Bug-Bounty-Programm in der 2. Jahreshälfte

Die Post veröffentlicht Bauanleitung des E-Voting-Systems

Uhr
von René Jaun und ebe

Die Schweizerische Post hat die Spezifikation ihres E-Voting-Systems veröffentlicht. In der kommenden Jahreshälfte will sie ein Bug-Bounty-Programm zu E-Voting lancieren. Derweil hat der Bund neue gesetzliche Grundlagen zum elektronischen Abstimmen in die Vernehmlassung geschickt.

(Source: TarikVision / iStock.com)
(Source: TarikVision / iStock.com)

Schon seit Januar veröffentlicht die Schweizerische Post Komponenten zu ihrem neuen E-Voting-System. Zunächst stellte sie das kryptografische Protokoll des Systems auf die Entwicklerplattform "Gitlab", zwei Monate später folgten zentrale kryptografische Algorithmen. Wie das Unternehmen auf seinem Blog mitteilt, steht neu auch die Spezifikation des Systems zur Prüfung bereit.

Dabei handle es sich sozusagen um die "Bauanleitung des E-Voting-Systems", schreibt die Post, und präzisiert: "Die Spezifikation beschreibt den Ablauf von der Konfiguration des elektronischen Urnengangs, über die Phase der Stimmabgabe bis zur Auszählung. Sie enthält sogenannte Pseudo-Codes, die zur Veranschaulichung von Algorithmen dienen."

Öffentliche Bug-Jagd in der 2. Jahreshälfte

Im Blogbeitrag zeigt sich die Post zufrieden mit der schrittweisen Veröffentlichung des Quellcodes. "Seit dem Start der Offenlegung hat das Community-Programm Fahrt aufgenommen: verschiedene nationale und internationale Forscherinnen und Forscher haben Befunde gemeldet." Das Unternehmen veröffentliche alle Befunde auf der CodingPlattform "Gitlab" und tausche sich mit der Community aus. Basierend auf den eingegangenen Meldungen habe die Post die Algorithmen bereits verbessern können.

Unlängst erweiterte die Post ihr Bug-Bounty-Programm. Seit Kurzem kann sich jeder und jede an der Suche nach Schwachstellen beteiligen. Die Post erweitert die Applikationen, die dort freigegeben sind, laufend. Im Blog schreibt das Unternehmen, dass auch für E-voting ein öffentliches Bug-Bounty-Programm geplant sei. Dieses soll in der 2. Jahreshälfte 2021 starten. In den nächsten Monaten sollen zudem der Quellcode des E-voting-Systems und der separaten Verifizierungssoftware veröffentlicht werden, kündet die Post an.

Neues Gesetz in Vernehmlassung

Auch auf politischer Ebene tut sich etwas. Nachdem der Bund sich von einer Expertengruppe über die Neuausrichtung von E-Voting in der Schweiz beraten liess, hat er nun die gesetzlichen Grundlagen überarbeitet. Dabei wird die Verordnung über die politischen Rechte (VPR) teilweise, und die Verordnung der Bundeskanzlei über die elektronische Stimmabgabe (VEleS) total revidiert, wie es auf der Website der Bundeskanzlei heisst.

Neu sei vorgeschrieben, dass nur noch vollständig verifizierbare E-Voting-Systeme zum Einsatz kommen sollen. Weiter regelt die Vernehmlassungsvorlage, dass pro Kanton maximal 30 Prozent und schweizweit maximal 10 Prozent der Stimmberechtigten an E-Voting-Versuchen teilnehmen dürfen. Ausserdem dürfe E-Voting neben den Auslandschweizerinnen und -schweizern auch Stimmberechtigten mit einer Behinderung bevorzugt, also ohne Anrechnung an diese Begrenzungen, angeboten werden.

Ob und mit welchem System die Kantone ihren Stimmberechtigten E-Voting anbieten wollen, überlässt der Bund ihnen. Die Vorgeschlagenen Änderungen befinden sich jetzt in Vernehmlassung. Diese dauert noch bis zum 18. August 2021. Danach geht das Geschäft an den Bundesrat.

Die Post hat ein öffentlcihes Bug-Bouty-Programm lanciert. Während das Unternehmen bislang gezielt ethische Hacker einlud, kann sich jetzt jeder und jede an der Suche nach Schwachstellen beteiligen. Für gefundene Sicherheitslücken zahlt die Post bis zu 10'000 Franken. Mehr dazu finden Sie hier.

Webcode
DPF8_216168