Bug Bounty-Programme dienen dazu, in Zusammenarbeit mit ethischen Hackern allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen zu identifizieren, zu dokumentieren und zu beheben. Insgesamt nahmen 15 durch den Bund beauftragte ethische Hacker an diesem Pilotprojekt teil.
Für die Durchführung des Pilotprojekts wurden insgesamt sechs IT-Systeme des EDA und der Parlamentsdienste von ethischen Hackern auf allfällige Sicherheitslücken durchsucht. Gesamthaft wurden dem NCSC zehn Sicherheitslücken gemeldet. Davon stellte sich eine Lücke als «critical» heraus, sieben Schwachstellen wurden als «medium» und zwei als «low» klassifiziert. Sämtliche Lücken wurden durch die zuständigen Leistungserbringer unverzüglich geschlossen. Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden.
Das Pilotprojekt hat gezeigt, dass mittels Bug Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Der «Return on Investment» wurde als hoch identifiziert. Ein Bug Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leistet einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes.
Durch die gewonnenen Erfahrungen mit dem Piloten und den Erkenntnissen aller Beteiligten sieht das NCSC vor, das Bug Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten.
Der Beschaffungsprozess soll deshalb möglichst rasch gestartet werden. Mittlerweile bieten neben der Bug Bounty Switzerland GmbH auch weitere Unternehmen in der Schweiz Bug Bounty-Programme an. Um bei der Beschaffung die Neutralität zu gewährleisten, zieht sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, deshalb aus dem Advisory Board von Bug Bounty Switzerland zurück.
Quelle: Medienmitteilung des Bundesrats vom 1. Juli 2021