E-Voting: Post zieht Bilanz zum Public Intrusion Test

8. August 2024 um 12:07
  • security
  • Schweiz
  • Die Post
  • E-Voting
image
Foto: Unsplash+

Fast 7000 ethische Hacker haben sich am Intrusionstest der Post beteiligt. Daraus resultierte lediglich ein einziger bestätigter Befund.

Vom 17. Juni bis zum 3. Juli hat die Schweizerische Post erneut einen Public Intrustion Test (PIT) durchgeführt. Laut einer Mitteilung haben sich fast 7000 Computerspezialistinnen und -spezialisten aus der ganzen Welt daran beteiligt und versucht, das E-Voting-System der Post zu knacken. Genauer gesagt, hat die die Post Angriffsversuche von 6923 IP-Adressen verzeichnet. Davon wiesen Mitteilung 146 Teilnehmende eine hohe Aktivität aus, mit mehr als 50 Zugriffen auf den E-Voting-Server während der Dauer des Testes.
Für den PIT stehe eine exakte Kopie der produktiven Umgebung des Systems zur Verfügung. Die Teilnehmenden hätten rund 29'000 Mal auf das System zugegriffen, wovon knapp 10'000 als Angriffsversuche zu werten seien, so die Post.

Ein bestätigter Befund

Im Rahmen des PITs sind laut der Mitteilung vier Meldungen eingegangen. Davon hat die Post demnach einen Befund bestätigt und mit dem Schweregrad "tief" bewertet. Der Befund habe keine sicherheitsrelevanten Aspekte betroffen, schreibt der E-Voting-Anbieter. Er würde eine Verbesserung in der Kommunikation zwischen den Servern aufzeigen, womit zeitgleiche Abfragen verunmöglicht werden. Man habe die Verbesserung im Voting-Server umgesetzt, so die Post.
Die Meldung ist mit 1500 Franken von der Post belohnt worden. Weil diese Person zudem den ersten bestätigten Befund gemeldet hat, erhielt sie zusätzlich einen Bonus von 3000 Franken.

Beteiligte aus der ganzen Welt

Im Verlaufe des PITs stellte die Post Zugriffe aus 62 Ländern fest, geht aus der Mitteilung hervor. Die meisten Angriffsversuche erfolgten aus den USA (19%), gefolgt von der Schweiz und Frankreich (je 12%).
Zur Ankündigung des PITs hiess es, dass die öffentliche Überprüfung des E-Voting-Systems zentral bleibe. Wenn das System stetig überprüft werde, könne man potenzielle Sicherheitslücken frühzeitig schliessen. Je eingehender ein IT-System geprüft werde, desto weniger Schwachstellen weise es also auf, was aber gleichzeitig die Suche nach Schwachstellen anspruchsvoller macht. Deshalb hat der Anbieter beim aktuellen Test die Belohnungen erhöht. Für kritische Schwachstellen zahlt die Post bis zu 50'000 Franken. Gelingt es einer Person, den elektronischen Urnengang unbemerkt zu manipulieren, erhält sie bis zu 250'000 Franken.
Update (15.20 Uhr): Zur Präzisierung wurden weitere Zahlen am Ende des ersten Absatzes ergänzt.

Loading

Mehr zum Thema

image

Crowdstrike-Desaster, Ransomware-Angriffe und ein Datenleck im Sport

Ein fehlerhaftes Crowdstrike-Update, Cyberangriffe auf Schweizer IT-Firmen, ein Breach bei Datasport: Das sorgte im letzten Jahr für Aufmerksamkeit im Bereich Cybersecurity.

publiziert am 30.12.2024
image

Kistler Gruppe auf SAP S/4Hana migriert

Der Winterthurer Industriekonzern setzt seit Jahren auf das ERP des Weltmarktführers. Beim Wechsel auf die neue Version half das Beratungsunternehmen Wavestone.

publiziert am 20.12.2024
image

Vidymed leidet weiterhin unter Folgen des Cyberangriffs

Die Waadtländer Praxisgruppe wurde vor mehr als einer Woche attackiert. Krankenakten können immer noch nicht eingesehen werden.

publiziert am 20.12.2024
image

Medion: Es ist wohl doch ein Hack

Die Ransomware-Bande Black Basta droht mit der Veröffentlichung von Daten, darunter auch Daten aus der Schweiz. Medion spricht aber weiterhin nur von einer IT-Störung.

publiziert am 19.12.2024