Im öffentlichen Intrusionstest können die ethischen Hackerinnen und Hacker eine exakte Kopie der produktiven Umgebung des E-Voting-Systems auf Sicherheitslücken prüfen. Beim Test gelten damit die gleichen Rahmenbedingungen, wie beim Einsatz von E-Voting an Wahlen und Abstimmungen.
Aktivität von 6’923 IP-Adressen
Am diesjährigen öffentlichen Intrusionstest hat die Post Aktivitäten von 6923 IP-Adressen verzeichnet. Davon wiesen 146 IP-Adressen eine hohe Aktivität aus, mit mehr als 50 Zugriffen auf den E-Voting-Server während der Dauer des Testes.
28’944 Zugriffe auf die Abstimmungsplattform
Analog zu den Urnengängen verfolgt die Post Angriffsversuche auf das System auch während eines Intrusionstests. Dabei hat sie rund 29'000 Zugriffe auf der Abstimmungsplattform festgestellt, wovon 9'665 als Angriffsversuche zu werten sind.
Angriffe aus 62 Ländern
Die Post lädt Fachleute aus der ganzen Welt ein, ihr E-Voting-System auf die Probe zu stellen. Am diesjährigen Test hat sie Zugriffe aus 62 Ländern festgestellt. Die aktivsten Teilnehmenden stammen aus insgesamt 27 Ländern. Die meisten Angriffsversuche erfolgten aus den Vereinigten Staaten von Amerika (19 %), gefolgt von der Schweiz und Frankreich (jeweils rund 12 %).
Ein Befund bestätigt
Die teilnehmenden Fachleute haben der Post insgesamt 4 Meldungen geschickt. Davon konnte die Post eine als Befund bestätigen. Dieser hat den Schweregrad tief (als erste der vier Stufen «tief», «mittel», «hoch» und «kritisch»). Der Befund betraf keine sicherheitsrelevanten Aspekte. Er zeigt eine Verbesserung in der Kommunikation zwischen den Servern auf, womit zeitgleiche Abfragen verunmöglicht werden. Die Post hat die Verbesserung im Voting-Server umgesetzt.
4’500 Franken Belohnung ausbezahlt
Die Post hat dem Melder des Befundes eine Belohnung von 1’500 Franken ausbezahlt. Weil er zudem der erste Melder eines bestätigten Befundes war, hat er zusätzlich einen Bonus von 3’000 Franken erhalten. Die Post hat 2024 die ausgeschriebenen Belohnungen für Sicherheitslücken im E-Voting erhöht. Für kritische Schwachstellen zahlt sie neu bis zu 50'000 Franken. Gelingt es einer Person, den elektronischen Urnengang unbemerkt zu manipulieren, erhält sie bis zu 250'000 Franken.