Symbolbild: Bounty

Im Zuge eines Bug-Bounty-Pilotprojektes, das das Nationale Zentrum für Cybersicherheit (NCSC) in Zusammenarbeit mit der Bug Bounty Switzerland, dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) und den Parlamentsdiensten (PD) initiiert hatten, durchsuchten fünfzehn ethische Hacker (White-Hat-Hacker) im Mai sechs IT-Systeme des Aussendepartements und der Parlamentsdienste auf mögliche Sicherheitslücken. Dabei entdeckten sie insgesamt zehn Schwachstellen, eine stellte sich dabei als kritisch heraus.

Sieben Schwachstellen wurden als "medium" und zwei als "low" klassifiziert. Sämtliche Lücken wurden durch die zuständigen Leistungserbringer unverzüglich geschlossen. Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden.

Das Pilotprojekt habe laut Aussendung des NCSC gezeigt, dass mittels Bug-Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Der "Return on Investment" wurde als hoch identifiziert. Ein Bug Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leiste einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes.

Durch die gewonnenen Erfahrungen mit dem Piloten und den Erkenntnissen aller Beteiligten sehe das NCSC nun vor, das Bug-Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten, heisst es. Der Beschaffungsprozess soll deshalb möglichst rasch gestartet werden.

Mittlerweile bieten neben der Bug Bounty Switzerland auch weitere Unternehmen in der Schweiz Bug-Bounty-Programme an. Um bei der Beschaffung die Neutralität zu gewährleisten, ziehe sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, deshalb aus dem Advisory Board von Bug Bounty Switzerland zurück.

Bug Bounty-Programme dienen dazu, in Zusammenarbeit mit ethischen Hackern allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen zu identifizieren, zu dokumentieren und zu beheben.

Symbolbild: Pixabay/CCO
Symbolbild: Pixabay/CCO