Bug-Bounty-Programm
10.07.2020, 11:36 Uhr
Die Post lädt ethische Hacker zu sich ein
Die Post ist ein beliebtes Angriffsziel für Hacker. Um ihre Systeme besser zu schützen, hat der Gelbe Riese nun ein Bug-Bounty-Programm aufgegleist. In einer ersten Phase wurden so 50 kritische Schwachstellen entdeckt, bevor Cyberkriminelle diese ausnützen konnten.
Post-CISO Marcel Zumbühl will, dass ethische Hacker die Systeme des Gelben Riesen angreifen
(Quelle: pd)
Künftig sollen auch ethische Hacker ausgewählte Anwendungen der Schweizerischen Post bewusst angreifen und so Schwachstellen aufdecken. Dies zumindest erhofft sich Marcel Zumbühl, der als Chief Information Security Officer (CISO) für die Cybersecurity des Gelben Riesen zuständig ist. Dabei kann er bereits erste Erfolge feiern, wie er in einem Hintergrundgespräch mit der Presse erklärte.
Das Bug-Bounty-Programm der Post, das bereits 2019 in einer Proof-of-Concept-Phase getestet und ab Mai 2020 offiziell gestartet ist, habe bereits 50 Schwachstellen in den Systemen und Online-Diensten der Post zu Tage gefördert, so Zumbühl. Durch das gezielte Hackenlassen wurden sie entdeckt und konnten gefixt werden, bevor Cyberkriminelle von ihnen Kenntnis erhalten hätten.
Derzeit hat die Post 50 externe IT-Security-Forscher für das Bug-Bounty-Programm akkreditieren können, die derzeit hauptsächlich den Online-Shop der Post und das Kunden-Login attackieren. Ende Jahr will Zumbühl sogar 250 ethische Hacker verpflichtet haben und diese für gefundene Schwachstellen bezahlen.
In Zukunft sei auch ein öffentliches Bug-Bounty-Programm geplant, so der Post-CISO. Derzeit setzt man noch auf ein privates Verfahren. Ethische Hacker können sich bei der Post melden und werden «gescreent», um dann ans Werk gehen zu können.
Mit dem Vorgehen beschreitet die Post relativ frisches Terrain. «Wir sind wohl fast die einzige Firma in der Schweiz, die auf Bug Bounty zur zusätzlichen Absicherung setzt», erklärt er.
11.07.2020