Veröffentlichung auf Gitlab

Update: Post äussert sich zu Quellcode-Leak

Uhr

Vergangene Woche ist der Quellcode für die E-Voting-Lösung der Post auf Gitlab aufgetaucht. Diverse Experten haben ihn unterdessen untersucht - und der Post schlechte Noten in Punkto Sicherheit und Transparenz ausgestellt.

(Source: VRD / Fotolia.com)
(Source: VRD / Fotolia.com)

Update vom 19.02.2018:

Die Post hat als Reaktion auf die Kommentare im Netz ein Statement veröffentlicht. In dem Statement schliesst sie aus, dass der Quellcode der E-Voting-Lösung geleakt worden ist. Die Post habe den Code bereits am 7. Februar offengelegt und jeder könne ihn seither "herunterladen, analysieren und wissenschaftlich damit arbeiten." Wenn der Quellcode sonst irgendwo heruntergeladen worden sei, könne die Post nicht garantieren, dass er nicht manipuliert worden sei. Auch dürfen Studien über den Quellcode publiziert und dazu aus dem Code zitiert werden. Untersagt ist hingegen die Weitergabe des Quellcodes an Dritte, die die Nutzungsbedingungen nicht akzeptiert haben, wie es in dem Statement heisst.

Keine Geheimhaltungspflicht, aber eine "responsible disclosure"

Ausserdem gebe es keine Geheimhaltungspflicht, sondern die Verpflichtung einer verantwortungsvollen Offenlegung der Schwachstellen (responsible disclosure). Das heisst, wenn jemand Schwachstellen im Code entdeckt, muss er zuerst die Post darüber informieren und eine Wartefrist abwarten, bevor er die Schwachstelle veröffentlichen kann. "Dies ist üblich in der IT-Szene", schreibt das Unternehmen im Statement. Bis zum 18. Februar seien bereits gegen 30 Hinweise eingereicht worden.

Matthew Greens Schwachstelle ist keine

Abschliessend kommentiert die Post die öffentlichen Aussagen von Matthew Green, der nach eigenen Angaben Schwachstellen im Quellcode gefunden habe. Dieselben Beobachtungen seien bereits zuvor gemacht worden, worauf die Ergebnisse der Post auf üblichem Weg zugeschickt worden seien. Nach der Analyse sei das Unternehmen zum Schluss gekommen, dass es sich dabei nicht um eine Schwachstelle handle. Die Begründung können Sie hier im originalen Statement der Post nachlesen.

Intrusionstests werden wie geplant durchgeführt

Auf Anfrage hat die Post bestätigt, dass die Intrusionstests wie geplant durchgeführt werden. Der Quellcode sei unabhängig vom Test veröffentlicht worden, aber bewusst mit einem zeitlichen Abstand dazu. Das Vorgehen enspreche den Anforderungen von Bund und Kantonen und soll dazu dienen, dass sich Spezialisten auf den Intrusionstest vorbereiten können. Auch nach dem Test werde der Code öffentlich bleiben.

Originalmeldung vom 18.02.2019:

Unbekannte haben den Quellcode des E-Voting-Systems der Post vergangene Woche geleakt. Wie aus einem Mail der Hackervereinigung Chaos-Computer-Club (CCC) hervorgeht, ist der Code auf der Website "Gitlab" unter einem Account mit dem Namen "fickdiepost" veröffentlicht worden und ist hier zugänglich.

Nicht alle sind überzeugt, dass es sich tatsächlich um einen Leak des Codes handelt:

Zwischenzeitlich ist der Code von verschiedenen Leuten untersucht worden – und die Rückmeldungen zur Sicherheit lauten folgendermassen:

Ausserdem wurden Hinweise entdeckt, dass die Transparenz der Post-Lösung problematisch sei. Ein User auf Twitter wittert einen möglichen Verstoss gegen die Verordnung der Bundeskanzlei:

Für die Gegner des E-Votings (Lesen Sie hier mehr zum E-Voting-Moratorium) sind die Bedenken bezüglich des Codes eine Bestätigung ihres Kurses:

Webcode
DPF8_126477