Nach einem erfolgreich durchgeführten Pilotprojekt will der Bund künftig Cyberangriffe auf seine IT-Systeme nicht nur mit Sicherheitstest, sondern auch mit ethischen Hackern verhindern. Die ersten Programme sollen noch in diesem Jahr gestartet werden.
Der Bund beschafft eine Plattform für Bug Bounty-Programme. Künftig werden ethische Hacker im Auftrag des NCSC und in Zusammenarbeit mit @bugbounty_ch die IT-Systeme der Bundesverwaltung nach Schwachstellen durchsuchen. https://t.co/ttE70MzvtS pic.twitter.com/CNGkKnC2k8
— GovCERT.ch (@GovCERT_CH) August 3, 2022
Standardisierte Sicherheitstests reichten heute häufig nicht mehr aus, um die versteckten Lücken zu finden, teilte das Eidgenössische Finanzdepartement (EFD) am Mittwoch mit. Daher sollen in Zukunft ethische Hacker im Rahmen von sogenannten Bug Bounty-Programmen die produktiven IT-Systeme und Applikationen der Bundesverwaltung nach Schwachstellen durchsuchen. Federführend ist das Nationale Zentrum für Cybersicherheit (NCSC).
Im Rahmen des bereits durchgeführten Pilotprojekts «Bug-Bounty-Programm der Bundesverwaltung» hatten 15 durch den Bund beauftragte Hacker Mitte Mai 2021 zehn Sicherheitslücken in IT-Systemen des Aussendepartements und der Parlamentsdienste ausfindig gemacht - eine davon hatte sich als «kritisch» herausgestellt. Sämtliche Lücken wurden inzwischen geschlossen.
Die positiven Erfahrungen aus dem Pilotprojekt in insgesamt sechs IT-Systemen haben gemäss den Angaben dazu geführt, dass das «Bug Bounty-Programm» nun kontinuierlich auf möglichst viele Systeme der Bundesverwaltung ausgeweitet werden soll. Das NCSC wird in Zukunft gemeinsam mit der Firma Bug Bounty Switzerland AG in der Bundesverwaltung diese Programme durchführen.
Bug Bounty Switzerland AG zähle zu den Pionieren der Schweizer Bug Bounty Szene, betonte das EFD in der Mitteilung weiter. Das Unternehmen bringe eine grosse Expertise bei der Durchführung von Bug Bounty-Programmen und bei der Zusammenarbeit mit ethischen Hackern mit.
Bug Bounty-Programme sind Initiativen, die Regierungsstellen, Unternehmen, Interessenverbände oder Privatpersonen betreiben, um Softwarefehler zu identifizieren, zu beheben und bekannt zu machen. Die Auftraggeber nutzen also gleichsam die kollektive Intelligenz, um Schwachstellen aufzuspüren. Die Entdecker und Melder von Schwachstellen werden für ihren Aufwand entschädigt.
In der Wirtschaft sind diese Programme bereits weit verbreitet, grosse Unternehmen wie Facebook und Microsoft betreiben sie seit längerem. Auch die Schweizerische Post, Coop, Raiffeisen, Ringier oder die BKW setzen bereits auf die Dienste von ethischen Hackern.
(sda)
