Im öffentlichen Intrusionstest können die ethischen Hackerinnen und Hacker eine exakte Kopie der produktiven Umgebung des E-Voting-Systems auf Sicherheitslücken prüfen. Beim Test gelten damit die gleichen Rahmenbedingungen, wie beim Einsatz von E-Voting an Wahlen und Abstimmungen.
Aktivität von 6’923 IP-Adressen
Am diesjährigen öffentlichen Intrusionstest hat die Post Aktivitäten von 6923 IP-Adressen verzeichnet. Davon wiesen 146 IP-Adressen eine hohe Aktivität aus, mit mehr als 50 Zugriffen auf den E-Voting-Server während der Dauer des Testes.
28’944 Zugriffe auf die Abstimmungsplattform
Analog zu den Urnengängen verfolgt die Post Angriffsversuche auf das System auch während eines Intrusionstests. Dabei hat sie rund 29'000 Zugriffe auf der Abstimmungsplattform festgestellt, wovon 9'665 als Angriffsversuche zu werten sind.
Angriffe aus 62 Ländern
Die Post lädt Fachleute aus der ganzen Welt ein, ihr E-Voting-System auf die Probe zu stellen. Am diesjährigen Test hat sie Zugriffe aus 62 Ländern festgestellt. Die aktivsten Teilnehmenden stammen aus insgesamt 27 Ländern. Die meisten Angriffsversuche erfolgten aus den Vereinigten Staaten von Amerika (19 %), gefolgt von der Schweiz und Frankreich (jeweils rund 12 %).
Ein Befund bestätigt
Die teilnehmenden Fachleute haben der Post insgesamt 4 Meldungen geschickt. Davon konnte die Post eine als Befund bestätigen. Dieser hat den Schweregrad tief (als erste der vier Stufen «tief», «mittel», «hoch» und «kritisch»). Der Befund betraf keine sicherheitsrelevanten Aspekte. Er zeigt eine Verbesserung in der Kommunikation zwischen den Servern auf, womit zeitgleiche Abfragen verunmöglicht werden. Die Post hat die Verbesserung im Voting-Server umgesetzt.
4’500 Franken Belohnung ausbezahlt
Die Post hat dem Melder des Befundes eine Belohnung von 1’500 Franken ausbezahlt. Weil er zudem der erste Melder eines bestätigten Befundes war, hat er zusätzlich einen Bonus von 3’000 Franken erhalten. Die Post hat 2024 die ausgeschriebenen Belohnungen für Sicherheitslücken im E-Voting erhöht. Für kritische Schwachstellen zahlt sie neu bis zu 50'000 Franken. Gelingt es einer Person, den elektronischen Urnengang unbemerkt zu manipulieren, erhält sie bis zu 250'000 Franken.
Neuster Systemrelease im Auftrag des Bundes geprüft
Die Post hat alle wesentlichen Komponenten und Dokumente zu ihrem E-Voting-System offengelegt, damit Fachleute aus der ganzen Welt darin nach Sicherheitslücken suchen können.
Zudem lässt der Bund jede neue Version des Systems eingehend überprüfen. Soeben wurde die Prüfung des neusten Systemreleases abgeschlossen. Das E-Voting-Team der Post hat die Berichte der unabhängigen Expertinnen und Experten analysiert und ihren Antwortbericht veröffentlicht. Die neue Systemversion soll am Urnengang 22. September 2024 zum ersten Mal zum Einsatz kommen. Die Post hat im aktuellen Release die Abhängigkeit von Drittsoftware verringert, die Anwenderoberfläche für die Kantone verbessert und die Robustheit im Betrieb weiter gesteigert.
Zum Antwortbericht auf die unabhängige Prüfung
Weitere Informationen zu E-Voting und zur öffentlichen Überprüfung