Öffentlicher Intrusionstest Post-System 2019
Die Schweizerische Post hat ihr künftiges E-Voting-System vom 25. Februar bis am 24. März 2019 für einen öffentlichen Intrusionstest zur Verfügung gestellt. Es handelt sich um das erste schweizerische System, das vollständig verifizierbar ist. Die vollständige Verifizierbarkeit erlaubt einen breiteren Einsatz von E-Voting. Sie gewährleistet, dass systematische Fehlfunktionen infolge von Softwarefehlern, menschlichen Fehlleistungen oder Manipulationsversuchen erkannt werden.
Gemäss Bundesrecht muss dieses System vor dem Ersteinsatz zertifiziert werden und der Quellcode ist offen zu legen. Zusätzlich haben Bund und Kantone entschieden, dass vollständig verifizierbare E-Voting-Systeme vor dem Ersteinsatz einem öffentlichen Intrusionstest unterzogen werden müssen. Bei einem Intrusionstest wird die Sicherheit geprüft, indem das System angegriffen wird. Ein Intrusionstest wird bereits im Rahmen der Zertifizierung durch eine akkreditierte Stelle durchgeführt. Mit dem öffentlichen Intrusionstest kann die Sicherheit nun zusätzlich durch eine Vielzahl von Personen aus aller Welt geprüft werden.
Teilnahmeinteressierte konnten sich über eine Online-Plattform registrieren und auf weitere Informationen zu den Testmodalitäten zugreifen.
Medienmitteilung der Bundeskanzlei vom 07. Februar 2019
Q&A zum öffentlichen Intrusionstest
Darf der Bund Hackerangriffe finanziell entschädigen?
Die Schweizerische Post war für die Entschädigungen für Meldungen von Sicherheitslücken im Rahmen des PIT zuständig. Sie legte die Höhe der Entschädigungen fest und zahlte diese aus. Der Bund und die Kantone leisteten über den Schwerpunktplan von E-Government Schweiz einen Beitrag von CHF 250'000 an die Durchführung des öffentlichen Intrusionstests.
Soll ein öffentlicher Intrusionstest beweisen, dass E-Voting nicht gehackt werden kann?
Nein. Ein Intrusionstest hat zum Ziel, dass Schwachstellen aufgedeckt und wenn nötig behoben werden. Darüber hinaus ist es im Sinne der Transparenz, wenn sich möglichst viele unabhängige Fachpersonen im Bereich der E-Voting-Sicherheit auskennen. Der öffentliche Intrusionstest könnte für sie ein Anlass sein, sich mit E-Voting zu befassen.
Es liegt also in der Verantwortung von unabhängigen Fachpersonen, dass alle Schwachstellen aufgedeckt werden?
Nein. Der öffentliche Intrusionstest ist eine Sicherheitsmassnahme unter vielen. Jedes IT-System hat Schwachstellen, das wird bei E-Voting auch nach dem öffentlichen Intrusionstest der Fall sein. Entscheidend ist, dass keine Schwachstelle ein grösseres Risiko begründet. Schwachstellen müssen Sicherheitsmassnahmen gegenüber stehen, die hinreichend wirksam sind. Mit der vollständigen Verifizierbarkeit kennt E-Voting eine umfassende und besonders wirksame Sicherheitsmassnahme, die es für andere Dienstleistungen nicht gibt. Darüber hinaus werden die Systeme regelmässig von einer akkreditierten Stelle auditiert und zertifiziert.
Für die vollständige Verifizierbarkeit braucht es auch Computer. Gibt es auf diesen Computern denn keine Schwachstellen?
Vollständige Verifizierbarkeit bedeutet im Wesentlichen, dass die Manipulation einer einzelnen Komponente nicht ausreicht, um unbemerkt Stimmen zu fälschen. Wird eine einzelne Komponente manipuliert, stehen weitere Komponenten zur Verfügung, dank denen ein Fälschungsversuch entdeckt werden kann.
Wie schlimm musste eine Schwachstelle sein, damit ihre Meldung entschädigt wurde?
