Ethische Hacker
11.05.2021, 10:10 Uhr
Erstes Bug-Bounty-Programm in der Bundesverwaltung
Auch in der Bundesverwaltung sollen «ethische Hacker» Jagd auf Softwarefehler machen. Zusammen mit Bug Bounty Switzerland und dem NCSC wurde diesbezüglich ein Pilot gestartet.
Auch die Bundesverwaltung will die Möglichkeiten von Bug-Bounty-Programmen nutzen und dabei abklären, inwiefern diese einen Beitrag zur Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen leisten können. Dazu führt das Nationale Zentrum für Cybersicherheit (NCSC) gemeinsam mit Bug Bounty Switzerland (BBS) erstmals ein entsprechendes Pilotprojekt in der Bundesverwaltung durch.
Der Test beginnt diese Woche und dauert 14 Tage. Im Rahmen von Bug-Bounty-Programmen werden «ethische Hacker» – Hacker, welche in einem definierten Rahmen legal nach Schwachstellen suchen – dazu aufgerufen, Sicherheitslücken in den IT-Systemen einer Organisation aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), abgestuft nach Schweregrad der gefundenen Schwachstelle. In der Schweiz hat unter anderem die Post bereits gute Erfahrungen mit Bug-Jägern gemacht.
Geordneter Angriff auf IT-Systeme des EDA und der Parlamentsdienste
Das Pilotprojekt des Bundes sei in seinem Umfang klar eingegrenzt, heisst es in einer Mitteilung. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem sei der Kreis der Bug-Bounty-Jäger in diesem ersten Test auf ethische Hacker eingeschränkt. Diese seien BBS oder dem NSCS bekannt und hätten sich bereits in anderen Projekten bewährt.
Da die Bundesverwaltung – wie auch andere regulierte Branchen – besondere Anforderungen an den Datenschutz stellten und einen Datenstandort in der Schweiz forderten, habe BBS in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug-Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben werde, führt das Communiqué weiter aus.
Kommentare
Es sind keine Kommentare vorhanden.