Medienmitteilungen

Hacker stellten das E-Voting-System auf die Probe


Rund 3400 Hackerinnen und Hacker aus der ganzen Welt haben während vier Wochen versucht, das zukünftige E-Voting-System der Post zu knacken. Sie haben das System mit rund 60 000 Angriffen auf die Probe gestellt. Nun ist der sogenannte Intrusionstest abgeschlossen. Dabei handelt es sich um eine Testform, bei der Hackerinnen und Hacker eine Anwendung angreifen und dadurch herausfinden, ob sie Schwachstellen entdecken. Bei diesem Test gelang es niemandem, in das E-Voting-System oder gar in die elektronische Urne einzudringen. Mit dem Abschluss des Intrusionstests ist die Post noch nicht am Ziel: Derzeit laufen weitere Prüfmöglichkeiten durch ethische Hackerinnen und Hacker sowie die unabhängige Prüfung im Auftrag des Bundes.

Inhaltsbereich

Die Post arbeitet mit Hochdruck daran, ein sicheres E-Voting-System für die Schweiz zu entwickeln. Nun ist ein weiterer Meilenstein erreicht. Ethische Hackerinnen und Hacker aus der ganzen Welt konnten während vier Wochen am sogenannten öffentlichen Intrusionstest teilnehmen. Das ist eine Testform, bei der Hackerinnen und Hacker eine Anwendung angreifen. Sie versuchen dabei, Schwachstellen oder Sicherheitslücken zu finden. Der Intrusionstest des E- Voting-Systems fand vom 8. August bis zum 2. September 2022 statt. Für die Post ist dies ein wichtiges Instrument, um mögliche Schwachstellen im System aufzudecken, frühzeitig zu beheben und so das System noch sicherer zu machen. Die Aussensicht von unabhängigen Fachleuten ist ein zentrales Element in der Entwicklung eines sicheren E-Voting- Systems für die Schweiz.

Der Intrusionstest weckte weltweit das Interesse von Hackerinnen und Hackern. Rund 3400 Hackerinnen und Hacker haben versucht, das E-Voting-System der Post zu knacken. 60 000 Angriffe prasselten auf das System ein. Nun ist der Test abgeschlossen und die Ergebnisse liegen vor: Es ist niemandem gelungen, das E-Voting-System zu knacken oder sogar in die elektronische Urne vorzudringen. «Wir freuen uns, dass so viele Spezialistinnen und Spezialisten versucht haben, unser System zu knacken. Je mehr desto besser für die Sicherheit des Systems. Natürlich wollen wir aus Schwachstellen lernen, aber es freut uns und ist als Erfolg zu werten, dass es niemandem gelungen ist, in das System einzudringen – das spricht für das hohe Sicherheitsniveau unseres Systems», freut sich Nicole Burth, Leiterin Kommunikations-Services bei der Post.

Infrastruktur des E-Voting-Systems eingehend geprüft – keine schwerwiegenden Befunde

Seit Anfang 2021 steht die Beta-Version des E-Voting-Systems der Post auf dem Prüfstand weltweiter Fachleute. E- Voting ermöglicht es Stimmberechtigten, elektronisch abzustimmen und zu wählen. Die Stimmberechtigten, die E- Voting nutzen können, erhalten das Abstimmungs- oder Wahlmaterial per Briefpost und damit zusätzlich die individuellen Sicherheitscodes für die elektronische Stimmabgabe. So können sie sich auf der E-Voting-Plattform ihres Kantons anmelden und elektronisch wählen oder abstimmen. Alle Informationen, die während der Stimmabgabe übermittelt werden, sind anonymisiert und mit einer End-to-End-Verschlüsselung geschützt. Nur die kantonalen Wahlbehörden können das Resultat in der elektronischen Urne auswerten. Rückschlüsse von der Stimme auf die stimmberechtigte Person sind an keiner Stelle möglich. Beim Intrusionstest konnten ethische Hackerinnen und Hacker auch diesen Prozess der Stimmabgabe auf dem Abstimmungsportal mit Musterstimmrechtsausweisen durchspielen.

Dank des Intrusionstests konnten ethische Hackerinnen und Hacker erstmals auch die sogenannte E-Voting- Infrastruktur ins Visier nehmen – also den äusseren Schutzmantel des E-Voting-Systems. Zudem konnten die Hackerinnen und Hacker den Prozess der Stimmabgabe auf dem Abstimmungsportal mit Musterstimmrechtsausweisen durchspielen – genauso, wie es dann auch bei Wahlen und Abstimmungen sein wird.

Befunde werden in die vier Schweregrade «tief», «mittel», «schwer» und «kritisch» eingeteilt. Beim Intrusionstest sind keine Befunde des Schweregrads «mittel», «schwer» oder «kritisch» eingegangen oder bestätigt worden. Nach Überprüfung konnte die Post nur einen von zwei eingegangenen Befunden bestätigen. Dieser hat den Schweregrad «tief». Der Befund betraf keine sicherheitsrelevanten Aspekte, dient aber dazu, Prozesse auf dem Abstimmungsportal zu verschlanken. Die Post setzt diesen Vorschlag um. Der Hacker hat eine Belohnung von 500 Franken erhalten.

Erneute unabhängige Prüfung im Auftrag des Bundes

Der Abschluss des Intrusionstests ist ein weiterer Schritt dahingehend, der Schweiz ein sicheres E-Voting-System zur Verfügung zu stellen. Parallel zu den laufenden Prüfmöglichkeiten durch Hackerinnen und Hacker läuft nach wie vor die unabhängige Prüfung im Auftrag des Bundes. Die dafür eingesetzten Fachleute untersuchen, ob das System den Anforderungen der Rechtsgrundlagen entspricht. Im April 2022 wurden dazu erste Prüfberichte veröffentlicht. Die Post hat ihr System seither weiterentwickelt. Das E-Voting-System wird derzeit von den vom Bund eingesetzten unabhängigen Fachpersonen erneut überprüft. Die Post plant, ihr neues E-Voting-System interessierten Kantonen voraussichtlich im Laufe des Jahres 2023 für den Einsatz zur Verfügung zu stellen.

Weitere Informationen:

Gesamtübersicht Befunde aus dem Community-Programm: Aktuelles aus der öffentlichen Überprüfung

Auskunft:

Medienstelle Post, Silvana Grellmann, 058 341 26 71, presse@post.ch