Florian Schütz, der Direktor des BACS, sieht Bug-Bounty-Programme als wichtige und kosteneffiziente Sicherheitsmassnahme. Seit 2021 arbeitet der Bund mit Bug Bounty Switzerland zusammen, um Schwachstellen kontinuierlich zu identifizieren und die Cyber-Resilienz zu stärken. «Bug-Bounty zwingt Organisationen zu effizienten Prozessen und fördert eine schnelle Reaktionsfähigkeit», sagt Schütz. Künstliche Intelligenz werde künftig Sicherheitsanalysen automatisieren, während menschliche Experten sich auf komplexe Bedrohungen konzentrieren.
Cybersicherheit ist ein Balanceakt zwischen Innovation und Schutz
Wenn Cybersecurity in der Schweiz ein Gesicht hat, dann ist es jenes von Florian Schütz. Der Direktor des Bundesamtes für Cybersicherheit (BACS) ist Ansprechperson für Politik, Medien und Bevölkerung zu Fragen der Cybersecurity. «Wir müssen die Cybersicherheit auf ein akzeptables Niveau bringen, sodass wir nach unseren Werten leben und wirtschaften, Wertschöpfung generieren und international kompetitiv bleiben können», sagt Schütz im Expert-Talk mit Bug Bounty Switzerlands CEO & Co-Founder Sandro Nafzger.
In seiner Rolle als BACS-Vorsteher ist Florian Schütz verantwortlich für die koordinierte Umsetzung der nationalen Cyberstrategie des Bundes, die unter der Leitung seines Amtes gemeinsam mit Akteuren aus Politik, Behörden, Wirtschaft und Zivilgesellschaft entstanden ist. «Früher sprach man von der ‘Strategie zum Schutz der Schweiz vor Cyberrisiken’», sagt er und betont: «Mir war wichtig, dass wir einen neutraleren Begriff verwenden, der nicht nur die Risiken betont. Denn jeder Unternehmer, jede Unternehmerin weiss: Wo Risiken sind, sind auch Chancen!»
Risiken gibt es tatsächlich genug. Die Digitalisierung bringt neben zahlreichen Vorteilen auch viele neue Angriffsflächen mit sich. Die Urheber von Cyberangriffen reichen vom unbedarften «Script-Kiddie» bis hin zu hochprofessionellen und mitunter staatlichen Akteuren. Unternehmen geraten oft ins Visier, weil sie es versäumen, ihre Systeme rechtzeitig zu patchen. Für Schütz lautet die Herausforderung für die Cybersicherheit deshalb, ein Gleichgewicht zwischen Sicherheit und wirtschaftlicher Wettbewerbsfähigkeit zu finden. Dazu reicht ein regelmässiges Aufspielen von Patches schon lange nicht mehr aus – erforderlich ist ein umfassendes Schwachstellenmanagement mit einer proaktiven und kontinuierlichen Suche nach verborgenen Sicherheitslücken. Dann Schwachstellen sind der Nährboden für Cyberattacken und müssen fortlaufend eliminiert werden.
Bug-Bounty ist ein wirkungsvolles und kosteneffizientes Sicherheitsinstrument
Ein integraler Bestandteil der nationalen Cyberstrategie sind daher Bug-Bounty-Programme. Florian Schütz sieht in ihnen ein wichtiges Instrument im Werkzeugkasten der Cybersicherheit. «In der Security-Community wird darüber oft sehr emotional diskutiert: Welche Testing-Methode ist die richtige – Pentests oder Bug-Bounty?» Für Schütz ist dies nicht die richtige Frage. «In der Geschäftswelt ist immer die Kosten-Nutzen-Frage das entscheidende Element. Die Frage lautet: Lohnt es sich? Bringt es etwas, dann mach ich es. Bringt es mir nichts, mach ich es nicht.»
Für Schütz ist deshalb die ökonomische Perspektive entscheidend: Eine Firma muss ihre Finanzen optimieren, ein Bundesamt muss mit dem Steuergeld verantwortungsvoll umgehen. «Bei Bug-Bounty handelt es sich um eine fortlaufende, kreative Testmethode: Viele verschiedene Tester mit unterschiedlichem Know-how prüfen kontinuierlich und möglichst breit auf Sicherheitslücken.» Gerade diese Dauerhaftigkeit und breite Abdeckung der Angriffsoberfläche macht Bug-Bounty attraktiv. Zudem gilt: Nur gefundene Schwachstellen werden finanziell honoriert. Schütz’ Fazit ist daher klar: «Aus ökonomischer Sicht ist Bug-Bounty etwas, was vergleichsweise günstig gemacht werden kann.» Er sieht Bug-Bounty daher als effizientes und wirtschaftlich attraktives Modell, um durch Konzentration auf die öffentlich zugänglichen und exponierten Angriffsflächen eine Grundsicherheit zu gewährleisten und empfiehlt: «Ich würde mit einem automatisierten Scanner beginnen, das ist das günstigste. Danach kommt schnell Bug Bounty, da das Kosten-Nutzen-Verhältnis relativ gut ist. Pentests, Redteaming und Fuzzing sind wichtige und ergänzende Massnahmen, welche punktuell und on-demand dann on-top eingesetzt werden können.»
