Die Post transportiert Informationen und Daten vertrauensvoll und sicher – in der physischen und in der virtuellen Welt. Mit ihrem vollständig verifizierbaren E-Voting-System, das sie an ihrem IT-Standort in Neuenburg entwickelt, will sie die sichere elektronische Stimmenübermittlung bei Wahlen und Abstimmungen ermöglichen. Bei der Entwicklung des E-Voting-Systems richtet sich die Post an den zukünftigen rechtlichen Grundlagen des Bundes für den E-Voting-Versuchsbetrieb aus.
Kontinuierliche Weiterentwicklung und öffentlicher Intrusionstest
Die Post plant, den Kantonen Ende 2022 das einsatzbereite E-Voting-System zur Verfügung zu stellen. Davor führt sie einen öffentlichen Intrusionstest durch, bei dem ethische Hackerinnen und Hacker die E-Voting-Infrastruktur angreifen können. Zudem verbessert sie das System basierend auf den Meldungen aus der Fachcommunity und aus der Überprüfung, die der Bund in Auftrag gegeben hat. Auch den Wissens- und Erfahrungsaustausch mit Kryptografinnen und Hackern führt die Post im laufenden Jahr über Fachplattformen und Fachwebinare weiter.
Bug-Bounty-Programm funktioniert: neuer Befund mit zweithöchstem Schweregrad
Anfang 2021 hat die Post ein Community-Programm zu E-Voting gestartet und die wesentlichen Komponenten und Dokumente der Betaversion ihres zukünftigen E-Voting-Systems veröffentlicht. Parallel führt sie ein unbefristetes Bug-Bounty-Programm, bei dem ethische Hacker und Kryptografinnen Belohnungen für bestätigte Befunde erhalten. So will die Post mögliche Schwachstellen im System aufdecken und frühzeitig beheben.
Dank der Analysen und Tests von Fachleuten aus der ganzen Welt hat die Post bereits verschiedene Verbesserungen am System vorgenommen. Eine Übersicht zu den sicherheitsrelevanten Befunden publiziert sie regelmässig auf ihrem E-Voting-Blog. Aktuell ist die Beschreibung eines neuen Befundes mit dem zweithöchsten Schweregrad aufgeführt, den die Post Mitte Januar mit dem Lösungsvorschlag veröffentlicht hat. Auf der Fachplattform GitLab sind weiterführende Informationen zu den eingegangenen Meldungen zu finden.
Öffentliche Überprüfung: Erfahrungsbericht der Post
Welche Erfolgsfaktoren und Herausforderungen bei der Offenlegung ihres E-Voting-Systems und der Zusammenarbeit mit der Community kann die Post festhalten? Ihre Erfahrungen hat die Post an der International Conference for Electronic Voting E-Vote-ID 2021 präsentiert. Der Beitrag der Post ist auf GitLab verfügbar.