VOTING Stimmregister: ein neues Bug-Bounty-Programm von Abraxas

Sogenannte «Ethical Hacker» haben in der aktuellen Cybercrime-Lage Hochkonjunktur. Dabei handelt es sich um Sicherheitsexpertinnen und -experten, die sich derselben Methoden bedienen, mit denen sich kriminelle Akteure, digitale Saboteure und Spione von Staaten im Krieg in Computersysteme einschleichen.

Abraxas zählt seit Frühling 2022 zu denjenigen Softwareentwicklern, die in der digitalen Schweiz ihren Code in einem Bug-Bounty-Programm bewusst Angriffen aussetzen. Wer glaubt, eine Lücke gefunden zu haben, meldet diese in einem standardisierten Verfahren dem Security-Dispositiv von Abraxas und diskutiert mit diesen die effektive Kritikalität. Je höher diese liegt, desto grösser fällt das «Bounty», die sogenannte Prämie aus.

Neues Programm: VOTING Stimmregister

Nun geht mit dem Stimmregister für den Kanton St. Gallen das dritte Modul der VOTING-Suite in ein Bug-Bounty-Programm, wiederum in Zusammenarbeit mit Bug Bounty Switzerland. Es ist bei Abraxas längst Standard, die Prozesse sind eingespielt. Auch sind die Feedbacks aus der Community der Security-Researcherinnen und -Researcher bisher erfreulich. Abraxas klassifiziert eingehende Findings schnell und führt einen transparenten Dialog. Das stärkt das gegenseitige Vertrauen.

«Unsere Erfahrungen aus dem allerersten Abraxas Bug-Bounty-Programm mit der Ergebnisermittlung aus der VOTING-Suite sind ausgezeichnet», sagt Daniel Scherrer, Chief Software Architect von Abraxas, der für die Bug-Bounty-Programme verantwortlich ist. Und Peter Gassmann, Leiter Solution Engineering: «Wir haben die Prinzipien der sicheren Softwareentwicklung im ganzen Prozess verinnerlicht, vom ersten Meeting bis zum fertigen und abgenommenen Code.»

Das gilt auch für VOTING Stimmregister. Die Software dient zur Vorbereitung von Abstimmungen und Wahlen und führt aktuellste Listen von Stimmberechtigten in den Gemeinden. Das Tool liefert einem anderen Modul der Suite die Daten zur Aufbereitung der Stimmrechtsausweise. VOTING Stimmregister wird normalerweise in einem geschützten Netzwerk verwendet. Für das Bug Bounty wird den Sicherheitsforschenden eine Testumgebung der Software explizit zur Verfügung gestellt.

VOTING Stimmregister ist das dritte Produkt aus der VOTING-Produktfamilie, das im Bug-Bounty-Programm gehärtet wird. (Bild: Abraxas)

So läuft das Abraxas Bug-Bounty-Programm ab

Mit dem Eintritt in die private Bug-Bounty-Phase am 23. November 2023 werden ausgewählte Security-Expert:innen angesprochen, die unter kontrollierten Bedingungen die Software testen und attraktive Prämien für ihre Findings erhalten können. Im Frühjahr 2024 geht die Software zum ersten Mal in den produktiven Einsatz zur Vorbereitung des Urnengangs vom 9. Juni 2024 und kurz danach in die bis auf weiteres unbeschränkt laufende «Public»-Phase. Hierzu können sich Security-Expert:innen aus aller Welt registrieren und Findings einreichen. Daniel Scherrer: «Die Software wird während der Vorbereitungen laufend geprüft und durch die Security-Spezialistinnen und -Spezialisten gehärtet».

Immer mehr Sicherheitslücken aufgespürt

Der Sicherheitsblog gogetsecure.com hat Zahlen zur Bug-Bounty-Industrie 2022 zusammengetragen. Demnach wurden 65'000 Sicherheitslücken weltweit gefunden – 21 Prozent mehr als noch im Vorjahr. Meta alleine zahlte 2022 Prämien im Umfang von 2 Millionen Dollar und erhielt 10'000 Reports. Insgesamt hat der Facebook- und WhatsApp-Konzern seit 2011 über 16 Millionen Dollar für Prämien ausgegeben. Die Entwicklerplattform GitLab alleine hat nach eigenen Angaben 2022 über eine Million Dollar an Bounties für aufgespürte Sicherheitslücken ausbezahlt. Die meisten Ethical Hackers sind gemäss den Zahlen jung, männlich und streben eine berufliche Karriere als Security Researcher an.

Über Johannes Schuster

Johannes Schuster ist Solution Architect bei Abraxas. Er entwickelt sichere Lösungen zur Digitalisierung im Bereich VOTING. Er ist Architekt und technischer Projektleiter der Abraxas Lösung VOTING Stimmregister.