Skip to content

Cyberangriff erwünscht: Post startet Härtetest für E-Voting-System

Je transparenter, desto sicherer: Ab heute ruft die Schweizerische Post zum fünften Mal ethische Hackerinnen und Hacker weltweit dazu auf, ihr E-Voting-System gezielt anzugreifen. Der öffentliche Intrusionstest läuft bis zum 24. August – und wer schnell ist, kann sich attraktive Zusatzprämien für die ersten bestätigten Schwachstellen sichern.

Sicherheit hat beim E-Voting in der Schweiz oberste Priorität.

 

Die Post setzt bei E-Voting auf Transparenz: Seit 2021 sind alle sicherheitsrelevanten Komponenten ihres E-Voting-Systems öffentlich einsehbar. Über ein unbefristetes Bug-Bounty-Programm können Fachleute weltweit das System rund um die Uhr testen – mit Aussicht auf finanzielle Prämien für bestätigte Schwachstellen.

 

Zusätzlich führt die Post regelmässig sogenannte öffentliche Intrusionstests durch. In einem festgelegten Zeitraum versuchen ethische Hackerinnen und Hacker gezielt, in das System einzudringen. Solche Tests sind gesetzlich vorgeschrieben und ein zentraler Bestandteil des E-Voting-Versuchsbetriebs in den Kantonen. Der mehrwöchige öffentliche Intrusionstest ist Teil des E-Voting-Community-Programms der Post.

 

Mann vor einem Bildschirm

 

Intrusionstest dauert bis am 24. August 2025

 

Unter pit.evoting.ch stellt die Post ab heute bis zum 24. August ihre E-Voting-Umgebung für gezielte Angriffe bereit. Getestet wird die neueste Systemversion, die ab 2026 bei Abstimmungen und Wahlen zum Einsatz kommt. IT-Fachleute weltweit können den Stimmabgabeprozess durchspielen, Sicherheitslücken aufspüren und versuchen, in die elektronische Urne einzudringen. Erstmals können sie auch die Funktionalität der offenen Textfelder auf die Probe stellen. Diese sogenannten «Write-ins» sind bei Wahlen einsetzbar, bei denen die Stimmberechtigten ihre Wunschkandidaten selbst eintragen können, wenn diese nicht auf den offiziellen Listen stehen.

 

Attraktive Prämien für fündige Teilnehmende

 

Für bestätigte Schwachstellen zahlt die Post Prämien von bis zu 250 000 Franken. Für die Meldenden der ersten drei bestätigten Befunde winkt zusätzlich zur Prämie ein Bonus von je 3000 Franken. Seit dem Start des Bug-Bounty-Programms für E-Voting hat die Post bereits über 220 000 Franken für bestätigte Befunde an ethische Hackerinnen und Hacker ausbezahlt.

 

Warum öffentliche Sicherheitsprüfungen wirken

 

Öffentliche Intrusionstests sind ein bewährtes Mittel der Cybersicherheit. Sie ergänzen interne und externe Audits durch unabhängige Prüfungen der globalen IT-Community.


Die Vorteile:

 

  • Vielfalt der Perspektiven: Unterschiedliche Denkweisen führen zu kreativeren Angriffsszenarien.
  • Realitätsnahe Tests: Die Angriffe simulieren echte Bedrohungen unter realen Bedingungen.
  • Frühzeitige Erkennung: Schwachstellen werden entdeckt, bevor sie ausgenutzt werden können.
  • Vertrauensbildung: Transparenz stärkt das Vertrauen in digitale Prozesse und das E-Voting-System der Post.

BärnHäckt 2025: Innovation trifft auf Sicherheit

Erstmals ist die Post Themensponsorin beim Berner Hackathon BärnHäckt, der vom 22. bis 24. August in Bern stattfindet. Die Post präsentiert ihr E-Voting-System und bietet einen Workshop zu «Sicherem Code» und «Threat Modelling» an. Security-Champions der Post zeigen, wie sich Angriffe bereits im Software-Design erkennen und abwehren lassen. Die Post veranstaltet zudem ein Quiz mit attraktiven Preisen für die klügsten Köpfe. Interessenten können sich jetzt kostenlos bei BärnHäckt anmelden und Teil einer Community werden, die digitale Sicherheit nicht nur fordert, sondern lebt.

 

Cybersecurity bei der Post: Mehr als nur Tests

 

Öffentliche Tests wie der PIT und Events wie BärnHäckt sind wichtige Bausteine des E-Voting-Versuchsbetriebs und der Cybersecurity-Strategie der Post. Doch sie sind nur ein Teil eines umfassenden Sicherheitsansatzes:

 

  • Security by Design: Sicherheit ist von Anfang an Teil der Systemarchitektur.
  • Regelmässige Audits: Interne und externe Prüfungen bleiben zentral.
  • Security Awareness: Schulungen stärken das Sicherheitsbewusstsein aller Beteiligten.
  • Transparente Kommunikation: Offenheit im Umgang mit Schwachstellen schafft Vertrauen.

 

Nach Abschluss des Intrusionstests veröffentlicht die Post – wie in den Vorjahren – einen Bericht. Darin erfahren Interessierte, ob und wie das System den Angriffen standgehalten hat.

Blog abonnieren

Melden Sie sich für den Post E-Government Blog an und erhalten sie regelmäßig Updates zu unseren neuesten Blogartikeln, Expertenmeinungen und Branchentrends.