Die angebliche Sicherheitslücke im Genfer E-Voting – eine Kritik an der TV-Berichterstattung
Am 2. November behauptete das Schweizer Fernsehen in mehreren News-Sendungen, das Genfer E-Voting-System sei geknackt worden. Dabei recherchierte das Fernsehen unsorgfältig und berücksichtigte die Warnungen von zwei Schweizer Hochschulprofessoren nicht. Es beherzigte auch die Stellungnahme des Kantons Genf nicht gebührend und erlaubte einem Vertreter des Chaos Computer Clubs, offensichtliche Falschaussagen über die SRF Kanäle zu verbreiten. Unser Autor zeigt die Versäumnisse der Medienschaffenden auf und stellt die Ereignisse in ihren Kontext.
Offenbar fahren Vertreter des Schweizer Chaos Computer Clubs CCC eine Kampagne gegen die Pläne, E-Voting in der Schweiz flächendeckend einzuführen. In zahlreichen Zeitungen erschienen im Laufe des Jahres negative Artikel zum Zustand der beiden hiesigen, etablierten E-Systeme. Während die Printmedien inzwischen differenzierter berichten, spitzte das SRF am 2. November den negativen Befund sogar zu.
Inszenierter Angriff unter Laborbedingungen
Volker Birk vom CCC demonstrierte in der Hauptausgabe der Tagesschau vom 2. November einen Angriff unter Laborbedingungen. Der vorgestellte Angriff erlaubt es unter Umständen, ein einzelnes Opfer beim erstmaligen Aufruf des Genfer E-Voting-Systems auf eine präparierte Seite umzuleiten. Das Opfer hat gute Möglichkeiten, diese Umleitung zu verhindern. Der Angriff funktioniert nämlich nicht, wenn das Opfer die URL vollständig abtippt, die URL nach dem Aufruf nochmals überprüft oder das Sicherheitszertifikat kontrolliert, was in der Anleitung ausdrücklich empfohlen wird.
Abbildung 1: Der gefälschte Server ist an der URL leicht zu erkennen (Quelle: SRF)
Auf das briefliche Abstimmen übertragen, hat die Angreifer einen eigenen präparierten Briefkasten an einem öffentlichen Ort platziert. Sie warten nun die gesamte dreissigtägige Stimmperiode lang darauf, die einzelnen StimmbürgerInnen zu diesem falschen Briefkasten umzuleiten: Die StimmbürgerInnen sollen die ausgefüllten Stimmunterlagen in den gefälschten Briefkasten einwerfen. Sofern das Opfer angesichts der Umleitung zu einem gefälschten Briefkasten keinen Verdacht schöpft, erhält der Angreifer so Zugriff auf das Stimmmaterial. Er kann dann das Stimmgeheimnis des Opfers brechen.
Es ist nicht auszuschliessen, dass ein einzelnes Opfer auf diesen Angriff hereinfallen würde. Es ist auch denkbar, dass fünf, zehn, fünfzig oder gar hundert StimmbürgerInnen parallel angegriffen würden und sich von einem gefälschten Briefkasten übertölpeln lassen könnten. Aber je grösser die Zahl, desto wahrscheinlicher wird es, dass jemand Verdacht schöpft – zumal es nur bei Opfern funktioniert, die zum ersten Mal online abstimmen. Alle anderen würden den gefälschten Briefkasten aufgrund einer Sicherheitswarnung sofort erkennen.
Das alles ändert nichts daran, dass der Angriff technisch funktioniert. Und auch wenn der Angriff nicht skalieren wird, ohne bemerkt zu werden, so könnten die Gegenmassnahmen durch den Kanton Genf doch noch etwas optimiert werden. Dies wird in diesem Artikel erläutert.
Steigerung der Fehlinterpretation
Die gravierenden Fehler in der Berichterstattung passierten während der Recherche und bei der Interpretation im Fernsehstudio: Die Interpretation war unpräzise und schoss über das Ziel hinaus.
