Support

Die Kantone Thurgau und St. Gallen nehmen Ende 2023 ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen in Betrieb. Bevor das von Abraxas entwickelte System eingeführt wird, wird ab Ende Mai der Quellcode offengelegt und ein Bug-Bounty-Programm durchgeführt. Ziel davon ist es, Verbesserungen vornehmen und die Software sicherer machen zu können.

Im Januar 2021 haben die Kantone Thurgau und St. Gallen der Abraxas Informatik AG den Zuschlag für ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen erteilt. Das neue System wird das bisherige System WABSTI ersetzen, das in beiden Kantonen seit bald 20 Jahren im Einsatz ist. In Bezug auf Sicherheit und Zuverlässigkeit haben die beiden Kantone bei der Ausschreibung erhöhte Anforderungen gestellt. Dazu gehören die Offenlegung des Quellcodes des neuen Ergebnisermittlungssystems und der Einladung an Sicherheitsexpert:innen, Code und System kritisch zu prüfen.

Offenlegung und Bug-Bounty starten Ende Mai

Am 16. Mai 2022 haben die beiden Kantone und Abraxas anlässlich einer Medienkonferenz über den ersten Schritt der Offenlegung informiert. Am 23. Mai startet das Private-Bug-Bounty-Programm. Ausgewählte Sicherheitsforscherinnen und Sicherheitsforscher können auf Quellcode inklusive Dokumentation sowie das Ergebnisermittlungssystem selbst in einer Vorabversion zugreifen und Angriffsversuche starten. Ziel: allfällige Schwachstellen so schnell wie möglich aufdecken und korrigieren.

Ein Ergebnisermittlungssystem ist ein besonders schützenswertes Element der digitalen Demokratie. Mit dem Abraxas Security Framework verfügen wir über Prozesse und Methoden, um Software so sicher wie nur möglich zu entwickeln Peter Gassmann, Leiter Solution Engineering bei Abraxas

Schrittweises Vorgehen

Nach einer ersten Phase von sechs Wochen wird ein Zwischenfazit zum Private-Bug-Bounty gezogen. Danach folgt das Public-Bug-Bounty. Hier steht es allen Personen offen, die Anwendung zu prüfen. In der Folge werden schrittweise neue Elemente offengelegt. Durch die Offenlegung soll es zu einer öffentlichen Debatte über die Sicherheit des neuen Ergebnisermittlungssystems kommen, um so das Vertrauen in das System zu erhöhen. Die Öffentlichkeit soll nachvollziehen können, dass die beiden Kantone und Abraxas alles unternehmen, um die Sicherheit immer auf dem aktuellsten Stand zu halten.

Mehr Informationen in der hier verlinkten Medienmitteilung.

Mehr Hintergründe zur sicheren Softwareentwicklung im Abraxas Magazin

Mehr Hintergründe zur sicheren Softwareentwicklung im Abraxas Magazin