Nach dem erfolgreichen Bug-Bounty-Programm für das Ergebnisermittlungssystem startet nun das nächste. Diesmal für eine ganz spezielle Software.
Luca: Ja. VOTING Stimmunterlagen Offline erfüllt einen ganz spezifischen Zweck. Wie der Name sagt, geht es um einen Offline Client. Die Software ist also über das Internet nicht zugänglich und nicht mit einem Rechenzentrum oder Cloud-Konstrukt verbunden.
Was macht sie denn genau?
Sie bereitet die Druckdaten für den Stimmrechtsausweis auf und nimmt die Verschlüsselung und Signierung für den Transfer ins Druckzentrum vor. Im Druckzentrum werden damit auf eine sichere Art und Weise die Ausweise gedruckt und in die Couverts mit den restlichen Abstimmungs- und Wahlunterlagen eingelegt. Der Offline Client wurde speziell mit Blick auf die Generierung von E-Voting-Stimmrechtsausweisen entwickelt.
Wie anspruchsvoll ist die Aufgabe für die Security-Researcherinnen und -Researcher im Programm?
Sehr anspruchsvoll. Die Software verfügt bereits über erweiterte Sicherheitsvorkehrungen. Das bestätigt auch ein von der Bundeskanzlei in Auftrag gegebener neutraler Bericht. So ist zum Beispiel kein Zugriff aus dem Internet möglich. Die Software läuft nur auf einem Air-gap-Notebook. Mit ihr werden verschlüsselte PDFs erstellt – immer im Vieraugen-Prinzip. Es bräuchte somit einen physischen Zugang zum Notebook und Kenntnisse über möglicherweise vorhandene Schwachstellen in der Offline-Software bzw. auch im Verschlüsselungsalgorithmus.
Fehler hat aber jede Software?
Keine Software, selbst von den grössten und besten Softwareentwicklungshäusern der Welt, ist frei von Fehlern. Software wird von mehreren Teams, oft remote, parallel entwickelt. Die Funktionalitäten werden immer komplexer, die Anforderungen an die Sicherheit immer höher. Zudem werden Angriffsmethoden immer findiger. Sie entdecken neue Wege, die aus unrealistischen Situationen realistische machen. Die Offenlegung hilft uns, mit interessierten Personen in Kontakt zu treten. Sicherheitsrelevante Findings können anschliessend über unser Bug-Bounty-Programm gemeldet werden.
Welche Erwartungen hat Abraxas an die Security-Researcherinnen und -Researcher weltweit, die ab sofort den Code prüfen und Schwachstellen melden können?
Wer sich unter bugbounty.ch/abraxas registriert, kann Findings einreichen und erhält eine Prämie, sofern die Bedingungen erfüllt sind. Die Höhe richtet sich nach der Kritikalität der Schwachstelle. Wir erwarten die Einhaltung der Vereinbarungen, die mit der Registrierung für das Programm geschlossen werden. Im Gegenzug bieten wir nebst Rechtssicherheit und attraktiven Prämien auch einen Dialog auf Augenhöhe mit den Expertinnen und Experten sowie eine kurze Bearbeitungszeit. Die Researcherinnen und Researcher können sich sicher sein, dass sie einen wertvollen Beitrag für die digitale Schweiz leisten.
VOTING Stimmunterlagen Offline
Die Software VOTING Stimmunterlagen Offline enthält einen Offline-Service zur Erstellung von Stimmrechtsausweis-Druckdaten. Dieser erfüllt genau diesen Zweck: die sichere Aufbereitung der Daten zum Druck eines aktuellen Stimmrechtsausweises.
Der Stimmrechtsausweis weist die empfangende Person als abstimmungs- und wahlberechtigt aus. Es handelt sich um jene Karte, die man zwingend unterschreiben und mit den Abstimmungszetteln zurücksenden oder in die Urne einwerfen muss. Ohne Stimmrechtsausweis ist die Stimme ungültig.
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.