Vom 17. Juni bis zum 3. Juli hat die Schweizerische Post erneut einen Public Intrustion Test (PIT) durchgeführt. Laut einer Mitteilung haben sich fast 7000 Computerspezialistinnen und -spezialisten aus der ganzen Welt daran beteiligt und versucht, das E-Voting-System der Post zu knacken. Genauer gesagt, hat die die Post Angriffsversuche von 6923 IP-Adressen verzeichnet. Davon wiesen Mitteilung 146 Teilnehmende eine hohe Aktivität aus, mit mehr als 50 Zugriffen auf den E-Voting-Server während der Dauer des Testes.
Für den PIT stehe eine exakte Kopie der produktiven Umgebung des Systems zur Verfügung. Die Teilnehmenden hätten rund 29'000 Mal auf das System zugegriffen, wovon knapp 10'000 als Angriffsversuche zu werten seien, so die Post.
Ein bestätigter Befund
Im Rahmen des PITs sind laut der Mitteilung vier Meldungen eingegangen. Davon hat die Post demnach einen Befund bestätigt und mit dem Schweregrad "tief" bewertet. Der Befund habe keine sicherheitsrelevanten Aspekte betroffen, schreibt der E-Voting-Anbieter. Er würde eine Verbesserung in der Kommunikation zwischen den Servern aufzeigen, womit zeitgleiche Abfragen verunmöglicht werden. Man habe die Verbesserung im Voting-Server umgesetzt, so die Post.
Die Meldung ist mit 1500 Franken von der Post belohnt worden. Weil diese Person zudem den ersten bestätigten Befund gemeldet hat, erhielt sie zusätzlich einen Bonus von 3000 Franken.
Beteiligte aus der ganzen Welt
Im Verlaufe des PITs stellte die Post Zugriffe aus 62 Ländern fest, geht aus der Mitteilung hervor. Die meisten Angriffsversuche erfolgten aus den USA (19%), gefolgt von der Schweiz und Frankreich (je 12%).
Zur Ankündigung des PITs hiess es, dass die öffentliche Überprüfung des E-Voting-Systems zentral bleibe. Wenn das System stetig überprüft werde, könne man potenzielle Sicherheitslücken frühzeitig schliessen. Je eingehender ein IT-System geprüft werde, desto weniger Schwachstellen weise es also auf, was aber gleichzeitig die Suche nach Schwachstellen anspruchsvoller macht. Deshalb hat der Anbieter beim aktuellen Test
die Belohnungen erhöht. Für kritische Schwachstellen zahlt die Post bis zu 50'000 Franken. Gelingt es einer Person, den elektronischen Urnengang unbemerkt zu manipulieren, erhält sie bis zu 250'000 Franken.
Update (15.20 Uhr): Zur Präzisierung wurden weitere Zahlen am Ende des ersten Absatzes ergänzt.