Skip to content

Das sind die wichtigsten Fakten zum E-Voting-Hackertest 2024

Vom 17. Juni bis zum 3. Juli haben Computerspezialistinnen und -spezialisten aus der ganzen Welt das E-Voting-System der Schweizerischen Post auf die Probe gestellt. Die Post hat Aktivitäten von rund 7'000 IP-Adressen registriert. Es ist niemandem gelungen, die elektronische Urne zu knacken. Wie läuft ein sogenannter öffentlicher Intrusionstest ab und was sind die Zahlen zum diesjährigen Durchgang? Lesen Sie es in unserem Artikel. (Zuletzt geändert: 13. August 2024)

     

Schild

 

Im öffentlichen Intrusionstest können die ethischen Hackerinnen und Hacker eine exakte Kopie der produktiven Umgebung des E-Voting-Systems auf Sicherheitslücken prüfen. Beim Test gelten damit die gleichen Rahmenbedingungen, wie beim Einsatz von E-Voting an Wahlen und Abstimmungen.

 

Aktivität von 6’923 IP-Adressen

Am diesjährigen öffentlichen Intrusionstest hat die Post Aktivitäten von 6923 IP-Adressen verzeichnet. Davon wiesen 146 IP-Adressen eine hohe Aktivität aus, mit mehr als 50 Zugriffen auf den E-Voting-Server während der Dauer des Testes.

 

28’944 Zugriffe auf die Abstimmungsplattform

Analog zu den Urnengängen verfolgt die Post Angriffsversuche auf das System auch während eines Intrusionstests. Dabei hat sie rund 29'000 Zugriffe auf der Abstimmungsplattform festgestellt, wovon 9'665 als Angriffsversuche zu werten sind.

 

Angriffe aus 62 Ländern

Die Post lädt Fachleute aus der ganzen Welt ein, ihr E-Voting-System auf die Probe zu stellen. Am diesjährigen Test hat sie Zugriffe aus 62 Ländern festgestellt. Die aktivsten Teilnehmenden stammen aus insgesamt 27 Ländern. Die meisten Angriffsversuche erfolgten aus den Vereinigten Staaten von Amerika (19 %), gefolgt von der Schweiz und Frankreich (jeweils rund 12 %).

 

Ein Befund bestätigt

Die teilnehmenden Fachleute haben der Post insgesamt 4 Meldungen geschickt. Davon konnte die Post eine als Befund bestätigen. Dieser hat den Schweregrad tief (als erste der vier Stufen «tief», «mittel», «hoch» und «kritisch»). Der Befund betraf keine sicherheitsrelevanten Aspekte. Er zeigt eine Verbesserung in der Kommunikation zwischen den Servern auf, womit zeitgleiche Abfragen verunmöglicht werden. Die Post hat die Verbesserung im Voting-Server umgesetzt.

 

4’500 Franken Belohnung ausbezahlt

Die Post hat dem Melder des Befundes eine Belohnung von 1’500 Franken ausbezahlt. Weil er zudem der erste Melder eines bestätigten Befundes war, hat er zusätzlich einen Bonus von 3’000 Franken erhalten. Die Post hat 2024 die ausgeschriebenen Belohnungen für Sicherheitslücken im E-Voting erhöht. Für kritische Schwachstellen zahlt sie neu bis zu 50'000 Franken. Gelingt es einer Person, den elektronischen Urnengang unbemerkt zu manipulieren, erhält sie bis zu 250'000 Franken.

 

Zum PIT-Abschlussbericht

 

Neuster Systemrelease im Auftrag des Bundes geprüft 


Die Post hat alle wesentlichen Komponenten und Dokumente zu ihrem E-Voting-System offengelegt, damit Fachleute aus der ganzen Welt darin nach Sicherheitslücken suchen können.

 

Zudem lässt der Bund jede neue Version des Systems eingehend überprüfen. Soeben wurde die Prüfung des neusten Systemreleases abgeschlossen. Das E-Voting-Team der Post hat die Berichte der unabhängigen Expertinnen und Experten analysiert und ihren Antwortbericht veröffentlicht. Die neue Systemversion soll am Urnengang 22. September 2024 zum ersten Mal zum Einsatz kommen. Die Post hat im aktuellen Release die Abhängigkeit von Drittsoftware verringert, die Anwenderoberfläche für die Kantone verbessert und die Robustheit im Betrieb weiter gesteigert.

 

 

Zum Antwortbericht auf die unabhängige Prüfung

 

Weitere Informationen zu E-Voting und zur öffentlichen Überprüfung

Blog abonnieren

Melden Sie sich für den Post E-Government Blog an und erhalten sie regelmäßig Updates zu unseren neuesten Blogartikeln, Expertenmeinungen und Branchentrends.

Jetzt abonnieren