergt.

      Nach Weltblocher und Telewoche, natürlich.
    • yey 26.09.2020 13:19
      Highlight Highlight @Bildung
      Bei Qualitätsjournalismus werden Meinung & Ideologie des Autors vom Rechercheresultat getrennt und - wenn überhaupt - nur in Forum eines klar abgetrennten Kommentares angehängt.
      Das ist bei der Republik bei fast keinem Artikel der Fall.
  • PhilippS 25.09.2020 19:39
    Highlight Highlight “.... Man kompensiere die entsprechenden Angriffs­szenarien mit anderen Sicherheits­mechanismen, etwa dem Blockieren von externen IP-Zugriffen....” Aha.

    Oder etwas plastischer ausgedrückt: Wenn es regnet und stürmt, anstatt mit Gore-Tex Regenschutz mit Kapuze und Gummistiefeln gehen sie mit Sandalen (so trocknen die Füsse schnell) und einem Knirps in der Hand raus.

    Und ist völlig überrascht, wenn die Hose dann doch tropfnass wird...

    Oder wozu Bergschuhe für den Blau-Weissen Wanderweg? Sind doch nur für Weicheier. Turnschuhe sind ja auch Schuhe...
    • HugiHans 26.09.2020 11:16
      Highlight Highlight Ähm, diesen Vergleich verstehe ich jetzt überhaupt nicht ...
      Oder anders plastisch ausgedrückt gefragt; warum Unwetter-Ausrüstung anziehen, wenn man sich in einem sicheren Haus befindet?
  • Pakart 25.09.2020 19:27
    Highlight Highlight Aber klar, dieses WE wird das Stimmvolk vermutlich neue Kampfflugzeuge befürworten. Ist ja genau das aktuelle Bedrohundgszenario 😖!
    • 7immi 25.09.2020 20:44
      Highlight Highlight @pakart
      ist es denn die Aufgabe der Armee, Abstimmungen sicher durchzuführen? Oder Vielleicht doch eher Auftrag der Verwaltung? Man sollte Dinge nicht vermischen, die nichts miteinander zu tun haben. So ist auch jede Firma für ihre IT selber verantwortlich.
    • Bildung & Aufklärung 25.09.2020 21:34
      Highlight Highlight Es ging ihm/ihr völlig zurecht um "Bedrohungsszenarien", 7immi.

      Simpelstes Lesen. Soviel zu "Dinge vermischen".

      Digitale und 'analoge' Viren sind - wie alle wissen - um Galaxien wahrscheinlicher, als ein Luftkrieg Schweiz vs US/China/Russland/Djibouti.

      Aber wenn man anscheinend vörige ca. 6000 bis 28'000 (je nach Berechnung) Millionen hat, dann hat man die halt. Peanuts. Wir sind die Schweiz, hey.

      Ganz die oft bemühte "solidarische Schweiz":

