«Wir freuen uns auf jedes Finding!»

Abraxas Chief Software Architect Daniel Scherrer und sein Team haben das neue Ergebnisermittlungssystem für die Kantone Thurgau und St. Gallen entwickelt und intensiv mit internen und externen Fachleuten getestet. Nun startet das private Abraxas Bug-Bounty-Programm.

Von Bruno Habegger · 29. Juni 2022

Was fasziniert Sie an Ihrem Beruf?

Die Informatik hat mich schon immer fasziniert. Schon als Kind. Meine Leidenschaft konnte ich dann tatsächlich ins Berufsleben tragen. Das komplette Eintauchen in eine andere Welt, das Programmieren mit dem Zweck, unsere Welt zu verbessern, ist noch heute sehr reizvoll. Womöglich sind letztlich genau die  täglichen Entdeckungen und das Ausleben von Erfindertum mein täglicher Treiber.

Programmieren ist weit mehr als nur Codezeilen schreiben?

Viel viel mehr. Es geht um genaue Fachkenntnis der Prozesse, also des Umfelds, in dem die Software eingesetzt werden soll. Beim neuen Ergebnisermittlungssystem haben wir uns intensiv mit der Ausmittlung der Ergebnisse an Abstimmungs- und Wahlsonntagen befasst, und unsere Erkenntnisse sind in die Software eingeflossen. Das Programmieren selbst ist eine Mischung aus Fleiss und Disziplin und das Eintauchen in einen Themenkomplex.

Disziplin?

Ja, es gilt jederzeit die Übersicht über die Prozesse zu behalten und diese korrekt zu implementieren. Software-Entwicklung ist nach aktuellem Stand der Technik immer noch eine Manufaktur. Die meisten Programmabläufe werden immer noch von Hand, Zeile für Zeile, geschrieben. Da gilt es vieles zu beachten, und Fehler können hierbei natürlich entstehen.

Fehler? Wie entstehen sie?

Es gibt zwar Ideen und Konzepte, dass Software Software schreibt. Doch immer noch braucht es den Menschen, der dem Computer genau sagt, was zu tun ist. Es sind Teams, die untereinander und mit dem Business harmonieren müssen. Darum entstehen auch Fehler. Logikfehler etwa oder widersprüchliche Prozesse. Schon ein Tippfehler oder eine fehlende Zeile im Code könnte eine Schwachstelle schaffen, durch die ein Angreifer schlüpfen könnte.

Was tun Sie dagegen?

Wir implementieren sichere Entwicklungsprozesse nach dem Vielaugenprinzip. In jeder Phase, vom ersten Mockup bis zum fertigen Produkt, ja über den ganzen Lifecycle, nutzen wir Methoden und Werkzeuge, um ein sehr hohes Mass an Sicherheit zu erzielen. Testen wird dabei zum Dauerprinzip, schon lange vor dem Abraxas Bug Bounty, das nur ein Element unseres Abraxas Security Frameworks ist.

Warum ist das Testen für Abraxas besonders wichtig?

Die Digitalisierung der Demokratie setzt höchst sichere Software voraus, die Vertrauen schafft und präzise Ergebnisse schnell und effizient liefert. Ein sicherer Softwareprozess ist somit essenzieller Bestandteil der digitalen Weiterentwicklung der Schweizer Politik, Wirtschaft und Gesellschaft.

Darum auch das Abraxas Bug-Bounty-Programm?

Genau. Wir öffnen ab dem 23. Mai eine aktuelle Vorabversion des neuen Ergebnisermittlungssystems und legen schrittweise den Quellcode der Software offen. So können die Security Researcher gefundene Bugs und Schwachstellen präzise dokumentieren. Unser Partner Bug Bounty Switzerland kümmert sich um die Auswahl und Betreuung der Security Researcher aus der Schweiz und anderen Regionen der Welt.

Haben Sie Angst vor dem, was Sie und Ihr Team erwartet?

Nein, im Gegenteil. Wir haben intensiv daran gearbeitet, selbst möglichst viele Bugs und Schwachstellen zu identifizieren und zu beseitigen. Nun startet die private Bug-Bounty-Phase in einem geschlossenen Kreis. Wir freuen uns auf jedes Finding – denn es macht unsere Software noch sicherer und stärkt das Vertrauen in digitale staatliche Prozesse.

Bruno Habegger

Über Bruno Habegger

Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.