Öffentlicher Intrusionstest Post-System 2019

Die Schweizerische Post war für die Entschädigungen für Meldungen von Sicherheitslücken im Rahmen des PIT zuständig. Sie legte die Höhe der Entschädigungen fest und zahlte diese aus. Der Bund und die Kantone leisteten über den Schwerpunktplan von E-Government Schweiz einen Beitrag von CHF 250'000 an die Durchführung des öffentlichen Intrusionstests.  

Nein. Ein Intrusionstest hat zum Ziel, dass Schwachstellen aufgedeckt und wenn nötig behoben werden. Darüber hinaus ist es im Sinne der Transparenz, wenn sich möglichst viele unabhängige Fachpersonen im Bereich der E-Voting-Sicherheit auskennen. Der öffentliche Intrusionstest könnte für sie ein Anlass sein, sich mit E-Voting zu befassen. 

Nein. Der öffentliche Intrusionstest ist eine Sicherheitsmassnahme unter vielen. Jedes IT-System hat Schwachstellen, das wird bei E-Voting auch nach dem öffentlichen Intrusionstest der Fall sein. Entscheidend ist, dass keine Schwachstelle ein grösseres Risiko begründet. Schwachstellen müssen Sicherheitsmassnahmen gegenüber stehen, die hinreichend wirksam sind. Mit der vollständigen Verifizierbarkeit kennt E-Voting eine umfassende und besonders wirksame Sicherheitsmassnahme, die es für andere Dienstleistungen nicht gibt. Darüber hinaus werden die Systeme regelmässig von einer akkreditierten Stelle auditiert und zertifiziert.  

Vollständige Verifizierbarkeit bedeutet im Wesentlichen, dass die Manipulation einer einzelnen Komponente nicht ausreicht, um unbemerkt Stimmen zu fälschen. Wird eine einzelne Komponente manipuliert, stehen weitere Komponenten zur Verfügung, dank denen ein Fälschungsversuch entdeckt werden kann.  

Der Schweregrad einer Schwachstelle war dafür nicht massgeblich. Vielmehr war entscheidend, dass sich die Teilnehmer beim Testen an die Spielregeln halten. Grundsätzlich waren alle Angriffe erlaubt und erwünscht, die mit Blick auf die Sicherheit der Stimmen einen Erkenntnisgewinn bringen konnten. Angriffe, die sich lediglich dazu eignen, bekannte Schwachstellen zu illustrieren, wurden nicht entschädigt. Einige Angriffe waren sogar verboten, obwohl sie durchaus mit einem relevanten Risiko verknüpft sind. Um diese Risiken unter Kontrolle zu halten, stehen jedoch wirksamere Mittel zur Verfügung als der öffentliche Intrusionstest.  

Zugelassen und entschädigt wurden erfolgreiche Angriffe auf die E-Voting Infrastruktur der Post. Andere Organisationen (Kantone, Druckereien, weitere Dienstleistungen der Post) nahmen am öffentlichen Intrusionstest nicht teil, dementsprechend durften sie auch nicht angegriffen werden. Zudem waren lastbasierte Angriffe (distributed Denial-of-service) verboten, da sie im Rahmen eines öffentlichen Intrusionstest keine neuen Erkenntnisse bringen, auch anderweitig getestet werden können und ausserdem den Ablauf des Tests gestört hätten. Ebenfalls keine Entschädigungen wurden für Angriffe auf die Benutzerplattformen der Stimmberechtigten ausgesprochen. Dasselbe galt für jegliche Angriffe, die darauf abzielen, via gefälschte Nachrichten die Akteure dazu zu bringen, von den vorgesehenen Prozessen abzuweichen (Social-Engineering). Erfolgreiche Angriffe machen sich ein Fehlverhalten der Akteure zunutze, das im Rahmen eines öffentlichen Intrusionstests nicht realitätsgetreu simuliert werden kann. Dennoch: Das Brechen der individuellen Verifizierbarkeit (ein «Ja» wird abgegeben und ein «Nein» angezeigt), so dass die Stimmenden keine Möglichkeit haben die Manipulation festzustellen, wurde entschädigt. 

Eine Schwachstelle könnte statt den Veranstaltern einem potentiellen Angreifer gemeldet werden. Das ist unproblematisch, sofern die Veranstalter über die Schwachstelle ebenfalls Kenntnis erhalten und sie bei Bedarf beheben. Die von der Post in Aussicht gestellte Entschädigung bildete einen Anreiz, Schwachstellen (auch) den Veranstaltern zu melden. Darüber hinaus können illegale Versuche, Schwachstellen zu finden, auch unabhängig vom öffentlichen Intrusionstest vorgenommen werden. Der öffentliche Intrusionstest erlaubt es hingegen auch wohlmeinenden Akteuren, das System eingehend auf Schwachstellen zu untersuchen. 

Bei dem System, das nun für einen öffentlichen Intrusionstest zur Verfügung gestellt wurde, handelt es sich um das erste System mit vollständiger Verifizierbarkeit. Die heute im Einsatz stehenden Systeme bieten noch keine vollständige, sondern die individuelle Verifizierbarkeit. Da die vollständige Verifizierbarkeit den breiteren Einsatz von E-Voting erlaubt, muss ein solches System noch höhere Sicherheitsanforderungen erfüllen. Diese umfassen unter anderem eine Zertifizierung sowie die Offenlegung des Quellcodes. Zusätzlich haben Bund und Kantone entschieden, dass vollständig verifizierbare Systeme vor dem Ersteinsatz einem öffentlichen Intrusionstest unterzogen werden müssen.