Pilotprojekt im April

Der Bund experimentiert mit Bug-Bounty-Programmen

Uhr
von René Jaun und cka

Das Nationale Zentrum für Cybersicherheit (NCSC) plant, im April ein Bug-Bounty-Programm durchzuführen. Dabei sollen Hacker eine intern betriebene Anwendung testweise angreifen. Das Pilotprojekt erfolgt in Zusammenarbeit mit Bug Bounty Switzerland.

(Source: vector maste / Fotolia)
(Source: vector maste / Fotolia)

Der bund will schon bald ethische Hacker zur Schwachstellenjagd einsetzen. Gemäss einem Bericht der "NZZ" plant das Nationale Zentrum für Cybersicherheit (NCSC) voraussichtlich im April ein erstes so genanntes Bug-Bounty-Programm durchzuführen. Dabei soll eine Handvoll ausgewählter Hacker aus der Schweiz während zwei Wochen "eine im Voraus festgelegte, intern betriebene Applikation der Bundesverwaltung angreifen".

Findet jemand während dieses Zeitraums eine Schwachstelle, erhält er eine Belohnung, heisst es im Bericht weiter. Der Pilotversuch solle den Mehrwert von Bug-Bounty-Programmen für den Bund zeigen. "Zum einen, indem die IT-Sicherheit steigt; zum anderen, weil das Kosten-Nutzen-Verhältnis gut ist."

Daten bleiben in der Schweiz

Umgesetzt wird das Projekt zusammen mit Bug Bounty Switzerland. Die im vergangenen April gegründete Firma will die Schweizer IT-Landschaft sicherer machen. Erst kürzlich gab das Unternehmen bekannt, zusammen mit Microsoft die erste Schweizer Bug-Bounty-Plattform aufzubauen, wie Sie hier nachlesen können.

Die Schweizer Plattform sei eine zwingende Voraussetzung des Bundes gewesen, überhaupt Bug-Bounty-Programme in Betracht zu ziehen, schreibt die NZZ. Die Zeitung beruft sich auf eine Aussage des Delegierten für Cybersicherheit, Florian Schütz, der auch im Beirat von Bug Bounty Switzerland sitzt. Demnach müssen die Server in der Schweiz stehen, da die darauf gespeicherten Schwachstellen von böswilligen Hackern ausgenutzt werden könnten.

Wie es nach dem Pilotprojekt konkret weitergeht, ist noch nicht entschieden. Gegenüber der NZZ sagt Pascal Lamia vom NCSC: "Wir sehen dies als agiles Projekt und gehen schrittweise vor." Mit dem Pilot wolle man erste Erfahrungen mit Bug-Bounty-Programmen sammeln. Die Auswertung des Testlaufs soll noch vor den Sommerferien vorliegen.

Generell sind Bug-Bounty-Programme auf dem Vormarsch. Zahlen des europäischen Bug-Bounty-Anbieters Yeswehack zeigen, dass 2020 deutlich mehr Programme lanciert wurden als 2019. Zudem schliessen Unternehmen die gemeldeten Sicherheitslücken um einiges zügiger als im Vorjahr.

Webcode
DPF8_208344

Kommentare

« Mehr