Sie erinnert ein wenig an die Krimiheldin Lisbeth Salander aus der «Millennium-Trilogie» des schwedischen Autors Stieg Larsson: Sarah Jamie Lewis (30), Datenschutz-Aktivistin und -Forscherin aus dem kanadischen Vancouver. Im Namen der Sicherheit hackt sich die junge Frau in Computersysteme. Auf Twitter beschreibt sie sich selbst als «queere Anarchistin» und «vegane Lesbe».
Lewis hat früher für den Internetriesen Amazon und den britischen Nachrichtendienst gearbeitet. Heute interessiert sich die in der Branche gleichermassen bekannte wie anerkannte Krypto-Forscherin unter anderem für den Schutz der Privatsphäre von Angehörigen sexueller Minderheiten und die Sicherheit von Sexspielzeug. So liess sie schon Unbekannte via Darknet ihren Vibrator steuern, um auf das Problem von Sicherheitslücken bei smarten Sextoys aufmerksam zu machen.
Sie nahm die Post ins Visier
Ebenfalls nicht jugendfrei – zumindest in den Kantonen, in denen Wählen und Abstimmen erst ab 18 Jahren erlaubt ist – ist ein anderes Fachgebiet der Kanadierin: E-Voting. Zusammen mit zwei Forscherkollegen aus Belgien und Australien nahm Lewis in den vergangenen Wochen das System der elektronischen Stimmabgabe der Schweizerischen Post unter die Lupe. Anlass war der öffentliche Hackertest, den der Staatsbetrieb im Auftrag des Bundes durchführte. Einen Monat hatten Sicherheitsspezialisten Zeit, das System auf Sicherheitsmängel hin zu durchleuchten.
Was Lewis und ihre Kollegen in den 270'000 Zeilen Quellcode fanden, ist gravierend. In einem ersten Bericht zeigten sie auf, dass Hacker abgegebene Stimmen manipulieren könnten, ohne dass es nachweisbar wäre. Die Post musste einräumen, dass sie um diese Sicherheitslücke eigentlich schon lange wusste – der Technologiepartner, ein spanisches Unternehmen, aber offenbar geschlampt hatte. Diese Woche machten Lewis und ihr Team dann eine weitere, laut ihren eigenen Angaben kritische Sicherheitslücke publik. Die Post teilte mit, man kläre den Sachverhalt ab.
Vernichtende Kritik am E-Voting-System
Während sich ihre Kollegen darauf beschränken, ihre Kritik am Post-System in Form von wissenschaftlichen Untersuchungsberichten darzulegen, sucht Lewis die Öffentlichkeit. Auf Twitter teilt die Kanadierin ihre Erkenntnisse – und schiesst scharf gegen den gelben Riesen.
Art und Anzahl der Schwachstellen seien inakzeptabel, so ihr vernichtendes Urteil. «Dieser Code entspricht schlichtweg nicht dem Standard, den eine kritische öffentliche Infrastruktur erfüllen sollte», schreibt Lewis. Die Post äussert sich auf Nachfrage nicht zu den konkreten Kritikpunkten. Man werde zu einem späteren Zeitpunkt zum Abschluss des öffentlichen Hackertests informieren.
Datenschutz ist ihre Mission
Doch warum interessiert sich eine kanadische Datenschutz-Spezialistin überhaupt für die Schweiz und ihr Wahlsystem? Auf Nachfrage von BLICK sagt Lewis: «Was in der Schweiz passiert, passiert auch anderswo. Wir bekommen selten die Möglichkeit, einen Blick in solche Systeme zu erhaschen.» Es sei wichtig, dass man die Gelegenheit ergreife, «bevor mehr Demokratien durch unsichere, nicht öffentliche Software gefährdet werden».
Datenschutz ist für Lewis nicht nur ein Forschungsgebiet, sondern auch eine Mission. «Ich glaube daran, dass wir alle ein Recht haben, frei von Zensur und Überwachung zu leben, und dass der einzige Weg dahin ist, in Sicherheit und Privatsphäre zu investieren», sagt Lewis.
Für Schweizer E-Voting-Gegner ist die unkonventionelle Krypto-Expertin ein Geschenk des Himmels – oder besser des Internets. Hernani Marques vom Chaos Computer Club Schweiz stand mit der Kanadierin bereits in Kontakt. Er sagt: «Dass sie das System ehrenamtlich unter die Lupe nimmt, ist ein riesiges Glück für die Schweiz.» Ihre Analysen seien glasklar. Nun müssten Konsequenzen gezogen werden.
