Bug-Bounty-Programme zur Erhöhung der Cyberresilienz in der Bundesverwaltung

Um die Cybersicherheit der IT-Infrastruktur zu erhöhen sowie Cyberrisiken effektiv und kosteneffizient zu senken, werden in der Bundesverwaltung Bug-Bounty-Programme unter der Führung des Nationalen Zentrums für Cybersicherheit (NCSC) in Zusammenarbeit mit Bug Bounty Switzerland AG und den Verwaltungseinheiten als Servicenehmer durchgeführt.

Bug-Bounty-Programme dienen ergänzend zu anderen Sicherheitsmassnahmen dazu, allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen in Zusammenarbeit mit ethischen Hackern zu identifizieren, zu dokumentieren und zu beheben. Ethische Hacker verpflichten sich, im Gegensatz zu kriminell motivierten Hackern, sich an rechtliche Vorgaben zu halten und handeln im Einverständnis der Betroffenen. Nach dem Pilot-Projekt des Nationalen Zentrums für Cybersicherheit (NCSC) im 2021 hat der Bund im August 2022 die Plattform für Bug-Bounty-Programme beschafft.

Ethische Hacker für künftige Bug-Bounty-Programme des Bundes:
Ethische Hacker, die interessiert sind, die Systeme der Bundesverwaltung im Rahmen von künftigen Bug-Bounty Programmen zu prüfen und an diesen teilzunehmen, können sich unter folgendem Link registrieren: www.bugbounty.ch/ncsc

Ergebnisse der Bug-Bounty-Programme

Das NCSC Informiert regelmässig über die Ergebnisse der Bug-Bounty-Programme der Bundesverwaltung. Bei den Bug-Bounty-Programmen in der Bundesverwaltung hat sich gezeigt, dass Schwachstellen effizient identifiziert und angegangen werden können. Die Qualität und Inhalt der Meldungen beweisen, dass diese Methode komplementär zu anderen Methoden ist, da die etischen Hacker Schwachstellen melden, die nicht immer bei üblichen Sicherheitstests gefunden werden können.

Bug-Bounty-Programm eIAM

eIAM ist das Zugriffs- und Berechtigungssystem der Bundesverwaltung für Webapplikationen und native Mobile Apps.

Beteiligte Parteien:

  • Nationales Zentrum für Cybersicherheit (NCSC)
  • Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei, verantwortlich für den e-IAM-Service
  • Bundesamt für Informatik und Telekommunikation (BIT), Systembetreiberin eIAM
  • Bug Bounty Switzerland AG

Zeitraum:

30. August bis 11. Oktober 2022

Gefundene Schwachstellen:

Die folgende Grafik zeigt die Verteilung der Meldungen pro Woche:

Die bestätigten Sicherheitslücken lassen sich folgendermassen aufteilen:

Das Bug-Bounty-Programm von eIAM wird nun pausiert, um die gesammelten Erfahrungen auszuwerten und die allfälligen organisatorischen Anpassungen für einen möglichen weiteren Lauf umzusetzen.

Weitere Informationen:

Letzte Änderung 30.01.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden/bug-bounty-programme.html