Thurgau und St. Gallen starten öffentlichen Bug-Bounty-Test für Abstimmungssystem

22. August 2022 um 12:28
image
Foto: Frank Busch / Unsplash

Die Kantone und der Hersteller Abraxas legen den Quellcode des neuen Systems offen. Ethische Hacker können ab sofort ohne Einladung Angriffe starten.

Im Januar 2021 hatten die Kantone Thurgau und St. Gallen ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen beschafft. Geliefert wird es von Abraxas. Die Kantone legen Wert darauf, dass das System "Voting Ausmittlung" nach dem Prinzip "Sicherheit durch Transparenz" lanciert wird. Erstmals zum Einsatz kommen soll es 2023.
Ende Mai 2022 hatten die beiden Kantone und Abraxas angekündigt, auch ein Bug-Bounty-Programm durchzuführen. In einem Private-Programm hätten seither über 140 IT-Expertinnen und -Experten das System intern auf Sicherheitslücken geprüft, heisst es in einer gemeinsamen Mitteilung von Thurgau und St. Gallen. Dank den Meldungen dieser ethischen Hacker konnte das System bereits verbessert werden.

Eine Sicherheitslücke der Stufe "hoch" entdeckt

Bis jetzt seien 28 Meldungen eingegangen. "Davon wurden 14 als gültig bestätigte Sicherheitslücken im Rahmen des gesteckten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde als hoch eingestuft, die anderen als tief oder mittel." 14'900 Franken an Prämien seien bisher ausbezahlt worden. Dazu sei zu Beginn des Programms eine Sicherheitslücke mit höherer Gefährlichkeitsstufe in der separaten Berechtigungs- und Identitätenverwaltung gemeldet worden. "Es wurde nachträglich entschieden, diese Applikation in den Umfang des Auftrags aufzunehmen", schreiben die Kantone.
Ab sofort startet der zweite Schritt des Programms. Private Sicherheitsforscher und alle interessierten Expertinnen können ohne Anmeldung Teile des Codes und der Dokumentation einer Vorabversion des Systems einsehen und analysieren. Jede bestätigte gemeldete Schwachstelle werde belohnt. Die Belohnung kann je nach Relevanz bis zu 30'000 Franken betragen.
"Durch die Offenlegung möchten die Kantone Thurgau und St. Gallen zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungs­systems beitragen", so die Mitteilung. Ziel sei nach wie vor, "Voting Ausmittlung" im kommenden Jahr einzusetzen. Wie oder wann genau das System eingesetzt werde, sei jedoch abhängig von den Ergebnissen der Offenlegung.

Loading

Mehr erfahren

Mehr zum Thema

image

Zürcher Justizdirektion beschafft IT-Unterstützung

Die Direktion schliesst mit zahlreichen IT-Dienstleistern Rahmenverträge über mehrere Millionen Franken für Personalressourcen ab.

publiziert am 10.6.2024
image

Schwyzer Kantonsratsdebatten können im Internet übertragen werden

Die Regierung war zwar dagegen, das Volk hat sich aber dafür entschieden.

publiziert am 10.6.2024 1
image

Neuer Leitfaden für den M365-Einsatz in Gemeinden

Die Zürcher Datenschutzbeauftragte erklärt, was bei der Einführung von Microsoft 365 berücksichtigt werden sollte, etwa mit Blick auf den Cloud Act.

publiziert am 7.6.2024 2
image

Neuer Steuerungsausschuss Cyberstrategie steht

Das Gremium soll die Nationale Cyberstrategie prüfen und weiterentwickeln. Maya Bundt übernimmt das Präsidium.

publiziert am 7.6.2024 1