Am 25. November stimmt die Schweiz über Sozialdetektive, Hornkühe und Selbstbestimmung ab. Dabei werden rund 223'000 Bürger im In- und Ausland ihre Stimme im Internet abgeben können. Sie sind Teil eines Pilotprojekts, das der Bund im Rahmen der E-Government-Strategie durchführt. Um die Stimmabgabe insbesondere für Auslandschweizer zu erleichtern, soll die direkte Demokratie in der Schweiz digitalisiert werden. Der ursprüngliche Fahrplan: Flächendeckendes E-Voting in zwei Dritteln der Kantone bis 2019.

Doch nun könnte der Chaos Computer Club Zürich (CCCZH) dem Bund einen Strich durch die Rechnung machen. Das Hackerkollektiv sieht in der elektronischen Stimmabgabe weniger eine Chance für die Demokratie, sondern vielmehr deren Ende. So sei es entgegen der Annahme des Bundes unmöglich, die zahlreichen Sicherheitslücken im digitalen Wahlkanal zu schliessen, Abstimmungs- und Wahlergebnisse vor inländischen sowie ausländischen Manipulationen zu schützen.

Volker Birk ist langjähriges Mitglied des CCCZH und arbeitet als unabhängiger IT-Sicherheitsexperte für diverse Regierungen und Firmen. Kurz nachdem die digitalen Urnen für die laufende Abstimmung geöffnet hatten, simulierte Birk einen «Man in the Middle»-Angriff auf das E-Voting-System des Kantons Genf, um zu demonstrieren, wie einfach Wahlergebnisse in der Schweiz heute schon manipuliert werden können. So nutzen sechs weitere Kantone ebenfalls das Genfer System (BE, LU, BS, AG, SG und VD), Freiburg, Neuenburg und Thurgau nutzen ein System der Schweizer Post.

Herr Birk, haben Sie die laufende Abstimmung manipuliert?

Nein, natürlich nicht. Es ging mir mit der Aktion nicht darum, die Abstimmung zu manipulieren. Ich wollte lediglich aufzeigen, wie einfach sich ein Angreifer in eine Position begeben kann, von wo aus er das Wahlgeheimnis aufheben und eine Abstimmung beeinflussen könnte. Abgesehen davon wäre das strafbar.

Was genau geschieht bei einem «Man in the Middle»-Angriff?

«Man in the Middle» bedeutet, dass sich ein Angreifer zwischen dem Wähler und der Wahlzentrale positioniert, von wo aus die Stimmen auf technischem Wege abgefangen und manipuliert werden, bevor sie beim Empfänger eintreffen.

Wie gingen Sie dabei konkret vor?

Ich habe www.evote-ch.ch, die Seite, auf der Wähler aus sieben Kantonen ihre Stimmen abgeben, eins zu eins kopiert und unter www.evote-net.ch ins Netz gestellt. Danach habe ich unseren DNS-Server mittels DNS-Spoofing so manipuliert, dass Wähler auf der gefälschten Seite gelandet sind, ohne es zu merken.

Was passiert bei DNS-Spoofing?

DNS steht für Domain Name System und ist so etwas wie die Telefonzentrale des Internets. Rufen Sie eine bestimmte Website ab, tippen also zum Beispiel www.evote-ch.ch ins Suchfenster, benötigt ihr Browser die dazugehörige IP-Adresse. Diese liefert ihm das DNS. Nun speichert das DNS häufig getätigte Suchanfragen zwischen, um den Server zu entlasten (z.B. weil in der Woche vor einer Abstimmung sehr viele Nutzer gleichzeitig dieselbe Adresse abrufen). Und genau das ist die Schwachstelle, die ich ausgenutzt habe. In nur wenigen Minuten war es mir möglich, den Cache-Speicher des DNS unseres Servers so zu manipulieren, dass er anstelle der IP-Adresse von www.evote-ch.ch, die IP-Adresse von www.evote-net.ch ausgespuckt hat, der von mir gefälschten Abstimmungsseite. Die Nutzer wurden dann automatisch auf die gefälschte Website umgeleitet.

