Die Kantone Thurgau und St.Gallen haben ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen beschafft. Dem Prinzip "Sicherheit durch Transparenz" folgend haben sie von der Anbieterin des Systems, der Abraxas Informatik, verlangt, den Quellcode offenzulegen, damit professionelle und private Security-Experten das System auf Herz und Nieren prüfen können.
Den ersten Schritt der Offenlegung startete die auf öffentliche Verwaltungen fokussierte IT-Dienstleisterin Abraxas Informatik am 23. Mai 2022 mit einem Private-Bug-Bounty-Programm. Mehr als 140 ausgewählte oder angemeldete Sicherheitsforscherinnen und Sicherheitsforscher konnten auf den Quellcode und die Dokumentation sowie das Ergebnisermittlungssystem in einer Vorabversion zugreifen und Angriffsversuche starten. Dank den Meldungen dieser "ethischen Hackerinnen und Hacker" habe das System bereits verbessert werden können, teilt die St. Galler Staatskanzlei via Aussendung mit.
Bis jetzt seien 28 Meldungen eingegangen, heisst es. Davon habe man vierzehn als gültig bestätigte Sicherheitslücken im Rahmen des gesteckten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde demnach als hoch eingestuft, die anderen als tief oder mittel. 14'900 Franken an Prämien (Bounties) seien bisher ausbezahlt worden. Die bestätigten und korrigierten Meldungen sind auf der GitHub-Plattform mit dem Quellcode des Systems zu finden. Dazu wurde zu Beginn des Programms eine höhere Sicherheitslücke in der separaten Berechtigungs- und Identitätenverwaltung – dem Zugang zur Ergebnisermittlung – gemeldet. Es wurde laut Mitteilung nachträglich entschieden, diese Applikation in den Umfang des Auftrags aufzunehmen.
Ab heute Montag, 22. August 2022, wird das Programm nun in ein öffentliches Bug-Bounty-Programm überführt. Das bedeutet, dass private Security Researcherinnen und Researcher und alle interessierten Expertinnen und Experten ohne Anmeldung Teile des Codes und der Dokumentation einer Vorabversion des Systems einsehen und analysieren können. Es steht eine Testversion des Systems zur Verfügung, um Angriffsversuche starten zu können. Jede bestätigte gemeldete Sicherheitsschwachstelle soll belohnt werden. Dabei werde unter anderem die Auswirkung der Schwachstelle auf die Sicherheit des Systems und die Korrektheit der Ergebnisse berücksichtigt. Die Belohnung kann je nach Relevanz bis zu 30'000 Franken betragen, so die Staatskanzlei.
Durch die Offenlegung wollen die Kantone Thurgau und St.Gallen dem Communiqué zufolge zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungssystems beitragen. Durch die Offenlegung des Quellcodes und die Publikation der Schwachstellen und der Ergebnisse des Bug-Bounty-Programms sei es für die Öffentlichkeit nachvollziehbar, dass die beiden Kantone und die Abraxas Informatik alles unternehmen würden, um die Sicherheit des neuen Ergebnisermittlungssystems auf dem aktuellen Stand zu halten. Die Offenlegung und das Bug-Bounty-Programm sollen dabei helfen, Schwachstellen schnell zu finden und zu beheben. Ziel sei es, das neue System im kommenden Jahr einzusetzen. Wie oder wann genau das System letztlich eingesetzt werde, sei jedoch abhängig von den Ergebnissen der Offenlegung. Das neue Ergebnisermmitllungssystem wird das bisherige System "Wabsti" ersetzen, das in beiden Kantonen seit bald 20 Jahren im Einsatz ist.
Der Online-Stellenmarkt für ICT Professionals