Abraxas Blog Sichere Software für die digitale Schweiz.

Die Kolumne von Daniel Scherrer.

Die Kolumne von Daniel Scherrer.

Das Abraxas-Bug-Bounty-Team freut sich: Die Kantone SG und TG haben beschlossen, das neu entwickelte Ergebnisermittlungssystem am Abstimmungssonntag vom 12. März 2023 in Betrieb zu nehmen. Die Software wird seit Mai 2022 in einem zuerst privaten, dann öffentlichen Bug-Bounty-Programm gehärtet.

Seit einem Jahr besteht innerhalb von Abraxas eine interdisziplinäre Sicherheitsgruppe, die «Software Security Group» (SSG). Daniel Scherrer, Chief Software-Architekt von Abraxas über die Hintergründe, Motivationen und die Zukunft der Gruppe.

Ein Security Researcher stiess auf einen Fehler bei der Passworteingabe, der zu einer Überlastung führen konnte. Theoretisch. Leider für den Researcher war seine Meldung ein «False Positive». Dennoch gabs eine Anerkennung vom Team, da durch seine Meldung eine andere Schwachstelle identifiziert werden konnte.

Das Bug-Bounty-Programm von Abraxas geht mit der Offenlegung des letzten Stücks Quellcode in die Schlussrunde: Das Ergebnisermittlungssystem der Kantone SG und TG nähert sich dem gewünschten Reifegrad für den produktiven Einsatz an einem Wahl- und Abstimmungssonntag im kommenden Frühling.

Sicherheit in der Softwareentwicklung stellt IT-Organisationen vor eine neue Herausforderung: Sie müssen bisher isoliertes Fachwissen miteinander verknüpfen. In der Praxis bedeutet dies: Transparenz gilt auch nach innen. Sicherheit ist Teamarbeit.

Die Kolumne von Daniel Scherrer.

Im Hinblick auf ihr Bug-Bounty-Programm hat Abraxas ein eigenes Maturitätsmodell entwickelt. Es ist Bestandteil des Abraxas Security Frameworks und definiert den Reifegrad einer Softwareentwicklung.

Jetzt wird es noch spannender für die Security-Researcherinnen und -Researcher: Abraxas bringt einen weiteren wichtigen Teil des Quellcodes des Ergebnisermittlungssystems für die Kantone St. Gallen und Thurgau in das Public Bug-Bounty-Programm ein. Weitere werden folgen. Damit erhalten die Experten Einblick in die Kalkulation der Demokratie und können Schwachstellen finden.

Statische und dynamische Aspekte vieler Art spielen in der Cybersecurity eine grosse Rolle. Im Falle des Ergebnisermittlungssystems verbündete sich Security Researcher «simioni» mit der Zeit gegen uns. Seine Schwachstelle im Eingangsbereich zur Software ist interessant.

Das private Abraxas-Bug-Bounty-Programm neigt sich dem Ende zu. Bisher hat es im Sinne der Ausschreibung kein Finding ergeben, das als «critical» eingestuft werden musste. Dafür positive Effekte der anderen Art. Ab dem 22. August 2022 startet das öffentlich zugängliche Programm.

In wenigen Wochen ist es soweit: Das neue Ergebnisermittlungssystem der Kantone SG und TG wird vom Private ins Public Bug-Bounty-Programm überführt. Zeit für eine erste Bilanz. Das Interesse der Security Researcher ist stark gestiegen. Dennoch sind die bisher eingetroffenen Findings vor allem unkritischer Natur.

Wenig überraschend: Ein Ergebnisermittlungssystem ermittelt Ergebnisse. Die ausgezählten Stimmen werden damit berechnet und Wahl- bzw. Abstimmungssieger gekürt. Die Software sorgt für ein schnelles, sicheres und genaues Endergebnis des Abstimmungs- und Wahlsonntags.

Die Kolumne von Daniel Scherrer.

Security Researcher «bongo» untersuchte Schleichwege in das Ergebnisermittlungssystem von Abraxas. Sein Finding hat sich zwar nicht als besonders kritisch erwiesen, hebt aber das Sicherheitsniveau der gesamten Umgebung.

Abraxas Chief Software Architect Daniel Scherrer und sein Team haben das neue Ergebnisermittlungssystem für die Kantone Thurgau und St. Gallen entwickelt und intensiv mit internen und externen Fachleuten getestet. Nun startet das private Abraxas Bug-Bounty-Programm.

Abraxas legt in Zusammenarbeit mit Bug Bounty Switzerland den Code des neuen Ergebnisermittlungssystems für die Kantone St.Gallen und Thurgau offen. Gleichzeitig erhalten ausgewählte Security Researcher Zugang zu einer Vorabversion der Software und können diese ausgiebig nach Schwachstellen untersuchen.

Die Kantone St. Gallen und Thurgau haben am 16. Mai – wenige Tage vor dem Start des Private-Bug-Bounty-Programmes – Medienvertreter vor Ort und im Webex-Medienraum begrüsst, um über das neue Ergebnisermittlungssystem und den Start des Programms zu informieren. Ein Twitter-Rückblick.