Home Region Sport Schweiz/Ausland Rubriken Agenda
Kanton
08.02.2023

Neues System für Wahlen & Abstimmungen kommt zum Einsatz

Nach unzähligen (Sicherheits-) Tests kommt das System nun am Wahl- und Abstimmungssonntag vom 12. März 2023 erstmals zum Einsatz (Symbolbild).
Nach unzähligen (Sicherheits-) Tests kommt das System nun am Wahl- und Abstimmungssonntag vom 12. März 2023 erstmals zum Einsatz (Symbolbild). Bild: Shutterstock
Die Kantone TG und SG haben mit Sicherheitsspezialisten ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen getestet. Am 12. März wird es erstmals produktiv eingesetzt.

Die Kantone Thurgau und St.Gallen haben das neue Ergebnisermittlungssystem für Wahlen und Abstimmungen nach dem Prinzip «Sicherheit durch Transparenz» erarbeitet. Das von Abraxas durchgeführte Bug-Bounty-Programm beinhaltete deshalb die Offenlegung des kompletten Quellcodes. Dies hat es Sicherheitsforscherinnen und -forschern aus aller Welt ermöglicht, durch das Studium des Codes zusätzliche Angriffsszenarien zu identifizieren und auszuprobieren.

Positive Erkenntnisse aus der Überprüfung

Die erste Offenlegung hatte die Abraxas Informatik AG am 23. Mai 2022 mit einem Private-Bug-Bounty-Programm gestartet. Am 22. August 2022 wurde das Bug-Bounty-Programm dann öffentlich zugänglich gemacht. Mehr als 180 Sicherheitsforscherinnen und Sicherheitsforscher konnten auf den ganzen Quellcode und die Dokumentation sowie das Ergebnisermittlungssystem in einer Vorabversion zugreifen und Angriffsversuche starten.

Bisher (Stand 03.02.2023, 12 Uhr) sind 60 Meldungen eingegangen. Davon wurden 20 als bestätigte Sicherheitslücken im Rahmen des definierten Umfangs (Applikation Ergebnisermittlungssystem mit Berechtigungs- und Identitätenverwaltung) akzeptiert. Eine davon wurde als hoch eingestuft, die anderen als tief oder mittel.

19'600 Franken an Prämien (Bountys) hat die Abraxas Informatik AG bisher ausbezahlt. Von den bestätigten Meldungen befinden sich zwei als mittel klassifizierte Lücken noch in Bearbeitung – diese werden bis zum produktiven Einsatz am Abstimmungssonntag vom 12. März 2023 korrigiert.

Die Meldungen sowie die Erklärungen dazu sind auf der GitHub-Plattform (siehe Link unten) mit dem Quellcode des Systems zu finden. Aus Sicht von Abraxas steht nichts im Weg, das System nun produktiv einzusetzen. Das System ist dank dem Bug-Bounty-Programm nochmals robuster geworden und enthält keine bekannten Schwachstellen mehr.

Start der Produktion

Die beiden Kantone Thurgau und St.Gallen haben aufgrund dieser Erkenntnisse entschieden, das System nun bei Wahlen und Abstimmungen einzusetzen. Die Ergebnisse der Ersatzwahl eines st.gallischen Mitglieds des Ständerates vom 12. März 2023, die Ergebnisse der Ersatzwahl für das Bezirksgericht Münchwilen im Kanton Thurgau sowie vereinzelte Wahlen und Abstimmungen auf Gemeindeebene in beiden Kantonen werden mit dem neuen System ermittelt.

Die beiden Kantone und die Abraxas Informatik AG bedanken sich bei allen Teilnehmenden des Programms für ihre Eingaben, die dazu beigetragen haben, das System zu verbessern. Das Bug-Bounty-Programm läuft indes weiter – das System bleibt offengelegt und weitere Versionen werden fortlaufend auf GitHub öffentlich publiziert. Somit werden allfällige neue Schwachstellen laufend und effizient in einem bewährten Prozess behoben.

Weitere Informationen
Github-Plattform mit dem Quellcode des Systems

Informationen über das öffentliche Bug-Bounty-Programm
abraxas.ch/bugbounty
bugbounty.ch/abraxas

Ergebnisermittlungssystem (sg.ch)

Staatskanzlei Kanton St.Gallen

Verwandte Artikel

Die Kantone St. Gallen und Thurgau haben ein neues System für die Ermittlung von Abstimmungsergebnissen eingekauft. Es wird von Hackern auf Schwachstellen getestet. (Symbolbild)
Kanton
St. Galler und Thurgauer Abstimmungssystem im Hackertest
Das neue Ermittlungssystem für Abstimmungs- und Wahlergebnisse der Kantone St. Gallen und Thurgau wird einem öffentlichen Test ausgesetzt: Hacker können das System seit Montag über...
Das neue Ergebnisermittlungssystem für Wahlen und Abstimmungen soll durch Quellcode-Offenlegung und Bug-Bounty-Programm sicherer gemacht werden. (Symbolbild)
Kanton
Wahlen & Abstimmungen: Ergebnisermittlung im Test
Die Kantone Thurgau und St.Gallen haben für Wahlen und Abstimmungen ein neues Ergebnisermittlungssystem beschafft. Bevor es 2023 produktiv eingesetzt wird, durchläuft es ein Bug-Bo...