Interessierte White Hats aus aller Welt sind dazu eingeladen, das E-Voting System der Schweizer Post in Bezug auf seine Sicherheit zu testen. Die Verantwortlichen erhoffen sich davon das Aufdecken und Beseitigen von Sicherheitslücken.
Der öffentliche Intrusionstest (PIT) startete am 25. Februar 2019 und wird bis zum 24. März andauern.
„Ein Intrusionstest wird bereits im Rahmen der Zertifizierung durch eine akkreditierte Stelle durchgeführt. Mit dem öffentlichen Intrusionstest kann die Sicherheit nun zusätzlich durch eine Vielzahl von Personen aus aller Welt geprüft werden.“, heißt es in der Medienmitteilung der Bundeskanzlei vom 07. Februar 2019.
Die Webseite https://onlinevote-pit.ch/ übernimmt die Übermittlung von Schwachstellen, welche die Pen-Tester aufspüren. Jede aufgedeckte Sicherheitslücke wird durch ein unabhängiges Unternehmen überprüft. Außerdem kann sie mit einer Aufwandsentschädigung von bis zu 50.000 CHF honoriert werden. Insgesamt stehen für das Aufspüren von sicherheitsrelevanten Mängeln 150.000 CHF zur Verfügung.
Abbildung 1: Die angebotenen Belohnungen in Schweizer Franken (Quelle: evoting-blog.ch)
Der Test ist für jeden offen – von überall aus der Welt. Man muss sich nur auf der dafür vorgesehenen Webseite registrieren, um an den Quellcode zu gelangen.
Der Erhalt des Quellcodes ist an die Bedingung geknüpft, dass gefundene Sicherheitsprobleme nicht ohne Absprache mit der Schweizer Post veröffentlicht werden. Unbekannte haben das allerdings nun auf Gitlab getan. Auf diese Weise ist der Code auch ohne Registrierung einsehbar.
Seriously this code doesn't even begin to approximate the standard that should be expected of a system designed to secure the integrity of public elections.https://t.co/jjStoJ22Qw
— Sarah Jamie Lewis (@SarahJamieLewis) February 20, 2019
Die Schweiz ist für seine Wahlen oder Volksabstimmungen bekannt. Allein im Jahr 2018 wurden die Schweizer viermal an die Wahlurnen gerufen, um in zehn Referenden eine Stimme abzugeben. Die meisten der 26 Kantone erlauben den im Ausland wohnenden Schweizern, die elektronische Stimmabgabe. In einigen Kantonen können das auch die im Inland lebenden. Die Regierung ist bemüht, dass elektronische Wahlverfahren als Alternative zum persönlichen Erscheinen oder zur Briefwahl zu etablieren.
Allerdings wird die (Un-)Sicherheit der elektronischen Wahlsysteme zunehmend zum Problem. ESETs „Trends 2018“-Bericht befasst sich auch mit diesem Thema und adressiert die möglichen Folgen von unsicheren Online-Wahlen auf die Demokratie.