1. Im Newsflash
In einem am frühen Abend des 2. Novembers publizierten Newsclips suggeriert das Fernsehen bereits die Möglichkeit zur Manipulation der Abstimmung: «Eine Auslandschweizerin […] will beim eidgenössischen Urnengang vom 25. November elektronisch abstimmen. Dafür benutzt sie das E-Voting-System des Kantons Genf, der dies anderen Kantonen zur Verfügung stellt. Sobald sie die Adresse evote-ch.ch/lu in ihren Webbrowser eingegeben hat, wird sie auf eine gefälschte Seite umgeleitet. Eine Seite, die Hacker präpariert haben – um an die Stimmabsichten der Frau zu gelangen, oder noch schlimmer: um ihre Stimme zu manipulieren.» Aber manipuliert wurde einzig der Aufruf des Browsers. Von der Möglichkeit, die Stimme zu manipulieren, kann keine Rede sein, denn das verhindern weitere Sicherheitsmassnahmen. Diese Unterscheidung macht der Beitrag erst weiter unten im Text. Dort gelingt auch eine Einordnung des Angriffes und ein separater Kasten erklärt den LeserInnen, wie sie sich schützen können.**
2. In der Tagesschau
In der Hauptausgabe der Tagesschau des 2. Novembers nahm der Sprecher die Idee der Manipulation auf und leitete wie folgt ein: «Hacker konnten bei einem Test ein grosses System manipulieren». Und dann weiter «Zu den Recherchen von SRF, dass es Hackern gelungen ist, das Genfer E-Voting-System zu manipulieren…»Während der Newsclip also noch behauptete, es bestehe die Möglichkeit, eine einzelne Stimme zu manipulieren, wurde daraus in der Tagesschau eine Manipulation des Gesamtsystems.
3. In der Sendung 10vor10
Auch 10vor10 machte es nicht besser. Hier sprach man von einem klaffenden Loch und dass es gelungen sei, das E-Voting-System zu knacken: Die Begriffe «klaffendes Loch», «knacken» und «manipulieren» in Bezug auf das E-Voting-System des Kantons Genf lassen ein massives Sicherheitsproblem vermuten. Und für die Masse des Fernsehpublikums ist kaum ein anderer Schluss möglich, als dass Resultate von Abstimmungen manipuliert werden könnten. Dies ist aber nicht der Fall. Denn wie oben erläutert, würde das flächendeckende Umleiten den StimmbürgerInnen sehr schnell auffallen.
Ferner scheitert die Manipulation der Stimmen an persönlichen Prüfcodes, die man gemäss Benutzerführung während des Abstimmens auf dem E-Voting-System überprüfen soll. Es ist durchaus denkbar, dass einzelne Stimmbürger und Stimmbürgerinnen diesen Schritt unterlassen. Aber die Aufforderung, den Code zu kontrollieren, wird vom E-Voting-System sehr deutlich gemacht. Man muss sich also mit Absicht an dieser Aufforderung vorbeiklicken und früher oder später wird jemand der expliziten Aufforderung nachkommen. Der oder die Erste, die hier einen Fehler entdecken und melden, würden sofort eine weitreichende Untersuchung auslösen und die Wahlkommission käme zum Zuge. Der Fehler könnte natürlich auch darin bestehen, dass ein Angreifer diese Aufforderung verschwinden lässt. Das ist für einen Angreifer technisch gut machbar. Aber hier wiederholt sich das Muster: Ein einzelnes Opfer wird eventuell keinen Verdacht schöpfen, aber der Angriff skaliert nicht, da dann unweigerlich jemand darauf aufmerksam wird und Alarm schlagen wird. Dieser Prozess liefe dann identisch ab, wie es bei Manipulationen von Stimmen beim brieflichen Abstimmen und Wählen üblich ist: Es wird eine formelle Untersuchung eingeleitet und die Wahl gegebenenfalls für ungültig erklärt.*
Fehler bei der Recherche
Wie konnte es zu dieser Fehlleistung durch die FernsehjournalistInnen kommen? Wenden wir uns zunächst der Recherche zu. Hier wurde der Angriff nicht selbst durchgespielt, sondern man liess sich den ersten Teil des Angriffs, die Umleitung, durch die Vertreter des Chaos Computer Clubs demonstrieren. Da Zeit natürlich knapp ist, ist dieses Vorgehen verständlich. Tatsächlich wurden aber die einfach überprüfbaren Behauptungen von Birk nicht kontrolliert, sondern unhinterfragt übernommen und im Wortlaut ausgestrahlt. So etwa die Behauptung, der Kanton Genf habe gar keine Massnahmen zur Abwehr des Angriffes unternommen. Das ist nachweislich falsch. Hätten die Medienschaffenden diese Behauptung selbst zum Beispiel mit Hilfe der bei Sicherheitsforschern beliebten Shodan Datenbank überprüft, wäre ihnen sofort aufgefallen, dass das Genfer E-Voting-System während der Wahlperiode den sogenannten HSTS-Standard unterstützt, der genau diesen gezeigten Angriff erschwert. Und auch die vom Fernsehen auf der Webseite publizierte Stellungnahme der Genfer Staatskanzlei weist darauf hin, dass der Kanton sehr wohl Massnahmen ergriffen hat.
