Eigentlich sollte der Quellcode des Post-E-Voting-Systems vertraulich behandelt werden. Doch nun hat ein Konto mit dem derben Namen «fickdiepost» auf der Plattform Gitlab den Quellcode geteilt. Noch bevor ein Hacker-Test überhaupt starten konnte.
Die Einladung zum Hacken des Systems ging um die Welt. So berichtete etwa die «Washington Post» über den Wettbewerb. Bis zu 50'000 Franken können Tester einsacken, wenn sie erfolgreich eine der Lücken im Code finden. Ziel ist es, das System sicherer zu machen.
Maulkorb für Teilnehmer
Am 25. Februar dann startet der sogenannte Intrusionstest. Einen Monat haben die Hacker Zeit, um das E-Voting auf Herz und Nieren zu prüfen. Wer mitmachen will, muss sich registrieren und die Nutzungsbedingungen akzeptieren. Dann gibts Zugang zum Quellcode.
Die Nutzungsbedingungen schreiben laut Post vor, dass entdeckte Schwachstellen zunächst dem Unternehmen gemeldet werden müssen. Erst später dürfen Schwachstellen öffentlich gemacht werden und auch nur die «relevanten Teile des Quellcodes zitiert werden». Verboten ist dagegen, den Quellcode weiterzugeben oder zu publizieren. Viele Hacker empfinden dies als Maulkorb. Laut Post handele es sich aber um Spielregeln. «Der legale Zugang zum offengelegten Quellcode der Post erfolgt über die offizielle Webseite (www.post.ch/evoting-sourcecode)», so eine Sprecherin.
Viel Kritik am Code
Jetzt machen diese Nutzungsbedingungen keinen Sinn mehr. Der Quellcode ist schon öffentlich und ohne das Akzeptieren der Vorschriften zugänglich. Ob einer der registrierten und damit «offiziellen» Hacker dafür verantwortlich ist oder ein Dritt-Hacker ist unbekannt.
Ganz glücklich scheint die Post nicht mit der jüngsten Entwicklung. So behält sie sich vor, bei Missbräuchen juristische Schritte zu unternehmen. Jetzt sei man daran im Detail zu prüfen, «ob und gegebenenfalls welche Personen gegen die Nutzungsbedingungen des Quellcodes verstossen haben.»
Klar ist, dass Spezialisten laut Twitter-Beiträgen wenig vom geleakten Quellcode halten. Sarah Jamie Lewis schreibt, dass die Konfiguration/Parameter überhaupt nicht sinnvoll oder sicher seien. Bei ihr läuten die Alarmglocken. Auch von Matthew Green, der an der US-Universität Johns Hopkins lehrt, gibts nichts als Kritik.
E-Voting ist in der Schweiz umstritten. Aufgegeben hat der Kanton Genf. Dort hatten Hacker des Chaos Computer Clubs gezeigt, dass der Datenverkehr von Abstimmenden auf falsche Server umgeleitet werden kann. Nach dem Genfer Aus ist das Post-System als einziges übrig geblieben.
Gar ein Fünf-Jahres-Moratorium gegen E-Voting fordert ein überparteiliches Komitee. Dafür hat dieses die Lancierung einer Volksinitiative angekündigt. E-Voting sei unsicher und eine Gefahr für die Demokratie.