E-Voting-Quelltext der Post wird publiziert

Der diesjährige Swiss Cyber Storm in Bern stand ganz im Zeichen der Transparenz. Der Quellcode des E-Voting-Systems der Post soll offengelegt werden. Wer will, kann sich für den Intrusionstest registrieren.

von Jens Stark, cm 05.11.2018

Eröffnet wurde die diesjährige Cybersecurity-Veranstaltung Swiss Cyber Storm vergangene Woche durch Cory Doctorow. Der kanadische Journalist und Autor zeigte am Beispiel des Urheberrechtsgesetzes auf, dass gutgemeinte Massnahmen nicht immer die gewünschte Wirkung erzielen: Rechtlich geschützte geschlossene Systeme führen zu Monopolsituationen, die zwar dem Anbieter, nicht aber der Sicherheit dienlich sind. «Wenn Unternehmen selbst bestimmen, wer die eigenen Produkte untersuchen und kritisieren darf, ist das keine konstruktive Feedback-Schleife. Nur offengelegter Code ermöglicht es unabhängigen Drittparteien, Fehler zu finden und das Produkt sicherer zu machen», so Doctorow.

Lieferte ein Plädoyer für das Offenlegen von Quellcode: der kanadische Journalist und Swiss-Cyber-Storm-Hauptredner Cory Doctorow Lieferte ein Plädoyer für das Offenlegen von Quellcode: der kanadische Journalist und Swiss-Cyber-Storm-Hauptredner Cory Doctorow Zoom© Swiss Cyber Storm

Quellcode der E-Voting-Lösung der Post wird publiziert

Das sieht offenbar auch die Bundeskanzlei so: Ihr Vertreter Oliver Spycher präsentierte denn auch im Berner Kursaal den Zeitplan zur Offenlegung des Sourcecodes für das E-Voting-System der Post. Bereits im ersten Quartal 2019 sollen interessierte Kreise den Code ansehen und angreifen können. Das Ziel sei klar: Mit einer breiten Codeanalyse und unabhängigen Berichten solle Politik und Öffentlichkeit von der Zuverlässigkeit der digitalen Stimmabgabe überzeugt werden, heisst es in einer Mitteilung der Konferenz.

E-Voting-Lösung testen und angreifen

Die Post möchte ihr E-Voting-System der nächsten Generation umfassend testen und ruft daher auf, sich an einem Intrusionstest zu beteiligen. Um mitzumachen, registriert man sich bis Ende Jahr auf dieser Seite.

Die Post entwickelt ihre Lösungen für elektronisches Abstimmen und Wählen für Kantone und Gemeinden. Die aktuelle Lösung wird seit 2016 eingesetzt. Für das System der Zukunft prüft man nun einen öffentlichen Intrusionstest (PIT) nach Vorgaben des Bundes und der Kantone.

Vorregistrierte Teilnehmer erhalten zusätzliche Informationen und einen Link zur Anmeldung bis Ende Jahr, wenn der PIT durchgeführt wird. 

Vertrauen in der digitalen Welt

Insgesamt beschäftigten sich an der Swiss Cyber Storm 26 Referentinnen und Referenten mit der Frage, wie Vertrauen in der digitalen Welt hergestellt werden kann. Dies sei wichtig, denn: Nur durch Vertrauen in Technologie ist eine erfolgreiche Digitalisierung der Gesellschaft möglich. Die Herausforderung ist der fehlende direkte Kontakt zwischen Menschen, der Angriffsflächen bietet. Die Referierenden waren sich einig, dass Vertrauen nur mit einem multidisziplinären Ansatz aufgebaut werden könne.

Um eine bestmögliche Sicherheit gewährleisten zu können, muss das Thema in der gesamten Herstellungskette verankert werden – und zwar auch über den Verkaufszeitpunkt hinaus. «Wir können mit Zertifikaten und Standards eine hohe Qualität sicherstellen. Aber eine totale Sicherheit gibt es nie. Diese Ausgangslage müssen wir akzeptieren und Produkte darauf aufbauen», sagt Miro Ljubicic, Leader Cyber Defense Practice EMEA bei NTT Security. «Werden Fehler und Angriffe antizipiert, kann ein Unternehmen schneller darauf reagieren und der Schaden gering gehalten werden. Der Endnutzer wird nicht allein gelassen – das ist für den Aufbau von Vertrauen zentral.»

Kreative Angreifer

Neben Managementthemen stand die technische Seite im Zentrum der Konferenz, die von über 400 Teilnehmerinnen und Teilnehmern besucht wurde: Sei es der Angriff auf das SWIFT-Netzwerk, falsches Vertrauen in KI-Methoden, die sich leicht manipulieren lassen, oder das Aushebeln sicherer Messenger-Kommunikation durch Manipulation der Telefonkontaktliste – Sicherheitsexperten präsentierten die neusten Angriffsvektoren im Detail und erläuterten, wie diese erfolgreich abgewehrt werden können.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.