Die Post legt seit Anfang 2021 die Betaversion ihres E-Voting-Systems etappenweise offen. Zuletzt hat sie im September den Quellcode veröffentlicht. Zum gleichen Zeitpunkt hat die Post auch das unbefristete öffentliche Bug-Bounty-Programm zum E-Voting-System gestartet. Sie belohnt Befunde je nach Schweregrad mit bis zu 250 000 Franken. Expertinnen und Experten aus der ganzen Welt können das System prüfen und testen, beispielsweise Urnengänge simulieren, und der Post Verbesserungen melden. Ziel ist es, mit der Beteiligung der internationalen Fachwelt Schwachstellen frühzeitig zu finden, zu beheben und das System so kontinuierlich weiterzuentwickeln. Die bewusst gesuchte Aussensicht von unabhängigen Fachleuten ist ein Mosaikstein in der Entwicklung eines sicheren Systems. Gleichzeitig wird die öffentliche Überprüfung voraussichtlich eine Bedingung des Bundes für E-Voting-Systeme in der Schweiz werden, die für den rechtlich definierten Versuchsbetrieb zugelassen und in interessierten Kantonen eingesetzt werden können.
Seit Juli 2021 prüfen auch vom Bund eingesetzte unabhängige Expertinnen und Experten parallel zur öffentlichen Überprüfung die Betaversion des E-Voting-Systems der Post. Diese Prüfung soll mit der Veröffentlichung von Berichten abgeschlossen werden. Erste Erkenntnisse werden der Post zur raschen Weiterentwicklung des E-Voting-Systems bereits vorher gemeldet. Die hierbei umgesetzten Korrekturen veröffentlicht die Post ebenfalls auf GitLab und auf der vorliegenden Webseite.
Die Befunde zum E-Voting-System stuft die Post in vier Schweregrad-Kategorien ein (tief, mittel, hoch, kritisch). Eine Beschreibung der Schweregrade findet sich auf der E-Voting-Community-Webseite.
Bisher haben sich mehrere Hundert Personen, darunter sowohl Spezialistinnen und Spezialisten aus der Wissenschaft als auch ethische Hackerinnen und Hacker, am Community-Programm der Post zu E-Voting beteiligt. Die Post hat 111 Meldungen erhalten, darunter sind drei Befunde des Schweregrads hoch. Zwei davon sind bereits vor dem Start des öffentlichen Bug-Bounty-Programms eingegangen. Einen neuen Befund hat das E-Voting-Team der Post im Oktober dank der Analyse der unabhängigen Expertinnen und Experten des Bundes festgestellt. Die Post hat zu allen drei Befunden Lösungsvorschläge vorgelegt, bzw. in einem Fall die Korrektur bereits im System umgesetzt. Es ist noch kein Befund des höchsten Schweregrades (kritisch) eingegangen.
Die Post begreift Cyber-Security als kontinuierlichen partizipativen Prozess. Sie ist daher erfreut über die rege Beteiligung von Fachleuten aus der ganzen Welt an ihrem E-Voting-Community-Programm. So kann die öffentliche Überprüfung als Massnahme, um die Sicherheit eines Systems stets auf möglichst hohem Level zu halten, ihre volle Wirkung entfalten. Die Post korrigiert alle schwerwiegenden Befunde, bevor sie ihr E-Voting-System für den Einsatz in den Kantonen bereitstellt.
Eine Übersicht über den Verlauf der öffentlichen Überprüfung und eine regelmässig aktualisierte Beschreibung über alle bestätigten Befunde, deren Schweregrad die Post nach eingehender fachlicher Analyse als hoch oder kritisch einstuft, finden Sie in diesem Blogartikel.