Post startet Bug-Bounty-Programm für ihr E-Voting-System

8. August 2022, 09:37
image
Foto: Parker Johnson / Unsplash

Vier Wochen lang sollen ethische Hacker erstmals auch die für den realen Einsatz vorgesehene Infrastruktur der Post testen können.

Die Schweizerische Post hat, wie sie mitteilt, ein Bug-Bounty-Programm für ihr E-Voting-System gestartet. Es läuft ab heute, 8. August, und dauert bis zum 2. September. Hacker, die im Rahmen des Programms ernsthafte Schwachstellen finden, können mit bis zu 30'000 Franken belohnt werden. Bestätigte Befunde der Hacker sollen kontinuierlich auf Gitlab publiziert werden.
Schon seit Anfang 2021 prüfen internationale unabhängige Experten die neuste von der Schweizerischen Post entwickelte Version eines E-Voting-Systems. Das nun gestartete Bug-Bounty-Programm sei eine Ergänzung dazu, schreibt die Post in ihrer Mitteilung. Neu sei, dass dadurch Hacker erstmals auch das System auf genau derselben Infrastruktur abklopfen können, die auch beim tatsächlichen Einsatz des Systems in den Kantonen benützt sein soll. Die Post stelle für den öffentlichen Intrusionstest Musterstimmrechtsausweise zur Verfügung. Damit könnten Hackerinnen und Hacker auf dem Abstimmungsportal den Prozess der Stimmabgabe 1:1 durchspielen und das System gezielt angreifen.
Das Ziel des Programms sei es, durch diesen Test möglichst viele mögliche Schwachstellen aufzudecken und zu beheben und gleichzeitig auch die E-Voting-Infrastruktur zu verbessern. Ein Mitgrund für den zusätzlichen Security-Check dürften auch die Meinungen von internationalen Experten gewesen sein, welche der Bund im April dieses Jahres veröffentlicht hat. Diese Experten hatten den vorhandenen Sicherheitsvorkehrungen zwar im Allgemeinen gute Noten gegeben, aber auch immer noch einige problematische Punkte bemängelt.
Das E-Voting-System auf Herz und Nieren abzuklopfen und rundum sicher zu machen, wird für die Post immer dringender. Schliesslich soll es schon im kommenden Jahr von den ersten Kantonen real eingesetzt werden. Sollten beim produktiven Einsatz oder auch im Vorfeld des Einsatzes wieder gravierende Sicherheitsprobleme festgestellt werden, dürfte dies die Einführung von E-Voting in der Schweiz wieder um Jahre zurückwerfen. Für die Post würde dies auch einen erheblichen Prestigeverlust bedeuten. Schliesslich versucht sie schon seit mehreren Jahren, endlich ein einsatzbereites E-Voting-System zu entwickeln.

Loading

Mehr zum Thema

image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022
image

Softwareone erhält an einem Tag 2 Freihänder für fast 14 Millionen Franken

Der Stanser IT-Dienstleister ist bei Swissgrid Reseller für Standardsoftware und kann fürs Stadtzürcher OIZ die Lizenzen für die Microsoft-EDR-Lösung liefern. Dafür kassiert Softwareone Millionen.

publiziert am 30.9.2022
image

ALV braucht IT-Know-how für bis zu 55 Millionen Franken

In 8 Arbeitsgebieten sucht das Seco Digitalisierungs-Knowhow für die RAVs und die Arbeitslosenversicherung.

publiziert am 30.9.2022