Die Kantone Thurgau und St.Gallen haben seit Mai 2022 ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen getestet. Mehr als 180 Sicherheitsforscherinnen und -forscher haben das System auf Sicherheitslücken geprüft und damit das System noch sicherer gemacht. Nun setzen die Kantone St.Gallen und Thurgau das neue System erstmals produktiv ein, und zwar am Wahl- und Abstimmungssonntag vom 12. März 2023.
Die Kantone Thurgau und St.Gallen haben das neue Ergebnisermittlungssystem für Wahlen und Abstimmungen nach dem Prinzip «Sicherheit durch Transparenz» erarbeitet. Das von Abraxas durchgeführte Bug-Bounty-Programm beinhaltete deshalb die Offenlegung des kompletten Quellcodes. Dies hat es Sicherheitsforscherinnen und -forschern aus aller Welt ermöglicht, durch das Studium des Codes zusätzliche Angriffsszenarien zu identifizieren und auszuprobieren.
Positive Erkenntnisse aus der Überprüfung
Die erste Offenlegung hatte die Abraxas Informatik AG am 23. Mai 2022 mit einem Private-Bug-Bounty-Programm gestartet. Am 22. August 2022 wurde das Bug-Bounty-Programm dann öffentlich zugänglich gemacht. Mehr als 180 Sicherheitsforscherinnen und Sicherheitsforscher konnten auf den ganzen Quellcode und die Dokumentation sowie das Ergebnisermittlungssystem in einer Vorabversion zugreifen und Angriffsversuche starten.
Bis jetzt (Stand 03.02.2023, 12 Uhr) sind 60 Meldungen eingegangen. Davon wurden 20 als bestätigte Sicherheitslücken im Rahmen des definierten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde als hoch eingestuft, die anderen als tief oder mittel. 19'600 Franken an Prämien (Bountys) hat die Abraxas Informatik AG bisher ausbezahlt. Von den bestätigten Meldungen befinden sich zwei als mittel klassifizierte Lücken noch in Bearbeitung – diese werden bis zum produktiven Einsatz am Abstimmungssonntag vom 12. März 2023 korrigiert. Die Meldungen sowie die Erklärungen dazu sind auf der GitHub-Plattform (siehe Link unten) mit dem Quellcode des Systems zu finden. Aus Sicht von Abraxas steht nichts im Weg, das System nun produktiv einzusetzen. Das System ist dank dem Bug-Bounty-Programm nochmals robuster geworden und enthält keine bekannten Schwachstellen mehr.
Start der Produktion
Die beiden Kantone Thurgau und St.Gallen haben aufgrund dieser Erkenntnisse entschieden, das System nun bei Wahlen und Abstimmungen einzusetzen. Die Ergebnisse der Ersatzwahl eines st.gallischen Mitglieds des Ständerates vom 12. März 2023, die Ergebnisse der Ersatzwahl für das Bezirksgericht Münchwilen im Kanton Thurgau sowie vereinzelte Wahlen und Abstimmungen auf Gemeindeebene in beiden Kantonen werden mit dem neuen System ermittelt.
Die beiden Kantone und die Abraxas Informatik AG bedanken sich bei allen Teilnehmenden des Programms für ihre Eingaben, die dazu beigetragen haben, das System zu verbessern. Das Bug-Bounty-Programm läuft indes weiter – das System bleibt offengelegt und weitere Versionen werden fortlaufend auf GitHub öffentlich publiziert. Somit werden allfällige neue Schwachstellen laufend und effizient in einem bewährten Prozess behoben.
Weitere Informationen
Github-Plattform mit dem Quellcode des Systems
Informationen über das öffentliche Bug-Bounty-Programm:
Ergebnisermittlungssystem (tg.ch)
Ergebnisermittlungssystem (sg.ch)
Medienmitteilung vom 23.05.2022 (sg.ch)
Medienmitteilung vom 23.05.2022 (tg.ch)