Die Bundesverwaltung und Bug Bounty Switzerland haben ein gemeinsames Pilotprojekt für den Einsatz von Bug-Bounty-Programmen gestartet. Unter der Leitung des Nationalen Zentrums für Cybersicherheit (NCSC) sollen mit dem auf zwei Wochen angelegten Test erste Erfahrungen mit Bug-Bounty-Programmen gesammelt und der künftige Einsatz hinsichtlich der Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen geprüft werden, heisst es in einer Aussendung dazu.
"Die Bundesverwaltung will die Möglichkeiten von Bug-Bounty-Programmen nutzen und dabei abklären, inwiefern diese einen strategischen Beitrag zur Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen leisten können," heisst es in der Mitteilung wörtlich.
Zur Erklärung: Im Rahmen von Bug-Bounty-Programmen werden "ethische Hacker" – Hacker, welche in einem definierten Rahmen legal nach Schwachstellen suchen – dazu aufgerufen, Schwachstellen in den IT-Systemen einer Organisation aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), abgestuft nach Schweregrad der gefundenen Schwachstelle.
Das Pilotprojekt des Bundes ist laut den Angaben in seinem Umfang klar umgrenzt. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem sei der Kreis der Bug-Bounty-Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche BBS oder dem NSCS bekannt seien und sich bereits in anderen Projekten bewährt hätten. Da die Bundesverwaltung – wie auch andere regulierte Branchen – strenge Anforderungen an den Datenschutz stellten und einen Datenstandort in der Schweiz forderten, habe BBS in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug-Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben werde. Diese Plattform basiere auf modernsten Cloud-Technologien und erfülle die Bedürfnisse von Bund und anderen regulierten Branchen wie beispielsweise von kritischen Infrastrukturen.
Die Durchführung des Bug-Bounty-Programms obliegt BBS, werde aber durch das NCSC sowie Vertreter des EDA und der Parlamentsdienste eng begleitet. Mit dem Test soll die Grundlage für eine Diskussion zum weiteren Vorgehen zur Nutzung von Bug Bounty-Programmen geschaffen werden.
