Update: Bund lässt Hacker auf EDA und Parlamentsdienste los
Das Nationale Zentrum für Cybersicherheit (NCSC) hat ein Bug-Bounty-Programm lanciert. Dabei sollen Hacker eine intern betriebene Anwendung testweise angreifen. Das zweiwöchige Pilotprojekt erfolgt in Zusammenarbeit mit Bug Bounty Switzerland.
Update vom 10.05.2021: Die Bundesverwaltung hat am 10. Mai ein Bug-Bounty-Programm gestartet. Dabei handelt es sich um ein Pilotprojekt, das gemeinsam mit Bug Bounty Switzerland auf die Beine gestellt wurde, wie das Nationale Zentrum für Cybersicherheit (NCSC) mitteilt.
Der Projektumfang ist klar eingegrenzt: zeitlich, örtlich und personell. Das Bug-Bounty-Programm läuft zwei Wochen. Getestet werden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste. Und letztlich können nur Hacker teilnehmen, die Bug Bounty Switzerland oder dem NSCS bekannt sind und sich bereits in anderen Projekten bewährt haben.
Daten müssen in der Schweiz bleiben
Da es sich um Systeme der Bundesverwaltung handelt, herrschen natürlich strenge Anforderungen an den Datenschutz - die Daten müssen etwa in der Schweiz bleiben. Bug Bounty Switzerland hat daher in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug-Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird. Lesen Sie hier mehr dazu.
Ein Bug-Bounty-Programm ist im Wesentlichen eine Sammlung von Spielregeln für ethische - also "gute" - Hacker. Im Rahmen eines solchen Programms werden diese Hacker dazu aufgerufen, Schwachstellen in vorher definierten IT-Systemen aufzuspüren. Für jede gefundene Sicherheitslücke erhalten sie eine Belohnung - abhängig vom Schweregrad der Lücke.
Wie solche Programme im Detail funktionieren und warum die Digitalisierung ohne ethische Hacker langfristig gar nicht möglich ist, erklärt Sandro Nafzger, CEO von Bug Bounty Switzerland, hier im Interview.
Originalmeldung vom 26.02.2021: Der Bund experimentiert mit Bug-Bounty-Programmen
Der bund will schon bald ethische Hacker zur Schwachstellenjagd einsetzen. Gemäss einem Bericht der "NZZ" plant das Nationale Zentrum für Cybersicherheit (NCSC) voraussichtlich im April ein erstes so genanntes Bug-Bounty-Programm durchzuführen. Dabei soll eine Handvoll ausgewählter Hacker aus der Schweiz während zwei Wochen "eine im Voraus festgelegte, intern betriebene Applikation der Bundesverwaltung angreifen".
Findet jemand während dieses Zeitraums eine Schwachstelle, erhält er eine Belohnung, heisst es im Bericht weiter. Der Pilotversuch solle den Mehrwert von Bug-Bounty-Programmen für den Bund zeigen. "Zum einen, indem die IT-Sicherheit steigt; zum anderen, weil das Kosten-Nutzen-Verhältnis gut ist."
Daten bleiben in der Schweiz
Umgesetzt wird das Projekt zusammen mit Bug Bounty Switzerland. Die im vergangenen April gegründete Firma will die Schweizer IT-Landschaft sicherer machen. Erst kürzlich gab das Unternehmen bekannt, zusammen mit Microsoft die erste Schweizer Bug-Bounty-Plattform aufzubauen, wie Sie hier nachlesen können.
Die Schweizer Plattform sei eine zwingende Voraussetzung des Bundes gewesen, überhaupt Bug-Bounty-Programme in Betracht zu ziehen, schreibt die NZZ. Die Zeitung beruft sich auf eine Aussage des Delegierten für Cybersicherheit, Florian Schütz, der auch im Beirat von Bug Bounty Switzerland sitzt. Demnach müssen die Server in der Schweiz stehen, da die darauf gespeicherten Schwachstellen von böswilligen Hackern ausgenutzt werden könnten.
Wie es nach dem Pilotprojekt konkret weitergeht, ist noch nicht entschieden. Gegenüber der NZZ sagt Pascal Lamia vom NCSC: "Wir sehen dies als agiles Projekt und gehen schrittweise vor." Mit dem Pilot wolle man erste Erfahrungen mit Bug-Bounty-Programmen sammeln. Die Auswertung des Testlaufs soll noch vor den Sommerferien vorliegen.
Generell sind Bug-Bounty-Programme auf dem Vormarsch. Zahlen des europäischen Bug-Bounty-Anbieters Yeswehack zeigen, dass 2020 deutlich mehr Programme lanciert wurden als 2019. Zudem schliessen Unternehmen die gemeldeten Sicherheitslücken um einiges zügiger als im Vorjahr.