Die Post gibt den Start eines Bug-Bounty-Programms für sein E-Voting-System bekannt. Es winken dabei erhebliche Summen für die Gemeinde der ethischen Hacker: Bis zu 30'000 Franken können die Penetration Tester für eine gefundene Lücke kassieren. Öffentliche Intrusionstests seien eine äusserst wirksame Methode, "um Systeme kontinuierlich zu verbessern und gegen Angriffe zu schützen", so
Die Post. Schon seit 2021 können Sicherheitsspezialisten den Quellcode des Systems unter die Lupe nehmen, mit dem öffentlichen Intrusionstest soll nun der nächste Schritt für die Absicherung des Systems absolviert werden. Ganz freiwillig passiert das möglicherweise nicht: Die Post wird durch die Vorgaben des Bundes gezwungen, diese Art von Tests regelmässig durchzuführen.
Damit können ethische Hacker vom 8. August bis zum 2. September 2022 die E-Voting-Infrastruktur der Post attackieren, eine Registrierung ist dafür nicht notwendig. Die Sicherheitsvorkehrungen im System haben mehrere Ebenen. Zum einen ist dies die Oberfläche des Abstimmungsportals – welches nun im Intrusionstest gehackt werden kann – zum zweiten sind das die zentralen Sicherheitsziele des Systems, die neben dem Schutz der Infrastruktur auch durch kryptografische Sicherheitsvorkehrungen geschützt sind. Wer Fehler in letzterer Ebene findet, kann gar deutlich mehr absahnen: Der Fund einer solchen Lücke kann bis zu 250'000 Franken einbringen.
Die Post informiert laufend über die Fortschritte und allfällige gefundene Fehler. Dies geschieht zum einen über den Post-Blog und zum anderen auf Gitlab. Der erste Anlauf mit dem neuen System soll ab 2023 gemacht werden, wenn es in die Hände der Kantone gegeben wird.
Hier findet sich der Zugang zum neuen Bug-Bounty-Programm.
(win)