Symbolbild: Toppicks

Die schweizerische Bundesverwaltung hat vom 30. August bis 11. Oktober ein Bug-Bounty-Programm auf dem zentralen Zugriffssystem eIAM des Bundes durchgeführt. Mit der Überprüfung durch ethische Hacker habe die Sicherheit des Systems weiter gestärkt werden können, schreibt die Bundeskanzlei in einer Aussendung dazu.

Das Zugriffs- und Berechtigungssystem der Bundesverwaltung gilt als zentrale Login-Infrastruktur des Bundes. Der Service wird von über 1’000 Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550’000 Anmeldungen pro Tag. Die Sicherheit dieser Infrastruktur ist für den Bund von zentraler Bedeutung.

Bug-Bounty-Programme dienen ergänzend zu anderen Sicherheitsmassahmen dazu, allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen in Zusammenarbeit mit sogenannten ethischen Hackern zu identifizieren, zu dokumentieren und zu beheben. Ethische Hacker verpflichten sich, im Gegensatz zu kriminell motivierten Hackern, sich an rechtliche Vorgaben zu halten und handeln im Einverständnis der Betroffenen. Nach dem Pilot-Projekt des Nationalen Zentrums für Cybersicherheit (NCSC) vergangenes Jahr wurde nun eIAM einer Prüfung unterzogen. Das Bug-Bounty-Programm hat mit insgesamt 32 eingeladenen ethischen Hackern stattgefunden.

Der für den eIAM-Service verantwortliche Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei, das Bundesamt für Informatik und Telekommunikation (BIT) als Systembetreiberin und das für das Bug-Bounty-Programm zuständige NCSC haben diese Systemüberprüfung laut Mitteilung gemeinsam mit der Firma Bug Bounty Switzerland durchgeführt. Die Schwachstellen wurden demnach anhand einer weltweit anerkannten Skala in "tief" (optionale Behebung), "mittel" (Behebung beim nächsten Release), "hoch" (rasche Behebung) oder "kritisch" (sofortige Behebung) eingestuft. Gesamthaft wurden den Infos zufolge insgesamt 28 Schwachstellen gemeldet, davon 14 als gültig befunden und akzeptiert. Sämtliche Lücken seien umgehend analysiert und bearbeitet worden. Eine Schwachstelle sei als "hoch" eingestuft worden. Neun als "mittel" und vier als "tief" klassifiziert. Kritische Sicherheitslücken habe man keine gefunden. Die ethischen Hacker erhielten insgesamt 5’700 Franken als Belohnung für die bestätigten Schwachstellen.

Mit diesem ersten Bug-Bounty-Programm habe man wertvolle Erfahrungen sammeln können, heisst. Das Programm habe gezeigt, dass mittels dieser Methode bisher unerkannte Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden könnten. Es werde nun geprüft, diese Art der externen Sicherheitsüberprüfung für eIAM weiterzuführen.

Bug-Bounty-Programm des Bundes
Das im Frühjahr 2021 durchgeführte Pilotprojekt habe gezeigt, dass mittels Bug-Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Aufgrund dieser Erkenntnisse habe der Bund im August 2022 eine Plattform für Bug-Bounty-Programme beschafft. Unter der Federführung des NCSC sollen in Zukunft ethische Hacker im Rahmen von sogenannten Bug-Bounty-Programmen die produktiven IT-Systeme und Applikationen der Bundesverwaltung nach Schwachstellen durchsuchen. Mit eIAM sei nun eine erste Anwendung im Rahmen dieses Programms geprüft worden.
Ethische Hacker, die interessiert sind, die Systeme der Bundesverwaltung im Rahmen von künftigen Bug-Bounty-Programmen zu prüfen und am Bug-Bounty-Programm des Bundes teilzunehmen, können sich unter folgendem Link registrieren: www.bugbounty.ch/ncsc