Auch dies veranlasste die JournalistInnen nicht dazu, über die Bücher zu gehen. Das ist nicht die einzige Fehlleistung. Im oben verlinkten Beitrag erklärt Birk den Angriff: «Die Idee ist folgende: Der Wähler möchte sich mit dem Server des Kantons Genf verbinden. Und wir leiten ihn um auf den Server des Angreifers, ohne dass der Wähler eine Möglichkeit hat, das zu bemerken.» Die gefälschte URL ist dann aber wenige Sekunden später gut im Bild zu erkennen (Abbildung 1) und auch der Unterschied in der Darstellung des Sicherheitszertifikats sticht ins Auge. Birk bestätigt darin, dass man den erfolgreichen Angriff an der URL sehe. Der offensichtliche Widerspruch zwischen der behaupteten Unmöglichkeit der Unterscheidung und dem Hinweis auf den sichtbaren Unterschied wurde von den Journalisten nicht erkannt, nicht thematisiert und auch nicht aufgelöst. Das heisst, die falsche Behauptung von Volker Birk wurde kommentarlos verbreitet.
Nachgefragt via Twitter
Auf Twitter auf diese Fehlaussage hingewiesen, reagierte Volker Birk so:
Abbildung 2: Chatverlauf, Quelle: Twitter
Volker Birk findet, die gefälschte URL sei für Stimmbürger unauffällig und meint, die Umleitung an sich sei ja nicht verdächtig und antwortete auf Nachfrage mit einem Meme aus der Muppet-Show.
Tatsächlich wäre es möglich, dass zahlreiche unbedarfte Wähler die Umleitung und das Sicherheitszertifikat ignorieren. Aber sobald eines der beiden auch nur einem einzigen Wähler beim Befolgen der Anleitung auffällt, wird er dies dem Kanton mit hoher Wahrscheinlichkeit melden und eine Untersuchung des Betruges würde eingeleitet.
Aussagen zweier Experten verkürzt
Diese beiden Falschaussagen zum Fehlen von Schutzmassnahmen und zur Unmöglichkeit, den Betrug zu erkennen, hätten den Fernsehredakteuren auffallen und die gesamte Stossrichtung des Berichts in Frage stellen müssen. Denn es mangelte auch nicht an Warnungen, den Befund vorsichtig zu interpretieren.
Neben der Genfer Staatskanzlei befragten die Journalisten in der Sendung auch Professor Eric Dubuis von der Berner Fachhochschule: Er bestätigte, dass der gezeigte Laborangriff technisch funktioniert, weist aber darauf hin, dass die Prüfcodes einer Manipulation der Stimme des Opfers einen Riegel schieben. Dass Dubuis auch darauf hinwies, dass der Angriff nicht flächendeckend skaliere und deshalb nicht überbewertet werden sollte, fand in der Sendung keinen Platz.
Abbildung 3: Prof. Eric Dubuis der Berner Fachhochschule: der Angriff skaliere nicht in die Breite (Quelle: Twitter)
Auch ein zweiter Fachhochschuldozent, Professor Peter Heinzmann von der Hochschule für Technik Rapperswil, wurde von den JournalistInnen befragt. Seine schriftliche Antwort liegt der Redaktion vor und weist ebenfalls darauf hin, dass es in der Fläche nicht funktionieren könne sowie die behauptete Manipulationsmöglichkeit nicht unter Beweis gestellt worden sei. Diese Warnungen schlug das Fernsehteam aber in den Wind und übernahm die Formulierungen derE-Voting-Kritiker des CCC. Darüber hinaus interpretierte es den erfolgreichen Laborangriff schwerwiegender als der CCC selbst. So wurde die Staatskanzlei des Kantons Genf in ausgesprochen schlechtem Licht dargestellt.
Fazit
Weshalb hier das Genfer E-Voting in seiner Gesamtheit als unsicher und manipulierbar präsentiert wurde, erschliesst sich mir nicht. Vermutlich war die Story «CCC-Hacker machen Beamte lächerlich» so knackig, dass man sie beim SRF nicht mehr aufgeben wollte.
