Direkt zum Inhalt springen
 

Öffentlicher Intrusionstest für E-Voting im Februar und März 2019

Die Schweizerische Post stellt ihr künftiges E-Voting-System vom 25. Februar bis am 24. März 2019 für einen öffentlichen Intrusionstest zur Verfügung. Es handelt sich um das erste schweizerische System, das vollständig verifizierbar ist. Interessierte Personen auf der ganzen Welt sind eingeladen, das System anzugreifen und zu testen. Damit können allfällige Sicherheitslücken erkannt und behoben werden.

Die Kantone führen seit 2004 Versuche mit der elektronischen Stimmabgabe durch. Die Schweizerische Post hat ihr E-Voting-System weiterentwickelt zu einem System mit vollständiger Verifizierbarkeit. Diese gewährleistet, dass Fehlfunktionen infolge von Softwarefehlern, menschlichen Fehlleistungen oder Manipulationsversuchen erkannt werden. Der Kanton Thurgau beabsichtigt, das neue System voraussichtlich ab Herbst 2020 einzusetzen.

Die rechtlichen Vorgaben verlangen, dass das System vor dem Ersteinsatz zertifiziert wird. Zudem ist der Quellcode offenzulegen. Bund und Kantone haben entschieden, dass vollständig verifizierbare E-Voting-Systeme vor dem Ersteinsatz zusätzlich einem öffentlichen Intrusionstest (Public-Intrusion-Test, PIT) unterzogen werden. Bei einem Intrusionstest (auch Pentest genannt) wird die Sicherheit durch Angriffe auf das System geprüft. Ein solcher Test wird bereits im Rahmen der Zertifizierung durch eine akkreditierte Stelle durchgeführt. Mit dem öffentlichen Intrusionstest soll die Sicherheit zusätzlich durch eine Vielzahl von Personen geprüft werden. Die Hacker-Community soll versuchen, Stimmen zu manipulieren, abgegebene Stimmen zu lesen sowie Sicherheitsvorkehrungen ausser Kraft zu setzen oder zu umgehen, die die Stimmen und sicherheitsrelevanten Daten schützen. Damit können allfällige Sicherheitslücken erkannt und behoben werden. Im Vorfeld des Tests werden die Systemdokumentation und der Quellcode veröffentlicht.

Die Schweizerische Post stellt ihr System vom 25. Februar bis am 24. März 2019 für einen solchen öffentlichen Intrusionstest zur Verfügung. Die auf Intrusionstests spezialisierte Firma SCRT wird im Auftrag von Bund und Kantonen die Teilnehmenden registrieren. Sie bewertet die Rückmeldungen und nimmt zu ihnen zeitnah Stellung.

Bund und Kantone leisten über den Schwerpunktplan von E-Government Schweiz einen Beitrag von 250 000 Franken an den öffentlichen Intrusionstest. Davon sind 150'000 Franken als Beitrag an die Gesamtkosten der Schweizerischen Post vorgesehen. Die Aufwände von SCRT werden mit 100 000 Franken entgolten. Besonders wertvolle Meldungen von Sicherheitslücken sollen finanziell entschädigt werden. Die Schweizerische Post wird die Höhe der Entschädigungen festlegen und die Auszahlungen vornehmen.

Teilnahmeinteressierte können sich über https://onlinevote-pit.ch registrieren und auf weitere Informationen zu den Testmodalitäten zugreifen. Die Informationen zum Quellcode und die Systemdokumentation sind unter http://www.post.ch/evoting-sourcecode verfügbar. Weitere Infos zum Intrusionstest gibt es ausserdem unter: https://rechtsdienst.tg.ch/auslandschweizerinnen-und-schweizer/e-voting.html/1180