Öffentliche Bug-Bounty
15.04.2021, 15:14 Uhr
Post: Hacker sollen Sicherheitslücken aufdecken
Die Post will ihr Angebot sicherer machen und ruft private Hacker auf, ihre Webseiten zu hacken. Bei Erfolg winken Belohnungen von bis zu 10'000 Franken.
Die Post lädt Hacker zu sich ein
(Quelle: Die Schweizerische Post)
Die Schweizerische Post startet ein öffentliches Bug-Bounty-Programm und lädt nun auch Private ein, ihre Systeme nach Schwachstellen zu durchforsten. Bisher durften Hacker nur «auf Einladung» nach Schwachstellen in der Informatik-Infrastruktur der Post suchen. Neu habe jeder registrierte Hacker oder Hackerin die Möglichkeit, über die Bug-Bounty-Plattform von YesWeHack nach Schwachstellen zu suchen. Die Höhe der Prämien für bestätigte Sicherheitslücken beträgt zwischen 50 und 10'000 Franken, heisst es in einer Mitteilung.
Das Public-Bug-Bounty-Programm starte zunächst mit folgenden Dienstleistungen: Kundenlogin der Post, Postshop, PostApp, PubliBike sowie anderen Onlinedienste wie WebStamp, Meine Sendungen, Adressverwaltungen, Empfängerleistungen und der Bezahlservice Billing Online. Laufend würden weitere Dienstleistungen in das private Bug-Bounty-Programm aufgenommen, diese sollen in Zukunft ebenfalls in das öffentliche Programm überführt werden.
Im Mai 2020 hatte die Post als eines der ersten Schweizer Unternehmen mit einem Bug-Bounty-Programm gestartet. Dabei hätten wohlgesinnte Hacker, auch «Hunter» genannt, auf Einladung nach Sicherheitslücken gesucht, hies es weiter. Diese «ethischen» Hacker können sich registrieren und nach Fehlern suchen. Das Unternehmen ist überzeugt, dass das Bug-Bounty-Programm bestehende Sicherheitstests optimal ergänzt.
Entdecke ein Hacker eine Schwachstelle, leite die Post Massnahmen ein, um die Sicherheitslücke zu schliessen. Auch prüfen Spezialisten der Post, ob die gemeldete Schwachstelle Auswirkungen auf andere Anwendungen hat. Seit dem Start des Programms habe man bereits 500 Schwachstellen gefunden und rund 250'000 Franken Belohnungen ausbezahlt, hiess es weiter. (Vergleiche hierzu auch das Computerworld-Interview mit Post-CISO Marcel Zumbühl)
Probleme beim E-Voting
Im Jahr 2019 hatte die Post ein neues Programm für ein E-Voting-System entwickelt. Damals entdeckten Hacker bei einem Test im Frühling schwere Mängel. Tausende Personen nahmen damals an den Tests teil. Nach Angaben der Post schafften es die Hacker zwar nicht, die elektronische Wahlurne zu knacken, sie fanden aber schwere Mängel im Quellcode. In Anschluss daran zog die Post ihr System im Juli 2019 zurück.
Im August 2019 schlug die Post den Kantonen ein neues Programm für die elektronische Stimmabgabe vor. Im Dezember 2020 entschied dann der Bundesrat, dass Kantone wieder Versuche mit E-Voting durchführen dürfen. Im Frühling 2022 geht es in den Kantonen St. Gallen, Thurgau und Freiburg los. Mit welchem System, ist noch offen.