Die NZZ reagierte rasch aber zurückhaltend auf die Enthüllungen des Fernsehens. Weitere Zeitungen brachten kleinere Meldungen. Sie blieben aber weit hinter den vollmundigen Anschuldigungen des Fernsehens zurück. Daher man darf annehmen, dass die Zeitungsredaktionen die Fehler erkannten, oder den vehementen E-Voting-Kritikern des CCC nicht mehr jede Behauptung abnehmen.
Damit ist der Sachverhalt an sich geklärt. Tatsächlich gibt es aber weitere Unstimmigkeiten in den Beiträgen, denn auch technisch ist nicht alles so einfach, wie es im Fernsehen gezeigt wurde. Und dann wären da noch die Optimierungen, von denen das E-Voting-System profitieren könnte. Diese Punkte werden hier detailliert besprochen.
Updates
Wir haben den mit * markierten Abschnitt über die Prüfcodes nach einem Hinweis unseres Lesers Danilo B. präzisiert.
Wir haben den mit ** markierten Satz über den Newsflash nach Massgabe des Autors präzisiert.
Hallo Christian
Vier Fragen an dich:
1. In folgenden Fällen bringt HSTS ohne Preloading nichts:
– Der User stimmt zum ersten Mal ab (was wahrscheinlich ist, da ja nur ein kleiner Teil der Schweizer bisher abstimmen durften)
– Der User verwendet ein neues / anderes Gerät als bei der letzten Abstimmung
– Der User war schon mal auf der E-Voting Seite, aber damals war die Abstimmung noch nicht aktiv («konfigurationsästhetisch»?)
– Der User nutzt beispielsweise Firefox und löscht wie empfohlen seinen Cache und Browserverlauf
Findest du das wirklich unbedenklich? Hälst du es als Experte für IT-Sicherheit für wahrscheinlich, dass mehr als ein Drittel die URL inklusive «https» eingeben?
2. Hälst du als Experte für IT-Sicherheit den gefälschten Briefkasten und eine DNS-Manipulation mit MITM-Attacke wirklich für vergleichbar, oder sind wir uns einig dass das ein sehr holpriger Vergleich ist?
3. Wenn ein Betrug gemeldet und festgestellt wird, hälst du die Konsequenzen davon nicht für höchst problematisch im Bezug auf das Vertrauen der Stimmbürger in die Abstimmungsergebnisse? Mit der Meldung ist das Problem ja nicht gelöst, wenn man E-Voting gesellschaftlich und nicht technisch betrachtet.
4. Der Beitrag der SRF war sensationalistisch aufgebaut, klar. Deiner Meinung nach ist die Berichterstattung zu wenig differenziert. Hälst du das Herunterspielen von Risiken, wie es Kantone und Provider getan haben – speziell ohne die Erwähung von HSTS-Preloading und der Unterlassung dessen Konfiguration – nicht auch für sehr undifferenziert? Wäre eine Aussage «ja, wir haben einen Fehler gemacht, folgende Schritte werden wir dagegen unternehmen» viel viel nicht besser als «es besteht kein Problem mit dem System», gerade im Bezug auf die viel erwähnte «Sensibilisierung der Bürger»?
Und noch ein Kommentar zur Aussage «(…) die Aufforderung, den Code zu kontrollieren, wird vom E-Voting-System sehr deutlich gemacht»: Das ist natürlich in diesem Fall egal, denn der Angreifer kann diese Aufforderung problemlos umformulieren, entfernen oder durch eine Aufforderung zur *Eingabe* der Prüfcodes ändern. In der Regel lesen die User die Inhalte auf der Website aufmerksamer als was auf dem Papier steht.
Zuletzt noch ein Kommentar dazu, dass der Kanton Genf den CSP-Header unterstützt: Wenn dieser «script-src ’self› ‹unsafe-inline› ‹unsafe-eval'» enthält, bringt er nur mässig viel. Gerade wenn man sich gegen Script-Injection schützen will, wäre das aber wichtig.
Grüsse
Danilo
Hallo Danilo,
Vielen Dank für deine konstruktiven Fragen. Ich sehe, ich habe mich nicht in allen Punkten
klar ausgedrückt (und natürlich sass mir die Herausgeberin mit der Zeichenzahl im Nacken).
Deshalb ja auch die Ausgliederung des technischen Teils in den separaten Post auf Medium.
Hier ein Versuch Deine Fragen zu beantworten. Erster Abschnitt:
1.1 ja
1.2 ja
1.3 ja
1.4 nein. Meines Wissens löscht das Leeren des Caches und der History die HSTS Einträge nicht.
