Es war eine gross angelegte digitale PR-Aktion. Das eVoting-System der Post – entwickelt von der spanischen Firma Scytl – war verschiedentlich in die Kritik geraten. Jetzt wollte man mit einem sogenannten «öffentlichen Intrusionstest» das Vertrauen der Bevölkerung zurückholen. Die Idee: Hackerinnen und Hacker auf der ganzen Welt sollten sich am System die Zähne ausbeissen und allenfalls ein paar kleinere Fehler entdecken. Als Belohnung winkten Summen bis zu 50 000 Franken. Am Ende wäre alles in Ordnung und die Post könnte weitermachen.

Es kam anders. Denn Sarah Jamie Lewis, Leiterin der kanadischen Organisation «Open Privacy», nahm den Code gründlich unter die Lupe und entdeckte zwei fundamentale Schwachstellen. Und ihr Verdikt ist vernichtend. «Es handelt sich um ein vollkommenes systemisches Versagen im Entwicklungs- und Prüfungsverfahren», schrieb sie auf Twitter. Dort hält sie die Schweizer Öffentlichkeit auf dem Laufenden. Auf den Preis muss sie deshalb verzichten, denn die Post verlangte, Hinweise auf Schwachstellen und Fehler direkt und nur an sie zu melden. Sie würde dann über die weitere Kommunikation entscheiden würde.

Ohnehin lässt sich die Sicherheitsexpertin nicht für die PR-Zwecke der Post einspannen. Die Belohnung war ihr egal, denn es geht ihr um das Vertrauen in den demokratischen Abstimmungsprozess, der mit eVoting leichtfertig aufs Spiel gesetzt wird. «Ich hoffe immer noch, dass sie das Richtige tun und das ganze System aus dem Fenster werfen und von vorne anfangen werden, nachdem eine umfassende öffentliche Untersuchung darüber stattgefunden hat, wie ihr «hochmodernes» eVoting-System zu so vielen kritischen Implementierungsfehlern geführt hat», geht sie mit der Post ins Gericht.
Nachdem sie Ende März eine zweite gravierende Lücke entdeckt hatte, war es dann auch der Bundeskanzlei zu viel. Sie entzog dem System der Post die Zulassung für die kommenden Wahlgänge. Das gibt der Bevölkerung Zeit, sich nüchtern mit der Thematik zu befassen. Chapeau, Sarah Jamie Lewis!

https://openprivacy.ca