DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Eine aus rechtsbürgerlichen Kreisen lancierte Online-Petition sorgt bei Lockdown-Gegnern für Furore. Allerdings werfen technische Schwachstellen Fragen auf bezüglich Aussagekraft. screenshot: watson

Analyse

Informatikstudent «hackt» lockdown-stop.ch und zeigt, wie einfach gefälschte Einträge sind

Die Online-Petition gegen den Lockdown hat bereits mehr als 170'000 Unterzeichnende. Recherchen von watson zeigen, dass diese Zahl mit Vorsicht zu geniessen ist. Das Generalsekretariat der SVP Schweiz beschwichtigt.



Die Online-Petition lockdown-stop.ch sorgt wegen der relativ hohen Zahl von Unterzeichnenden für Schlagzeilen. Dass innert drei Wochen über 100'000 Personen Unterstützung signalisierten, stiess aber auch auf Misstrauen.

Recherchen von watson zeigen nun: Die von rechtsbürgerlicher Seite lancierte Online-Petition konnte einfach manipuliert werden, um die Zahl der Unterzeichnenden in die Höhe zu treiben.

Das Generalsekretariat der SVP Schweiz versuchte am Mittwoch, den Manipulationsverdacht zu entkräften und erklärte auf Anfrage, es komme «ein intelligentes System» zum Einsatz, das Mehrfach- und Fake-Eintragungen erkennen und korrigieren könne. Allerdings ist die Beteiligung der grössten Schweizer Partei offiziell erst seit kurzem bekannt, was wiederum neue Fragen aufwarf …

Was ist passiert?

Eine Person, die anonym bleiben will, hat sich unter dem Pseudonym Hans Muster an watson gewandt. Sie kritisierte, dass die Zahl der Unterzeichnenden wegen der einfachen Manipulierbarkeit nicht glaubwürdig sei und lieferte auch gleich einen technischen Beweis in Form eines Proof of Concept (siehe unten). Der Hinweisgeber schreibt:

«Mir geht es nicht um ein politisches Statement. Es stört mich jedoch, wenn bei etwas, das zur politischen Meinungsbildung beitragen will, so lasch mit der Sicherheit der dafür verwendeten Werkzeuge umgegangen wird. Für jeden mit etwas Kenntnissen zu Webtechnologien ist es möglich, innerhalb weniger Minuten etwas Ähnliches zu basteln und so die Petition zu manipulieren.»

Hans Muster

Das Web-Formular, mit dem die Petition «unterzeichnet» werde, verwende «nicht einmal die simpelsten Sicherheitsvorkehrungen», kritisierte der Hacker. Zum Beispiel würden Massenanfragen von der selben Internet-Adresse (IP) nicht geblockt und das automatisierte Unterzeichnen durch Bots werde nicht verhindert (z.B. durch Einsatz eines Captcha).

Bild

Wie viele echte Menschen haben die Online-Petition tatsächlich unterzeichnet? Die Zahl könnte tiefer sein als die angegebenen gut 170'000 (Stand: Mittwoch, 12 Uhr). screenshot: lockdown-stop.ch

Der Online-Petitions-Hacker bezeichnet sich selbst als Informatikstudent einer Fachhochschule. Er schreibt:

«Um das Konzept des ‹Hacks› zu testen, habe ich einige wenige Anfragen an den Server der Petition geschickt. Ich habe nur einmalig das Skript mit 100 parallelen Ausführungen laufen lassen, um den sprunghaften Anstieg im Counter zu sehen. Im Ganzen sollten so weniger als 200 falsche Unterschriften gezählt worden sein. Ich habe immer die selben Angaben verwendet. Die Betreiber der Petition sollten die falschen Unterschriften so ohne Probleme löschen können.»

So funktioniert der Webseiten-Hack

Der anonyme Informant hat watson den «Proof of Concept» zukommen lassen, um nachzuprüfen, wie die Online-Petition sehr einfach manipuliert werden könne.

