Hacker entdecken Schwachstellen in zentralem System des Bundes

Im zentralen Zugriffs- und Berechtigungssystem der Bundesverwaltung haben externe Hacker bei einer vom Bund in Auftrag gegebenen Sicherheitsprüfung 14 Lücken entdeckt. Eine Schwachstelle wurde als von hoher Relevanz eingestuft, neun als von mittlerer Bedeutung und bei vier war die Bedeutung tief. 

Wie die Bundeskanzlei mitteilte, sind sämtliche Lücken umgehend analysiert und bearbeitet worden. Die sogenannten «ethischen Hacker» erhielten für den Fund der vierzehn Schwachstellen eine Belohnung von 5700 Franken.

Beim zentralen Zugriff- und Berechtigungsprogramm der Bundesverwaltung (elAM) handelt es sich laut der Mitteilung um die zentrale Login-Infrastruktur des Bundes. Der Service wird von über tausend Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550'000 Anmeldungen pro Tag. 

Bei der Überprüfung des eIAM handelt es sich um die erste Anwendung des Bundes, welches von externen Hackern im Rahmen eines sogenannten Bug-Bounty-Programms geprüft wurde. 32 Hacker beteiligten sich an der Überprüfung des eIAM-Systems, die rund anderthalb Monate lang dauerte. 

Im vergangenen Jahr hatte der Bund bereits IT-Systeme des Aussendepartements und der Parlamentsdienste auf diese Weise unter die Lupe nehmen lassen. Damals entdeckten die Hacker eine Lücke, welche als «kritisch» eingeschätzt wurde. 

Der Bund will weitere Systeme nach dieser Methode überprüfen lassen und hat im August 2022 eine Plattform für Bug-Bounty-Programme beschafft.