Ethische Hacker
03.08.2022, 12:31 Uhr
Bund startet Bug-Bounty-Programm definitiv
Nach einem erfolgreich durchgeführten Pilotprojekt will der Bund künftig auch mit ethischen Hackern Jagd auf Schwachstellen in seinen IT-Systemen machen. Die ersten Programme sollen noch in diesem Jahr gestartet werden.
Der Bund führt nach erfolgreichem Pilot ein reguläres Bug-Bounty-Programm ein
(Quelle: Testbytes/Pixabay)
Standardisierte Sicherheitstests reichten heute häufig nicht mehr aus, um die versteckten Lücken zu finden, teilte das Eidgenössische Finanzdepartement (EFD) mit. Daher sollen in Zukunft ethische Hacker im Rahmen sogenannter Bug-Bounty-Programme die produktiven IT-Systeme und Applikationen der Bundesverwaltung nach Schwachstellen durchsuchen. Federführend ist das Nationale Zentrum für Cybersicherheit NCSC.
Im Rahmen des bereits durchgeführten Pilotprojekts «Bug-Bounty-Programm der Bundesverwaltung» hatten 15 durch den Bund beauftragte Hacker Mitte Mai 2021 zehn Sicherheitslücken in IT-Systemen des Aussendepartements und der Parlamentsdienste ausfindig gemacht – eine davon hatte sich als «kritisch» herausgestellt. Sämtliche Lücken wurden inzwischen geschlossen.
Die positiven Erfahrungen aus dem Pilotprojekt in insgesamt sechs IT-Systemen haben gemäss den Angaben dazu geführt, dass das «Bug-Bounty-Programm» nun kontinuierlich auf möglichst viele Systeme der Bundesverwaltung ausgeweitet werden soll. Das NCSC wird in Zukunft gemeinsam mit der Firma Bug Bounty Switzerland AG in der Bundesverwaltung diese Programme durchführen.
Kollektive Intelligenz nutzen
Bug Bounty Switzerland AG zähle zu den Pionieren der Schweizer Bug-Bounty-Szene, betonte das EFD in der Mitteilung weiter. Das Unternehmen bringe eine grosse Expertise bei der Durchführung von Bug-Bounty-Programmen und bei der Zusammenarbeit mit ethischen Hackern mit.
Bug-Bounty-Programme sind Initiativen, die Regierungsstellen, Unternehmen, Interessenverbände oder Privatpersonen betreiben, um Software-Fehler zu identifizieren, zu beheben und bekannt zu machen. Die Auftraggeber nutzen also gleichsam die kollektive Intelligenz, um Schwachstellen aufzuspüren. Die Entdecker und Melder von Schwachstellen werden für ihren Aufwand entschädigt.
In der Wirtschaft sind diese Programme weitverbreitet. Grosse Unternehmen wie Facebook und Microsoft betreiben sie seit Längerem. Auch die Schweizerische Post, Coop, Raiffeisen, Ringier oder die BKW setzen bereits auf die Dienste von ethischen Hackern.
