Wer seine Pizza mit Ananas belegt, ist ein Sünder vor dem grossen Pizzaiolo. Als Softwareentwickler weiss ich das genau, denn meine Pizza lieb ich nur nach original italienischem Rezept. Ich habe ja ein inniges Verhältnis zum Käse-Tomaten-Fladen, schliesslich leb ich davon in langen, einsamen Programmiernächten zwischen Stapeln von leeren Pizzaboxen. Klischeealarm.
Moderne Entwickler sind alles andere als einsame Nerds. Sie müssen intensiv zusammenarbeiten mit den Kolleginnen und Kollegen aus dem Business, der Verwaltung, mit Spezialisten und Codern. Sie brauchen die Übersicht über Prozesse und Fachwissen, sie müssen sich zudem seit einiger Zeit den vielfältigen Herausforderungen der digitalen Kriminalität stellen. Und sie müssen ihre Ideen und Produkte mit Transparenz belegen.
Diesen neuen Ansatz pflegen wir mit unserem ersten Abraxas Bug-Bounty-Programm für das Ergebnisermittlungssystem der Kantone SG und TG. Seit dem 23. Mai 2022 versuchen handverlesene Security Researcher unsere Software zu knacken. Wir wollen wissen, ob unsere Software Schwachstellen enthält, die die Ermittlung der Resultate von Wahl- und Abstimmungssonntagen gefährden und das Vertrauen in die Demokratie erschüttern könnten.
Bereits nach wenigen Wochen sorgt das Programm für positive Veränderungen. Wir haben unser Abraxas Security Framework entworfen und definiert. Entwicklerteams anderer Komponenten stimmen sich mit uns ab und wollen ebenfalls aktiver mit der Community der Security-Researcherinnen und -Researcher zusammenarbeiten; interne Webinare zeigen ein hohes Interesse für das Thema. Ich werde immer wieder auf das Programm angesprochen und gefragt, ob es nicht mutig sei, das eigene Programm bewusst Angriffen auszusetzen. Ich antworte dann immer: Mutig ist es, seine Fehler verstecken zu wollen. Sie werden nämlich früher oder später gefunden. Besser, in der kontrollierten Umgebung eines Bug-Bounty-Programms.
