10.05.2021 - Die Bundesverwaltung und Bug Bounty Switzerland GmbH starten heute ein gemeinsames Pilotprojekt. Unter der Leitung des NCSC sollen mit dem auf zwei Wochen angelegten Test erste Erfahrungen mit Bug Bounty-Programmen gesammelt und der künftige Einsatz hinsichtlich der Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen geprüft werden.
Die Bundesverwaltung will die Möglichkeiten von Bug Bounty-Programmen nutzen und dabei abklären, inwiefern diese einen strategischen Beitrag zur Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen leisten können.
Pilotprojekt gestartet
Dazu führt das NCSC gemeinsam mit Bug Bounty Switzerland GmbH (BBS) erstmals ein entsprechendes Pilotprojekt in der Bundesverwaltung durch. Der Test beginnt am 10. Mai 2021 und dauert zwei Wochen.
Im Rahmen von Bug Bounty-Programmen werden «ethische Hacker» – Hacker, welche in einem definierten Rahmen legal nach Schwachstellen suchen – dazu aufgerufen, Schwachstellen in den IT-Systemen einer Organisation aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), abgestuft nach Schweregrad der gefundenen Schwachstelle.
Klar eingegrenzter Projektumfang
Das Pilotprojekt des Bundes ist in seinem Umfang klar eingegrenzt. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem ist der Kreis der Bug Bounty-Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche BBS oder dem NSCS bekannt sind und sich bereits in anderen Projekten bewährt haben. Da die Bundesverwaltung – wie auch andere regulierte Branchen – strenge Anforderungen an den Datenschutz stellen und einen Datenstandort in der Schweiz fordern, hat BBS in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird. Diese Plattform basiert auf modernsten Cloud-Technologien und erfüllt die Bedürfnisse von Bund und anderen regulierten Branchen wie beispielsweise von kritischen Infrastrukturen.
Die Durchführung des Bug Bounty-Programms obliegt BBS, wird aber durch das NCSC sowie Vertreter des EDA und der Parlamentsdienste eng begleitet. Mit dem Test soll die Grundlage für eine Diskussion zum weiteren Vorgehen zur Nutzung von Bug Bounty-Programmen geschaffen werden.
Bug Bounty Switzerland gewährt Einblick
In Absprache mit den beteiligten Bundesstellen gewährt BBS interessierten Journalistinnen und Journalisten am Donnerstag, 20. Mai 2021, vor Ort in Bern Einblick in das Pilotprojekt. Interessierte wenden sich hierzu an:
Bug Bounty Switzerland GmbH
hello@bugbounty.ch oder +41 79 701 43 41.