Bug-Bounty-Pilotprojekt
02.07.2021, 11:32 Uhr
Ethische Hacker entdecken zehn Sicherheitslücken in der Bundesverwaltung
15 ethische Hacker durchsuchten im Mai sechs IT-Systeme des Aussendepartements und der Parlamentsdienste auf mögliche Sicherheitslücken. Gemeldet wurden insgesamt zehn Schwachstellen, eine stellte sich dabei als «critical» heraus.
(Quelle: Parlamentsdienste 3003 Bern)
Vom 10. bis 21. Mai 2021 hat das Nationale Zentrum für Cybersicherheit (NCSC) in Zusammenarbeit mit der Firma Bug Bounty Switzerland, dem Aussendepartement und den Parlamentsdiensten ein Bug-Bounty-Pilotprojekt durchgeführt. Dabei ging es darum, mit ethischen Hackern allfällige Verwundbarkeiten in IT-Systemen und Anwendungen zu identifizieren, zu dokumentieren und zu beheben. 15 Spezialistinnen und Spezialisten beteiligten sich laut Angaben des Bundes am Pilotprojekt.
Wie es in einem Communiqué heisst, meldeten die Hacker dem NCSC insgesamt zehn Sicherheitslücken. Eine habe sich davon als «critical» herausgestellt. Sieben Schwachstellen seien als «medium» und zwei als «low» klassifiziert worden. Sämtliche Lücken wurden durch die zuständigen Leistungserbringer geschlossen, wie es weiter heisst. Das erfolgreiche Beheben der Probleme sei im Anschluss durch die ethischen Hacker verifiziert und bestätigt worden.
Der Bund zieht insgesamt ein positives Fazit zum Projekt. Es habe gezeigt, «dass mittels Bug-Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können», schreiben die Verantwortlichen in der Mitteilung. Auch ist die Rede von einem hohen «Return on Investment». So leiste ein Bug-Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, «einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes».
Nun plant das NCSC, so heisst es weiter, das Bug-Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten. Der entsprechende Beschaffungsprozess solle «möglichst rasch gestartet werden». Nebst der Firma Bug Bounty Switzerland – sie kam beim aktuellen Projekt zum Zug – gebe es weitere Unternehmen in der Schweiz, die solche Programme anbieten. Um bei der Beschaffung die Neutralität zu gewährleisten, wird sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, laut Mitteilung deshalb aus dem Advisory Board von Bug Bounty Switzerland zurückziehen.
