Thurgau und St. Gallen starten öffentlichen Bug-Bounty-Test für Abstimmungssystem

22. August 2022 um 12:28
image
Foto: Frank Busch / Unsplash

Die Kantone und der Hersteller Abraxas legen den Quellcode des neuen Systems offen. Ethische Hacker können ab sofort ohne Einladung Angriffe starten.

Im Januar 2021 hatten die Kantone Thurgau und St. Gallen ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen beschafft. Geliefert wird es von Abraxas. Die Kantone legen Wert darauf, dass das System "Voting Ausmittlung" nach dem Prinzip "Sicherheit durch Transparenz" lanciert wird. Erstmals zum Einsatz kommen soll es 2023.
Ende Mai 2022 hatten die beiden Kantone und Abraxas angekündigt, auch ein Bug-Bounty-Programm durchzuführen. In einem Private-Programm hätten seither über 140 IT-Expertinnen und -Experten das System intern auf Sicherheitslücken geprüft, heisst es in einer gemeinsamen Mitteilung von Thurgau und St. Gallen. Dank den Meldungen dieser ethischen Hacker konnte das System bereits verbessert werden.

Eine Sicherheitslücke der Stufe "hoch" entdeckt

Bis jetzt seien 28 Meldungen eingegangen. "Davon wurden 14 als gültig bestätigte Sicherheitslücken im Rahmen des gesteckten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde als hoch eingestuft, die anderen als tief oder mittel." 14'900 Franken an Prämien seien bisher ausbezahlt worden. Dazu sei zu Beginn des Programms eine Sicherheitslücke mit höherer Gefährlichkeitsstufe in der separaten Berechtigungs- und Identitätenverwaltung gemeldet worden. "Es wurde nachträglich entschieden, diese Applikation in den Umfang des Auftrags aufzunehmen", schreiben die Kantone.
Ab sofort startet der zweite Schritt des Programms. Private Sicherheitsforscher und alle interessierten Expertinnen können ohne Anmeldung Teile des Codes und der Dokumentation einer Vorabversion des Systems einsehen und analysieren. Jede bestätigte gemeldete Schwachstelle werde belohnt. Die Belohnung kann je nach Relevanz bis zu 30'000 Franken betragen.
"Durch die Offenlegung möchten die Kantone Thurgau und St. Gallen zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungs­systems beitragen", so die Mitteilung. Ziel sei nach wie vor, "Voting Ausmittlung" im kommenden Jahr einzusetzen. Wie oder wann genau das System eingesetzt werde, sei jedoch abhängig von den Ergebnissen der Offenlegung.

Loading

Mehr zum Thema

image

Frauenfeld ebnet den Weg für die IT-Auslagerung

Ohne Gegenstimme bewilligt das Stadtparlament das Outsourcing. Der Auftrag wurde bereits an Abraxas vergeben.

publiziert am 23.2.2024
image

Apple verteidigt sich gegen Vorwürfe der EU

Dem Konzern droht ein Bussgeld von 500 Millionen Euro. Es geht um mögliche Verstösse im Musikstreaming-Markt und den Streit mit Spotify.

publiziert am 23.2.2024
image

Podcast: Der Wandel der E-Signatur – von Smartcard bis Cloud

In der heutigen Episode reden wir mit Freddy Kaiser über die Entwicklung der E-Signatur, den technischen Wandel und die Digitalisierung in der Schweiz.

publiziert am 23.2.2024
image

Bis 2025: 40'000 Arbeitsplätze beim Bund werden auf M365 migriert

Nach Abschluss der ersten Pilotphase mit rund 130 Nutzerinnen und Nutzern folgt nun die zweite Pilotphase mit einer Einführung bei zwei Verwaltungseinheiten. Danach wird die ganze Bundesverwaltung migriert.

publiziert am 22.2.2024 4