2500 Hacker treten gegen die Post an

Ab Montag steht das E-Voting-System der Post unter Angriff: Wie es ein Profi knacken will und was dem Leiter des Programms Sorgen bereitet.

«Gibt es eine schönere Aufgabe?» Denis Morel von der Post (links) verteidigt den Tresor. Profi-Hacker Sophus Siegenthaler will ihn knacken. Fotos: Adrian Moser

«Gibt es eine schönere Aufgabe?» Denis Morel von der Post (links) verteidigt den Tresor. Profi-Hacker Sophus Siegenthaler will ihn knacken. Fotos: Adrian Moser

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Radack-radack-radack. Der 9.04-Uhr-Intercity nach Lausanne rattert durch das Berner Holligen-Quartier. Sophus Siegenthaler, Backenbart, Totenkopf-T-Shirt, schliesst das Fenster und ­blinzelt in die Morgensonne. Zwischen ­Abflussrohren, Stahlträgern und altersschwachen Aktenschränken steht ein aufgeklappter Laptop. Es ist das einzige Objekt, das den Raum als Büro erkennbar macht. «Sind erst grad eingezogen», sagt Siegenthaler. Dann nimmt er einen Schluck Red Bull. «Muss sein», sagt er. «So früh!»

Sophus Siegenthaler, Anfang dreissig, aufgewachsen in der Region Bern, ist professioneller Hacker. Seit sechs Jahren gehört er einem Kollektiv an, das für private Auftraggeber arbeitet, von KMU bis Grosskonzern. Das Geschäftsmodell beschreibt er so: «Sie bezahlen uns, damit wir ihre IT-Systeme angreifen und Sicherheitslücken finden, bevor es die Bösen tun.»

In diesen Tagen bereitet sich Siegen­thaler auf seine nächste Attacke vor. Es ist die vielleicht anspruchsvollste seines Hackerlebens. Ab Montag unterzieht die Post ihr E-Voting-System einem öffentlichen Intrusionstest. Das heisst: Vier Wochen lang steht das System im Netz. Wer es knackt, erhält ein Preisgeld von bis zu 50'000 Franken.

«Wenn wir am Montag losschiessen, ist praktisch das ganze Internet an unserer Seite.»Sophus Siegenthaler, Hacker

Der Test ist eine Bedingung von Bund und Kantonen. Erst wenn er bestanden ist, kann das E-Voting-System der Post regulär eingeführt und allen Wählern zur Verfügung gestellt werden.

Das Interesse ist enorm: 2500 Hacker aus aller Welt haben sich schon angemeldet, Siegenthaler ist einer von ihnen. «Wenn wir am Montag losschiessen, ist praktisch das ganze Internet an unserer Seite», sagt er und leert die Dose.

Sieben Jahre Arbeit im Test

Am anderen Ende der Stadt Bern, am Hauptsitz der Post, sitzt Denis Morel in einem nüchtern eingerichteten Raum, neben ihm ein pflichtbewusster Pressesprecher, auf dem Tisch Mineralwasser. Hinter Morel gleiten Intercity-Züge geräuschlos in Richtung Zürich. «Ich schlafe gut, bin allenfalls ein wenig angespannt wegen Montag», sagt er. Doch es ist anders, als man denkt.

Denis Morel, Mitte vierzig, Mathematiker aus Freiburg, ist der Vater des E-Voting-Programms der Post. Seit sieben Jahren arbeiten er und sein Team daran. Die Post hat Millionenbeträge investiert. Und nun steht all dies auf dem Prüfstand. Niemand weiss, was genau passieren wird, wenn die globale Hacker-Elite das System angreift.

Die technische Ebene, sagt Morel, die beunruhige ihn nicht besonders. «Ich vertraue dem System. Wir haben schon viel getestet, auch mit externen Leuten. Wir wissen, was hier auf uns zukommen könnte.» Was er stattdessen befürchtet? Dass seine Organisation überwältigt wird von den Eingaben der 2500 Hacker. Ab Montagmittag wickelt bei der Post ein Spezialteam die eintreffenden Erkenntnisse der Angreifer ab – wenn möglich in Echtzeit.

«Wir haben nicht mit so vielen Anmeldungen gerechnet.»Denis Morel, E-Voting-Chef der Post

Die Fragen, die sich stellen, sind hochkomplex: Liegt wirklich eine Sicherheitslücke vor? Wie tief ist der Hacker ins System eingedrungen? Hätte das System Alarm geschlagen? Wie viel Preisgeld wird ausbezahlt? Alle Berichte werden in Spezialteams und auf ­Managerebene besprochen. Die Post will die Resultate rasch analysieren, einordnen und veröffentlichen. Das Problem: «Wir haben nicht mit so vielen Anmeldungen gerechnet», sagt Morel. «Das ist schweizweit einmalig. Da wird der ­Dialog mit den angemeldeten Hackern eine Herausforderung.»

Sophus Siegenthaler hat sich in den letzten Tagen schon einmal mit dem System befasst, das er angreifen wird. «Recon» nennt er das. Die Software ­besteht aus 420'000 Zeilen Code, inklusive Kommentaren. Das entspricht einem Buch mit rund zehntausend Seiten ­technischem Text. Wo fängt man da an? Wie will man darin die Schwachstelle finden?

