Warum digitale Sicherheit essentiell für die Demokratie ist

Ich beschäftige mich täglich mit digitalen Bedrohungen und Cybersicherheit. Dabei stelle ich fest: Es geht nicht um Technologie. Es geht um Menschen. Gerade wenn wir Software für kritische Bereiche wie Wahl- oder Verwaltungssysteme entwickeln, betrifft jede Sicherheitslücke nicht nur die Systeme, sondern auch Bürgerinnen und Bürger direkt in ihrem Vertrauen in unsere Demokratie. Sichere Software ist daher kein Luxus, sondern eine Grundvoraussetzung für eine stabile Demokratie.

Von Daniel Scherrer, Chief Software Security Officer · 14. Mai 2025

Als wir uns vor ein paar Jahren den Claim «Für die digitale Schweiz. Mit Sicherheit.» auf die Fahne geschrieben haben, war uns allen klar, dass Sicherheit nicht nur auf dem Papier stehen darf, sondern fest in der Unternehmenskultur verankert sein muss. Doch was bedeutet das konkret in der Praxis?

Ein aktuelles Beispiel aus dem Alltag: Reaktion auf eine kritische Schwachstelle

Vor einiger Zeit meldete ein Researcher über unser Bug-Bounty-Programm eine besonders spannende Sicherheitslücke. Die Meldung erreichte uns zunächst ganz regulär über das Meldeportal und wurde direkt an zwei Teammitglieder zur Triage weitergegeben. Was zuerst nach einer gewöhnlichen Routineprüfung aussah, entwickelte sich innerhalb kurzer Zeit zu einem interessanten Fall.

Nach einer Stunde erhielt ich einen Anruf von unserer Triage: «Hier hat jemand wirklich etwas Spannendes entdeckt. Wir müssen das zu Dritt miteinander anschauen.» Während der anschliessenden Diskussion erkannten wir, dass der Researcher tatsächlich eine Möglichkeit gefunden hatte, mit der er seine Rechte im System erweitern konnte. Aufgrund der stark eingeschränkten Testumgebung konnte der Researcher die volle Tragweite nicht komplett nachvollziehen. Dennoch war für uns klar, dass wir den Schweregrad dieser Schwachstelle höher einstufen und Sofort-Massnahmen einleiten mussten.

Ab diesem Moment lief unser Sicherheitsprozess auf Hochtouren: Wir haben Kunden informiert und unser Security Operations Center (SOC) analysierte intensiv Log-Files, um festzustellen, ob es in der Vergangenheit ähnliche Zugriffe gab. Das Produktteam arbeitete an einem Hotfix und wir haben die verantwortlichen Teams der abhängigen Systeme verständigt, um den Patch nach Fertigstellung schnell einzupflegen.

Bemerkenswert war für mich, wie geordnet und klar dieser Prozess ablief – trotz hoher Dringlichkeit kam keine Hektik auf. Jeder und jede im Team wusste, dass wir sämtliche laufenden Arbeiten zurückstellen und die Aufmerksamkeit ausschliesslich dieser kritischen Schwachstelle widmen müssen. Das funktionierte beeindruckend gut. Bereits in der zweiten Kommunikation mit unseren Kunden konnten wir melden, dass die Schwachstelle vollständig behoben war, keinerlei Ausnutzungen ausser durch den Researcher erfolgt waren und dass die Anpassungen in allen abhängigen Systemen reibungslos liefen.

In der Realität waren es dann doch zwei Hotfixes, ein Rollback, eine temporäre Whitelist für eine Handvoll Legacy-Anwendungen und ein finaler Patch nach vollständiger Bereinigung der Whitelist. Aber alles in allem bezeichnen wir das in der IT ja als «reibungslos», wenn der Endkunde in der ganzen Behandlungszeit unterbruchsfrei arbeiten kann und nichts von einer Systemaktualisierung bemerkt.

Bug-Bounty-Programme als kontinuierliche Herausforderung und Lernchance

Warum sind Bug-Bounty-Programme so effektiv? Für mich liegt ihre Stärke darin, dass sie permanent die Organisation herausfordern und deren Resilienz kontinuierlich erhöhen. Jede Schwachstelle, die Security Researcher melden und wir beheben, macht das System robuster und sicherer. Es geht nicht nur um Technologie, sondern auch um organisatorisches Lernen.

