Um Sicherheitslücken ausfindig zu machen, lässt die Post die Wahl- und Abstimmungsplattform und die Infrastruktur ihres neuen E-Voting-Systems regelmässig von IT-Experten aus der ganzen Welt auf Herz und Nieren prüfen. Die Durchführung solcher «öffentlichen Intrusionstests» ist eine rechtliche Vorgabe des Bundes.
Seit dem vergangenen Wochenende ist es wieder so weit: Ethische Hackerinnen und Hacker nehmen das E-Voting-System der Post ins Visier. Sie treffen dabei erstmals auf das System, das für Nationalratswahlen konfiguriert ist und können damit neue Funktionalitäten prüfen. Die Post stellt dafür unter der URL pit.evoting.ch die E-Voting-Umgebung bereit. Es handelt sich um den neusten Systemrelease und die 1:1 Infrastruktur, welche auch an realen Urnengängen zum Einsatz kommt. Interessierte Fachleute aus der ganzen Welt können so den Prozess der Stimmabgabe durchspielen, Sicherheitslücken aufspüren und probieren, die Infrastruktur zu durchbrechen und in die elektronische Urne einzudringen. Der öffentliche Intrusionstest dauert vom 8. bis 31. Juli 2023.
Die Suche nach Schwachstellen lohnt sich
IT-Spezialistinnen und -spezialisten, die eine Schwachstelle finden, erhalten eine Belohnung. Die Post bezahlt für bestätigte Befunde je nach Schweregrad bis zu 250’000 Franken.
Neben dem öffentlichen Intrusionstest, den die Post wiederkehrend, aber zeitlich begrenzt durchführt, läuft die öffentliche Überprüfung des Programmiercodes, der Spezifikation und weiterer wesentliche Dokumentationen des E-Voting-System permanent. Diese Dokumente sind stets in der aktuellsten Version öffentlich auf der Fachplattform GitLab einsehbar, damit Spezialistinnen und Spezialisten diese prüfen können. Auf diesem Weg hat die Post bereits über 270 Meldungen erhalten und über 160'000 Franken für Belohnungen ausbezahlt.
Die Post veröffentlicht alle Befunde aus der öffentlichen Überprüfung auf der Fachplattform GitLab. Die Ergebnisse des öffentlichen Intrusionstests wird sie zudem in einem Bericht zusammenfassen und darüber informieren.
Am letzten öffentlichen Intrusionstest im Herbst 2022 haben rund 3’400 Hackerinnen und Hacker aus der ganzen Welt teilgenommen und das System angegriffen. Dabei gelang es niemandem, in das E-Voting-System oder in die elektronische Urne einzudringen. Ein Hacker hatte der Post einen Befund gemeldet und dafür eine Belohnung erhalten. Die Verbesserung hat die Post in der aktuellen Systemversion umgesetzt.
Warum führt ethisches Hacken zu mehr Sicherheit?
Das neue E-Voting-System der Schweizerischen Post hatte bei den Abstimmungen vom Juni 2023 in den Kantonen Basel-Stadt, St. Gallen und Thurgau seine erfolgreiche Premiere. Die Post entwickelt das System aber auch nach dem Ersteinsatz kontinuierlich weiter. Denn beim E-Voting hat Sicherheit oberste Priorität. Ethische Hackerinnen und Hacker in die Sicherheitsprüfungen einzubeziehen, ist eine besonders wirkungsvolle Massnahme der Cybersecurity. Als eines der ersten Unternehmen in der Schweiz hat die Post vor rund zwei Jahren ein öffentliche Bug-Bounty-Programm gestartet und damit wertvolle Erfahrungen gesammelt. Dank den gemeldeten Befunden konnte die Post Schwachstellen in ihren Systemen wirksam beheben und die Sicherheit immer weiter verbessern – so auch beim E-Voting.
Bei der Weiterentwicklung ihres E-Voting-Systems orientiert sich die Post zudem am Massnahmenkatalog, den Bund und Kantone im März 2023 verabschiedet haben.
Cybersecurity bei der Post
Digitale Technologien sind schnelllebig und entwickeln sich rasant. Auch Cyberkriminelle entwickeln ihre Angriffsmethoden stets weiter. Daher gehört es in der IT dazu, Systeme kontinuierlich auf Verbesserungen und Sicherheitslücken zu überprüfen.
Die Post kombiniert verschiedene Prüfmethoden, um eine hohe Sicherheit ihrer IT-Applikationen zu gewährleisten. Sie setzt dafür interne Massnahmen um und lässt Applikationen von spezialisierten Firmen prüfen. Zudem führt die Post seit mehreren Jahren öffentliche Bug-Bounty-Programme. In diesem Rahmen suchen private Computerspezialisten mit guten Absichten, sogenannte «ethische Hackerinnen und Hacker», nach Sicherheitslücken. Dafür greifen sie Systeme an und probieren, einzudringen. Sind sie dabei erfolgreich, erhalten sie von der Post eine finanzielle Belohnung. Die Post berücksichtigt die bestätigten Befunde bei der Weiterentwicklung und verbessert so ihre Online-Dienste kontinuierlich.
