Die Post lässt Bug-Jägerinnen und -Jäger erstmals ihre E-Voting-Infrastruktur testen. Dabei sollen die Hackerinnen und Hacker erstmals auf genau dieselbe Infrastruktur treffen, die auch beim tatsächlichen Einsatz des Systems in den Kantonen verfügbar sein wird, wie die Post mitteilt.
Der Konzern stellt für den öffentlichen Intrusionstest Musterstimmrechtsausweise zur Verfügung. Damit können Hackerinnen und Hacker auf dem Abstimmungsportal den Prozess der Stimmabgabe 1:1 durchspielen und das System gezielt angreifen.
Sicherheitsvorkehrungen der Post mit guten Noten
Schon seit Anfang 2021 prüfen internationale unabhängige Experten die neuste von der Schweizerischen Post entwickelte Version eines E-Voting-Systems. Das nun gestartete Bug-Bounty-Programm sei eine Ergänzung dazu, schreibt die Post in ihrer Mitteilung.
Neu sei, dass dadurch Hacker erstmals auch das System auf genau derselben Infrastruktur abklopfen können, die auch beim tatsächlichen Einsatz des Systems in den Kantonen benützt sein soll. Ziel sei es, durch diesen Test möglichst viele mögliche Schwachstellen aufzudecken und zu beheben und gleichzeitig auch die E-Voting-Infrastruktur zu verbessern.
Ein Mitgrund für den zusätzlichen Security-Check dürften auch die Meinungen von internationalen Experten gewesen sein, welche der Bund im April dieses Jahres veröffentlicht hat. Diese Experten hatten den vorhandenen Sicherheitsvorkehrungen zwar im Allgemeinen gute Noten gegeben, aber auch immer noch einige problematische Punkte bemängelt.
E-Voting-System ist ein Prestige-Projekt für die Post
Das E-Voting-System auf Herz und Nieren abzuklopfen und rundum sicher zu machen, wird für die Post immer dringender. Schliesslich soll es schon im kommenden Jahr von den ersten Kantonen real eingesetzt werden.
Sollten beim produktiven Einsatz oder auch im Vorfeld des Einsatzes wieder gravierende Sicherheitsprobleme festgestellt werden, dürfte dies die Einführung von E-Voting in der Schweiz wieder um Jahre zurückwerfen.
Für die Post würde dies auch einen erheblichen Prestigeverlust bedeuten, da sie schon seit mehreren Jahren versucht, endlich ein einsatzbereites E-Voting-System zu entwickeln.
Der Intrusionstest findet während vier Wochen, vom 8. August bis 2. September 2022, statt. Bestätigte Schwachstellen im Rahmen des Intrusionstests belohnt die Post mit bis zu 30'000 Franken.
(wil)