Hacker finden 14 Schwachstellen im Zugriffssystem des Bundes
Im Rahmen eines Bug-Bounty-Programms hat die Bundesverwaltung ihr zentrales Zugriffssystem auf Sicherheitslücken abklopfen lassen. Dabei fanden ethische Hacker insgesamt 14 Schwachstellen, darunter eine der Risikostufe "hoch".
14 Sicherheitslücken haben ethische Hacker in "eIAM", dem zentralen Zugriffssystem des Bundes, entdeckt. Dies teilt die Bundesverwaltung zum Abschluss eines Bug-Bounty-Programms mit, das sie vom 30. August zum 11. Oktober 2022 durchführte. Im Rahmen des Programms lud sie 32 ethische Hacker ein, das System auf Schwachstellen abzuklopfen.
Keine kritische Sicherheitslücke entdeckt
Beim untersuchten System handle es sich um die zentrale Login-Infrastruktur des Bundes. Laut der Mitteilung verwenden über 1000 Fachapplikationen den Service; pro Tag erfolgen durchschnittlich 550’000 Anmeldungen.
Die entdeckten Schwachstellen wurden anhand ihres Schweregrades kategorisiert: 4 Probleme wurden als "tief" eingestuft (optionale Behebung), 9 als "mittel" (Behebung beim nächsten Release) und eine als "hoch" (rasche Behebung). Als "kritisch" (sofortige Behebung) eingestufte Sicherheitslücken fanden die Hacker laut der Mitteilung keine.
Man habe mit dem Bug-Bounty-Programm wertvolle Erfahrungen sammeln können, schreibt die Bundesverwaltung. "Das Programm hat gezeigt, dass mittels dieser Methode bisher unerkannte Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Es wird geprüft, diese Art der externen Sicherheitsüberprüfung für "eIAM" weiterzuführen."
Das Bug-Bounty-Programm führten der Bereich Digitale Transformation und IKT-Lenkung (DTI), das Bundesamt für Informatik und Telekommunikation (BIT) als Systembetreiberin und das für das Bug-Bounty-Programm zuständige Nationale Zentrum für Cybersicherheit (NCSC) in Zusammenarbeit mit Bug Bounty Switzerland durch. Die Luzerner Firma erhielt im August 2022 den Zuschlag der Bundesverwaltung, eine Plattform für solche Programme zu schaffen. Entsprechend soll die Bugjagd in der Bundesverwaltung weitergehen, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
HSG, ETH und Zurich tüfteln an KI-Lösungen für die Versicherungsbranche
TD Synnex erweitert Partnerschaft mit Vasion auf den DACH-Raum
Update: Bundesrat will Social-Media-Plattformen regulieren
Sens eRecycling führt 70'000 Tonnen Wertstoffe zurück in Rohstoffkreislauf
Schweizer ICT-Industrie setzt an der Gitex in Dubai Akzente
Schweizer KMUs verlieren Vertrauen in ihre Cybersicherheit
Meerschweinchen frisst verschiedene Snacks
Einladung zum Webinar: Wie KI, Robotik und Drohnen unser Vertrauen herausfordern
Schweizer Bevölkerung vertraut KI etwas mehr und dem Datenschutz etwas weniger