Also liegt der Fehler nicht per se im E-Voting-System, sondern in der Beschaffenheit des Internets?

Genau, diese Schwachstelle ist seit langer Zeit bekannt. Aber wer weiss, dass sein Boot ein Leck hat, und damit dennoch Menschen transportiert, handelt auch dann fahrlässig, wenn er das Boot nicht selbst gebaut hat. Mein Angriff hätte jedoch erschwert werden können, wenn das E-Voting-System bekannte Vorkehrungen wie DNSsec, HSTS Preloading oder wenigstens den Statuscode 301 verwendet hätte. Dies war zum Zeitpunkt des Angriffs jedoch nicht der Fall.

Weshalb richten Sie diese Kritik nur an die Betreiber von E-Voting?

Klar, dieses Problem betrifft auch andere Felder von E-Government, etwa die Registrierungen von Haustieren oder Ummeldungen von Autokennzeichen. Doch im Vergleich dazu steht bei E-Voting einfach viel mehr auf dem Spiel – nämlich unsere Demokratie. Für einen potenziellen Angreifer gibt es hier am meisten zu holen. Man denke an die Gripen-Abstimmung, da ging es um einen Milliardendeal. Deswegen haben wir auf dieses grundlegende Problem anhand des E-Voting-Systems aufmerksam gemacht.

Wie hat der Bund auf Ihre Aktion reagiert?

Leider nicht so, wie wir uns das erhofft haben. Anstatt sich auf einen faktenbasierten Diskurs einzulassen, hat die Bundeskanzlei lediglich eine Stellungnahme veröffentlicht, in der die Sicherheitslücken heruntergespielt werden. Zudem wurde ich von der Staatskanzlei Genf abgemahnt, weil ich offenbar gegen das Wappenschutzgesetzverstossen hatte.

Die Bundeskanzlei beruft sich auf den Standpunkt, dass das Leck, also die Änderung der Internetadresse von den Nutzern hätte bemerkt werden müssen.

Ich bezweifle stark, dass eine kleine Änderung in der Adresszeile sofort allen Stimmbürgern auffallen würde. Denn im Gegensatz zu Phishing-Angriffen, die einen Benutzerfehler voraussetzen, haben es Betroffene beim DNS-Spoofing besonders schwer, den Angriff zu bemerken, da dieser gerade dann funktioniert, wenn der Wähler alles richtig gemacht hat. Wer erwartet denn schon, dass er nach Eingabe der richtigen URL auf der falschen Seite landet? Zudem sollte der Bund seine Verantwortung in puncto Sicherheit nicht an den Bürger auslagern.

Video: So funktioniert E-Voting

Aber genau für diesen Fall gibt es doch den digitalen Fingerprint, Überprüfungscodes, anhand derer Wähler sicherstellen können, dass ihre Stimme unverfälscht angekommen ist?

Das stimmt, die Verschlüsselung der von der FH Bern erarbeiteten Codes ist sogar richtig gut. In der Praxis ist das jedoch wenig relevant, denn für eine Manipulation muss man nicht die Codes an sich hacken, sondern bloss die bis heute unsichere Internetinfrastruktur. Via Social Engineering (soziale Manipulation) kann übrigens auch der Benutzer selbst gehackt werden.

Wie würde ein Angreifer dabei vorgehen?

Er würde den Nutzer anhand falscher Anweisungen dazu bringen, die Codes gar nicht erst zu beachten. Besonders bei Wählern mit wenig IT-Kenntnissen dürfte das eine leichte Übung sein.

Aber wer die Anweisungen mit den Überprüfungscodes penibel genau befolgt, steht doch auf der sicheren Seite?

Leider nicht. So kann es manchmal vorkommen, dass die Codes selbst dann nicht übereinstimmen, wenn die Anweisungen genau befolgt werden. Dies zeigt die Antwort des Kantons St. Gallen auf eine Anfrage eines Bürgers, der sich nicht sicher war, ob er gehackt wurde: «Es gibt Umstände, bei denen der Fingerprint nicht korrekt dargestellt wird, obwohl sie auf der richtigen Website sind.»

Was passierte mit den Stimmen, die auf der von Ihnen gefälschten Seite abgegeben wurden?

Ich habe die Wähler automatisch auf die richtige Seite weitergeleitet, noch bevor sie ihre Stimme überhaupt abgeben konnten.

Deswegen wehrt sich die Bundeskanzlei ja auch gegen den Vorwurf, die Website sei gehackt, Stimmen seien manipuliert worden.

Es ging mir ja auch nicht darum, die Wahl zu beeinflussen, sondern eine Debatte über die Sicherheit von E-Voting anzuregen. Analog zur Flughafensicherheit habe ich eine Waffe in einen Flieger geschmuggelt und gezeigt, dass sie echt ist – ohne dabei einen Schaden anzurichten. Dass die Flughafensicherheit ungenügend ist, kann ich auch aufzeigen, ohne die Waffe dabei abzufeuern.

Also glauben Sie, die Bundeskanzlei ist sich dieser Gefahren schlicht nicht bewusst?

Nein. Es deutet viel darauf hin, dass der Bund an E-Voting festhält, obwohl er sich der Gefahren bewusst ist.

Wie kommen Sie darauf?

Eine Studie der Technischen Universität Darmstadt hat bereits 2013 das Genfer E-Voting-System untersucht und dabei exakt jene Schwäche beschrieben, die wir unlängst offengelegt haben. Dass man in Genf noch nie von dieser Studie gehört hat, kann ich mir nur schwer vorstellen. Da diesbezüglich bis zum Zeitpunkt meiner Aktion keine ernst zu nehmenden Gegenmassnahmen ergriffen wurden, gehe ich davon aus, dass man sich in Genf dazu entschlossen hat, die aufgezeigten Probleme zu ignorieren.

Weshalb sollten die Behörden das tun?

Das ist mir auch ein Rätsel. Vielleicht wollen sie es einfach nicht wahrhaben? Die Schweiz hat immerhin 18 Jahre lang in das Projekt E-Voting investiert. Wir sagen aber klar: Leute, das kann nicht funktionieren!

Genf liess doch verlautbaren, die Lücke sei bekannt und man arbeite an Gegenmassnahmen?

Stimmt, der Bund soll laut einer Mitteilung Preisgelder im Gesamtwert von 250'000 Franken für gefundene Sicherheitslücken ausschreiben. Man glaubt, das Problem zu beheben, indem man einzelne Sicherheitslücken stopft. Das Problem liegt jedoch nicht bei einem Stück vom Kuchen, sondern in der ganzen Bäckerei: Sicherheit ist eine inhärente Eigenschaft eines Systems und nicht ein Produkt, das sich einfach so dazu kaufen lässt. In der Wissenschaft wird dies vor allem mit dem Problem der unsicheren Plattform beschrieben.

Wer könnte denn überhaupt ein Interesse daran haben, Schweizer Abstimmungen zu manipulieren?

Wie die Snowden-Enthüllungen offenbart haben, hielt die NSA in einem geheimen Strategiepapier schon vor zehn Jahren fest: «activities such as […] e-voting […] beg to be mined» (übersetzt: E-Voting bettelt geradezu darum, ausgebeutet zu werden). Zu diesem Zweck hat die NSA Internetrouter des Quasimonopolisten Cisco auf dem Postweg abgefangen und verwanzt, wie NSA-Papieren weiter zu entnehmen war. Da Schweizer Behörden ebendiese Router verwenden, darf man davon ausgehen, dass die Amerikaner längst «Man in the Middle» sind. Das ist übrigens auch der Grund, weshalb ich gerade einen «Man in the Middle»-Angriff verwendet habe. Die NSA benennt übrigens neben E-Voting noch E-Commerce sowie «on-net industrial and utility control», also die Steuerung von Industrie und Versorgung, als ihre Angriffsziele. Dasselbe darf man des Weiteren auch von den Chinesen erwarten, die Schweizer Provider beliefern. Wir gehen davon aus, dass ausnahmslos alle E-Voting-Systeme in der Schweiz von vornherein unterwandert sind.