Mit der Kraft des Schwarms

Siegenthaler hat schon die eine oder ­andere Idee. Aber eilig hat er es nicht. Erst vertieft er sich in den Code. Parallel kundschaftet er die Plattform aus, auf der das E-Voting-System läuft. «Es ist wie ein gigantisches Puzzle. Man muss versuchen, die Teilchen zu erkennen», sagt er. Was machen sie genau? Wie sind sie verbunden? Was ist das Herzstück? Wie gelangt man dorthin?

Kommt er allein nicht weiter, spricht Siegenthaler mit anderen in der Szene. In den nächsten vier Wochen soll auch eine Hackerparty steigen. «Swarmen», sagt Siegenthaler. Das heisst: Mehrere Hacker stürzen sich auf eine Stelle, ein Problem im Code. «Wenn man zusammen über das System spricht, ­versteht man es viel besser. Und gemeinsam hat man natürlich viel mehr Power.»

Siegenthaler und seine Freunde haben entschieden, einen Arbeitstag pro Woche für den Intrusionstest der Post zu sponsern. «Das Preisgeld ist schon nett und so, aber es steht für uns nicht im Zentrum.» Die Challenge zähle. Und dass das System möglichst ­sicher sei, wenn es denn eingeführt werde. Ob die Schweiz E-Voting überhaupt braucht? Siegenthaler lässt die Frage unbeantwortet. Wichtig ist für ihn der Test.

«In der Offence musst du nur mit einem Prozent deiner Angriffe durchkommen. Viel spannender!»Denis Morel, E-Voting-Chef der Post

In der Öffentlichkeit gab es zuletzt vermehrt Zweifel an der Sicherheit des elektronischen Abstimmens. Ein doppelter Stresstest für die Post: Die Hacker­angriffe im Netz und die Kritik in den Medien. Wie stark die beiden zusammenhängen, zeigte sich diese Woche. Zwei der 2500 registrierten Hacker ­haben den Quellcode des Systems entgegen den Spielregeln des Intrusionstests veröffentlicht. Copy/paste, ein Kinderspiel. Aber viele Medien berichteten darüber, als habe jemand den Tresor der Post gesprengt.

Die Zuspitzung beschäftigt auch ­Denis Morel. «Es gibt viele Hacker, die das System verbessern wollen. Und es gibt noch ein paar, die nur Emotionen schüren und sich profilieren wollen.»

Sophus Siegenthaler und Denis ­Morel kennen sich nicht. Aber es gibt einiges, was sie verbindet. Siegenthaler hat früher auch defensiv gearbeitet und Systeme gehärtet. «Irgendwann hatte ich ­genug», sagt er. «In der Defence musst du hundert Prozent der Angriffe abwehren. In der Offence musst du nur mit einem Prozent deiner Angriffe durchkommen. Viel spannender!»

Denis Morel lächelt. Jaja, die Hackerromantik. Tauschen mit Siegenthaler möchte er nicht. «Vielleicht hat es mit meinem Charakter zu tun. Ich bewache hier den Tresor, die Stimmurnen für die Kantone und das Volk. Gibt es eine schönere Aufgabe?»

Die nächsten Tage und Wochen werden es zeigen.

Erstellt: 23.02.2019, 07:30 Uhr

Initiative kommt, Interesse lahmt

10'000 Unterstützer wollte das Komitee gegen E-Voting bis Mitte Februar für ihre Volksinitiative gewinnen. Dieses Ziel haben die Initianten deutlich verfehlt. Der Zähler auf der Online-Plattform wecollect steht aktuell bei rund 5500 Unterstützern. Ist das E-Voting-Verbot ein Flop? Franz Grüter, SVP-Politiker und Chef des Komitees, widerspricht. Es brauche einfach noch viel Aufklärungsarbeit. Die Problematik der elektronischen Stimmabgabe habe sich in den letzten Wochen eher verschärft, einerseits mit der Kritik am Quellcode der Post, andererseits weil deren Technologiepartner Scytl negative Presse hatte. Das Komitee habe deshalb diese Woche entschieden, die Initiative sowieso zu lancieren, am 12. März. (lnz)

Artikel zum Thema

«Alle E-Voting-Systeme der Schweiz sind unterwandert»

Interview Zürcher Hacker haben eine gravierende Sicherheitslücke im digitalen Wahlkanal offengelegt. Beim Bund stossen sie damit auf taube Ohren. Mehr...

E-Voting macht die Demokratie besser

Gastbeitrag Die Jungen erwarten, dass sie ihre Bürgerrechte künftig elektronisch wahrnehmen können. Mehr...

Bundesrat will E-Voting trotz Skepsis zulassen

Hacker haben Sicherheitslücken aufgedeckt und sehen E-Voting als Risiko für die Demokratie. Trotzdem setzt die Regierung auf den dritten Stimmkanal. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Kommentare

Die Welt in Bildern

Bauernprotest: In den Niederlanden haben Tausende von Bauern mit Traktoren den Verkehr blockiert. Ihr Protest richtet sich gegen die Anschuldigung, dass sie für die Stickstoffbelastung verantwortlich sind. (16. Oktober 2019)
(Bild: Koen Van Weel/EPA) Mehr...