Öffentlicher Hackertest am E-Voting-System der Post

Sprachnavigation

Öffentlicher Hackertest am E-Voting-System der Post 07.02.2019

Die Post führt an ihrem E-Voting-System vom 25. Februar bis 24. März 2019 einen Belastungstest durch. Bei diesem so genannten öffentlichen Intrusionstest (public intrusion test, PIT) können Hacker und andere unabhängige IT-Spezialisten das E-Voting-System der Post mit gewollten Angriffen herausfordern. Wie läuft der Intrusionstest ab und was passiert bei allfälligen Befunden? Die Antworten auf die wichtigsten Fragen.

Wie läuft der Intrusionstest ab?

Im Test wird eine eidgenössische Abstimmung simuliert. Wie bei normalen Abstimmungen startet die mögliche Stimmabgabe, und damit der Intrusionstest, vier Wochen vor dem Abstimmungssonntag. Als Abstimmungssonntag wird der 24. März 2019 angenommen. Der Intrusionstest dauert daher vom 25. Februar bis 24. März.

Interessierte Teilnehmende müssen sich auf der Plattform www.onlinevote-pit.ch registrieren. Bund und Kantone haben die unabhängige Firma SCRT SA beauftragt, den Intrusionstest durchzuführen und die Plattform zu betreiben.

Auf der Plattform können die Teilnehmer ihre Stimmrechtsausweise für den Test herunterladen. Der Stimmrechtsausweis enthält wie bei normalen Abstimmungen die notwendigen Codes, um an der simulierten Abstimmung und damit am Intrusionstest teilzunehmen. Im Gegensatz zu einem normalen Urnengang können die Teilnehmer mehrere Stimmrechtsausweise beziehen. Zudem werden sie nicht per Post geschickt, sondern sind elektronisch verfügbar.

Allfällige Befunde können die Teilnehmenden auf der Plattform www.onlinevote-pit.ch einreichen. Die Firma SCRT wird die Befunde sichten. Ist ein Befund plausibel, leitet sie ihn an die Post weiter. Die Post wird die Befunde analysieren und gegebenenfalls reproduzieren. Kann sie einen Befund bestätigen, gibt sie ihn zur Veröffentlichung frei und der Einreicher hat Anrecht auf eine finanzielle Entschädigung, sofern er den Befund als erster eingereicht hat.

Am Sonntag, 24. März wird die elektronische Urne von der fiktiven Wahlkommission entschlüsselt und geöffnet. Befunde können bis am 25. März um 24:00 Uhr eingereicht werden.

Warum führt die Post einen Intrusionstest an ihrem E-Voting-System durch?

Die Post ist überzeugt, dass nur eine transparente E-Voting-Lösung langfristig erfolgreich sein kann. Mit dem Intrusionstest setzt sie ihr System der Intelligenz und Raffinesse gewiefter Hacker aus, um zu erkennen, ob und wie man ihr E-Voting-System allenfalls in Bedrängnis bringen kann.

Sie wird die Ergebnisse des Intrusionstests in die Weiterentwicklung ihres E-Voting-Systems einfliessen lassen. Sollten Schwachstellen entdeckt werden, wird die Post sie evaluieren und beheben.

Nicht zuletzt soll der Intrusionstest auch Tatsachen schaffen und dadurch zu einer faktenbasierten Diskussion von E-Voting beitragen.

Intrusionstests sind in der Informationstechnologie etabliert und gehören bei der Entwicklung vieler IT-Systeme zum Standard.

Was können die Teilnehmer genau prüfen?

Sie können das E-Voting-System der Post mit individueller und universeller Verifizierbarkeit prüfen.

Die Angriffstypen müssen direkt mit dem E-Voting-System der Post zu tun haben. Andere Angriffe sind nicht teilnahme- und auch nicht entschädigungsberechtigt. Dazu gehören u.a.:

  • Angriffe auf andere Systeme oder Anwendungen der Post
  • Angriffe auf das Endgerät des Stimmbürgers
  • Angriffe, die auf der Annahme basieren, dass Wähler sich nicht an die Instruktionen halten, z. B. dass ein Wähler den Bestätigungscode nicht überprüft

Details finden sich im Code of Conduct.

Was macht die Post, falls eine Schwachstelle entdeckt wird?

Wer einen öffentlichen Intrusionstest durchführt, setzt sich bewusst der Raffinesse unabhängiger Hacker aus und muss mit Befunden rechnen.

Die Post wird Befunde professionell auswerten und relevante Fehler oder Schwachstellen schnellstmöglich beheben.

Gibt es beim Intrusionstest Unterschiede zu einem echten Urnengang?

Ja, es gibt einige Unterschiede, insbesondere:

  • Die Post wird bestimmte Sicherheitsmassnahmen des Systems deaktivieren, damit sich die Teilnehmer voll auf den Angriff auf das Kernsystem konzentrieren können. Dank der Erfahrung im normalen Betrieb kann die Post potentielle Angriffe rasch identifizieren. Diese Warnsignale werden im Intrusionstest ignoriert.
  • Der Versand der Stimmrechtsausweise erfolgt beim Intrusionstest aus praktischen Gründen elektronisch statt per Post. Zudem werden die Ausweise von der Post generiert und nicht von den kantonalen Behörden.
  • Die Tester können nicht nur einen, sondern mehrere Stimmrechtsausweise bestellen.

Wer darf teilnehmen?

Alle dürfen sich anmelden. Es gibt keine Beschränkung. Gewisse Personen sind aber nicht entschädigungsberechtigt, zum Beispiel Mitarbeitende der Post.

Wo melden sich die Teilnehmer an?

Auf der Plattform www.onlinevote-pit.ch.

Wieso müssen sich die Teilnehmer anmelden?

Eine Anmeldung ist aus drei Gründen notwendig:

  • Sie stellt sicher, dass Teilnehmer das System aus rechtlicher Sicht angreifen dürfen
  • Sie stellt sicher, dass bei bestätigten Befunden eine Entschädigung ausbezahlt werden kann
  • Sie klärt die Verhaltensregeln für die Teilnehmer

Warum führt eine Drittfirma den Intrusionstest durch? Welche Funktion hat diese Firma beim Intrusionstest?

Bund und Kantone haben die Schweizer Firma SCRT SA beauftragt, den Intrusionstest operativ umzusetzen. Dadurch ist eine unabhängige Durchführung und Erstbewertung der Resultate gewährleistet. Die SCRT SA ist auf die Durchführung von Intrusionstests spezialisiert. Ihre wichtigsten Aufgaben sind:

  • Betrieb der Plattform für die Registration und Einreichung von Befunden www.onlinevote-pit.ch
  • Erste Sichtung der eingereichten Befunde
  • Kommunikation mit den Teilnehmern und Koordination zwischen den Teilnehmern und der Post

Wo reichen die Teilnehmer Befunde ein? Bis wann können Befunde eingereicht werden?

Die Teilnehmer reichen Befunde bis am Montag, 25. März 2019 um 24:00 Uhr auf www.onlinevote-pit.ch ein.

Wie läuft die Beurteilung der Befunde ab?

Die von Bund und Kantonen beauftragte unabhängige Firma SCRT SA nimmt eine erste Sichtung der Befunde vor. Wenn ein Befund plausibel ist, leitet ihn die SCRT SA an eine Spezialistengruppe der Post weiter. Diese analysiert und beurteilt den Befund und versucht allenfalls, ihn zu reproduzieren.

Nach dieser Analyse erhält der Einreicher Bescheid, ob sein Befund bestätigt werden kann.

Für bestätigte Befunde gelten für die Teilnehmer die im Code of Conduct beschriebenen Publikationsregeln.

Wie lauten die Entschädigungsregeln?

Ein Teilnehmer erhält eine Entschädigung, wenn er einen Befund als erster einreicht und Bund, Kantone und die Post ihn bestätigen. Die Höhe der Entschädigung hängt vom Schweregrad des Befundes ab. Folgende Kategorien wurden definiert.

Kategorie
Mindestentschädigung in CHF
Best Practice (unkritische Optimierungsmöglichkeiten)
100.-
Eindringen in das E-Voting-System (Intrusion)
1‘000.-
Korrumpieren oder Unbrauchbarmachen von Stimmen
5‘000.-
Erfolgreicher Angriff auf das Stimmgeheimnis auf den Servern
10‘000.-
Stimmenmanipulation, die vom System bemerkt wird
20‘000.-
Unbemerkte Stimmenmanipulation
30‘000.- bis 50‘000.-

Die Details zu den Entschädigungen finden sich in den Teilnahmebedingungen.

Welche Regeln müssen die Teilnehmer befolgen?

Die Verhaltensregeln und Teilnahmebedingungen sind hier publiziert. Sie halten beispielsweise fest, was die Teilnehmer genau testen dürfen. Auch die Entschädigung oder Regeln zur Veröffentlichung von Befunden sind darin definiert.

An wen müssen sich Teilnehmer bei Fragen zum Intrusionstest wenden?

Fragen werden über ein Kontaktformular auf der Plattform www.onlinevote-pit.ch eingereicht.

Wo wird der Quellcode veröffentlicht?

Die Post hat den Quellcode am 7. Februar 2019 hier veröffentlicht. Um ihn einsehen zu können, ist eine Registrierung erforderlich. Der Quellcode wird dauerhaft veröffentlicht.

Die Post entspricht damit den gesetzlichen Vorgaben. Weitere Informationen zum Quellcode finden sich im Blogbeitrag.

Weitere Informationen zum Intrusionstest finden sich auch in der Medienmitteilung der Bundeskanzlei.