«Digitale Sicherheit braucht Offenheit – und die Hacker-Community»

Welche Rolle spielt die Hacker-Community bei der Stärkung des digitalen Vertrauens in demokratische Prozesse wie E-Voting?

Die Hacker-Community spielt eine zentrale Rolle für die Sicherheit digitaler Systeme. Sie ergänzt bestehende Schutzmassnahmen, deckt Schwachstellen auf und stärkt das Vertrauen – besonders bei sensiblen Anwendungen wie E-Voting. In Kontexten wie der elektronischen Stimmabgabe und dem digitalen Vertrauen im weiteren Sinne bietet dieser Prozess den Bürgern eine wichtige Garantie: dass alle möglichen Techniken und Ressourcen mobilisiert wurden, um maximale Sicherheit zu gewährleisten. Angesichts der Herausforderungen und potenziellen Bedrohungen sind die Erwartungen selbstverständlich sehr hoch.

Selim Jaafar ist seit 2019 bei YesWeHack tätig und verantwortet dort als VP Customer Success die Entwicklung und Betreuung von Bug-Bounty-Programmen für Kunden weltweit. Er hat einen Bachelor- und Masterabschluss in Management von Informationssystemen von der Universität Paris-Dauphine und sammelte erste Berufserfahrungen im Bereich IT-Sicherheit und Projektmanagement bei Natixis, gefolgt von einer Tätigkeit als Berater bei Harmonie Technologie. Bei YesWeHack unterstützt er Organisationen – darunter auch öffentliche Einrichtungen – bei der Einführung und Optimierung von Sicherheitsinitiativen und setzt sich für eine transparente und effektive Zusammenarbeit mit der globalen Hacker-Community ein.

Warum sind öffentliche Intrusionstests für Organisationen wie die Schweizerische Post, die mit sensiblen digitalen Diensten umgehen, so wichtig?

Bug-Bounty-Programme ermöglichen tiefgehende Sicherheitstests, die über klassische Prüfverfahren hinausgehen. Sie mobilisieren viele Fachleute über längere Zeit und decken Schwachstellen schneller und umfassender auf. Öffentliche Programme wie beim E-Voting erhöhen die Transparenz, laden zur breiten Teilnahme ein und senden ein klares Signal: Sicherheit hat höchste Priorität.

Wie hat sich der Ansatz von YesWeHack für öffentliche Intrusionstests im Laufe der Jahre entwickelt, insbesondere im Zusammenhang mit Systemen zum Umgang mit sensiblen Daten?

YesWeHack arbeitet weltweit mit Behörden und in sensiblen Projekten, um digitale Sicherheit durch Bug-Bounty-Programme zu stärken. Beim E-Voting-Programm der Schweizerischen Post wurden Quellcode und Testumgebung öffentlich gemacht und hohe Prämien ausgeschrieben – so konnte das E-Voting-Programm besonders qualifizierte Hackerinnen und Hacker gewinnen.  Die breite Kommunikation motiviert auch Forschende ausserhalb der Hacker-Community und zeigt, wie solche Programme zur Sicherheit und zum Vertrauen in digitale Dienste beitragen.

Was zeichnet die Sicherheitsinitiative der Post Ihrer Meinung nach im Vergleich zu anderen öffentlichen Bug-Bounty-Programmen in der Schweiz und im Ausland aus?

Die Einzigartigkeit liegt in erster Linie im System selbst – in seiner Komplexität und dem Aufwand, der erforderlich ist, um es einer Vielzahl von Testpersonen unter nahezu realen Bedingungen zugänglich zu machen. Dazu gehört die Schaffung und Aufrechterhaltung einer skalierbaren, dedizierten Umgebung, die einen Selbstbedienungszugang zu grossen Mengen gefälschter Stimmkarten bietet und somit vielfältige Tests ermöglicht. Zweitens liegen die finanziellen Belohnungen über dem Branchendurchschnitt. Zudem werden präzise Szenarien bereitgestellt, um das spezifische Risikomodell für E-Voting zu erklären. Ein weiteres herausragendes Merkmal ist die Transparenz: Die Ergebnisse werden systematisch veröffentlicht, einschliesslich der inzwischen behobenen Schwachstellen. In Verbindung mit der Veröffentlichung des Quellcodes gewährleistet dies eine tiefere Überprüfbarkeit und stärkt das Vertrauen. Die Schweizerische Post hat seit letztem Jahr all ihre digitalen Anwendungen im Bug-Bounty-Programm für Sicherheitstests zugänglich gemacht. Schliesslich liegt die Stärke des Programms in der Breite der behandelten Themen. Eine solche Tiefe ist in Bug-Bounty-Programmen selten.

Welchen Rat würden Sie anderen öffentlichen Einrichtungen oder Unternehmen geben, die die Einführung eines öffentlichen Intrusion-Tests oder Bug-Bounty-Programms in Betracht ziehen?

Bug-Bounty-Programme lohnen sich – auch in kleinerem Umfang. Sie helfen Organisationen jeder Grösse, ihre Systeme gezielt abzusichern. YesWeHack unterstützt dabei mit Erfahrung und passenden Lösungen, denn Bug Bounty ist längst Standard und der Einstieg lohnt sich.

Was war bisher der grösste Erfolg mit dem öffentichen Intrusionstest zu E-Voting?

Für mich ist der grösste Erfolg, dass der Intrusionstest zu einer wiederkehrenden Übung geworden ist. Die Schweizerische Post und ihre Partner sind entschlossen, sie Jahr für Jahr unter den bestmöglichen Bedingungen durchzuführen. Allein dieses Engagement ist schon eine grosse Leistung. Darüber hinaus sehe ich jedes Jahr Fortschritte: bessere Organisation, stärkere Unterstützung für Testpersonen, breitere Kommunikation und höhere Beteiligung. Die Initiative wächst weiter in Umfang und Wirkung.

Wie lässt sich der Erfolg des Intrusionstest der Schweizerischen Post messen – etwa anhand von Datenverkehr oder im Vergleich zu ähnlichen Tests?

Metriken sind schwer vergleichbar – besonders bei komplexen Systemen wie E-Voting. Kritik an Prämien oder Ambitionen verkennt oft den Kontext: Das E-Voting-Programm gehört weltweit zu den anspruchsvollsten – mit hoher Transparenz, klarer Methodik und stetiger Weiterentwicklung.