Erstes Bug Bounty-Programm für die Bundesverwaltung hat gestartet

Heute pünktlich um 00:01 Uhr hat unser erstes Bug Bounty Programm für das Nationale Zentrum für Cybersicherheit (NCSC) gestartet. Das Ziel von diesem Pilotprojekt ist es, den Nutzen von Bug Bounty Programmen für den Bund aufzuzeigen. Dabei steht die Erhöhung der Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen, sowie ein optimales Kosten-Nutzen Verhältnis von Bug Bounty Programmen im Vordergrund. Die Erkenntnisse aus dem Pilotprojekt sollen dazu dienen, sofern der Nutzen ausgewiesen ist, innerhalb der Bundesverwaltung möglichst rasch allen Leistungserbringern im Bund die Dienstleistung von Bug Bounty Programmen zur Verfügung zu stellen.

Drei Systeme in Scope

Der Hack dauert rund zwei Wochen. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem ist der Kreis der Bug-Bounty Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche Bug Bounty Switzerland GmbH (BBS) oder dem NCSC bekannt sind und sich bereits in anderen Projekten bewährt haben.

Erste Schweizer Bug Bounty Plattform

Da die Bundesverwaltung – wie auch andere regulierte Branchen – strenge Anforderungen an den Datenschutz stellen und einen Datenstandort in der Schweiz fordern, haben wir in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird. Diese Plattform basiert auf modernsten Cloud-Technologien und erfüllt die Bedürfnisse von Bund und anderen regulierten Branchen wie beispielsweise von kritischen Infrastrukturen.

Einblick für Journalisten

In Absprache mit den beteiligten Bundesstellen gewähren wir interessierten Journalistinnen und Journalisten am Donnerstag, 20. Mai 2021, vor Ort in Bern einen Einblick in das Pilotprojekt. Interessierte können sich hier anmelden.

Hier geht es zur Medienmitteilung vom Nationalen Zentrum für Cybersicherheit (NCSC)

CEO & Partner at | + mehr

Sandro Nafzger ist Experte für Bug Bounty Programme und Crowdsourced Cybersecurity. Er hilft Schweizer Organisationen, ihre IT-Sicherheit auf das nächste Level zu bringen - damit die digitale Transformation gelingt.