Die Post hat 2021 alle wesentlichen Komponenten und Dokumente zu ihrem vollständig verifizierbaren E-Voting-System veröffentlicht. Im E-Voting-Community-Programm hat sie IT-Fachleute aus der ganzen Welt dazu eingeladen, das System auf Schwachstellen zu prüfen. Dies ist ein bewährtes und wirkungsvolles Instrument der Cybersecurity, auf das die Post zusätzlich zu internen und mandatierten Sicherheitsprüfungen setzt. Seither haben zahlreiche Kryptografinnen, ethische Hacker und Computerspezialistinnen das System unter die Lupe genommen und der Post über 300 Meldungen geschickt. Bestätigte Befunde werden in die Schweregrade «tief», «mittel», «hoch» und «kritisch» eingeordnet. In der öffentlichen Überprüfung sind seither fünf Befunde mit Schweregrad hoch eingegangen, welche die Post seither behoben hat. Ein kritischer Befund wurde bisher nicht gemeldet.
Belohnungen honorieren den Aufwand
Sicherheitsprüfungen sind aufwändig. Für ethische Hackerinnen und Hacker, die ohne Vertragsverhältnis Systeme untersuchen, stellt die Post daher in einem sogenannten «Bug-Bounty-Programm» finanzielle Belohnungen in Aussicht. Das ist ein Programm, bei dem Computerfachleute eingeladen werden, IT-Systeme auf Sicherheitslücken zu überprüfen. Im Gegenzug erhalten sie für entdeckte Schwachstelle eine Belohnung. Seit dem Start des Programms zu E-Voting hat sie für bestätigte Schwachstellen rund 200'000 Franken ausbezahlt. Nun geht die öffentliche Überprüfung in eine neue Runde und die Post erhöht die Belohnungen für Schwachstellen bei E-Voting in allen Schweregrad-Stufen (CVSS-Skala) um 50 bis 100 Prozent.
Geschwindigkeit und Ausdauer zahlen sich aus
Die neuen Belohnungen sind erstmals im diesjährigen öffentlichen Intrusionstest erhältlich, der heute startet. Der Test dauert bis am 3. Juli und richtet sich an interessierte IT-Fachleute auf der ganzen Welt. Für sie lohnt es sich doppelt, rasch mit eingehenden Tests zu beginnen: Nur wer als Erste oder Erster einen Befund meldet, kann mit einer Belohnung rechnen. Ausserdem erhalten die drei schnellsten ethischen Hackerinnen und Hacker im laufenden Intrusionstest zusätzlich zur regulären Belohnung nach Schweregrad einen Bonus von rund 3'000 Franken, wenn sie eine Verbesserung oder eine Sicherheitslücke ausfindig machen.
Dritter öffentlicher Intrusionstest in Folge
Bei einem Intrusionstest, in Fachkreisen auch «penetration test» genannt, greifen ethische Hackerinnen und Hacker das System in seiner IT-Infrastruktur an, um Sicherheitslücken aufzuspüren. Die wiederholte Durchführung solcher öffentlicher Sicherheitstests ist eine Vorgabe der rechtlichen Grundlagen zum Versuchsbetrieb mit E-Voting.
Die Post unterzieht ihr vollständig verifizierbares E-Voting-System seit 2022 jährlich einem öffentlichen Intrusionstest. Im letzten Durchgang im Sommer 2023 haben rund 2’600 Interessierte teilgenommen und das System mit über 50'000 Angriffen auf die Probe gestellt. Die Post konnte einen Befund mit Schweregrad «tief» bestätigen.
Warum sind öffentliche Sicherheitsprüfungen wirksam für mehr Cybersecurity? Welche Massnahmen empfehlen sich zusätzlich?
Erfahren Sie nützliche Tipps im Whitepaper Datensicherheit:
