E-Voting-System der Post übersteht Intrusion-Test

Rund 3400 ethische Hackerinnen und Hacker aus der ganzen Welt haben während vier Wochen versucht, das zukünftige E-Voting-System der Post zu knacken. Die Sicherheitsforschenden haben dabei rund 60'000 Attacken auf das System abgefeuert. Es gelang niemanden, in das E-Voting-System oder gar in die elektronische Urne einzudringen, wie die Post mitteilt.

"Wir freuen uns, dass so viele Spezialistinnen und Spezialisten versucht haben, unser System zu knacken. Je mehr, desto besser für die Sicherheit des Systems. Natürlich wollen wir aus Schwachstellen lernen, aber es freut uns und ist als Erfolg zu werten, dass es niemandem gelungen ist, in das System einzudringen – das spricht für das hohe Sicherheitsniveau unseres Systems", sagt Nicole Burth, Leiterin Kommunikations-Services bei der Post.

Keine kritischen Schwachstellen in der Infrastruktur

Seit Anfang 2021 stehe die Beta-Version des E-Voting-Systems der Post auf dem Prüfstand weltweiter Fachleute. Dank des Intrusionstests konnten ethische Hackerinnen und Hacker erstmals auch die sogenannte E-Voting-Infrastruktur ins Visier nehmen – also den äusseren Schutzmantel des E-Voting-Systems.

Zudem konnten die Hackerinnen und Hacker den Prozess der Stimmabgabe auf dem Abstimmungsportal mit Musterstimmrechtsausweisen durchspielen – genauso, wie es dann auch bei Wahlen und Abstimmungen wäre.

Beim Intrusionstest sind keine Befunde des Schweregrads "mittel", "schwer" oder "kritisch" eingegangen oder bestätigt worden. Nach einer Überprüfung konnte die Post nur einen von zwei eingegangenen Befunden bestätigen. Dieser hat den Schweregrad "tief". Der Befund betraf keine sicherheitsrelevanten Aspekte, dient aber dazu, Prozesse auf dem Abstimmungsportal zu verschlanken. Die Post setzt diesen Vorschlag um. Der Hacker hat eine Belohnung von 500 Franken erhalten.

Das E-Voting-System werde derzeit auch durch vom Bund eingesetzten, unabhängigen Fachpersonen überprüft. Dabei untersuchen Sie jedoch primär, ob das System den Anforderungen der Rechtsgrundlagen entspricht. Die Post plane, ihr neues E-Voting-System interessierten Kantonen voraussichtlich im Laufe des Jahres 2023 für den Einsatz zur Verfügung zu stellen.

Übrigens: Im vergangenen April veröffentlichte der Bund einen ersten unabhängigen Untersuchungsbericht zum E-Voting-System der Post. Schon damals erhielt das System mehrheitlich gute Noten, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.