«Ein Intrusionstest ist ein Test unter realen Bedingungen»

Vom 25. Februar bis 24. März 2019 wird das E-Voting-System der Post einem so genannten Intrusionstest unterzogen. Darüber spricht Marcel Zumbühl, Chief Information Security Officer der Post.

29.01.2019
Fotos: Lena Schläppi
Marcel Zumbühl, Leiter Informationssicherheit Konzern

Marcel Zumbühl, Leiter Informationssicherheit Konzern

Der Bund und die Kantone möchten E-Voting, also das Abstimmen per Computer oder Smartphone, als dritten Abstimmungskanal neben dem Urnengang und der brieflichen Stimmabgabe einführen. E-Voting soll doppelt freiwillig sein. Das heisst, die Kantone entscheiden, ob sie E-Voting einführen und jeder Bürger und jede Bürgerin entscheidet, ob er oder sie den Kanal nutzen will. Damit eine neue vollständig verifizierbare Version des E-Voting-Systems der Post zugelassen werden kann, schreiben Bund und Kantone einen sogenannten öffentlichen Intrusionstest vor. Die Post entspricht dieser Anforderung und setzt ihr E-Voting System vom 25. Februar bis am 24. März 2019 einem solchen Hackertest aus. Marcel Zumbühl, Leiter Informationssicherheit, zur Sicherheit von IT-Systemen und zum Nutzen öffentlicher Hackertests.

Marcel Zumbühl, Sie sind seit August 2018 als Chief Information Security Officer (CISO) im Konzern tätig und damit zuständig für die Informationssicherheit bei der Post. Was bedeutet das?

Ich bin dafür verantwortlich, dass wir bezüglich Informationssicherheit die Erwartungen unserer Kunden erfüllen. Unsere Kunden vertrauen der Post, dass ihre Daten bei uns sicher sind. Das bedeutet für uns, dass wir ihre Informationen und auch die unseres Unternehmens angemessen schützen. Wir verfolgen insbesondere das Ziel, dass unsere IT-Systeme dem neusten Entwicklungsstand entsprechen, die aktuellsten Sicherheitsanforderungen erfüllen und wir Angriffe früh entdecken und abwehren können. Dies ist nicht nur für die Post selbst, sondern auch für unsere Kunden wichtig. Denn unsere Kunden setzen ihr Vertrauen in uns, dass ihre Daten bei uns sicher sind.

Wie hält man IT-Systeme konkret auf dem neusten Entwicklungsstand?

Durch ein Zusammenspiel von Technik der neusten Generation, der Expertise unserer IT-Mitarbeitenden und indem man laufend überprüft, ob das System Angriffen standhält und ob wir diese rechtzeitig erkennen können. Ein Mittel dafür können öffentliche Intrusionstests sein, wie sie die Post an ihrem E-Voting-System durchführt.

Was ist das Ziel von öffentlichen Intrusionstests?

Unabhängige IT-Experten greifen ein System von aussen an, wie dies auch kriminelle Hacker tun würden. Sie setzen dabei die neuste Technik sowie ihre Raffinesse ein. Ein Intrusionstest ist also ein Test unter realen Bedingungen. Es ist das Ziel, die letzten möglichen Schwachstellen in Systemen und Prozessen zu entdecken und zu beheben, bevor ein System in den Echtbetrieb übergeht. Werden solche Szenarien entdeckt, kann man entsprechende Sicherheitsmassnahmen entwickeln und in das System einbauen.

Geht man auch Risiken ein, wenn man einen öffentlichen Intrusionstest durchführt?

Es besteht generell die Möglichkeit, dass sich Teilnehmer nicht an die Spielregeln halten. Dass sie zum Beispiel Systeme angreifen, die nicht Teil des Intrusionstests sind. Oder dass sie Befunde veröffentlichen, die der Systemanbieter noch nicht überprüfen konnte. Dadurch setzt man sich bewusst einer öffentlichen Debatte aus.

Intrusionstests werden in der Schweiz noch kaum durchgeführt. Weshalb?

Unter anderem genau wegen diesen Risiken. Es braucht Mut, sein System bewusst Angriffen und einer öffentlichen Debatte auszusetzen. Zudem muss das System dem neusten Entwicklungsstand entsprechen. Wäre dies nicht der Fall, würden Szenarien aufgedeckt, die schon bekannt sind und deshalb keine neuen Erkenntnisse liefern. Nicht zuletzt braucht es für die Durchführung erfahrene und geübte Mitarbeitende und finanzielle Mittel.

Was sagen Sie zur aktuellen Debatte über E-Voting?

Ich kann gut verstehen, dass neue Technologien Unsicherheiten auslösen und finde es wichtig und richtig, darüber öffentlich zu diskutieren. Es ist auch verständlich, dass eine Diskussion nicht nur rein faktenbasiert verläuft. Auch das gehört zur Meinungsbildung. Und letztlich darf man nicht vergessen, dass in der Geschichte fast jede technische Neuerung öffentlich debattiert wurde, auch Dinge, die heute selbstverständlich sind, zum Beispiel die Eisenbahn.

Wie unterscheidet sich das E-Voting-System aus Sicht Informationssicherheit von anderen Informationssystemen?

Wenn es darum geht, die Sicherheitsanforderungen an ein IT-System zu definieren, steht immer die Frage im Zentrum, wie sensibel oder wertvoll die verarbeiteten Informationen sind. Da E-Voting höchst sensible Daten betrifft, gelten die höchsten Sicherheitsanforderungen. Bei E-Voting kommt zudem die Anforderung dazu, das Stimmgeheimnis zu wahren. Die Post muss die Stimmen transportieren, ohne sie zu kennen, wie beim Brief. Zudem müssen Stimmbürger und Behörden das System vollständig auf Manipulationen hin überprüfen können. Das alles ist mit neusten kryptographischen Methoden machbar.

post.ch/evoting-videos

Sicherheitsmechanismen des E-Voting-Systems

Die zentralen Sicherheitsmassnahmen des E-Voting-Systems sind die individuelle und die universelle Verifizierbarkeit. Dies bedeutet, dass sowohl jeder Stimmbürger (individuelle Verifizierbarkeit) wie auch die Wahlbehörden (universelle Verifizierbarkeit) zweifelsfrei Manipulationen bemerken können.

Bei der individuellen Verifizierbarkeit erhalten die Wähler zusammen mit den Stimmunterlagen Prüfcodes auf Papier. Diese müssen sie mit auf dem Bildschirm angezeigten Codes vergleichen. Wenn sie nicht übereinstimmen, ist dies ein Zeichen, dass beim Abstimmen Unregelmässigkeiten auftraten. Die Wähler können dann den Prozess abbrechen und stattdessen brieflich oder an der Urne abstimmen.

Bei der universellen Verifizierbarkeit können die Wahlbehörden beim Auszählen der Stimmen überprüfen, ob Stimmen in der elektronischen Urne manipuliert wurden. Die universelle Verifizierbarkeit kann mit der Nachzählung von physischen Stimmzetteln verglichen werden.