Heute pünktlich um 00:01 Uhr hat unser erstes Bug Bounty Programm für das Nationale Zentrum für Cybersicherheit (NCSC) gestartet. Das Ziel von diesem Pilotprojekt ist es, den Nutzen von Bug Bounty Programmen für den Bund aufzuzeigen. Dabei steht die Erhöhung der Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen, sowie ein optimales Kosten-Nutzen Verhältnis von Bug Bounty Programmen im Vordergrund. Die Erkenntnisse aus dem Pilotprojekt sollen dazu dienen, sofern der Nutzen ausgewiesen ist, innerhalb der Bundesverwaltung möglichst rasch allen Leistungserbringern im Bund die Dienstleistung von Bug Bounty Programmen zur Verfügung zu stellen.
Drei Systeme in Scope
Der Hack dauert rund zwei Wochen. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem ist der Kreis der Bug-Bounty Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche Bug Bounty Switzerland GmbH (BBS) oder dem NCSC bekannt sind und sich bereits in anderen Projekten bewährt haben.
Erste Schweizer Bug Bounty Plattform
Da die Bundesverwaltung – wie auch andere regulierte Branchen – strenge Anforderungen an den Datenschutz stellen und einen Datenstandort in der Schweiz fordern, haben wir in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird. Diese Plattform basiert auf modernsten Cloud-Technologien und erfüllt die Bedürfnisse von Bund und anderen regulierten Branchen wie beispielsweise von kritischen Infrastrukturen.
Einblick für Journalisten
In Absprache mit den beteiligten Bundesstellen gewähren wir interessierten Journalistinnen und Journalisten am Donnerstag, 20. Mai 2021, vor Ort in Bern einen Einblick in das Pilotprojekt. Interessierte können sich hier anmelden.
Hier geht es zur Medienmitteilung vom Nationalen Zentrum für Cybersicherheit (NCSC)