Aber: Correct me if I’m wrong.
Vor der Frage nach der Unbedenklichkeit müsste das Schutzziel definiert werden.
Ist das Schutzziel der totale Schutz des Stimmgeheimnisses des einzelnen Stimmbürgers, dann
wäre das hochbedenklich und wir dürften keine brieflichen Abstimmungen durchführen.
Ist das Schutzziel der Schutz des Stimmgeheimnisses in der Breite, so halte ich es für
weniger bedenklich, da ich sicher bin, dass es ziemlich rasch einem Stimmbürger
auffällt und zu einer Alarmierung der Wahlkommission führt.
Mehr als 1/3 …: Ich kann mir sogar vorstellen, dass nur 5% der Stimmbürger die Sache
richtig eingibt. Das heisst auf 100 angegriffene Stimmbürger würden 5 eine Sicherheitswarnung
erhalten. Ich bin sicher, dass einer oder eine unter Ihnen alarmieren würde. Und dann
nimmt die Sache Ihren Lauf und bei 20’000 angegriffenen Stimmbürgern (was bei Volksabstimmungen
typischerweise +/- 1% Stimmen bedeutet) wären es 200 Anrufe auf den Wahlbüros der
Kantone. Müsste aus meiner Sicht für eine Untersuchung reichen, aber das ist nicht der
Teil des Prozesses mit dem ich mich wirklich auskenne.
2. Ich halte es für enorm wichtig, ein technisches Problem für Laien in die nicht-technische
Welt zu übersetzen. Diese Einordnung ist eigentlich Teil des Auftrages des Fernsehens, deshalb
ist es überraschend, dass die TV Berichte diesem Auftrag nicht nachgekommen sind.
Wir haben zu dritt sehr lange an der Formulierung des Briefkastenbeispiels gerungen.
Von dem her halte ich die Übertragung für passend, lasse mich aber gerne eines Besseren
belehren. Welche Aspekte findest du denn holperig?
3a Ehrlich gesagt nein. Diese Antwort ist vermutlich überraschend, aber
mir ist es ernst damit. Nimm das Beispiel des Wahlbetrugs im Oberwallis
im letzten Jahr. Hat die breite Berichterstattung nicht dazu geführt,
das Vertrauen in unsere Abstimmungen und Wahlen zu stärken? War es
nicht eine gesamtgesellschaftliche Vergewisserung, dass die Kontrollen
funktionieren und man trotz einigen Sicherheitslücken bei der
brieflichen Stimmabgabe grössere Betrügereien erkennt? Wir hatten in
den letzten 10-20-30 Jahren immer wieder Wahlbetrug in der
Grössenordnung von 50-150 oder 200 Stimmen und es scheint, das sei etwa
die Menge die ein einzelner Betrüger erreichen kann. Danach fliegen sie
erfahrungsgemäss auf. Das heisst die Angriffe skalieren nur sehr
bedingt. Achtung Bias: Was ist mit denen, die wir nicht erwischt haben?
3b E-Voting ist eine politisches Problem und die Einführung ein politischer
Entscheid, den die Gesellschaft treffen muss. Kontrollen, Betrug und Verfolgung
sind Mechanismen mit denen sich die Gesellschaft ihrer selbst vergewissern
kann (Das ist soziologisch wohl sehr krude, aber die Idee kommt vielleicht
rüber).
4. Das ist eine schwierige Frage und wenn ich mich in Deine Position versetze,
könnte ich aus der Haut fahren. Ich versuche trotzdem, Dir eine andere Perspektive
aufzuzeigen. Beschränkt auf genau diesen einen Fall.
Du hast eingeräumt, dass der Beitrag sensationalistisch aufgemacht war. Das war
das bestimmende Element der Berichterstattung. Das heisst, das Fernsehen hat
mit schwerem Geschütz und aus Behördensicht ungerechtfertigt auf die Staatskanzlei
eines Schweizer Kantons geschossen. Du kannst für E-Voting oder gegen E-Voting
sein, aber wenn E-Voting so gekillt wird, dass man dafür die Genfer Staatskanzlei
für unfähig erklären muss, dann werden wir uns am nächsten Tag beim brieflichen Abstimmen
dennoch auf die Integrität und Kompetenz der Genfer Staatskanzlei verlassen
müssen. Das ist aus meiner Sicht sehr gefährlich.
Denn Du kannst die vermutete Inkompetenz beim E-Voting nicht von der Kompetenz
bei den traditionellen Stimmkanälen trennen. Die beiden hänge zusammen.
