Um die Cybersicherheit der IT-Infrastruktur zu erhöhen sowie Cyberrisiken effektiv und kosteneffizient zu senken, hat der Bund eine zentrale Plattform für Bug-Bounty-Programme beschafft. Bug Bounty Switzerland hat die definierten Kriterien am besten erfüllt und erhält den Zuschlag. Die ersten Programme zusammen mit dem Nationalen Zentrum für Cybersicherheit (NCSC) starten noch dieses Jahr.
Sicherheitslücken in IT-Systemen gehören zu den häufigsten Einfallstoren bei Cyberangriffen. Umso wichtiger ist es, Schwachstellen so rasch als möglich zu entdecken und zu schliessen. Denn haben Angreifer durch eine Lücke in der Webseite oder in einer Software-Komponente ins System hineingefunden, können sie sich darin potenziell auch ausbreiten und weiteren Schaden anrichten. Standardisierte Sicherheitstests reichen heute häufig nicht mehr aus, um die versteckten Lücken zu finden. Daher sollen in Zukunft ethische Hacker im Rahmen von sogenannten Bug-Bounty-Programmen die produktiven IT-Systeme und Applikationen der Bundesverwaltung nach Schwachstellen durchsuchen.
Das im Frühjahr 2021 durchgeführte Pilotprojekt hat gezeigt, dass mittels Bug-Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Damals wurden insgesamt sechs IT-Systeme des Eidgenössischen Departementes für auswärtige Angelegenheiten EDA und der Parlamentsdienste von ethischen Hackern auf allfällige Sicherheitslücken durchsucht.
Aufgrund der gewonnenen Erfahrungen aus dem Pilotprojekt und den Erkenntnissen aller Beteiligten wurde beschlossen, unter der Federführung vom Nationalen Zentrum für Cybersicherheit (NCSC) das Bug Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten.
Das Nationalen Zentrum für Cybersicherheit (NCSC) wird in Zukunft gemeinsam mit der Firma Bug Bounty Switzerland AG in der Bundesverwaltung Bug-Bounty-Programme durchführen. Dank der etablierten Bug-Bounty-Plattform und der grossen Community der ethischen Hacker von Bug Bounty Switzerland stehen die nötigen Werkzeuge bereit, um die ersten Programme der Bundesverwaltung bereits in diesem Jahr starten zu können.
Bug Bounty Switzerland zählt zu den Pionieren der Schweizer Bug Bounty Szene. Sie bringt eine grosse Expertise bei der Durchführung von Bug Bounty-Programmen und bei der Zusammenarbeit mit ethischen Hackern mit. Die Erfahrung und Expertise vom Gründungsteam gehen zurück bis ins Jahr 2015 und umfasst den Aufbau und Betrieb einiger der grössten und bekanntesten Bug-Bounty-Programme und Public-Trust-Initiativen der Schweiz.
Im Februar 2021 hat Bug Bounty Switzerland die erste Bug Bounty Plattform der Schweiz lanciert. Daraus entsteht das Schweizer Ökosystem für Ethical Hacking, Vulnerability Collaboration und Public Trust. Bug Bounty Switzerland baut damit die Brücke zwischen ethischen Hackern und Schweizer Organisationen, sowie anderen relevanten Akteuren wie die öffentliche Verwaltung, Behörden, kritische Infrastrukturen, Hochschulen, Lieferanten und KMU’s.
Dadurch entsteht in der Schweiz eine neue Art der Kollaboration weit über die Organisationsgrenzen hinaus und es werden neue Handlungskompetenzen im Umgang mit der zunehmenden Verletzlichkeit aufgebaut. Bis ins Jahr 2025 will Bug Bounty Switzerland allen Schweizer Organisationen den Zugang zu Bug Bounty Programmen und der kollektiven Intelligenz ihrer Community ermöglichen.
Die strategische Partnerschaft mit dem Nationalen Zentrum für Cybersecurity (NCSC) und innovative Zusammenarbeit mit der Bundesverwaltung stellt dabei einen wichtigen Meilenstein dar.
Gemeinsam für eine sichere Schweiz!
Bug Bounty Switzerland AG
