Bundesverwaltung beschafft Plattform für Bug Bounty-Programme
Bern, 03.08.2022 - Um die Cybersicherheit der IT-Infrastruktur zu erhöhen sowie Cyberrisiken effektiv und kosteneffizient zu senken, beschafft der Bund eine zentrale Plattform für Bug Bounty- Programme. Unter der Federführung des Nationalen Zentrums für Cybersicherheit NCSC und in Zusammenarbeit mit Bug Bounty Switzerland AG werden ethische Hacker künftig die IT-Systeme der Bundesverwaltung nach Schwachstellen durchsuchen.
Sicherheitslücken in IT-Systemen gehören zu den häufigsten Einfallstoren bei Cyberangriffen. Umso wichtiger ist es, Schwachstellen so rasch als möglich zu entdecken und zu schliessen. Denn haben Angreifer durch eine Lücke in der Webseite oder in einer Software-Komponente ins System hineingefunden, können sie sich darin potenziell auch ausbreiten und weiteren Schaden anrichten. Standardisierte Sicherheitstests reichen heute häufig nicht mehr aus, um die versteckten Lücken zu finden. Daher sollen in Zukunft ethische Hacker im Rahmen von sogenannten Bug Bounty-Programmen die produktiven IT-Systeme und Applikationen der Bundesverwaltung nach Schwachstellen durchsuchen.
Das im Frühjahr 2021 durchgeführte Pilotprojekt hat gezeigt, dass mittels Bug Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Damals wurden insgesamt sechs IT-Systeme des Eidgenössischen Departementes für auswärtige Angelegenheiten EDA und der Parlamentsdienste von ethischen Hackern auf allfällige Sicherheitslücken durchsucht.
Aufgrund der gewonnenen Erfahrungen aus dem Pilotprojekt und den Erkenntnissen aller Beteiligten wurde beschlossen, unter der Federführung des NCSC das Bug Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten.
Das NCSC wird in Zukunft gemeinsam mit der Firma Bug Bounty Switzerland AG in der Bundesverwaltung Bug Bounty-Programme durchführen. Dank der etablierten Bug Bounty-Plattform und der grossen Community der ethischen Hacker von Bug Bounty Switzerland AG stehen die nötigen Werkzeuge bereit, um die ersten Programme der Bundesverwaltung bereits in diesem Jahr starten zu können. Bug Bounty Switzerland AG zählt zu den Pionieren der Schweizer Bug Bounty Szene. Sie bringt eine grosse Expertise bei der Durchführung von Bug Bounty-Programmen und bei der Zusammenarbeit mit ethischen Hackern mit.
Adresse für Rückfragen
Kommunikation NCSC
Tel. 058 465 04 64
ncsc-media@gs-efd.admin.ch
Herausgeber
Eidgenössisches Finanzdepartement
http://www.efd.admin.ch
Generalsekretariat EFD
https://www.efd.admin.ch