Schiesse auf das eine und das andere nimmt Schaden.
Und damit sind wir in der Situation, dass eine Staatskanzlei in ihrem Kern
öffentlich blossgestellt wurde. Und in dieser Situation – so vermute ich – hat
sie gar keine andere Möglichkeit als den Stahlhelm anzuziehen und jedes
Zugeständnis und jedes Eingeständnis auszuschliessen.
Und die Bundeskanzlei und Barbara Schüpbach-Guggenbühl müssen den Genfern quasi
aus freundeidgenössischen Gründen automatisch zur Seite stehen und den
Angriff gemeinsam blocken. Ich glaube, da gibt es keine Wahl.
TL;DR: Wie man in den Wald ruft, so ruft es zurück.
Leider haben diese Angriffe noch einen weiteren Effekt: Wenn Genf nun nach dem Abschluss
der Wahlperiode, wenn sie die Server wieder umkonfigurieren dürfen, das preload Flag
tatsächlich setzen, dann werden die Vertreter des CCC einen Sieg ausrufen. Das
kann dazu führen, dass nötige Sicherheitsverbesserungen aus politischen
Gründen zurückgestellt werden könnten. Diese mögliche Entwicklung finde ich sehr schlimm.
Kurzum: Angriffe wie dieser vergiften das Klima und verhindern eine Verbesserung
der Situation. Und natürlich fände ich die von Dir vorgeschlagene Antwort viel
besser, aber sie scheint mir in der unnötigerweise herbeigeführten Situation
nicht mehr möglich. Schade.
Kommentar zur Aussage …: Hier habt Ihr mich vermutich falsch verstanden. Meine
Überlegung ist die Folgende: Das ist sehr penetrant und wird dem Stimmbürger massiv
unter die Nase gerieben. Wenn ein Angreifer es dann in der nächsten Wahlperiode
künstlich verschwinden lässt (technisch sicher gut machbar), dann fällt das
auf.
Ich versuche meinen Text in diesem Punkt umzuformulieren und frage die
Herausgeberin morgen, ob sie das für mich korrigieren kann.
Kommentar zum CSP Header …: Ich nehme an Du verstehst, dass der Inhalt des CSP
Headers für meine Argumentation keine Rolle spielt. Wichtig ist in meiner Argumentation
seine Existenz (Ich meine wer würde CSP machen, aber kein HSTS? Habe ich noch nie
gesehen.) Ich habe Genf bereits öffentlich dafür kritisiert, dass sie es bis dato
versäumt haben, sich auf der HSTS Preload Liste eintragen zu lassen. Ich möchte
mich deshalb hier nicht zum Inhalt des CSP Headers äussern, zumal ich mich nur
sehr schlecht damit auskenne. Aber ich werde Dir auch nicht widersprechen.
Herzlich,
Christian
Hallo Christian
Danke für deine Antwort. Hier mal ein paar Kommentare dazu (neu nummeriert, das Kommentarsystem hier lässt keine sonderlich übersichtlichen Formatierungen zu):
1. Zu HSTS: Zumindest in Firefox scheinen gemäss https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/ die HSTS-Caches mit der History zusammenzuhängen. Ist ja korrekt so, der HSTS-Cache enthält eine Liste aller besuchter Domains und ist daher privacy-relevant. Die Lösung aus Sicherheit-vs-Privacy Sicht wäre klar HSTS Preloading.
2. Zu deiner Antwort auf Frage 1: Du schreibst etwas von «200 Anrufe auf den Wahlbüros der Kantone». Deine Formulierung ist so gewählt, dass damit – und mit einer potentiellen Untersuchung – das Problem behoben wäre. Aber was tut man denn in der Untersuchung? Angenommen 200 Anrufe gehen ein, und die Quote der korrekten Verifikation wäre bei 5%. Dann muss man davon ausgehen, dass 4000 Stimmen gefälscht wurden. Nun gibt es zwei Möglichkeiten. Entweder, man sagt «geschätzt 4000 Stimmen wurden möglicherweise manipuliert, wir können aber nicht nachweisen welche es waren, allerdings sind 4000 Stimmen nicht Ergebnisrelevant, daher ignorieren wir das Problem». Die andere Möglichkeit wäre, die 4000 Stimmen als problematisch zu betrachten. Aber die Auszählung kann ja nicht mit einem anderen Ergebnis widerholt werden! Man müsste die Abstimmung widerholen. Und das wird natürlich nicht gemacht werden.
