Jagd auf Schwachstellen beim E-Voting-System der Post eröffnet
Das Wichtigste in Kürze
- Den Hauptpreis erhält, wer es schafft, die elektronische Urne zu manipulieren, ohne dass die Post es merkt, sagte Denis Morel, Leiter der E-Gouvernment-Abteilung.
IT-Sicherheitschef Marcel Zumbühl erklärte, die Post lasse bereits heute alle ihre Systeme von ethischen Hackern beschiessen. Sie zahle in ihrem Bug-Bounty-Programm Entschädigungen aus, denn das Finden von Schwachstellen oder Eindringlingen sei Arbeit.
Mit der Offenlegung des Quellcodes des Systems für elektronische Abstimmungen sind 150'000 Code-Zeilen frei zugänglich, wie Morel erklärte. Eine Registrierung ist nicht nötig. Internationale unabhängige Experten nahmen das nachgebesserte System bereits seit Januar unter die Lupe.
Mit dem offengelegten Quellcode kann die interessierte Öffentlichkeit dynamische Tests mittels eines simulierten Urnengangs vornehmen und dabei nach Herzenslust Angriffe und Manipulationen versuchen. Bestätigt sich ein sicherheitsrelevanter Befund, wird die Lücke behoben und eine Entschädigung fällig.
Verbesserungen hat die Post ihren Angaben zufolge besonders bei der Verifizierbarkeit und beim Stimmgeheimnis vorgenommen. Das System bietet gemäss Morel neu die vollständige Verifizierbarkeit. Das habe es bisher noch nie gegeben.
Zur Sicherheit trägt ebenfalls bei, dass das System für jeden Kanton neu aufgesetzt wird. Manuelle Arbeitsschritte sind auf mehrere Personen verteilt.
Der Bund startete im Juli eine unabhängige Überprüfung des zukünftigen E-Voting-Systems der Post. Sie soll eine der Grundlagen für die Wiederaufnahme der Versuche in den Kantonen sein.
Im Juni 2019 hatte der Bundesrat entschieden, dass E-Voting vorläufig nicht als ordentlicher Stimmkanal eingeführt wird. Er hatte dies mit Sicherheitsproblemen begründet. Im Quellcode des Systems der Post waren Mängel entdeckt worden. Deshalb zog die Post ihr System zurück.