Keine kritischen Lücken im E-Voting-System der Post gefunden
28. September 2022 um 09:53
Beim Bug-Bounty-Programm gelang es niemandem, in das System oder die elektronische Urne einzudringen. Die Tests gehen aber noch weiter.
Die Schweizerische Post gab bekannt, dass der Intrusionstest für das künftige E-Voting-System abgeschlossen wurde. Während 4 Wochen haben rund 3400 Hackerinnen und Hacker aus der ganzen Welt versucht, die Software zu knacken. Insgesamt sei der Code mit fast 60'000 Angriffen auf die Probe gestellt worden, schreibt der Gelbe Riese in einer Mitteilung. Bei dem Test gelang es jedoch niemandem, in das E-Voting-System oder gar in die elektronische Urne einzudringen.
Die Aussensicht von unabhängigen Fachleuten sei ein zentrales Element in der Entwicklung eines sicheren E-Voting- Systems für die Schweiz, schreibt die Post. "Natürlich wollen wir aus Schwachstellen lernen, aber es freut uns, dass es niemandem gelungen ist, in das System einzudringen – das spricht für das hohe Sicherheitsniveau unseres Systems", sagte Konzernsprecherin Nicole Burth.
Keine schwerwiegenden Befunde
Gemäss der Post konnten die ethischen Hacker erstmals die gesamte E-Voting-Infrastruktur ins Visier nehmen, dazu zählt auch der äussere Schutzmantel des Systems. Zudem hätten die Angreifenden den Prozess der Stimmabgabe auf dem Abstimmungsportal mit Musterstimmrechtsausweisen genauso durchspielen können, wie er dann auch bei Wahlen und Abstimmungen durchgeführt werden soll.
Beim Intrusionstest seien keine "mittlere", "schwere," oder "kritische" Lücken festgestellt worden. Insgesamt seien 2 Meldungen mit der Klassifizierung "tief" eingegangen, von denen jedoch nur eine bestätigt werden konnte. Der Befund betreffe keinen sicherheitsrelevanten Aspekt, diene aber dazu, dass die Prozesse auf dem Abstimmungsportal verschlankt werden können. Die Post honorierte den Hacker mit einer Belohnung von 500 Franken.
Weitere Tests laufen
Derzeit würden noch weitere Test durch ethische Hackerinnen und Hacker sowie eine unabhängige Prüfung im Auftrag des Bundes laufen, schreibt die Post. Bereits seit Anfang 2021 prüften Fachpersonen die Betaversion des Systems. In Prüfberichten des Bundes vom April 2022 hiess es noch, dass das E-Voting-System der Post zwar massgeblich verbessert worden sei, aber noch immer Mängel aufweise. Interessierten Kantonen soll das E-Voting-System im Laufe des nächsten Jahres zur Verfügung stehen.
Loading
Bund will zentrales Tool für das Information Security Management
Zwischen Xplain-Hack und ISG herrscht emsiges Treiben in Bern: 2024 sollen vorerst EFD und VBS ein neues ISMS-Tool für ihre "Kronjuwelen" erhalten.
Hausmitteilung: Unterstützen Sie qualitativen Techjournalismus?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Wir würden uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen.
"KMU sollten sich eher über Google statt die Post aufregen"
E-ID, EPD, SwissID: Die Post mischt überall mit, wenn es um wichtige Digitalisierungsprojekte der Schweiz geht. Wir haben uns mit der Verantwortlichen im Konzern, Nicole Burth, darüber unterhalten.
Ständerat zu Digitalisierung: Nein, danke!
Während Bundesrat und Nationalrat die Digitalisierung der Verwaltung vorantreiben wollten, lehnt sie die kleine Kammer ab.