Bug-Bounty-Programm beim Bund seit 2021
Der Bund selbst setzt seit 2021 auf Bug-Bounty-Programme. Die Einführung sei ein wichtiger Schritt für die Bundesverwaltung gewesen – und nicht ganz ohne Herausforderungen. «Das Programm wurde auf Initiative des Parlaments gestartet, aber wir hatten ohnehin schon mit dem Gedanken gespielt», erinnert sich Florian Schütz. Eine zentrale Bedingung war, dass alle Daten innerhalb der Schweiz bleiben mussten. «Ich wollte nicht, dass Informationen über Schwachstellen auf Servern im Ausland landen. Damit war der Markt schnell eingeschränkt», erklärt er.
Für die Umsetzung fiel die Wahl auf Bug Bounty Switzerland. Ein wichtiges Kriterium für den Bund bei der Wahl war, dass die Plattform in der Schweiz betrieben wird.
Für den Bund hat sich Bug-Bounty seither als effektives Instrument bewährt: Seit dem Programmstart im 2022 wurden bis März 2025 rund 396’000 Franken an Prämien ausgeschüttet – ein Betrag, der angesichts der erzielten Sicherheit ein lohnendes Investment darstellt. Schliesslich wurden in dieser Zeit 437 gültige Schwachstellen entdeckt mit dem Bug Bounty Programm für die Bundesverwaltung. Davon wurden 71 als «critical» und 76 als «high» eingestuft.
Wertvoll ist für Schütz aber nicht nur, dass die Bug-Bounty-Programme kontinuierlich Sicherheitslücken aufdecken, sondern auch, dass sie damit wertvolle Daten zur Sicherheitslage liefern und helfen, die allgemeine IT-Sicherheitsstrategie zu validieren sowie die Reaktionsfähigkeit zu trainieren.
Ethische Hacker sind kein Sicherheitsrisiko, sondern vertrauenswürdige Partner
Weil das Vorgehen für den Bund damals relativ neu war, gab es zu Beginn schon auch Bedenken – zum Beispiel, dass die ethischen Hacker die gefundenen Schwachstellen auf dem Schwarzmarkt verkaufen könnten.
Doch Schütz sieht das pragmatisch: Erstens könne man im Rahmen der Know-Your-Customer (KYC) Verifikation Passinformationen und Strafregisterauszüge verlangen von den ethischen Hackern » Florian Schützt sagt «Ich halte das Risiko, dass sich ein ethischer Hacker unangemessen verhält, für äusserst gering». Wer an einem Bug-Bounty-Programm teilnehme, habe sich bewusst für diesen Weg entschieden und hinterlasse eine digitale Spur. Für Personen mit kriminellen Absichten hingegen, stehe an oberster Stelle keine Spuren zu hinterlassen, diese würden sich somit nicht für ein Bug-Bounty-Programm registrieren.
Schütz betont, dass Vertrauen durch klare vertragliche Regelungen, wirtschaftliche Überlegungen und respektvolle Kommunikation aufgebaut werden kann. Langfristige Beziehungen spielen dabei eine wichtige Rolle: «Wenn man ein Gefühl dafür hat, mit diesen Leuten respektvoll umzugehen und zu kommunizieren, dann geht auch alles gut.»
Cyberresilienz entsteht beim regelmässigen Umgang mit echten Schwachstellen
Schliesslich sind Bug-Bounty-Programme in den Augen des BACS-Direktors ein wichtiges Element zur Erreichung von Cyberresilienz. Doch was bedeutet Resilienz in diesem Kontext? «Resilienz heisst nicht per se, dass man sicher ist», betont Schütz. Er beschreibt Resilienz vielmehr als die Fähigkeit, mit Cybervorfällen umzugehen und Systeme rasch wiederherzustellen. Nicht jeder Vorfall ist gleich kritisch: Während eine vorübergehend nicht erreichbare Website verkraftbar ist, auch wenn dies unangenehme Presseberichte zur Folge hat, kann der Ausfall eines Identity-Access-Management-Systems gravierende Folgen haben.
