Support

Der Kanton St.Gallen führt ein kantonales Stimmregister ein. Es ist eine wichtige Komponente des Wahl- und Abstimmungsprozesses. Darum legen der Kanton und die Abraxas Informatik AG das neue System im Rahmen eines Bug-Bounty-Programms offen: Alle interessierten Expertinnen und Experten können ab heute den Quellcode untersuchen und das System auf Sicherheitslücken prüfen.

In jeder Gemeinde wird ein Verzeichnis der Stimmberechtigten geführt, die in der Gemeinde ihren politischen Wohnsitz haben – das Stimmregister. Im kantonalen Stimmregister werden die Stimmregister aller Gemeinden neu tagesaktuell zusammengeführt. Es liefert in Zukunft die benötigten Daten der stimmberechtigten Personen zur Aufbereitung der Stimmrechtsausweise. Das von der Abraxas Informatik AG mit höchstem Sicherheitsanspruch entwickelte System ist somit ein zentraler Bestandteil des Wahl- und Abstimmungsprozesses.

Wie bei der Lancierung des neuen Ergebnisermittlungssystems der Kantone St.Gallen und Thurgau im Jahr 2022 wird auch das neue Stimmregister gemäss dem Prinzip «Sicherheit durch Transparenz» eingeführt. Mit der Offenlegung des Quellcodes erhalten Sicherheitsforscherinnen und Sicherheitsforscher die Möglichkeit, durch das Studium des Codes zusätzliche Angriffsszenarien zu identifizieren und auszuprobieren. Damit kann die Abraxas Informatik AG allfällige Verbesserungen vornehmen und das neue Stimmregister noch sicherer machen.

Positives Fazit aus der ersten Überprüfung

Den ersten Schritt der Offenlegung startete die Abraxas Informatik AG am 23. November 2023 im Rahmen eines privaten Bug-Bounty-Programms. Dabei konnten 80 ausgewählte Sicherheitsforscherinnen und Sicherheitsforscher auf den Quellcode und die Dokumentation des Stimmregisters zugreifen und Angriffsversuche starten. Die höchst anspruchsvolle Aufgabe hat bereits Früchte getragen. Das System hat erste Verbesserungen erfahren und ist somit noch sicherer geworden.

Ab heute Donnerstag, 8. Februar 2024, wird das Programm in ein öffentliches Bug-Bounty-Programm überführt. Das bedeutet, dass alle interessierten Expertinnen und Experten ohne Anmeldung den Quellcode und die Dokumentation des Systems einsehen und analysieren können. Zudem steht eine Testversion des Systems zur Verfügung, um Angriffsversuche starten zu können. Jede bestätigte gemeldete Sicherheitsschwachstelle wird belohnt. Die Belohnung kann je nach Relevanz bis zu 30'000 Franken betragen. Interessierte finden weitere Informationen unter www.abraxas.ch/bugbounty und unter www.bugbounty.ch/abraxas.

Die Offenlegung und das Bug-Bounty-Programm helfen dabei, allfällige Schwachstellen schnell zu finden und zu beheben. Ziel ist es, das neue System erstmals zur Vorbereitung des Abstimmungssonntags vom 9. Juni 2024 einzusetzen. Das Bug-Bounty-Programm wird jedoch unbeschränkt laufen, um die Sicherheit des Stimmregisters immer auf dem aktuellen Stand zu halten.

Downloads

Kontakt

Markus Kaufmann
Markus Kaufmann

Leiter Kommunikation & Marketing