Im Januar 2021 haben die Kantone Thurgau und St. Gallen der Abraxas Informatik AG den Zuschlag für ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen erteilt. Das neue System wird das bisherige System WABSTI ersetzen, das in beiden Kantonen seit bald 20 Jahren im Einsatz ist. In Bezug auf Sicherheit und Zuverlässigkeit haben die beiden Kantone bei der Ausschreibung erhöhte Anforderungen gestellt. Dazu gehören die Offenlegung des Quellcodes des neuen Ergebnisermittlungssystems und der Einladung an Sicherheitsexpert:innen, Code und System kritisch zu prüfen.
Offenlegung und Bug-Bounty starten Ende Mai
Am 16. Mai 2022 haben die beiden Kantone und Abraxas anlässlich einer Medienkonferenz über den ersten Schritt der Offenlegung informiert. Am 23. Mai startet das Private-Bug-Bounty-Programm. Ausgewählte Sicherheitsforscherinnen und Sicherheitsforscher können auf Quellcode inklusive Dokumentation sowie das Ergebnisermittlungssystem selbst in einer Vorabversion zugreifen und Angriffsversuche starten. Ziel: allfällige Schwachstellen so schnell wie möglich aufdecken und korrigieren.
Schrittweises Vorgehen
Nach einer ersten Phase von sechs Wochen wird ein Zwischenfazit zum Private-Bug-Bounty gezogen. Danach folgt das Public-Bug-Bounty. Hier steht es allen Personen offen, die Anwendung zu prüfen. In der Folge werden schrittweise neue Elemente offengelegt. Durch die Offenlegung soll es zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungssystems kommen, um so das Vertrauen in das System zu erhöhen. Die Öffentlichkeit soll nachvollziehen können, dass die beiden Kantone und Abraxas alles unternehmen, um die Sicherheit immer auf dem aktuellsten Stand zu halten.
Mehr Informationen in der hier verlinkten Medienmitteilung.