Nun muss man sich überlegen, was der Normalbürger denken wird, wenn er hört, «mehrere Tausend Stimmen wurden beim E-Voting manipuliert, eine Untersuchung wurde eingeleitet, aber es gibt keine Konsequenzen». Das zerstört doch das Vertrauen der Bürger sowohl in das E-Voting-System wie auch in die Behörden. Ob das ursprüngliche Problem in den Kern-Algorithmen lag oder nicht, ist völlig irrelevant. Das Vertrauensproblem ist mit der Erkennung der Manipulation nicht gelöst!
3. Zum Briefkastenvergleich:
– Ein Laie kann nachvollziehen, dass jemand den gefälschten Briefkasten hinstellen und wieder abholen muss. Das ist für ihn beobachtbar. Der Briefkasten ist von allen Leuten sichtbar, die sich in der Nähe befinden. Der Laie kennt in der Regel die Briefkästen in seiner Gemeinde und wäre überrascht wenn ein neuer Briefkasten auftaucht. Die Post kann erkennen, wenn ein neuer Briefkasten auftaucht, da sie sich im öffentlichen Raum frei bewegen kann.
– Eine MITM-Attacke kann gezielt oder grossflächig erfolgen. Man kann einzelne Netzwerke anzielen, einzelne Computer, oder ganze Provider. Ein Laie kann aber nur sehr schwer erkennen, dass «der Briefkasten, in den er seinen Brief bisher immer eingeworfen hat, nun plötzlich ein anderer ist». Der Laie kann nur sehr schwer erkennen, dass er und sein Nachbar beide zum selben Briefkasten gehen, er aber einen anderen Briefkasten sieht als sein Nachbar. Der E-Voting-Provider kann nicht erkennen, dass Traffic innerhalb eines ihnen nicht zugänglichen Netzwerks umgeleitet wurde.
4. Der Fall im Wallis ist ein gutes Beispiel. Man konnte die Stimmzettel neu auszählen. Die Neuauszählung war nachvollziehbar. Man konnte neu auszählen, ohne neu abzustimmen. Der Bürger hat ein gewisses Vertrauen darin, dass die Stimme, die er ins verschlossene Couvert gelegt hat, nun auch mit neu ausgezählt wird. Er kann seinen Augen trauen, dass die Stimme, die er ins Couvert eingelegt hat, auch im Couvert war. Die Sache war transparent, für Laien verständlich, und hat so das Vertrauen gestärkt (und das *obwohl* es immer noch ein Manipulationspotential gäbe).
5. «Einführung ein politischer Entscheid, den die Gesellschaft treffen muss» – bisher klingt das E-Voting-Projekt aber nicht nach einer ergebnisoffenen Sache. Eher nach etwas, was bereits beschlossen wurde.
6. Zur Berichterstattung: Ich war in der Sache ja nicht involviert, aber kommen wir zum Punkt «aus Behördensicht ungerechtfertigt»: Es wurde eine praktische PoC-Demonstration getätigt. Die Demonstration basiert auf einer «Lücke» in der Art, wie das Internet aufgebaut ist. Der Angriff ist realistisch und einfach auszuführen, sowohl im kleinen Rahmen wie auch skalierend. Diese konkrete Lücke hätte man einfach verhindern können. Sie wurde aber nicht verhindert. Das *ist* ganz klar ein Versäumnis und ein Fehler der Behörden! Kann man das wirklich mit gutem Gewissen als «ungerechtfertigte Kritik» bezeichnen? (Ob SRF die Bezeichnung «E-Voting geknackt» verwendet oder nicht, darauf hat der CCC natürlich keinen Einfluss. Sie haben die Lücke lediglich demonstriert und erklärt.) Die Rhetorik hätte man durchaus etwas herunterfahren können, da stimme ich dir völlig zu, aber der CCC hat einen validen Punkt praktisch demonstriert, und diese Demonstration war nur möglich aufgrund eines Versäumnisses der Behörden. Die Antwort der Behörden darauf enhält schlichte Unwahrheiten (siehe Staatskanzlei SG). Ich habe kein Vertrauen darin, dass die Behörden in Zukunft anders reagieren werden, wenn – auf welche Art auch immer – auf Lücken aufmerksam gemacht wird.