Der Schweregrad einer Schwachstelle war dafür nicht massgeblich. Vielmehr war entscheidend, dass sich die Teilnehmer beim Testen an die Spielregeln halten. Grundsätzlich waren alle Angriffe erlaubt und erwünscht, die mit Blick auf die Sicherheit der Stimmen einen Erkenntnisgewinn bringen konnten. Angriffe, die sich lediglich dazu eignen, bekannte Schwachstellen zu illustrieren, wurden nicht entschädigt. Einige Angriffe waren sogar verboten, obwohl sie durchaus mit einem relevanten Risiko verknüpft sind. Um diese Risiken unter Kontrolle zu halten, stehen jedoch wirksamere Mittel zur Verfügung als der öffentliche Intrusionstest.
Welche Angriffe wurden ausgeschlossen?
Zugelassen und entschädigt wurden erfolgreiche Angriffe auf die E-Voting Infrastruktur der Post. Andere Organisationen (Kantone, Druckereien, weitere Dienstleistungen der Post) nahmen am öffentlichen Intrusionstest nicht teil, dementsprechend durften sie auch nicht angegriffen werden. Zudem waren lastbasierte Angriffe (distributed Denial-of-service) verboten, da sie im Rahmen eines öffentlichen Intrusionstest keine neuen Erkenntnisse bringen, auch anderweitig getestet werden können und ausserdem den Ablauf des Tests gestört hätten. Ebenfalls keine Entschädigungen wurden für Angriffe auf die Benutzerplattformen der Stimmberechtigten ausgesprochen. Dasselbe galt für jegliche Angriffe, die darauf abzielen, via gefälschte Nachrichten die Akteure dazu zu bringen, von den vorgesehenen Prozessen abzuweichen (Social-Engineering). Erfolgreiche Angriffe machen sich ein Fehlverhalten der Akteure zunutze, das im Rahmen eines öffentlichen Intrusionstests nicht realitätsgetreu simuliert werden kann. Dennoch: Das Brechen der individuellen Verifizierbarkeit (ein «Ja» wird abgegeben und ein «Nein» angezeigt), so dass die Stimmenden keine Möglichkeit haben die Manipulation festzustellen, wurde entschädigt.
Lernen dank einem öffentlichen Intrusionstest nicht auch Angreifer, wie man E-Voting hacken könnte?
Eine Schwachstelle könnte statt den Veranstaltern einem potentiellen Angreifer gemeldet werden. Das ist unproblematisch, sofern die Veranstalter über die Schwachstelle ebenfalls Kenntnis erhalten und sie bei Bedarf beheben. Die von der Post in Aussicht gestellte Entschädigung bildete einen Anreiz, Schwachstellen (auch) den Veranstaltern zu melden. Darüber hinaus können illegale Versuche, Schwachstellen zu finden, auch unabhängig vom öffentlichen Intrusionstest vorgenommen werden. Der öffentliche Intrusionstest erlaubt es hingegen auch wohlmeinenden Akteuren, das System eingehend auf Schwachstellen zu untersuchen.
Weshalb wird E-Voting bereits angewendet, wenn das System noch keinem Intrusionstest unterzogen wurde?
Bei dem System, das nun für einen öffentlichen Intrusionstest zur Verfügung gestellt wurde, handelt es sich um das erste System mit vollständiger Verifizierbarkeit. Die heute im Einsatz stehenden Systeme bieten noch keine vollständige, sondern die individuelle Verifizierbarkeit. Da die vollständige Verifizierbarkeit den breiteren Einsatz von E-Voting erlaubt, muss ein solches System noch höhere Sicherheitsanforderungen erfüllen. Diese umfassen unter anderem eine Zertifizierung sowie die Offenlegung des Quellcodes. Zusätzlich haben Bund und Kantone entschieden, dass vollständig verifizierbare Systeme vor dem Ersteinsatz einem öffentlichen Intrusionstest unterzogen werden müssen.
Anforderungen von Bund und Kantonen
Als Massnahme zur Förderung von Sicherheit und Nachvollziehbarkeit haben sich Bund und Kantone 2017 über die Durchführung des öffentlichen Intrusionstests im Sinne eines Pilotversuchs verständigt. Dazu haben sie zuhanden der Systembetreiber die folgenden Anforderungen erlassen:
Schlussberichte
Gestützt auf ein Mandat des Steuerungsausschusses Vote électronique wurde der öffentliche Intrusionstest von einem Leitungsausschuss von Bund und Kantonen begleitet und überwacht. Der Leitungsausschuss hat einen Schlussbericht zuhanden des Steuerungsausschusses Vote électronique verfasst: