Erfolgreiches Bug Bounty-Pilotprojekt für die Bundesverwaltung

Während 12 Tagen haben unsere ethischen Hacker im Rahmen des ersten Bug Bounty-Pilotprojekts für die Bundesverwaltung in Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC), dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) und den Parlamentsdiensten (PD), verschiedene IT-Systeme geprüft. Das Projekt verlief sehr erfolgreich und die gewonnenen Erkenntnisse sollen in die Durchführung weiterer Bug Bounty-Programme in der Bundesverwaltung einfliessen.

Insgesamt wurden 15 ethische Hacker aus der Community von Bug Bounty Switzerland (BBS) für dieses Pilotprojekt beauftragt. Um den strengen Anforderungen der Bundesverwaltung an den Datenschutz und einen Datenstandort in der Schweiz gerecht zu werden, hatte BBS im Vorfeld mit technischer Unterstützung von Microsoft Schweiz die erste Schweizer Bug Bounty-Plattform entwickelt.

Zehn Sicherheitslücken entdeckt

Für die Durchführung des Pilotprojekts wurden insgesamt sechs IT-Systeme des  EDA und der Parlamentsdienste von ethischen Hackern auf allfällige Verwundbarkeiten durchsucht, mit dem Ziel Sicherheitslücken zu identifizieren, zu dokumentieren und zu beheben. Gesamthaft wurden dem NCSC zehn Sicherheitslücken gemeldet. Davon stellte sich eine Lücke als «critical» heraus, sieben Schwachstellen wurden als «medium» und zwei als «low» klassifiziert. Sämtliche Lücken wurden durch die zuständigen Leistungserbringer unverzüglich geschlossen. Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden.

Positives Fazit und Umwandlung in ein kontinuierliches Programm

Das Pilotprojekt mit BBS hat gezeigt, dass mittels Bug Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient und kostengünstig identifiziert und behoben werden können. Der «Return on Investment» wurde als hoch identifiziert. Ein Bug Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leistet einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes.

Durch die gewonnenen Erfahrungen mit dem Piloten von BBS und den Erkenntnissen aller Beteiligten sieht das NCSC vor, das Bug Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten.

BBS bewirbt sich im Rahmen der öffentlichen Ausschreibung

Dienstleistungsaufträge, welche den Schwellenwert erreichen oder übersteigen, werden öffentlich ausgeschrieben. Der Auftrag für ein kontinuierliches Bug Bounty-Programm muss deshalb vom Bund öffentlich ausgeschrieben werden. BBS wird sich im Rahmen dieser öffentlichen Ausschreibung um den Auftrag bewerben. Der Beschaffungsprozess soll von Seiten des Bundes möglichst rasch gestartet werden.

Florian Schütz zieht sich aus dem Advisory Board zurück

Um bei der Beschaffung die Neutralität zu gewährleisten und das Prinzip des freien Wettbewerbs zu wahren, zieht sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, deshalb aus dem Advisory Board von BBS zurück. Die Vergabe eines Bundesauftrags hat sich in jedem Verfahren nach dem vorteilhaftesten Angebot zu richten.

Weitere Informationen

CEO & Partner at | + mehr

Sandro Nafzger ist Experte für Bug Bounty Programme und Crowdsourced Cybersecurity. Er hilft Schweizer Organisationen, ihre IT-Sicherheit auf das nächste Level zu bringen - damit die digitale Transformation gelingt.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.