Erfolgreiches Bug Bounty-Pilotprojekt in der Bundesverwaltung

Ein ehtisches Hacker-Projekt im Mai verlief laut dem Nationale Zentrum für Cybersicherheit (NCSC) sehr erfolgreich. Insgesamt wurden zehn Sicherheitslücken gemeldet, davon stellte sich eine Lücke als kritisch heraus, während sieben weitere Schwachstellen als «medium» klassifiziert wurden.

Pilotprojekt
©Pixabay

Bug Bounty-Programme dienen dazu, in Zusammenarbeit mit ethischen Hackern allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen zu identifizieren, zu dokumentieren und zu beheben. Insgesamt nahmen 15 durch den Bund beauftragte ethische Hacker an diesem Pilotprojekt teil. Vom 10. bis 21. Mai 2021 hat das Nationale Zentrum für Cybersicherheit (NCSC) in Zusammenarbeit mit der Bug Bounty Switzerland GmbH, dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) und den Parlamentsdiensten (PD) ein Bug Bounty-Pilotprojekt durchgeführt.

Zehn Sicherheitslücken entdeckt

Für die Durchführung des Pilotprojekts wurden insgesamt sechs IT-Systeme des EDA und der Parlamentsdienste von ethischen Hackern auf allfällige Sicherheitslücken durchsucht. Gesamthaft wurden dem NCSC zehn Sicherheitslücken gemeldet. Davon stellte sich eine Lücke als «critical» heraus, sieben Schwachstellen wurden als «medium» und zwei als «low» klassifiziert.

Sämtliche Lücken wurden durch die zuständigen Leistungserbringer unverzüglich geschlossen. Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden.

Positives Fazit

Das Pilotprojekt habe gezeigt, dass mittels Bug Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Der «Return on Investment» wurde als hoch identifiziert. Ein Bug Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leistet einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes.

Durch die gewonnenen Erfahrungen mit dem Piloten und den Erkenntnissen aller Beteiligten sieht das NCSC vor, das Bug Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten.

Der Beschaffungsprozess soll deshalb möglichst rasch gestartet werden. Mittlerweile bieten neben der Bug Bounty Switzerland GmbH auch weitere Unternehmen in der Schweiz Bug Bounty-Programme an. Um bei der Beschaffung die Neutralität zu gewährleisten, zieht sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, deshalb aus dem Advisory Board von Bug Bounty Switzerland zurück.

Quelle: NCSC

(Visited 104 times, 1 visits today)

Weitere Beiträge zum Thema

SICHERHEITSNEWS

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Sie können sich jederzeit abmelden!
close-link