18.10.2022 - Seit August 2022 steht der gesamten Bundesverwaltung eine zentrale Bug-Bounty-Plattform zur Verfügung. Diese wurde nun zum ersten Mal produktiv benutzt. Das Nationale Zentrum für Cybersicherheit (NCSC), der Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei und das Bundesamt für Informatik und Telekommunikation (BIT) haben in Zusammenarbeit mit Bug Bounty Switzerland AG das zentrale Zugriffssystem eIAM des Bundes von ethischen Hackern auf mögliche Schwachstellen durchsuchten lassen.
Das Zugriffs- und Berechtigungssystem der Bundesverwaltung ist die zentrale Login-Infrastruktur des Bundes. Der Service wird von über 1’000 Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550’000 Anmeldungen pro Tag. Die Sicherheit dieser Infrastruktur ist für den Bund bedeutend.
Bug-Bounty-Programme dienen ergänzend zu anderen Sicherheitsmassahmen dazu, allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen in Zusammenarbeit mit sogenannten ethischen Hackern zu identifizieren, zu dokumentieren und zu beheben. Ethische Hacker verpflichten sich, im Gegensatz zu kriminell motivierten Hackern, sich an rechtliche Vorgaben zu halten und handeln im Einverständnis der Betroffenen. Nach dem Pilot-Projekt des Nationalen Zentrums für Cybersicherheit (NCSC) vergangenes Jahr wurde nun eIAM einer Prüfung unterzogen. Das Bug-Bounty-Programm hat zwischen dem 30. August und dem 11. Oktober mit insgesamt 32 eingeladenen ethischen Hackern stattgefunden.
Die Schwachstellen wurden anhand einer weltweit anerkannten Skala in «tief» (optionale Behebung), «mittel» (Behebung beim nächsten Release), «hoch» (rasche Behebung) oder «kritisch» (sofortige Behebung) eingestuft. Gesamthaft wurden 28 Schwachstellen gemeldet, davon 14 als gültig befunden und akzeptiert. Sämtliche Lücken wurden umgehend analysiert und bearbeitet. Eine Schwachstelle wurde als «hoch» eingestuft. Neun wurden als «mittel» und vier als «tief» klassifiziert. Kritische Sicherheitslücken wurden keine gefunden. Die ethischen Hacker erhielten insgesamt 5’700 Franken als Belohnung für die bestätigten Schwachstellen.
Informationen zum Bug-Bounty-Programm eIAM:
Ethische Hacker für künftige Bug-Bounty-Programme des Bundes
Ethische Hacker, die interessiert sind, die Systeme der Bundesverwaltung zu prüfen und am Bug-Bounty-Programm des Bundes teilzunehmen, können sich unter folgendem Link registrieren:
Weiterführende Informationen
Letzte Änderung 18.10.2022
