Vergangene Woche hat die Post den ersten Befund im Intrusionstest bestätigt. Er hat den Schweregrad «tief». Der Melder des Befundes ist, Vladyslav Zubkov, 22 Jahre alt und Informatikstudent an der Eidgenössischen Technischen Hochschule (ETH) in Zürich. Als schnellster Hacker hat er den Bonus von 3'000 € erhalten, zusätzlich zur Belohnung von 1'000 € für den Befund. Im Gespräch erzählt er der Post, wie er zum ethischen Hacken gekommen ist und wie er sich in seiner beruflichen Zukunft für die Verbesserung der Cybersecurity einsetzen will – auch in seinem Heimatland, der Ukraine.
Beim Befund, den ich gemeldet habe, geht es nicht um eine Schwachstelle, die ein Hacker 1:1 ausnützen könnte. Es ist eine fehlende Definition im Header des http Request. Ich bin nach den Standardbausteinen der Websecurity vorgegangen bei meiner Recherche. In einer Sicherheitsprüfung werden die Titel standardmässig geprüft. Deswegen war ich auch fast überrascht als mein Befund bestätigt wurde. Ich dachte, dass sicher jemand schneller gewesen sei.
Letztes Jahr habe ich ein Master-Studentenprojekt an der Eidgenössisch Technischen Hochschule in Lausanne gemacht und eine Semesterarbeit zu E-Voting geschrieben. In diesem Rahmen habe ich das System untersucht und verschiedene Verbesserungen und Schwachstellen gefunden. Diese habe ich im Bug-Bounty-Programm der Post gemeldet. Im öffentlichen Intrusionstest habe ich nun wieder einen näheren Blick auf den Quellcode und die Spezifikation geworfen. Aus meiner Sicht ist das System seit 2022 stark verbessert worden – auch meine Befunde sind umgesetzt.
Zuerst war es für mich einfach eine studentische Arbeit. Als ich das Projekt näher kennengelernt habe, hat es mein Interesse aber geweckt: Das System ist aus politischer und sozialer Sicht sehr bedeutsam. Ich finde es toll, zur Sicherheit eines für die Schweizer Demokratie und Gesellschaft so wichtigen Systems beitragen zu können. Für mich ist das E-Voting Bug-Bounty-Programm der Post zudem einzigartig.
Ich habe schon an sehr vielen Hacking-Veranstaltungen und an Bug-Bounty-Programmen von grossen internationalen Firmen teilgenommen. Für mich hebt sich das E-Voting-Programm der Post aus verschiedenen Gründen ab: das Thema an sich hat diese politische Relevanz. Dann sind die wichtigsten Systemkomponenten offengelegt, d.h. man kann fast alles überprüfen. Es ist auch gut dokumentiert, wie das System auf dem eigenen Laptop installiert und so Angriffe simuliert werden können.
Die Post erfüllt für mich damit als Bounty-Hunter die wichtigsten drei Kriterien: sie behandelt Befunde eingehend und hat kurze Antwortzeiten, sie zahlt gute Belohnungen und im Programm gibt es immer neue Aspekte zu untersuchen.
Das war vor ca. vier Jahren. Damals war ich ungefähr 17 Jahre alt. Ich habe bereits an der Nationalen Polytechnischen Universität in Odessa (Ukraine) Informatik studiert. Fachlich habe ich mich immer stärker der Cybersicherheit zugewendet. So habe ich von den Hack-Events wie Intrusionstests und Bug Bounty-Programmen erfahren und neben dem Studium mit dem ethischen Hacken begonnen.
Zuerst schliesse ich noch mein Masterstudium ab. Danach möchte ich mich beruflich der Sicherheit von IT-Systemen widmen. Ob das als unabhängiger Researcher ist oder ob ich als IT-Sicherheitsexperte in einem Start-up oder einer etablierten Firma engagiert bin, ist für mich aktuell zweitrangig. Wichtig ist mir, dass die Cybersecurity in Systemen, welche Privatpersonen und Firmen nutzen, stets besser wird. In Zukunft möchte ich auch zur Digitalisierung meines Heimatlands Ukraine beitragen, spezifisch hinsichtlich Cybersecurity.
Für mich ist bei E-Government der Aspekt des Vertrauens zentral: Wenn Softwarentwickler wie die Post ihre Systeme offenlegen, können Spezialisten wie ich sie anschauen und prüfen. Das trägt stark dazu bei, Vertrauen in so komplexe Systeme wie E-Voting zu bilden. Hier gehen die Schweiz und die Post als Systemanbieterin meiner Meinung nach genau den richtigen Weg.