Bild

Die Rohdaten, die an die Webseite geschickt werden. screenshot: watson

So machte der Hacker hunderte falsche Einträge:

Bild

screenshot: watson

Der sprunghafte Anstieg des Zählers auf der Petitions-Webseite lasse darauf schliessen, dass sein Skript tatsächlich funktioniere, hält der Hacker in einer E-Mail fest. watson hat die Funktionalität des Mini-Programms überprüft.

Bild

Wenige Zeilen – und schon steigen die «Unterschriften-Zahlen» bei der Petition an. screenshot, verpixelung von watson

Anzufügen ist, dass sich Dritte mit echt klingenden, aber dennoch falschen «Schweizer Personendaten» registrieren können. Im Internet finden sich ganze Listen mit erfundenen, «schweizerisch» klingenden Namen wie David Mahler aus Tinizong GR oder Monika Ackermann aus Hagenbuch ZH.

Was sagen die Verantwortlichen?

watson hat den Initianten Leroy Bächtold, der am Dienstag gegenüber watson Auskunft gab, um eine Stellungnahme gebeten. Der Zürcher Jungfreisinnige bestätigte, dass der Proof of Concept «registriert» worden sei. Und er verwies auf die Stellungnahme der SVP Schweiz, denn die tritt seit kurzem als Mitinitiantin in Erscheinung (siehe unten).

Was Beobachtern am gestrigen Dienstag aufgefallen war: Unter lockdown-stop.ch war plötzlich ein neuer, professionell gestalteter Webauftritt zu finden. Nun erfuhren die Besucherinnen und Besucher, dass die (am 16. Januar gestartete) Petition gemeinsam von der SVP Schweiz und von «Schwiiz Brandaktuell» lanciert worden sei, einer bis dato unbekannten News-Plattform von bürgerlichen Jungpolitikern.

So sah die Petitions-Website vor der (offiziellen) SVP-Beteiligung aus:

Screenshot: lockdown-stop.ch (19. Januar 2020)

Diese Website wurde von Leroy Bächtold konzipiert. screenshot: /web.archive.org

Und so seit dem 9. Februar:

Screenshot: lockdown-stop.ch, 10. Februar 2021

Nun ist die SVP Schweiz mitverantwortlich. screenshot: lockdown-stop.ch

Am Mittwochmorgen lässt das Generalsekretariat der SVP Schweiz watson eine Stellungnahme zukommen. Andrea Sommer, zuständig für Kommunikation, schreibt:

«Für die Website sind inhaltlich und technisch die Träger der Petition verantwortlich. Dies sind ‹Schwiiz Brandaktuell› und die SVP Schweiz. Dies war jederzeit auf der Homepage ersichtlich und ist nun zusätzlich auch explizit im Impressum / in der Datenschutzerklärung aufgeführt.»

Zur Erkennung von Manipulationen sei «ein intelligentes System» im Einsatz, sagt die SVP-Sprecherin.

«Mit einem Algorithmus werden Duplikate/Mehrfacheintragungen und Manipulationen erkannt und korrigiert. Diese Korrekturen werden mehrmals täglich vorgenommen, konkret heisst dies, es werden Einträge gelöscht und der Zähler wird angepasst. Aufgrund des grossen Ansturms auf die Homepage und der Tatsache, dass Manipulations-Muster erst mit einer gewissen Verzögerung erkannt werden können, geschieht die Korrektur zeitnah, aber nicht in Echtzeit.»

Seit Mittwochmorgen früh seien zudem beim Petitions-Formular Captchas im Einsatz, weil man vermehrt Manipulationen und den Einsatz von Bots festgestellt habe.

«Da ein Captcha für die Benutzer eine weitere Hürde darstellt, haben wir diese Massnahme erst bei konkretem Bedarf eingesetzt. Wir beobachten die Situation ständig und verbessern – wenn nötig – unser System zur Erkennung und Beseitigung von ‹Manipulationen› laufend. Da Name, Vorname, PLZ, Wohnort und E-Mail alles Pflichtfelder sind, gibt es genügend Indikatoren, um Manipulationen und Duplikate zu erkennen.»

Auf Nachfrage wollte das SVP-Generalsekretariat keine technischen Details zum «intelligenten System» preisgeben.

