Wie Findings im öffentlichen Intrusionstest kategorisiert werden 28.02.2019
Im Auftrag des Bundes und der Kantone führt die Schweizerische Post vom 25.2. bis 24.3.2019 einen öffentlichen Intrusionstest an ihrem E-Voting-System durch. Inzwischen rund 3000 Personen der weltweit verteilten IT-Sicherheits-Community fordern das E-Voting-System heraus und melden allfällige Befunde. Wie werden diese behandelt und kategorisiert? Welche Entschädigungen zahlt die Post, wenn Schwachstellen bestätigt werden? Dieser Blogbeitrag gibt darauf Antwort.
Wenn ein Teilnehmer während des öffentlichen Intrusionstests glaubt, eine Manipulation vornehmen zu können oder eine Schwachstelle gefunden zu haben, meldet er dies auf der Plattform www.onlinevote-pit.ch. Die von Bund und Kantonen beauftragte unabhängige Firma SCRT SA nimmt eine erste Sichtung des Befunds vor. Wenn ein Befund plausibel ist, leitet die SCRT SA ihn an die E-Voting-Experten der Post zur Prüfung weiter. Nach dieser Analyse erhält der Teilnehmer von SCRT SA Bescheid, ob er tatsächlich eine Schwachstelle entdeckt hat. Der bestätigte Befund wird auf der Plattform www.onlinevote-pit.ch veröffentlicht und der Teilnehmer erhält eine Entschädigung. Zudem steht es den Forschern frei, ihre Befunde nach der Publikation auf der Plattform zu veröffentlichen.
Der gesamte Prozess wird von Vertretern von Bund und Kantonen überwacht.
Ein Befund trifft tatsächlich zu, was passiert nun?
Bestätigte Befunde werden folgendermassen kategorisiert:
In die Kategorie 1 Best Practices gehören Befunde, die unkritische Optimierungsmöglichkeiten aufzeigen. Es ist üblich, dass in einem Intrusionstest etliche Befunde dieser Kategorie zu Tage treten und auch in diesem Intrusionstest wird mit einigen solcher Befunde gerechnet.
Befunde der ersten Kategorie stellen oft kein Sicherheitsproblem dar und können vergleichsweise leicht behoben werden. Ein typisches Beispiel ist etwa, wenn für eine Softwarekomponente ein Update verfügbar ist, das noch nicht vorgenommen wurde. Es gibt auch Gründe, warum Best-Practice-Empfehlungen manchmal bewusst nicht umgesetzt werden, zum Beispiel aus Kompatibilitätsgründen, um ältere Internetbrowser noch zu unterstützen.
Findings der Kategorie Best Practice werden mit mindestens CHF 100.- entschädigt.
In der Kategorie 2 Eindringen ins System muss es einem Hacker gelingen, in die Server des E-Voting-Systems einzudringen (Shell-Access erlangen). Shell Access reicht alleine nicht aus, um die elektronische Stimmabgabe unentdeckt zu manipulieren. Es wäre aber theoretisch möglich, Handlungen auf dem Server vorzunehmen, die Auswirkungen auf das System haben. Befunde in dieser zweiten Kategorie werden mit mindestens CHF 1’000.- entschädigt.
In die Kategorie 3 Stimmen auf dem Server zerstören/unbrauchbar machen fallen erfolgreiche Versuche, das E-Voting-System so zu stören, dass eine Stimmenauszählung nicht mehr möglich ist. Diese Befunde der Kategorie 3 werden mit mindestens CHF 5’000.- entschädigt.
In die Kategorie 4 Bruch des Stimmgeheimnisses innerhalb des Systems fallen Systemangriffe, die es Angreifern ermöglichen, durch Ausspionieren des E-Voting-Systems herauszufinden, wer oder wie jemand abgestimmt hat. Sollte dies gelingen, wird der Aufwand mit mindestens CHF 10'000.- entschädigt.
In der Kategorie 5 gelingt es den Hackern, Stimmen in der Urne zu manipulieren; also beispielsweise «Ja»- in «Nein»-Stimmen zu verwandeln. Wem dies gelingt, wird für seinen Aufwand mit mindestens CHF 20'000.- entschädigt.
Manipulationen der Kategorien 1 bis 5 würden vom E-Voting-System und entsprechenden Kontrollmechanismen bemerkt und gemeldet.
Sollte es gelingen, Stimmen in der Urne so zu manipulieren, dass die Manipulation nicht bemerkt wird, fiele der Befund in die Kategorie 6. Für erfolgreiche Systemeingriffe der Kategorie 6 sind Entschädigungen zwischen CHF 30'000 und CHF 50'000 vorgesehen.
Die Details zu den Entschädigungen finden sich in den Teilnahmebedingungen.
Die Erkenntnisse aus dem öffentlichen Intrusionstest fliessen in die Weiterentwicklung des E-Voting-Systems der neusten Generation ein.
