Überprüfung des eVoting-Systems Schweizerische Post gibt 150.000 Zeilen Quellcode zum Testen frei

Autor: Ira Zahorsky

Mit bis zu 230.000 Euro will die Schweizerische Post ethische Hacker für bestätigte, kritische Schwachstellen im künftigen eVoting-System belohnen. Dafür gab das Unternehmen jetzt den Quellcode und die zugrunde liegenden kryptografischen Prinzipien zum Testen frei.

Firmen zum Thema

In der DACH-Region ist die Schweiz das einzige Land, das ein eVoting-System aufbaut.
In der DACH-Region ist die Schweiz das einzige Land, das ein eVoting-System aufbaut.
(© SriWidiawati - stock.adobe.com)

Die Anforderungen an eVoting-Systeme sind hoch. Gesetzliche Bestimmungen machen Vorgaben zur Sicherheit, Zuverlässigkeit, Überprüfbarkeit und Einhaltung des Wahlgeheimnisses. In der Schweiz wurde eVoting erstmals 2003 im Rahmen laufender Tests in begrenztem Umfang eingeführt. Es zählt dort zu den wichtigsten technologischen Komponenten, da es den Kern der direkten Demokratie unterstützt.

Bereits 2020 initiierte die Schweizerische Post gemeinsam mit YesWeHack ein privates Bug-Bounty-Programm und lud mehr als 800 ethische Hacker dazu ein, das eVoting-System zu testen. Bug-Bounty-Programme gelten weltweit als Best Practice, um solche Initiativen zu unterstützen.

Crowdsourced Security spielt eine entscheidende Rolle beim Aufbau von Bürgervertrauen.

Guillaume Vassault-Houlière, CEO und Mitbegründer von YesWeHack

Anfang 2021 begann die Offenlegung des Quellcodes des künftigen eVoting-Systems mit vollständiger Verifizierbarkeit. Verschiedene Etappen sollen sicherstellen, dass genügend Zeit für die Umsetzung der gemeldeten Schwachstellen zur Verfügung steht.

In der aktuellen Phase der Sicherheitsüberprüfung sind erneut ethische Hacker weltweit eingeladen, die zugrunde liegenden kryptografischen Prinzipien des eVoting-Systems auf Fehler zu untersuchen sowie über 150.000 Zeilen Quellcode zu prüfen.

Hohe Belohnung für Schwachstellen

Als Anreiz bietet die Schweizerische Post eine Belohnung von bis zu 230.000 Euro für bestätigte, kritische Schwachstellen an. „Um führende Experten und Top-Hacker für unser Programm zu gewinnen, bieten wir hohe Belohnungen für bestätigte Schwachstellen im eVoting an. Auch wenn diese im internationalen Vergleich branchenüblich sind, liegen sie bei der Schweizerischen Post und in der Schweiz weit über dem Durchschnitt der üblichen Bug-Bounty-Programme. Dies ist auf den Umfang und die Komplexität des eVoting-Systems zurückzuführen“, erklärt Marcel Zumbühl, Chief Information Security Officer der Schweizerischen Post, die ihre Führungsrolle durch die Digitalisierung des Schweizer Wahlsystems ausbauen will.

Anforderungen an eVoting-Systeme

Gesetzliche Bestimmungen bilden den Rahmen für die Systemarchitektur. eVoting-Systeme müssen unzähligen Qualitätstests und simulierten Hackerangriffen standhalten, um für echte Abstimmungen zugelassen zu werden. Nur eine transparente Lösung kann langfristig erfolgreich sein. Deshalb ist die Zusammenarbeit mit unabhängigen Sicherheitsexperten zur kontinuierlichen Weiterentwicklung und Verbesserung des Systems entscheidend.

eVoting in Deutschland und Österreich

Eine elektronische Wahl bringt viele Vorteile mit sich: eine höhere Wahlbeteiligung, weniger Aufwand für die Wahlhelfer, eine schnellere Stimmenauszählung und eine geringere Fehlerquote sind hier zu nennen. Doch in Deutschland und Österreich überwiegen die Bedenken in Bezug auf Sicherheit, Datenschutz und Einhaltung der Wahlgrundsätze. Vorfälle wie bei der Bundestagswahl 2005, als Wahlcomputer im Nachgang vom Bundesverfassungsgericht für verfassungswidrig erklärt wurden, oder ein Urteil des österreichischen Verfassungsgerichtshofs (VfGH) von 2011, das die Verordnung zum eVoting bei Wahlen der Österreichischen Hochschülerschaft (ÖH) als gesetzwidrig aufhob, ließen Debatten verstummen.

(ID:47699597)

Über den Autor

 Ira Zahorsky

Ira Zahorsky

Redakteurin und Online-CvD, IT-BUSINESS