Bug-Bounty-Programme spielen in diesem Kontext eine wichtige Rolle. Der ständige Fluss an Schwachstellenberichten zwingt Organisationen dazu, geeignete und effiziente Prozesse zu deren Behebung zu etablieren. Dadurch sind im Ernstfall diese Prozesse gut eingespielt, was eine schnelle Reaktionsfähigkeit ermöglicht. Resilienz lässt eben nur schwer durch theoretische Übungen erreichen, es braucht den täglichen Umgang mit echten Schwachstellen und Bedrohungen. Schütz warnt jedoch vor einem weit verbreiteten Fehler, der unterschiedlichen Behandlung von IT- und Security-Vorfällen. «Viele Organisationen haben einen Prozess für IT-Outages und ähnliches sowie einen Security-Incident-Prozess. Das ergibt keinen Sinn!» Um Ineffizienzen und Verzögerungen zu vermeiden, brauche es einen einzigen, übergreifenden Prozess. So können Sicherheits- und IT-Teams besser zusammenarbeiten und schneller auf Bedrohungen reagieren.
Künstliche Intelligenz (KI) und die Zukunft von Bug-Bounty
Florian Schütz sieht Künstliche Intelligenz (KI) als bedeutenden Faktor für die Weiterentwicklung von Bug-Bounty. Während AI in den USA bereits zur automatisierten Schwachstellensuche erforscht wird, erwartet Schütz allerdings so bald keine Ablösung menschlicher Hacker: «Ich glaube nicht, dass KI in naher Zukunft Bug-Bounty ersetzt», erklärt er. «Aber ich glaube, dass es eine neue, spannende Marktdynamik zur Folge haben wird.» Durch den Einsatz von Machine-Learning könnten grosse Teile der Schwachstellensuche automatisiert werden, während sich menschliche Bug-Hunter auf anspruchsvollere, Tests konzentrieren. Daraus könnten neue Geschäftsmodelle entstehen, ist Schütz überzeugt. Die Frage dabei ist für ihn, wie die Integration KI-gestützter Lösungen in bestehende Bug-Bounty-Angebote erfolge. Dies könnte zu neuen Geschäftsmodellen mit unterschiedlichen Service-Levels führen. Besonders für kleinere Unternehmen wären Bug-Bounty-Lösung mit Plug-and-play-Charakter zu einem Fixpreis attraktiv, ist Schütz überzeugt.
In dieser Entwicklung sieht Schütz denn auch eine Chance für Schweizer Anbieter: Firmen, denen es gelingt, mit innovativen Ansätzen Bug-Bounty und KI zu neuen Businessmodellen zu verknüpfen, könnten in Zukunft auch international eine wichtige Rolle spielen. Entscheidend wird sein, ob sie es schaffen, den technologischen Fortschritt mit den Bedürfnissen der Unternehmen zu vereinen und gleichzeitig das Vertrauen der Kunden zu gewinnen. «Ich würde mich freuen, wenn wir mehr erfolgreiche Schweizer Unternehmen haben, die auch international Cybersicherheitsprodukte anbieten und unsere digitale Zukunft mitgestalten.»
Die Werkzeugkiste der Cybersecurity von Florian Schütz
1. Automatisierte Scans als kostengünstigste erste Massnahme
2. Bug-Bounty-Programme zur kontinuierlichen Sicherheitsprüfung der gesamten Angriffsoberfläche
3. Pentests vor der Inbetriebnahme oder zur Erfüllung von Compliance-Anforderungen bei Bedarf
4. Red-Teaming und Fuzzing für tiefergehende Analysen bei speziellen Anforderungen
Über Florian Schütz
Florian Schütz ist Direktor des Bundesamtes für Cybersicherheit (BACS) und zählt zu den führenden Cybersicherheits-Experten des Landes. Er ist verantwortlich für die koordinierte Umsetzung der nationalen Cybersicherheitsstrategie. Zuvor war er erster Delegierter des Bundes für Cybersicherheit und massgeblich am Aufbau des Nationalen Zentrums für Cybersicherheit (NCSC) beteiligt, das 2024 ins Bundesamt für Cybersicherheit überführt worden ist. Schütz hat Informatik an der ETH Zürich studiert und verfügt über einen Master in Sicherheitspolitik und Krisenmanagement. Nach Stationen bei RUAG Schweiz und Zalando SE engagiert er sich heute sowohl national als auch international, unter anderem als Vorsitzender der OECD-Arbeitsgruppe für digitale Sicherheit.
Schau Dir den Expert Talk mit Florian Schütz und Sandro Nafzger an:
Willst Du mehr erfahren?
Gerne zeigen wir dir wie Du deine Cyber Resilienz auf das nächste Level bringen kannst.