      Denn Kriegswaffenhersteller haben auch ihre Milliarden-Aufträge/Profite und dass man für sie mischelt und Luxusjetspielzeuge beantragt, verdient.
    • Demetria 25.09.2020 22:53
      Highlight Highlight Du hast absolut Recht. Aber andererseits müssen wir fast froh darum sein. Der IT-Beschaffungsskandal vom Bund ist ja noch in wärmster Erinnerung: Millionen versenkt durch Vetterliwirtschaft. Nicht dass dies bei den Jets anders gewesen wäre, die Miragebeschaffung von 1964 und der SAAB Skandal mit der Schwedischen Botschaft vor ein paar Jahren waren ja auch sehr glamurös... Dem Globiverein könnte man vermutlich auch einen Taschenrechner verkaufen wenn man behauptet, er schütze vor russischen Hackerangriffen wenn man ihn aufs Monitorkabel legt.
    Weitere Antworten anzeigen
  • Platon 25.09.2020 19:05
    Highlight Highlight Ich sags ja schon lange. E-Voting würde die Sicherheit beträchtlich erhöhen. Unser heutiges System ist nämlich alles andere als sicher!
    • Francis Begbie 25.09.2020 20:20
      Highlight Highlight sorry, aber was für ein bullshit. Heute kannst du zumindest die Wahlzettel noch von Hand nachzählen. So oft wie du willst und das zählen können viele kinder schon. Bei evoting gibt es nie eindeutige Belege. Da gibt es nichts zu diskutieren.
    • N. Y. P. 25.09.2020 20:22
      Highlight Highlight Wie weisst du, ob deine Stimme gezählt wurde ?
    • miip 25.09.2020 23:53
      Highlight Highlight Nein, würde es nicht. Im Moment geht es nur um die Übermittlung der Resultate, welche von jedem Wahlbüro wieder überprüft und "Übermittlungsfehler" korrigiert werden können. Mit E-Voting ist die Stimmabgabe betroffen, die nicht ausserhalb des E-Voting-Systems durch die Abstimmenden überprüft werden können. Es ist eine wesentlich komplexere Aufgabe, entsprechend schwieriger umzusetzen und darum sicher nicht sicherer.

      Und falls es sicherer designt werden könnte, so würde es kaum jemand mehr verstehen, was aber eine Voraussetzung dafür ist, dass man dem System vertrauen würde.
    Weitere Antworten anzeigen
  • Einfach meine Meinung 25.09.2020 18:57
    Highlight Highlight Ein weiterer Grund der gegen das sogenannte E-Voting spricht.
    • versy 25.09.2020 20:50
      Highlight Highlight Eigentlich nicht wirklich.
      Es zeigt auf das die manuellen Auszählungen kein bisschen sicherer sind als wenn es EIN System geben würde das nur vom Bund geprüft & betrieben wird.
      Wie oft hat es schon Stimmmanipulationen gegeben und noch schlimmer, wie oft wurde es nicht bemerkt?
      E-Votung mit der Verifizierbarkeit - sprich dass du jederzeit selbst überprüfen kanmst ob die Stimme richtig im System angekommen ist und gezählt wurde (diesen Mechano hatte das EVoting der Post noch nicht), gibt es in keinem manuellen Wahlbüro.
      Ich habe keine Ahnung ob mein Zettel auf den richtigen Stapel geworfen wurde
    • versy 25.09.2020 20:53
      Highlight Highlight Man muss es ganz klar streng regulieren und alle möglichen technischen Register ziehen & eine dezentrale (einfache Angriffe auf das Gesamtsystem verhindern) und offene (Open Source) Lösung benutzen.
      Zudem kann man die schon jetzt gängigen Schutzmechanismen wie statistischer Vergleich etc weiterhin durchführen.
      Wir natürlich schwieriger, aber sollte machbar sein.
    • Superreicher 25.09.2020 21:01
      Highlight Highlight Es zeigt zumindest, dass auch heute die Sicherheit nicht garantiert werden kann, auch ohne E-Voting. Aber es stärkt auf der anderen Seite natürlich auch nicht das Vertrauen ins E-Voting, im Gegenteil.
    Weitere Antworten anzeigen

Wenn Kantonswappen ehrlich wären – die komplette Edition

Vor ein paar Jahren, watson hatte nur ein paar Freak-Leser (Danke, Freak-Leser!), publizierten wir eine Auswahl an «ehrlichen» Kantonswappen. Die Story fand derart guten Anklang, dass wir ein Sequel produzierten – für ganz alle Kantone reichte es aber nie.

Nun fragten uns vor wenigen Tagen die Lehrlinge der Firma Hoffmann Neopac AG, die einen Webshop mit bedruckten Blechdosen (Korrektur: Hier stand vorher Aluminiumdosen) betreiben, an, ob sie die Sujets für eine 1.-August-Sonderedition …

Artikel lesen
Link zum Artikel