Schweizerisches Nationalmuseum gibt Einblick in Digitalprojekte
Das Nationalmuseum hat einen neuen Leiter für Digitale Transformation ernannt. Die Institution erläutert den Stand ihrer Digitalisierung.
Thurgau und St. Gallen starten öffentlichen Bug-Bounty-Test für Abstimmungssystem
22. August 2022 um 12:28
Die Kantone und der Hersteller Abraxas legen den Quellcode des neuen Systems offen. Ethische Hacker können ab sofort ohne Einladung Angriffe starten.
Im Januar 2021 hatten die Kantone Thurgau und St. Gallen ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen beschafft. Geliefert wird es von Abraxas. Die Kantone legen Wert darauf, dass das System "Voting Ausmittlung" nach dem Prinzip "Sicherheit durch Transparenz" lanciert wird. Erstmals zum Einsatz kommen soll es 2023.
Ende Mai 2022 hatten die beiden Kantone und Abraxas angekündigt, auch ein Bug-Bounty-Programm durchzuführen. In einem Private-Programm hätten seither über 140 IT-Expertinnen und -Experten das System intern auf Sicherheitslücken geprüft, heisst es in einer gemeinsamen Mitteilung von Thurgau und St. Gallen. Dank den Meldungen dieser ethischen Hacker konnte das System bereits verbessert werden.
Eine Sicherheitslücke der Stufe "hoch" entdeckt
Bis jetzt seien 28 Meldungen eingegangen. "Davon wurden 14 als gültig bestätigte Sicherheitslücken im Rahmen des gesteckten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde als hoch eingestuft, die anderen als tief oder mittel." 14'900 Franken an Prämien seien bisher ausbezahlt worden. Dazu sei zu Beginn des Programms eine Sicherheitslücke mit höherer Gefährlichkeitsstufe in der separaten Berechtigungs- und Identitätenverwaltung gemeldet worden. "Es wurde nachträglich entschieden, diese Applikation in den Umfang des Auftrags aufzunehmen", schreiben die Kantone.
Ab sofort startet der zweite Schritt des Programms. Private Sicherheitsforscher und alle interessierten Expertinnen können ohne Anmeldung Teile des Codes und der Dokumentation einer Vorabversion des Systems einsehen und analysieren. Jede bestätigte gemeldete Schwachstelle werde belohnt. Die Belohnung kann je nach Relevanz bis zu 30'000 Franken betragen.
"Durch die Offenlegung möchten die Kantone Thurgau und St. Gallen zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungssystems beitragen", so die Mitteilung. Ziel sei nach wie vor, "Voting Ausmittlung" im kommenden Jahr einzusetzen. Wie oder wann genau das System eingesetzt werde, sei jedoch abhängig von den Ergebnissen der Offenlegung.
Loading
Millionen für neues IT-Meldesystem des BAG
Der Bundesrat hat 45,3 Millionen Franken für eine neue digitale Plattform zur Überwachung und Bekämpfung übertragbarer Krankheiten freigegeben. Das System soll 2034 fertig sein.
Solothurn erneuert IT-System für Gefängnisse
Cancom liefert eine neue Lösung für die Verwaltung der Gesundheitsdaten in den kantonalen Gefängnissen. Das bisherige System von CGM wird abgelöst.
GPK kritisiert externen Personalbedarf von IT-Basel-Stadt
Die Kommission des Basler Parlaments empfiehlt, die externen Dienstleistungen zu überprüfen. Die Abhängigkeit im operativen Betrieb sei hoch.