In den IT-Systemen von Waadt haben freundliche Hacker mehrere schwerwiegende Lücken gefunden. Mit einer hätten Kriminelle die Kontrolle über einen Server des Kantons übernehmen können. Dies sagt Daniel Jaquet, der im Kanton für die Informations- und Cybersicherheit zuständig ist. Details zu den Lücken, die im Rahmen eines Bug-Bounty-Programms aufgespürt wurden, will er aus Sicherheitsgründen nicht Preis geben.

Waadt hat schlechte Erfahrungen mit Cyber-Angriffen gemacht: In den letzten 12 Monaten wurden mit Rolle, Montreux und Yverdon-les-Bains gleich drei Gemeinden erfolgreich von Ransomware-Banden gehackt. Der Vorfall in Rolle stellte sich als gravierend heraus: Gestohlene AHV- und Steuernummern von Einwohnerinnen und Einwohnern wurden im Darknet veröffentlicht, die Gemeinde spielte den Vorfall vorerst herunter.

Das Bug-Bounty-Programm wurde aber nicht wegen der erfolgreichen Hacks aufgegleist, wie Jaquet unterstreicht. Der Kanton ist für die Systeme der Städte- und Gemeindeverwaltung nicht zuständig. Das Programm war Teil des jährlichen Prüfplans der Informatik von Waadt, um das Schutzniveau der Dynamik im Cyberraum anzupassen. "Die verschiedenen Angriffe im Jahr 2021 waren für uns zusätzliche Möglichkeiten zur Sensibilisierung, aber diese Bug-Bounty-Initiative war keine Reaktion auf diese Angriffe", so Jaquet.

Im Rahmen des Bug-Bounty-Programms wurde die gesamte Informatik von Waadt unter die Lupe genommen. Gefunden wurden über 30 Schwachstellen, einige davon kritisch. Zur Höhe der Belohnungen lässt sich der Kanton nicht in die Karten blicken, das Programm war als "privat" ausgelegt. Bereits nach 4 Tagen waren die Belohnungen indes vergeben, während die Dauer des Projekts auf 3 Wochen angelegt werden sollte.

Dies geht aus einer Präsentation hervor, die Daniel Jaquet zusammen mit Lukas Heppler von Bug Bounty Switzerland an den Swiss Cyber Security Days hielt. Hepplers Firma führte das Programm für den Kanton Waadt durch. Er sagte: "Die gängige Empfehlung ist es, zuerst 2 bis 3 Systeme auswählen und eine Hand voll ethischer Hacker auf diese los lassen. Das ist ein gut kontrollierbares Setting." In Waadt ging man indes "All in", wie es in der Präsentation weiter hiess: Die gesamte IT wurde von den White-Hat-Hackern, die bei Bug Bounty Switzerland registriert sind, unter die Lupe genommen. Das brachte eine Menge Herausforderungen mit sich, wie Jaquet sagte.

Erstmal musste die Behördenleitung für den Ansatz gewonnen werden, zudem war nicht sicher, was die unbekannten Bug-Jägerinnen und -Jäger auf welche Weise melden würden. Vorerst habe man das IT-Operationsteam exakt über die Prozesse aufgeklärt und ein Eskalationsprogramm definiert, falls etwas schiefgelaufen wäre, so Jaquet an der Präsentation.

Auch seitens der Bug-Bounty-Firma stellten sich Aufgaben: Man musste die externen IT-Dienstleister von Waadt an Bord holen. Es musste zudem vermieden werden, dass die gesamten Belohnungen für wenig sinnvolle Erkenntnisse verbraucht würden oder ein Legacy-System mit ohnehin schlechtem Ruf das Geld auf sich ziehe, so Heppler. Beides würde den Erfolg eines Bug-Bounty-Programms untergraben.

Der Kanton zieht nun aber ein positives Fazit: Die IT werde ständig von aussen gescannt, man sei gespannt gewesen, was andere Leute sehen würden, so Jaquet. Indem man die Pentest-Routine unterbrochen habe, habe man neue Einblicke erhalten: Etwa, was auf Grundlage öffentlicher Informationen und ohne internen Account und Insiderwissen möglich sei. Dank des Programms wisse man nun, welche IT-Punkte Angriffsfläche bieten würden, heisst es in den Unterlagen der Präsentation. Zudem konnte das Informatik-Team Waadt demnach seine Prozesse anpassen.

Man sei nun froh, mehr Lücken zu kennen und sein Wissen über Angriffsvektoren und Abwehrmassnahmen verbessert zu haben, so das Fazit von Jaquet. Das Bug-Bounty-Programm hat sich für den Kanton nach eigener Einschätzung also bewährt. Ob dieses auch für andere Kantonen geeignet sei, hänge von den dortigen Sicherheitsmassnahmen ab, sagt Jaquet: "Der Ansatz ist aber eine gute Ergänzung zu den bereits vorhandenen Sicherheitsmassnahmen."