Thurgau und St. Gallen starten öffentlichen Bug-Bounty-Test für Abstimmungssystem

22. August 2022 um 12:28
image
Foto: Frank Busch / Unsplash

Die Kantone und der Hersteller Abraxas legen den Quellcode des neuen Systems offen. Ethische Hacker können ab sofort ohne Einladung Angriffe starten.

Im Januar 2021 hatten die Kantone Thurgau und St. Gallen ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen beschafft. Geliefert wird es von Abraxas. Die Kantone legen Wert darauf, dass das System "Voting Ausmittlung" nach dem Prinzip "Sicherheit durch Transparenz" lanciert wird. Erstmals zum Einsatz kommen soll es 2023.
Ende Mai 2022 hatten die beiden Kantone und Abraxas angekündigt, auch ein Bug-Bounty-Programm durchzuführen. In einem Private-Programm hätten seither über 140 IT-Expertinnen und -Experten das System intern auf Sicherheitslücken geprüft, heisst es in einer gemeinsamen Mitteilung von Thurgau und St. Gallen. Dank den Meldungen dieser ethischen Hacker konnte das System bereits verbessert werden.

Eine Sicherheitslücke der Stufe "hoch" entdeckt

Bis jetzt seien 28 Meldungen eingegangen. "Davon wurden 14 als gültig bestätigte Sicherheitslücken im Rahmen des gesteckten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde als hoch eingestuft, die anderen als tief oder mittel." 14'900 Franken an Prämien seien bisher ausbezahlt worden. Dazu sei zu Beginn des Programms eine Sicherheitslücke mit höherer Gefährlichkeitsstufe in der separaten Berechtigungs- und Identitätenverwaltung gemeldet worden. "Es wurde nachträglich entschieden, diese Applikation in den Umfang des Auftrags aufzunehmen", schreiben die Kantone.
Ab sofort startet der zweite Schritt des Programms. Private Sicherheitsforscher und alle interessierten Expertinnen können ohne Anmeldung Teile des Codes und der Dokumentation einer Vorabversion des Systems einsehen und analysieren. Jede bestätigte gemeldete Schwachstelle werde belohnt. Die Belohnung kann je nach Relevanz bis zu 30'000 Franken betragen.
"Durch die Offenlegung möchten die Kantone Thurgau und St. Gallen zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungs­systems beitragen", so die Mitteilung. Ziel sei nach wie vor, "Voting Ausmittlung" im kommenden Jahr einzusetzen. Wie oder wann genau das System eingesetzt werde, sei jedoch abhängig von den Ergebnissen der Offenlegung.

Loading

Mehr zum Thema

image

Stadt Luzern kriegt einen neuen CIO

Anfang 2026 wird Patrick Studer die Leitung der Dienstabteilung Zentrale Informatikdienste übernehmen. Er wechselt von der CSS Versicherung zur Stadt Luzern.

publiziert am 9.7.2025
image

Sunrise bietet neu auch Cyber­ver­sicherungen

Nach Swisscom steigt auch Sunrise in den Versicherungsmarkt ein. Der Telco bietet künftig Reise- und auch Cyberversicherungen für Privatkunden an.

publiziert am 9.7.2025
imageAbo

Swisscom kann Zürcher Kantonsnetzwerk weiterhin betreiben

Swisscom erhält für den freihändig vergebenen Auftrag 70 Millionen Franken für die nächsten drei Jahre.

publiziert am 8.7.2025
image

Appenzell Ausser­rhoden schafft Kompetenz­zentrum "Digitale Trans­formation"

Der Kanton hat sich die digitale Transformation als strategisches Ziel gesetzt. Im neuen Kompetenz­zentrum soll Know-how gebündelt werden.

publiziert am 8.7.2025