1. Ich lese die Seite anders als Du. Für mich sieht die History nur wie eine Navigationshilfe aus.
2. «Und das wird natürlich nicht gemacht werden.» Bei 4K Stimmen? Das ist eine sehr grosse Zahl und ich kann nicht absehen, wie man da ums Nachzählen oder sogar wiederholen herumkommen würde. Zumal die Anzahl ja potentiell nur geschätzt wäre. Im Kanton Bern haben wir vor einigen Jahren komplett wiederholt, weil 1 oder 2 Gemeinden nicht mehr in der Lage waren nachzuzählen.
3. Sehe ich nicht. Ich glaube ein gut gefälschter neuer Briefkasten würde in der Schweiz am richtigen Ort platziert sicher ein paar Stunden T Tage lang funktionieren. Es gibt den Fall wo jemand mehrere Monate (Jahre!?) eine Botschaft aufgestellt und Betrieben hat. Vermutlich etwas extrem, aber die Sache ist mE nicht so klar, wie Du glaubst.
4. Nein. Man hat im Wallis mW nicht neu ausgezählt und man konnte auch nicht neu auszählen. Denn in dem Moment wo die Stimmausweise von den Stimmen getrennt sind, weist Du ja nicht mehr, welche die betrogenen Stimmen sind. Das ist die Krux bei diesen Wahlfälschungen mit den brieflichen Stimmen. Du bringst Sie nicht mehr aus dem System raus, da sie anonymisiert sind. Du kannst nur versuchen den Umfang abzuschätzen und gegebenenfalls zu wiederholen.
5. Einzelne Kantone haben EVoting durch Parlamentsbeschluss eingeführt. Die BK bereitet das Vernahmlassungsverfahren zur Etablierung des E-Votings als 3. Stimmkanal vor. Danach folgt die Beratung im Parlament und gegebenenfalls eine Volksabstimmung. Ich fand die Forderung des Bundesrates nach 50% E-Voting für die NR Wahlen 2019 (im April 2017 geäussert) etwas steil, aber vom Ablauf her hat das alles seine Ordnung.
6. Der Beitrag war in dieser Form und in diesem Ton ungerechtfertigt. Dass die Kritiker sich hinter dem Fernsehen und das Fernsehen sich hinter dem CCC verstecken ist schwach. Ein Mail an den Kanton Genf hätte gereicht. Zum Beispiel: «Wir sehen, dass Sie HSTS Preload nicht unterstützen. Gibt es dafür Gründe und in welchem Zeitrahmen planen Sie das einzuführen?» «Weshalb unterstützen Sie DNSSEC nicht?»
Ich hatte schon mehrere solche technischen Anfragen auf meinem Tisch und wir haben Sie immer sauber beantwortet. Zum Teil hat Legal noch etwas gebürstet, aber auch das ist ein Dialog und man darf auch Rückfragen stellen. Stell Dir vor es könnte jemanden in Genf geben, der seit Jahr und Tag preloading einführen möchte, aber er kann sich nicht durchsetzen. So eine Anfrage wäre genau der Rückenwind gewesen, den er vielleicht gebraucht hätte.
> 4. Nein. Man hat im Wallis mW nicht neu ausgezählt und man konnte auch nicht neu auszählen.
Ah, da hast du recht, das hatte ich falsch im Kopf. Aber man konnte wenigstens die falschen Unterschriften auf den Stimmrechtsausweisen als solche erkennen.
> 6. Der Beitrag war in dieser Form und in diesem Ton ungerechtfertigt.
Dann sind wir uns einig, dass der technische Inhalt bzw. die Hauptkritik nicht ungerechtfertigt war?
Anyways, warten wir mal ab, ob Genf die Kritikpunkte bis zur nächsten Abstimmung berücksichtigt.
4. Yep, das war möglich. Und schön: Als der Verdacht da war konnte man weitere eingehende Stimmrechtsausweise abfangen und nachweisen, dass es immer um denselben Kandidaten ging. E-Voting: Logfiles ohne Ende. Ein weites Betätitungsfeld für Forensiker…
6. Die Hauptkritik war, Genf habe gar keine Massnahmen getroffen. Ich habe nachgewiesen, dass das falsch ist. Wenn Du jemanden mit solcher Kritik in die Pfanne haust brauchst Du nachher nicht mehr konstruktiv diskutieren zu wollen. Der PC Tipp Artikel ist in diesem Sinn extrem scheinheilig.
Wovor ich wirklich Angst habe: Genf verbessert den Setup nicht, um nicht den Anschein zu erwecken, sich auf äusseren Druck zu bewegen. Das klingt vielleicht absurd, aber ich halte die Server auf jeden Fall im Auge.
Merci!