Das neue PostgebŠude, an der Wankdorfallee, am Freitag 5. Juni 2015 in Bern. © Marcel Bieri
Das Postgebäude an der Wankdorfallee, am Freitag 5. Juni 2015 in Bern. © Marcel Bieri

Die Post lädt ethische Hacker*innen aus der ganzen Welt zu einem öffentlichen Intrusionstest des E-Voting-Systems ein. Mit Musterstimmrechtsausweisen können die White Hats den Stimmprozess durchspielen, um mögliche Schwachstellen aufzudecken, wie die das Unternehmen mitteilt.

Fachleute aus der ganzen Welt prüfen seit Anfang 2021 die Betaversion des E-Voting-Systems der Post. Damit will die Post sicherstellen, dass alle wesentlichen Komponenten des E-Voting-Systems eingehend durch externe Spezialisten geprüft werden, so dass sie mögliche Schwachstellen aufdecken und frühzeitig beheben kann. Auch der Bund hat vor rund drei Monaten erste Prüfberichte von unabhängigen Experten zum E-Voting-System vorgelegt, wie es in einer Mitteilung heisst.

Nun erweitert die Post die Testmöglichkeiten: Mit einem öffentlichen Intrusionstest können ethische Hacker*innen aus aller Welt neu zusätzlich zu den laufenden Prüfmöglichkeiten erstmals auch die sogenannte E-Voting-Infrastruktur ins Visier nehmen.

Die Hacker*innen treffen dabei laut Mitteilung erstmals auf genau dieselbe Infrastruktur, die auch beim tatsächlichen Einsatz des Systems in den Kantonen verfügbar sein wird. Die Post stellt für den öffentlichen Intrusionstest Musterstimmrechtsausweise zur Verfügung. Damit können Hacker*innen auf dem Abstimmungsportal den Prozess der Stimmabgabe 1:1 durchspielen und das System gezielt angreifen.

E-Voting-System bis 2023 einsatzbereit

Der Intrusionstest dauert noch bis zum 2. September 2022. Bestätigte Schwachstellen im Rahmen des Intrusionstests belohnt die Post mit bis zu 30 000 Franken. Die bestätigten Befunde werden laufend auf der Fachplattform GitLab publiziert.

Das Ziel der Post ist es, mit dem Intrusionstest mögliche Schwachstellen aufzudecken und zu beheben sowie die E- Voting-Infrastruktur zu verbessern. Damit will die Post den Kantonen ein sicheres E-Voting-System der neusten Generation bereitstellen. Der öffentliche Intrusionstest erfüllt laut Post auch eine Anforderung des Bundes für den E-Voting- Versuchsbetrieb. Die Post geht davon aus, dass sie ihr System den ersten interessierten Kantonen für den Einsatz im Laufe des Jahres 2023 zur Verfügung stellen kann.