Sie sind seit dem Start beim Community-Programm dabei und haben schon verschiedene Befunde eingereicht. Was ist Ihr Interesse an E-Voting?
Das Thema E-Voting interessiert mich schon lange. Ich habe Anfang der 2000er Jahre an der Eidgenössisch Technische Hochschule Lausanne (EPFL) in Informatik, Schwerpunkt Kryptografie, doktoriert. In dieser Zeit haben die ersten Diskussionen rund um E-Voting in der Schweiz gestartet. Sowohl die damalige E-Voting-Lösung des Kantons Genf als auch den Quellcode des früheren Systems der Post habe ich mir angeschaut. Als die Post 2021 begann, ihr neues System offenzulegen, war ich sofort interessiert: In der Praxis gibt es nicht viele Systeme, die so komplexe und ambitionierte kryptografische Grundlagen anwenden. Diese Herausforderung hat mich gereizt. Auch als Staatsbürger habe ich mich mit E-Voting beschäftigt. Im Vergleich zur physischen Stimmabgabe ist E-Voting komplex. Laien können seine Funktionsweise nicht selbst nachvollziehen. Dieser Aspekt interessiert mich aus philosophisch-politischer Sicht.
Sie sind Unternehmer und Hochschuldozent. Wie viel Zeit bleibt Ihnen für das ethische Hacken?
Vor zwei Jahren befand ich mich beruflich in einer Pause. Genau in dieser Zeit hat die Post erste Dokumente ihres neuen E-Voting-Systems veröffentlicht. Ich wollte mehr darüber erfahren und hatte die Zeit, den Code und die Spezifikation näher anzuschauen. Zudem habe ich begonnen, selbst eine Verifikationssoftware zu schreiben. Dies stellte sich aber als zu aufwändig heraus.
Heute bleibt mir sehr wenig Zeit, neben meinen beruflichen Tätigkeiten, das System zu prüfen. Ich nehme daher die Dokumentationen in die Ferien mit. Dann sitze ich am Strand oder im Bergchalet mit dem Leuchtstift in der einen und dem ausgedruckten Quellcode oder der Spezifikation in der anderen Hand.
Was interessiert Sie spezifisch am E-Voting-System und am Community-Programm der Post?
E-Voting ist ein kryptografisch ambitioniertes Projekt. Zur Zeit meines Doktorats waren « Zero Knowledge Proofs » [kryptografische Methode, um zu belegen, dass eine Information richtig ist, ohne die Information an sich offenzulegen, Anm. der Post] ein theoretisches Konzept der akademischen Welt. In der Praxis fand es noch nicht wirklich Anwendung. Die Post war eines der ersten Unternehmen, das solche Beweise eingesetzt hat. Die Schnittstelle zwischen Wissenschaft und Praxis interessiert mich. Aus diesem Blickwinkel wollte ich das E-Voting-System der Post untersuchen.
Am Community-Programm ist mir vor allem die grosse Transparenz aufgefallen – was die Offenlegung des Systems betrifft, aber auch den Umgang mit gefundenen Schwachstellen. Ich habe das auch schon anders erlebt.
Was würden Sie am Programm ändern?
Es gibt Details, die die Post noch verbessern könnte. Aus meiner Sicht waren die sogenannten Write-ins [Eingabe eines Namens in ein Freitextfeld, kommt bei Wahlen zur Anwendung, Anm. der Post] in den Sicherheitsspezifikationen nicht ausreichend dokumentiert, das hat mir persönlich mehr Aufwand verursacht. Ausserdem finde ich, man könnte die Struktur der Dokumentationen verbessern. So könnte die Post Externen den Zugang zur komplexen Materie weiter vereinfachen. Ansonsten sind das Community- und Bug-Bounty-Programm sehr teilnehmerfreundlich organisiert.
Zum Abschluss: Wie erleben Sie den Know-how Transfer zwischen der akademischen Welt und der IT-Industrie? Helfen Open-Source-Projekte und Bug-Bounty-Programme, das Wissen aus der Wissenschaft in die praktische Anwendung zu bringen?
Diese Frage trifft genau den bisherigen Verlauf meiner beruflichen Karriere zwischen Wissenschaft und Industrie. Open Source kann für die Softwarenentwicklung ein starker Treiber sein. Ich selbst habe basierend auf einer Open-Source-Initiative ein Start-up mitgegründet.
Wie gewinnbringend Open Source ist, sehen wir im Bereich der künstlichen Intelligenz. Die grossen global tätigen Unternehmen haben auf Software-Veröffentlichungen mit freien Lizenzen und die Nähe zur Wissenschaft gesetzt. Im Machine Learning wurde so in kurzer Zeit grosse Fortschritte erzielt. Open Source und Bug-Bounty-Programme sind daher aus meiner Sicht wesentliche Erfolgsfaktoren; sowohl aus Entwicklungsperspektive als auch um Vertrauen in digitale Lösungen zu schaffen.
