Erstes Bug-Bounty-Programm in der Bundesverwaltung

Die Bundesverwaltung und Bug Bounty Switzerland starteten am 10. Mai 2021 ein gemeinsames Cybersicherheits-Projekt. Unter der Leitung des Nationalen Zentrums für Cybersicherheit (NCSC) sollen mit dem auf zwei Wochen angelegten Test erste Erfahrungen mit Bug Bounty-Programmen gesammelt werden.

Bug Bounty-Programmen
© Depositphotos, kwanchaidp

Die Bundesverwaltung will laut einer Mitteilung die Möglichkeiten von Bug Bounty-Programmen nutzen und dabei abklären, inwiefern diese einen strategischen Beitrag zur Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen leisten können.

Dazu führt das Nationale Zentrum für Cybersicherheit (NCSC) gemeinsam mit Bug Bounty Switzerland GmbH (BBS) erstmals ein entsprechendes Pilotprojekt in der Bundesverwaltung durch. Der Test begann am 10. Mai 2021 und dauert zwei Wochen. Im Rahmen von Bug Bounty-Programmen werden «ethische Hacker» – Hacker, welche in einem definierten Rahmen legal nach Schwachstellen suchen – dazu aufgerufen, Schwachstellen in den IT-Systemen einer Organisation aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), abgestuft nach Schweregrad der gefundenen Schwachstelle.

Das Pilotprojekt des Bundes ist in seinem Umfang klar eingegrenzt. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem ist der Kreis der Bug Bounty-Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche BBS oder dem NSCS bekannt sind und sich bereits in anderen Projekten bewährt haben.

Da die Bundesverwaltung – wie auch andere regulierte Branchen – strenge Anforderungen an den Datenschutz stellen und einen Datenstandort in der Schweiz fordern, hat BBS in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird. Diese Plattform basiert auf modernsten Cloud-Technologien und erfüllt die Bedürfnisse von Bund und anderen regulierten Branchen wie beispielsweise von kritischen Infrastrukturen.

Die Durchführung des Bug Bounty-Programms obliegt BBS, wird aber durch das NCSC sowie Vertreter des EDA und der Parlamentsdienste eng begleitet. Mit dem Test soll die Grundlage für eine Diskussion zum weiteren Vorgehen zur Nutzung von Bug Bounty-Programmen geschaffen werden.

Quelle: Eidgenössisches Finanzdepartement

(Visited 71 times, 1 visits today)
h2> Weitere Beiträge zum Thema

SICHERHEITSNEWS

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Sie können sich jederzeit abmelden!
close-link