Erstes Bug Bounty-Programm in der Bundesverwaltung
Bern, 10.05.2021 - Die Bundesverwaltung und Bug Bounty Switzerland GmbH starten am 10. Mai 2021 ein gemeinsames Pilotprojekt. Unter der Leitung des Nationalen Zentrums für Cybersicherheit (NCSC) sollen mit dem auf zwei Wochen angelegten Test erste Erfahrungen mit Bug Bounty-Programmen gesammelt und der künftige Einsatz hinsichtlich der Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen geprüft werden.
Die Bundesverwaltung will die Möglichkeiten von Bug Bounty-Programmen nutzen und dabei abklären, inwiefern diese einen strategischen Beitrag zur Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen leisten können.
Pilotprojekt gestartet
Dazu führt das Nationale Zentrum für Cybersicherheit (NCSC) gemeinsam mit Bug Bounty Switzerland GmbH (BBS) erstmals ein entsprechendes Pilotprojekt in der Bundesverwaltung durch. Der Test beginnt am 10. Mai 2021 und dauert zwei Wochen. Im Rahmen von Bug Bounty-Programmen werden «ethische Hacker» – Hacker, welche in einem definierten Rahmen legal nach Schwachstellen suchen – dazu aufgerufen, Schwachstellen in den IT-Systemen einer Organisation aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), abgestuft nach Schweregrad der gefundenen Schwachstelle.
Klar eingegrenzter Projektumfang
Das Pilotprojekt des Bundes ist in seinem Umfang klar eingegrenzt. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem ist der Kreis der Bug Bounty-Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche BBS oder dem NSCS bekannt sind und sich bereits in anderen Projekten bewährt haben. Da die Bundesverwaltung – wie auch andere regulierte Branchen – strenge Anforderungen an den Datenschutz stellen und einen Datenstandort in der Schweiz fordern, hat BBS in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird. Diese Plattform basiert auf modernsten Cloud-Technologien und erfüllt die Bedürfnisse von Bund und anderen regulierten Branchen wie beispielsweise von kritischen Infrastrukturen.
Die Durchführung des Bug Bounty-Programms obliegt BBS, wird aber durch das NCSC sowie Vertreter des EDA und der Parlamentsdienste eng begleitet. Mit dem Test soll die Grundlage für eine Diskussion zum weiteren Vorgehen zur Nutzung von Bug Bounty-Programmen geschaffen werden.
Bug Bounty Switzerland gewährt Einblick
In Absprache mit den beteiligten Bundesstellen gewährt BBS interessierten Journalistinnen und Journalisten am Donnerstag, 20. Mai 2021, vor Ort in Bern Einblick in das Pilotprojekt. Interessierte wenden sich hierzu an: Bug Bounty Switzerland GmbH , hello@bugbounty.ch oder +41 79 701 43 41.
Adresse für Rückfragen
Kommunikation NCSC
Nationales Zentrum für Cybersicherheit NCSC
Tel. 058 463 45 07, ncsc-media@gs-efd.admin.ch
Herausgeber
Eidgenössisches Finanzdepartement
https://www.efd.admin.ch/de
Eidgenössisches Departement für auswärtige Angelegenheiten
https://www.eda.admin.ch/eda/de/home.html
Letzte Änderung 30.11.2020