«Ähnlich wie alle Ermittler geben wir die genauen Methoden, mit denen wir Manipulationen aufspüren, nicht bekannt.»

Andrea Sommer, SVP-Generalsekretariat

Gestern Dienstag hatte Leroy Bächtold gewittert, dass die SVP Schweiz am Montag (8. Februar) beschlossen habe, die von den Jungpolitiken lancierte Petition zu unterstützen.

Bild

screenshot: twitter

Heisst das, die SVP hat (heimlich) wochenlang technische Unterstützung für die Online-Petitions-Website geleistet mit ihrem «intelligenten System» zur Manipulations-Erkennung, und die vielen Unterstützer wurden im Unklaren gelassen, bevor das SVP-Engagement kommuniziert wurde?

Oder ist das «intelligente System» erst seit kurzem in Betrieb und vorher waren während Wochen Manipulationen und Mehrfachstimmabgaben ungestört möglich?

watson hakt nach.

Die Antwort der SVP-Sprecherin:

«Die Kontrolle der Unterschriften war von Anfang an gewährleistet. Die Petition wurde von Schweiz Brandaktuell lanciert, wo auch SVP-Mitglieder vertreten sind. Die Mutterpartei SVP Schweiz unterstützt die Petition seit Anfang dieser Woche – auch bei der Kontrolle der Unterschriften.»

Leroy Bächtold präzisiert, dass die Sicherheitsvorkehrungen in den ersten paar Wochen – vor der Beteiligung der SVP Schweiz – «einfach aufgebaut» gewesen seien.

Die Initianten hätten ein paar Skripte verwendet, unter anderem für das automatische Aufspüren von Duplikaten und Eingaben von Bots. Hingegen sei der Zähler auf der Website «manuell hochgestellt» worden und dabei seien Falscheingaben aussortiert wurden. Er versichert, dass grössere Manipulationsversuche entdeckt worden wären.

Der Hacker, der den Ball ins Rollen gebracht hatte, meint abschliessend:

«Eine Beurteilung, ob das System zur Erkennung von gefälschten Unterschriften wirklich das hält, was die SVP verspricht, ist von aussen schwer bis gar nicht möglich. Es bleibt uns nichts anderes übrig, als der Aussage der SVP zu vertrauen.»

Hans Muster (Pseudonym)

Auch wenn nun durch die Verwendung von Googles Recaptcha Service eine einfache Manipulation nicht mehr allzu leicht möglich sei, hinterlasse es trotzdem einen schalen Nachgeschmack, dass dies überhaupt möglich war.

Ob die Namen der bisherigen Unterzeichnenden wirklich alle legitim sind, würde sich aber sowieso erst im Rahmen einer Überprüfung durch die Bundeskanzlei zeigen.

PS: Die Sache mit den Spenden-Geldern

Fragen hatte es auch noch bezüglich des Spenden-Aufrufs gegeben, der auf lockdown-stop.ch angezeigt wurde. Via Twitter kritisierte am Dienstag ein User, dass die über die Website gesammelten Spenden direkt an die SVP gingen.

Bild

Spenden werden ans SVP-Konto überwiesen. screenshot

Am Mittwochmorgen besserten die Website-Betreiber nach und ergänzten das Spenden-Formular mit der Angabe, dass die Spenden «administrativ» von der SVP Schweiz verwaltet würden. Jede Spende werde «jedoch zu 100% dieser Petition zugewiesen und zweckgebunden dafür eingesetzt».

Initiant Leroy Bächtold, der die ursprüngliche Website konzipiert hatte, erklärt, dass dies einen praktischen Grund habe. Als Verein sei es ihnen nicht möglich gewesen, den Schweizer Mobile-Bezahldienst Twint in die Seite einzubinden.

Aber auch auf der professionell gestalteten neuen Website gibts noch weitere «Baustellen». So fehlt ein korrektes Impressum. In der Datenschutzerklärung wurde ein Absatz «Impressum» hinzugefügt, doch hapert es bei der Verlinkung.

Quellen

Die Vorgeschichte

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

Corona-Masken-Hacks im Test

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel