Thurgau und St. Gallen starten öffentlichen Bug-Bounty-Test für Abstimmungssystem

22. August 2022, 12:28
image
Foto: Frank Busch / Unsplash

Die Kantone und der Hersteller Abraxas legen den Quellcode des neuen Systems offen. Ethische Hacker können ab sofort ohne Einladung Angriffe starten.

Im Januar 2021 hatten die Kantone Thurgau und St. Gallen ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen beschafft. Geliefert wird es von Abraxas. Die Kantone legen Wert darauf, dass das System "Voting Ausmittlung" nach dem Prinzip "Sicherheit durch Transparenz" lanciert wird. Erstmals zum Einsatz kommen soll es 2023.
Ende Mai 2022 hatten die beiden Kantone und Abraxas angekündigt, auch ein Bug-Bounty-Programm durchzuführen. In einem Private-Programm hätten seither über 140 IT-Expertinnen und -Experten das System intern auf Sicherheitslücken geprüft, heisst es in einer gemeinsamen Mitteilung von Thurgau und St. Gallen. Dank den Meldungen dieser ethischen Hacker konnte das System bereits verbessert werden.

Eine Sicherheitslücke der Stufe "hoch" entdeckt

Bis jetzt seien 28 Meldungen eingegangen. "Davon wurden 14 als gültig bestätigte Sicherheitslücken im Rahmen des gesteckten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde als hoch eingestuft, die anderen als tief oder mittel." 14'900 Franken an Prämien seien bisher ausbezahlt worden. Dazu sei zu Beginn des Programms eine Sicherheitslücke mit höherer Gefährlichkeitsstufe in der separaten Berechtigungs- und Identitätenverwaltung gemeldet worden. "Es wurde nachträglich entschieden, diese Applikation in den Umfang des Auftrags aufzunehmen", schreiben die Kantone.
Ab sofort startet der zweite Schritt des Programms. Private Sicherheitsforscher und alle interessierten Expertinnen können ohne Anmeldung Teile des Codes und der Dokumentation einer Vorabversion des Systems einsehen und analysieren. Jede bestätigte gemeldete Schwachstelle werde belohnt. Die Belohnung kann je nach Relevanz bis zu 30'000 Franken betragen.
"Durch die Offenlegung möchten die Kantone Thurgau und St. Gallen zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungssystems beitragen", so die Mitteilung. Ziel sei nach wie vor, "Voting Ausmittlung" im kommenden Jahr einzusetzen. Wie oder wann genau das System eingesetzt werde, sei jedoch abhängig von den Ergebnissen der Offenlegung.

Loading

Mehr zum Thema

image

Anti-Fake-News-Initiative ist vorerst vom Tisch

Mit einem Vorstoss sollten Betreiber in die Pflicht genommen werden, wenn auf ihren Onlineplattformen Falschinformationen verbreitet wurden. Zunächst sind aber Abklärungen nötig.

publiziert am 3.2.2023
image

Der Wandel im Beschaffungsrecht

Am 02. Februar 2023 ist das erste Event seiner Art – "E-Government im Fokus" – von inside-it.ch über die Bühne gegangen. Wir haben mit 4 Speakern diskutiert, die das Beschaffungswesen in- und auswendig kennen.

publiziert am 3.2.2023
image

Next Episode: Das neue Simap verzögert sich nochmals

Die Entwickler haben die "Komplexität analysiert" und sind zu einer neuen Schätzung gelangt. Dieses Jahr wird’s nichts mehr mit KISSimap.

publiziert am 3.2.2023
image

Das Wachstum der Hyperscaler verlangsamt sich

Bei AWS, Azure und Google Cloud ist es jahrelang nur steil bergauf gegangen. Jetzt aber macht sich der Spardruck der Kunden bemerkbar.

publiziert am 3.2.2023