01.07.2021 - Vom 10. bis 21. Mai 2021 hat das NCSC in Zusammenarbeit mit der Bug Bounty Switzerland GmbH, dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) und den Parlamentsdiensten (PD) ein Bug Bounty-Pilotprojekt durchgeführt. Das Projekt verlief sehr erfolgreich und die gewonnenen Erkenntnisse sollen in die Durchführung weiterer Bug Bounty-Programme in der Bundesverwaltung einfliessen.
Bug Bounty-Programme dienen dazu, in Zusammenarbeit mit ethischen Hackern allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen zu identifizieren, zu dokumentieren und zu beheben. Insgesamt nahmen 15 durch den Bund beauftragte ethische Hacker an diesem Pilotprojekt teil.
Zehn Sicherheitslücken entdeckt
Für die Durchführung des Pilotprojekts wurden insgesamt sechs IT-Systeme des EDA und der Parlamentsdienste von ethischen Hackern auf allfällige Sicherheitslücken durchsucht. Gesamthaft wurden dem NCSC zehn Sicherheitslücken gemeldet. Davon stellte sich eine Lücke als «critical» heraus, sieben Schwachstellen wurden als «medium» und zwei als «low» klassifiziert. Sämtliche Lücken wurden durch die zuständigen Leistungserbringer unverzüglich geschlossen. Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden.
Positives Fazit
Das Pilotprojekt hat gezeigt, dass mittels Bug Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Der «Return on Investment» wurde als hoch identifiziert. Ein Bug Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leistet einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes.
Durch die gewonnenen Erfahrungen mit dem Piloten und den Erkenntnissen aller Beteiligten sieht das NCSC vor, das Bug Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten.
Der Beschaffungsprozess soll deshalb möglichst rasch gestartet werden. Mittlerweile bieten neben der Bug Bounty Switzerland GmbH auch weitere Unternehmen in der Schweiz Bug Bounty-Programme an. Um bei der Beschaffung die Neutralität zu gewährleisten, zieht sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, deshalb aus dem Advisory Board von Bug Bounty Switzerland zurück.
Pilotprojekt «Bug Bounty-Programm der Bundesverwaltung» - Abschlussbericht (PDF, 217 kB, 01.07.2021)
Letzte Änderung 01.07.2021