Um die Cybersicherheit der IT-Infrastruktur zu erhöhen sowie Cyberrisiken effektiv und kosteneffizient zu senken, werden in der Bundesverwaltung Bug-Bounty-Programme unter der Führung des Bundesamts für Cybersicherheit (BACS) in Zusammenarbeit mit der Bug-Bounty Switzerland AG und den Verwaltungseinheiten der Bundesverwaltung durchgeführt.
Bug-Bounty-Programme dienen ergänzend zu anderen Sicherheitsmassnahmen dazu, in Zusammenarbeit mit ethischen Hackern allfällige Verwundbarkeiten in IT-Systemen und -Anwendungen zu identifizieren, zu dokumentieren und zu beheben. Ethische Hacker verpflichten sich, im Gegensatz zu kriminell motivierten Hackern, sich an rechtliche Vorgaben zu halten und handeln im Einverständnis der Betroffenen.
Nach der Durchführung des Pilot-Projekts des damaligen NCSC im Jahr 2021 hat der Bund die Plattform für Bug-Bounty-Programme im August 2022 beschafft. Seither ermöglicht das BACS ethischen Hackern, sich für die Sicherheit des Bundes zu engagieren und im Rahmen des Bug-Bounty-Programms kontinuierlich nach Sicherheitslücken zu suchen.
Ethische Hacker, die sich für die Teilnahme am Bug-Bounty-Programm des Bundes interessieren und die Systeme der Bundesverwaltung prüfen möchten, können sich unter folgendem Link registrieren:
Aktuelle Zahlen - Ergebnisse des Bug-Bounty-Programms
Das BACS informiert regelmässig zu den Ergebnissen des Bug-Bounty-Programms der Bundesverwaltung. Die bisher gemachten Erfahrungen sind durchwegs positiv. Die Anzahl Meldungen sowie deren Inhalte zeigen deutlich, dass mit Hilfe des Bug-Bounty-Programms Schwachstellen gefunden und gemeldet werden, die bei Überprüfungen im Rahmen von klassischen Sicherheitstests nicht immer identifiziert werden. Diese Tatsache belegt, dass Bug-Bounty als flankierende Massnahme zu konventionellen IT-Sicherheitskonzepten oder Sicherheitsprüfungen in der Bundesverwaltung sinnvoll und effektiv ist.
Hinweis zu den Daten
- Total: Statistik seit Beginn des Bug-Bounty-Programms am 30. August 2022
- Date: Statistik der letzten zwölf Monate, auf quartalsweiser Basis
- Hackers: Anzahl der ethischen Hacker, die mindestens eine Schwachstelle gemeldet haben
- Reported Findings: Anzahl der gemeldeten Schwachstellen. Diese können bereits beurteilt und abgeschlossen (akzeptiert, zurückgewiesen) sein, oder sich noch in der Überprüfungsphase befinden.
- Rejected: Anzahl der Schwachstellen, die nach der Analyse und Prüfung nicht akzeptiert und gegenüber dem ethischen Hacker zurückgewiesen wurden (z. B. Duplikate, ungültig, usw.)
- Low/Medium/High/Critical: Anzahl der Schwachstellen nach Kritikalität. Als Basis für die Einstufung dient der international anerkannte CVSS-Standard. Für die endgültige Bewertung des Schweregrads werden weitere Kriterien wie z. B. Auswirkung der Schwachstelle auf die Bundesverwaltung berücksichtigt.
- Reward: Summe der an die ethischen Hacker ausbezahlten Belohnungen (Bounties). Die Belohnung ist abhängig von der Kritikalität der Schwachstelle.
Grafik: Gemeldete Schwachstellen und deren Einstufung in den vergangenen 12 Monaten
Hinweis: Die aufgeführte Statistik stellt eine Momentaufnahme dar. Die Einstufung der Schwachstellen-Meldungen kann sich in Einzelfällen verändern.
Tabelle: Gemeldete Schwachstellen und deren Einstufung in den vergangenen 12 Monaten
| Date | Reported Findings | Rejected | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|
| 2024 Q1 | 3 | 3 | 0 | 0 | 0 | 0 | 0 |
| 2023 Q4 | 116 | 51 | 6 | 35 | 14 | 10 | 61'400 |
| 2023 Q3 | 76 | 24 | 4 | 26 | 6 | 16 | 68'000 |
| 2023 Q2 | 12 | 7 | 0 | 5 | 0 | 0 | 2'100 |
Total Meldungen seit dem Programmstart im August 2022
| Hackers | Reported Findings | Rejected | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|
| 40 | 246 | 103 | 15 | 78 | 24 | 26 | 143'350 |
Weitere Informationen:
Letzte Änderung 28.03.2024
