E-Voting: Post zieht Bilanz zum Public Intrusion Test

8. August 2024 um 12:07
  • security
  • Schweiz
  • Die Post
  • E-Voting
image
Foto: Unsplash+

Fast 7000 ethische Hacker haben sich am Intrusionstest der Post beteiligt. Daraus resultierte lediglich ein einziger bestätigter Befund.

Vom 17. Juni bis zum 3. Juli hat die Schweizerische Post erneut einen Public Intrustion Test (PIT) durchgeführt. Laut einer Mitteilung haben sich fast 7000 Computerspezialistinnen und -spezialisten aus der ganzen Welt daran beteiligt und versucht, das E-Voting-System der Post zu knacken. Genauer gesagt, hat die die Post Angriffsversuche von 6923 IP-Adressen verzeichnet. Davon wiesen Mitteilung 146 Teilnehmende eine hohe Aktivität aus, mit mehr als 50 Zugriffen auf den E-Voting-Server während der Dauer des Testes.
Für den PIT stehe eine exakte Kopie der produktiven Umgebung des Systems zur Verfügung. Die Teilnehmenden hätten rund 29'000 Mal auf das System zugegriffen, wovon knapp 10'000 als Angriffsversuche zu werten seien, so die Post.

Ein bestätigter Befund

Im Rahmen des PITs sind laut der Mitteilung vier Meldungen eingegangen. Davon hat die Post demnach einen Befund bestätigt und mit dem Schweregrad "tief" bewertet. Der Befund habe keine sicherheitsrelevanten Aspekte betroffen, schreibt der E-Voting-Anbieter. Er würde eine Verbesserung in der Kommunikation zwischen den Servern aufzeigen, womit zeitgleiche Abfragen verunmöglicht werden. Man habe die Verbesserung im Voting-Server umgesetzt, so die Post.
Die Meldung ist mit 1500 Franken von der Post belohnt worden. Weil diese Person zudem den ersten bestätigten Befund gemeldet hat, erhielt sie zusätzlich einen Bonus von 3000 Franken.

Beteiligte aus der ganzen Welt

Im Verlaufe des PITs stellte die Post Zugriffe aus 62 Ländern fest, geht aus der Mitteilung hervor. Die meisten Angriffsversuche erfolgten aus den USA (19%), gefolgt von der Schweiz und Frankreich (je 12%).
Zur Ankündigung des PITs hiess es, dass die öffentliche Überprüfung des E-Voting-Systems zentral bleibe. Wenn das System stetig überprüft werde, könne man potenzielle Sicherheitslücken frühzeitig schliessen. Je eingehender ein IT-System geprüft werde, desto weniger Schwachstellen weise es also auf, was aber gleichzeitig die Suche nach Schwachstellen anspruchsvoller macht. Deshalb hat der Anbieter beim aktuellen Test die Belohnungen erhöht. Für kritische Schwachstellen zahlt die Post bis zu 50'000 Franken. Gelingt es einer Person, den elektronischen Urnengang unbemerkt zu manipulieren, erhält sie bis zu 250'000 Franken.
Update (15.20 Uhr): Zur Präzisierung wurden weitere Zahlen am Ende des ersten Absatzes ergänzt.

Loading

Mehr erfahren

Mehr zum Thema

image

Grössere Informatik-Panne bei den SBB

Die Anzeigen in den Bahnhöfen sind ausgefallen und auch beim Ticketkauf in der App und auf der Webseite gab es Probleme. Grund dafür war eine Netzwerkstörung.

aktualisiert am 20.8.2024
image

Ikea setzt auf Schweizer Drohnen

Das Möbelhaus setzt Drohnen ein, die Inventuren von Lager­be­stän­den durchführen. Mit an Bord ist auch ein Schweizer Startup.

publiziert am 20.8.2024
image

SBB suchen neuen Handy-Lieferanten

In den letzten fünf Jahren hat Interdiscount die Bahn mit Handys und Tablets versorgt. Der Vertrag läuft aber schon bald aus.

publiziert am 20.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024