Nationales Zentrum für Cybersicherheit (NCSC): Erfolgreiches Bug Bounty Pilotprojekt für die Bundesverwaltung

Von Sandro Nafzger, Veröffentlicht am 1. Juli 2021 2 min Lesezeit

Während 12 Tagen haben unsere ethischen Hacker im Rahmen des ersten Bug Bounty-Pilotprojekts für die Bundesverwaltung in Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC), dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) und den Parlamentsdiensten (PD), verschiedene IT-Systeme geprüft. Das Projekt verlief sehr erfolgreich und die gewonnenen Erkenntnisse sollen in die Durchführung weiterer Bug Bounty-Programme in der Bundesverwaltung einfliessen.

Berichterstattung in SRF Tagesschau


Insgesamt wurden 15 ethische Hacker aus der Community von Bug Bounty Switzerland (BBS) für dieses Pilotprojekt beauftragt. Um den strengen Anforderungen der Bundesverwaltung an den Datenschutz und einen Datenstandort in der Schweiz gerecht zu werden, hatte BBS im Vorfeld mit technischer Unterstützung von Microsoft Schweiz die erste Schweizer Bug Bounty-Plattform entwickelt.

Zehn Sicherheitslücken entdeckt

Für die Durchführung des Pilotprojekts wurden insgesamt sechs IT-Systeme des  EDA und der Parlamentsdienste von ethischen Hackern auf allfällige Verwundbarkeiten durchsucht, mit dem Ziel Sicherheitslücken zu identifizieren, zu dokumentieren und zu beheben. Gesamthaft wurden dem NCSC zehn Sicherheitslücken gemeldet. Davon stellte sich eine Lücke als «critical» heraus, sieben Schwachstellen wurden als «medium» und zwei als «low» klassifiziert. Sämtliche Lücken wurden durch die zuständigen Leistungserbringer unverzüglich geschlossen. Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden.

Positives Fazit und Umwandlung in ein kontinuierliches Programm

Das Pilotprojekt mit BBS hat gezeigt, dass mittels Bug Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient und kostengünstig identifiziert und behoben werden können. Der «Return on Investment» wurde als hoch identifiziert. Ein Bug Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leistet einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes.

Durch die gewonnenen Erfahrungen mit dem Piloten von BBS und den Erkenntnissen aller Beteiligten sieht das NCSC vor, das Bug Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten.

Berichterstattung in TeleBärn

Bleib auf dem Laufenden mit unserem Newsletter!

Du suchst Bug Bounty News, Hackerportraits und Erfolgsgeschichten aus dem Unternehmensalltag? Bleib auf dem Laufenden mit unserem Newsletter.

Hast Du Fragen?

Nimm mit uns Kontakt auf - wir freuen uns auf Dich!

Termin vereinbaren