Die Post hat den Quellcode ihres überarbeiteten E-Voting-Systems freigegeben. Auf Gitlab wurden Repositories veröffentlicht, die frei heruntergeladen werden können. Die gesamten 150'000 Zeilen Code stehen damit zur Überprüfung, wie Denis Morel, Leiter der E-Government-Abteilung, vor den Medien erklärte. Eine Registration ist nicht nötig, Teilnehmende müssen sich aber an einen Code of Conduct halten.

Nun könne jeder statische Tests durchführen, also den Quellcode untersuchen, aber auch das System auf einer eigenen Umgebung laufen lassen und analysieren, so Morel. Auf ihrer Community-Website hat die Post die offengelegten Objekte mit den jeweiligen Verweisen zu Gitlab publiziert.

Internationale Experten untersuchen das System bereits seit Anfang 2021. Bislang sind 39 Meldungen eingegangen, davon wurden 9 als relevant eingestuft. Eines der Findings gilt als wichtig, wie Post-CISO Marcel Zumbühl erklärte. 53'000 Franken sind bislang geflossen, für kritische Lücken wird den ethischen Hackern eine Belohnung von 250'000 Franken in Aussicht gestellt. Das Rekordpreisgeld wird gesprochen, wenn es jemandem gelingt, einen Urnengang zu manipulieren, ohne dass dies erkannt werden kann.

Man wolle "maximale Transparenz", unterstrich Zumbühl, alle Befunde würden auf Gitlab veröffentlicht. Das ist politisch folgerichtig: Im Juni 2019 hatte der Bundesrat entschieden, dass E-Voting vorläufig nicht als ordentlicher Stimmkanal eingeführt wird. Zuvor waren im System der Post erhebliche Mängel entdeckt worden, es musste zurückgezogen werden. Im neuen Anlauf und dank der Transparenzoffensive erhofft sich die Post, bereits 2022 ihr E-Voting-System den Kantonen für den Einsatz bereitstellen zu können.

Nun soll das System vollständige Verifizierbarkeit garantieren, das habe es in der Schweiz bislang nicht gegeben, erklärte Morel. Dies war von Security-Experten eingefordert worden. Dank eines Zero Knowledge Proof könne man sicherstellen, dass das System nicht manipuliert worden sei, dabei aber gleichzeitig das Stimmgeheimnis wahren, versicherte Morel nun. Auch sonst haben man erhebliche Verbesserungen vorgenommen und den Code etwa deutlich besser lesbar gemacht, ergänzte Zumbühl. Insgesamt sollen rund 50 bis 60 Informatiker am Projekt gearbeitet haben, wobei sie nicht ausschliesslich für E-Voting eingesetzt wurden.

Auch Dokumentation und Auditierbarkeit wurden laut den Post-Verantwortlichen verbessert. Zur Sicherheit soll schliesslich beitragen, dass das System für jeden Kanton neu aufgesetzt wird und manuelle Arbeitsschritte auf mehrere Personen verteilt werden.

Im Herbst wird die Post auch noch ihre Open-Source-Verifikationssoftware veröffentlichen. Zudem sollen sukzessive aufgrund der Befunde der Pentester sowie einer Expertenkommission des Bundes Schwachstellen behoben und die Software weiterentwickelt werden. Per Ende 2021 sollen dann die definitiven rechtlichen Grundlagen vorliegen, um das System zulassen zu können.