Bei Abraxas ist das Security Operations Center (SOC) der zentrale Dreh- und Angelpunkt dieser Lernprozesse. Es analysiert die Ergebnisse der Bug-Bounty-Programme und lernt von den Vorgehensweisen der ethischen Hacker. Dank dem SOC erkennen wir neue Angriffsmethoden früh, entwickeln präventive Schutzmassnahmen und schulen die Teams kontinuierlich. Genau hier zeigt sich, dass Cybersicherheit niemals abgeschlossen ist, sondern ein permanenter Lernprozess sein muss.

Das Abraxas Bug-Bounty-Programm

Mit den Abraxas Bug-Bounty-Programmen hält Abraxas ihre Software auf dem neuesten Stand der technischen Entwicklungen im Bereich der digitalen Kriminalität. Externe Security Researcher wenden dieselben Techniken an und versuchen in einer kontrollierten Umgebung unsere Software zu kompromittieren. Sie erhalten dafür attraktive Prämien – und wir die Gewissheit, dass unsere Entwicklungen ein Minimum an Schwachstellen enthalten. 

Abraxas hat für ihre Bug-Bounty-Programme faire und transparente Spielregeln aufgestellt und bietet einen sicheren Rahmen für kontrollierte Angriffe. Mit Dialog auf Augenhöhe und fundierten Analysen streben die Spezialistinnen und Spezialisten von Abraxas eine langfristige und nachhaltige Zusammenarbeit für sichere Software an. Im Mai 2025 befinden sich fünf Systeme im Bug-Bounty-Programm.

Apropos lernen: Aus vielen Gesprächen und Situationen ist mir ebenfalls klar geworden, wie wichtig es ist, nicht nur auf die heutige, sondern auch auf die zukünftige Generation von Cyberexpert:innen zu setzen. Deshalb engagiert sich Abraxas aktiv in der Nachwuchsförderung, indem meine Kollegen und ich an Fachhochschulen und in speziellen Cybersecurity-Lehrgängen unterrichten und unsere Erfahrungen weitergeben. Von diesem Austausch profitieren beide Seiten: Die Studierenden lernen von aktuellen Praxiserfahrungen und Abraxas erhält wichtige Impulse durch junge Talente, die mit frischem Blick auf Themen rund um die Cybersicherheit schauen. Und nichts vertieft bekanntlich das eigene Verständnis so sehr, wie der Moment, in dem wir Wissen weitergeben und dafür die Verantwortung übernehmen.

Vertrauen entsteht durch Offenheit

Ein letzter zentraler Punkt unserer Sicherheitsstrategie ist Offenheit. Gerade bei demokratischen Anwendungen, etwa den Systemen aus unserer «Abraxas VOTING»-Produktsuite, setzen wir bewusst auf Offenlegung und veröffentlichen unseren Quellcode auf GitHub. Diese Transparenz erlaubt es unabhängigen Experten, unsere Systeme zu überprüfen. Offene Systeme schaffen Vertrauen. Sie zeigen, dass wir uns nicht hinter einer «Black Box» verstecken. Manche mögen glauben, dass man Sicherheit nur hinter dicken Mauern erreicht. Unsere Erfahrung zeigt: Wer öffnet, statt abzuschotten, gewinnt – an Vertrauen, an Sicherheit und an Qualität.

Sicherheit ist eine Haltung – keine Abteilung

Als Software-Sicherheitsverantwortlicher weiss ich natürlich, dass es absolute Sicherheit niemals geben wird. Doch genau diese Erkenntnis ist unser Antrieb: Wir streben nicht nach Perfektion, sondern nach kontinuierlicher Verbesserung. Wir lernen permanent – aus Fehlern ebenso wie aus Erfolgen. 

Meine wichtigste Erkenntnis aus dieser Rolle: Digitale Sicherheit ist eine permanente Verantwortung, die nicht nur die Technik betrifft, sondern auch die Kultur, die Teams und jede:n einzelne:n Mitarbeitende:n. Erst wenn Sicherheit nicht mehr als Belastung, sondern als gemeinsames Anliegen verstanden wird, können wir echte Resilienz erreichen.

Daniel Scherrer

Über Daniel Scherrer

Daniel Scherrer ist Chief Software Security Officer bei Abraxas. Er plant und entwickelt Software konsequent entlang bewährter und sicherer Methoden. Er leitet das Abraxas Bug-Bounty-Programm. Daneben unterrichtet er an Fachhochschulen und in spezialisierten Lehrgängen zu Cybersicherheit.

Lesen Sie auch

0 / 0