Programm wird ausgeweitet

Update: NCSC bewertet Bug-Bounty-Pilotprojekt als Erfolg

Uhr
von René Jaun und Ludovic de Werra und cka, kfi

Das NCSC betrachtet das durchgeführte Bug-Bounty-Programm als Erfolg. Es will das Programm nun auf möglichst viele Systeme der Bundesverwaltung ausweiten.

(Source: JumalaSika ltd / Fotolia.com)
(Source: JumalaSika ltd / Fotolia.com)

Update vom 02.07.21: Das NCSC bewertet das Bug-Bounty-Pilotprojekt als Erfolg. Der Return on Investment sei hoch. Wie der Bund mitteilt, konnten 10 Schwachstellen identifiziert und behoben werden.

Aufgrund der positiven Erfahrungen will das NCSC das Bug-Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung ausweiten. "Wie das Projekt gezeigt hat, sind Bug-Bounty-Programme effektiv bei der Entdeckung und Behebung von Fehlern in IT-Systemen und Anwendungen", so das NCSC im Fazit des Abschlussberichts. Ein Bug-Bounty-Programm für die für die Bundesverwaltung würde einen wichtigen Beitrag zur Reduktion des Cyberrisikos in der Schweiz leisten. Aus diesem Grund soll der Beschaffungsprozess möglichst schnell gestartet werden, so die Mitteilung.

Mittlerweile bieten neben Bug Bounty Switzerland weitere Schweizer Unternehmen solche Programme an. Um Neutralität bei der Beschaffung zu gewährleisten, zieht sich gemäss Mitteilung Florian Schütz, Delegierter des Bundes für Cybersicherheit, aus dem Advisory Board von Bug Bounty Switzerland zurück.

Originalmeldung vom 4.6.2021:

So ist das erste Bug-Bounty-Programm der Bundesverwaltung verlaufen

Das erste Bug-Bounty-Programm der Bundesverwaltung ist vorbei. Das Nationale Zentrum für Cybersicherheit (NCSC) hatte ethische Hacker dazu eingeladen, zwei Wochen lang ausgewählte IT-Dienste des Bundes anzugreifen und auf Schwachstellen abzuklopfen.

Umfangreicher als geplant

Das Pilotprojekt erfolgte in Zusammenarbeit mit Bug Bounty Switzerland. Ursprünglich war geplant, drei IT-Anwendungen der Parlamentsdienste und des Aussendepartements (EDA) von sieben ausgesuchten Hackern testen zu lassen. Doch dabei ist es nicht geblieben, verrät Sandro Nafzger, CEO von Bug Bounty Switzerland, auf Anfrage. "Im Verlauf der Testphase erhöhten wir die Anzahl getesteter Systeme auf sechs und arbeiteten schlussendlich mit 15 Hackern."

Sandro Nafzger, CEO von Bug Bounty Switzerland. (Source: zVg)

Die getesteten IT-Anwendungen seien allesamt schon sehr gut abgehärtet gewesen, sagt Nafzger weiter. Dennoch waren die Bug-Jäger erfolgreich: "Wir starteten den Test eine Minute nach Mitternacht. Bis zu diesem Zeitpunkt hatten die teilnehmenden Hacker keine Informationen über die anzugreifenden Systeme. Schon 49 Minuten nach dem Start des Tests wurde uns die erste Schwachstelle gemeldet." Im Verlauf des zweiten Tages entdeckten die Hacker erstmals eine kritische Sicherheitslücke. Über diese hätte ein Angreifer das komplette System übernehmen und etwa Ransomware installieren, Daten manipulieren oder das System herunterfahren können.

"Ein perfektes IT-System gibt es einfach nicht", fasst Nafzger zusammen. "Der Test zeigt sehr eindrücklich, wie wichtig die Zusammenarbeit mit ethischen Hackern ist." Binnen zwei Wochen wurden 9 Schwachstellen gefunden. Die Hacker wurden dafür mit insgesamt 10'000 Franken belohnt.

Bereit für mehr

Die Befunde wurden von Bug Bounty Switzerland jeweils ans NCSC weitergeleitet. Dieses übernahm die Koordination mit den beim Bund verantwortlichen Entwicklern. Nachdem sie die Sicherheitslücken geschlossen hatten, erfolgte wiederum das Retesting durch die Hacker.

Alle entdeckten Probleme wurden auf diese Weise gelöst. Beeindruckend schnell, merkt Nafzger an. "Dank dieses Feedback-Loops konnten Entwickler und Hacker gemeinsam an den Bugs arbeiten. Bei einem klassischen Pentest hätte es wohl Monate gedauert, um die Probleme zu verstehen und zu beheben".

"Für mich war die Zusammenarbeit ein Highlight", sagt Nafzger. Auch von den übrigen Beteiligten habe er ausschliesslich positive Feedbacks erhalten. Und: "Die getesteten Systeme und involvierten Parteien haben bewiesen, dass sie bereit sind für ein kontinuierliches Bug Bounty".

Positiv äussert sich auch Pascal Lamia, Stv. des Delegierten des Bundes für Cybersicherheit, der das Projekt Seitens Bund betreute. Die Zusammenarbeit zwischen den ethischen Hackern und den Betreibern der Systeme und Applikationen habe sehr gut funktioniert, sagt er auf Anfrage. "Die Qualität der dokumentierten Schwachstellen war sehr gut und unsere internen Leistungserbringer haben sehr rasch reagiert und die entsprechenden Massnahmen zur Behebung der Schwachstellen in die Wege geleitet oder wo möglich sofort umgesetzt."

Der Bund als Vorbild für Privatunternehmen

Noch ist nicht offiziell klar, ob und wie der Bund das Projekt fortsetzt. Man sei derzeit daran, einen Abschlussbericht zu erstellen, sagt Nafzger. Laut Lamia sollte dieser noch vor den Sommerferien veröffentlicht werden. Und basierend darauf werde der Bund entscheiden, wie es weitergeht.

Für den CEO von Bug Bounty Switzerland ist der Fall jedoch schon klar: Mit dem Aufbau der Plattform und dem Pilotprojekt sei der Hauptaufwand geleistet, sagt er. "Ist ein Bug-Bounty-Programm einmal aufgesetzt, gibt es eigentlich keinen Grund mehr, es wieder zu beenden."

Vielmehr sollte das Programm ab jetzt kontinuierlich weiter ausgerollt werden und zwar so lange, "bis die gesamte Organisation im Test-Scope ist und das Bug-Bounty-Programm öffentlich, also für alle Hacker, zugänglich ist." Als Beispiel verweist er unter anderem auf die Post, die unter seiner Leitung seit Kurzem einige Anwendungen im öffentlichen Bug-Bounty-Programm testen lässt.

Doch Nafzger denkt bei seiner Empfehlung längst nicht nur an die Bundesverwaltung. "Das NCSC hat nicht lange über Bug-Bounty-Programme debattiert, sondern schnell und unkompliziert einen ersten Versuch gewagt", lobt er. Es sei ein mutiges, agiles und transparentes Vorgehen gewesen. "Der Bund hat der ganzen Schweiz vorgemacht, wie man eine solche Initiative lancieren sollte."

Nun hofft er, dass auch mehr Schweizer Privatunternehmen auf den Bug-Bounty-Zug aufspringen, denn: "Die digitale Transformation gelingt nur, wenn wir mit ethischen Hackern zusammenarbeiten", ist er überzeugt. Warum dies so ist, lesen Sie hier im ausführlichen Interview.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_218872