Bug Bounty: Hacker finden kritische Lücken in der IT von Waadt

14. April 2022 um 12:38
image
Daniel Jaquet vom Kanton Waadt (links) und Lukas Heppler von Bug Bounty Switzerland präsentierten die Befunde des Bug-Bounty-Programms an den Swiss Cyber Security Days (SCSD) in Fribourg.

Über 30 Schwachstellen spürten Hacker im von Angriffen geplagten Kanton auf. Nach 4 Tagen war das Preisgeld des Bug-Bounty-Programms bereits vergeben.

In den IT-Systemen von Waadt haben freundliche Hacker mehrere schwerwiegende Lücken gefunden. Mit einer hätten Kriminelle die Kontrolle über einen Server des Kantons übernehmen können. Dies sagt Daniel Jaquet, der im Kanton für die Informations- und Cybersicherheit zuständig ist. Details zu den Lücken, die im Rahmen eines Bug-Bounty-Programms aufgespürt wurden, will er aus Sicherheitsgründen nicht Preis geben.
Waadt hat schlechte Erfahrungen mit Cyber-Angriffen gemacht: In den letzten 12 Monaten wurden mit Rolle, Montreux und Yverdon-les-Bains gleich drei Gemeinden erfolgreich von Ransomware-Banden gehackt. Der Vorfall in Rolle stellte sich als gravierend heraus: Gestohlene AHV- und Steuernummern von Einwohnerinnen und Einwohnern wurden im Darknet veröffentlicht, die Gemeinde spielte den Vorfall vorerst herunter.
Das Bug-Bounty-Programm wurde aber nicht wegen der erfolgreichen Hacks aufgegleist, wie Jaquet unterstreicht. Der Kanton ist für die Systeme der Städte- und Gemeindeverwaltung nicht zuständig. Das Programm war Teil des jährlichen Prüfplans der Informatik von Waadt, um das Schutzniveau der Dynamik im Cyberraum anzupassen. "Die verschiedenen Angriffe im Jahr 2021 waren für uns zusätzliche Möglichkeiten zur Sensibilisierung, aber diese Bug-Bounty-Initiative war keine Reaktion auf diese Angriffe", so Jaquet.

"All in" im Kanton Waadt

Im Rahmen des Bug-Bounty-Programms wurde die gesamte Informatik von Waadt unter die Lupe genommen. Gefunden wurden über 30 Schwachstellen, einige davon kritisch. Zur Höhe der Belohnungen lässt sich der Kanton nicht in die Karten blicken, das Programm war als "privat" ausgelegt. Bereits nach 4 Tagen waren die Belohnungen indes vergeben, während die Dauer des Projekts auf 3 Wochen angelegt werden sollte.
Dies geht aus einer Präsentation hervor, die Daniel Jaquet zusammen mit Lukas Heppler von Bug Bounty Switzerland an den Swiss Cyber Security Days hielt. Hepplers Firma führte das Programm für den Kanton Waadt durch. Er sagte: "Die gängige Empfehlung ist es, zuerst 2 bis 3 Systeme auswählen und eine Hand voll ethischer Hacker auf diese los lassen. Das ist ein gut kontrollierbares Setting." In Waadt ging man indes "All in", wie es in der Präsentation weiter hiess: Die gesamte IT wurde von den White-Hat-Hackern, die bei Bug Bounty Switzerland registriert sind, unter die Lupe genommen. Das brachte eine Menge Herausforderungen mit sich, wie Jaquet sagte.
Erstmal musste die Behördenleitung für den Ansatz gewonnen werden, zudem war nicht sicher, was die unbekannten Bug-Jägerinnen und -Jäger auf welche Weise melden würden. Vorerst habe man das IT-Operationsteam exakt über die Prozesse aufgeklärt und ein Eskalationsprogramm definiert, falls etwas schiefgelaufen wäre, so Jaquet an der Präsentation.
Auch seitens der Bug-Bounty-Firma stellten sich Aufgaben: Man musste die externen IT-Dienstleister von Waadt an Bord holen. Es musste zudem vermieden werden, dass die gesamten Belohnungen für wenig sinnvolle Erkenntnisse verbraucht würden oder ein Legacy-System mit ohnehin schlechtem Ruf das Geld auf sich ziehe, so Heppler. Beides würde den Erfolg eines Bug-Bounty-Programms untergraben.

Wissen um exponierte IT-Systeme

Der Kanton zieht nun aber ein positives Fazit: Die IT werde ständig von aussen gescannt, man sei gespannt gewesen, was andere Leute sehen würden, so Jaquet. Indem man die Pentest-Routine unterbrochen habe, habe man neue Einblicke erhalten: Etwa, was auf Grundlage öffentlicher Informationen und ohne internen Account und Insiderwissen möglich sei. Dank des Programms wisse man nun, welche IT-Punkte Angriffsfläche bieten würden, heisst es in den Unterlagen der Präsentation. Zudem konnte das Informatik-Team Waadt demnach seine Prozesse anpassen.
Man sei nun froh, mehr Lücken zu kennen und sein Wissen über Angriffsvektoren und Abwehrmassnahmen verbessert zu haben, so das Fazit von Jaquet. Das Bug-Bounty-Programm hat sich für den Kanton nach eigener Einschätzung also bewährt. Ob dieses auch für andere Kantonen geeignet sei, hänge von den dortigen Sicherheitsmassnahmen ab, sagt Jaquet: "Der Ansatz ist aber eine gute Ergänzung zu den bereits vorhandenen Sicherheitsmassnahmen."
Der Autor dieses Artikels war an den Swiss Cyber Security Days (SCSD) in Fribourg, verfolgte aber die Präsentation von Lukas Heppler und Daniel Jaquet nicht. Diese haben ihre Folien und Notizen zur Verfügung gestellt. Jaquet hat zudem einige Fragen beantwortet. Update 28. April: Der Artikle wurde mit einem Satz ergänzt, der explizit erklärt, dass der Kanton nicht für die Systeme von Städte- und Gemeindeverwaltung zuständig ist.

Loading

Mehr zum Thema

image

Grosses Datenleck bei Oracle?

Der Konzern bestreitet einen Cyberangriff. Die Daten eines Hackers zeigen aber ein anderes Bild. Auch zahlreiche Schweizer Unter­nehmen könnten betroffen sein.

publiziert am 25.3.2025
image

Bund darf Handys von Asylsuchenden auswerten

Die Analyse von persönlichen Daten auf Handys und Computern von Asylsuchenden soll die Schweizer Behörden zukünftig bei der Identitätsbestimmung unterstützen.

publiziert am 25.3.2025
image

Cyberangriff trifft Swiss Life und Pensionskassen

Rund 60 Pensionskassen dürften von einem Datenleck betroffen sein. Schuld daran ist ein Angriff auf einen externen SMS-Provider, der Zwei-Faktor-Identifizierungen anbietet.

publiziert am 24.3.2025
image

In der Schweiz steigt die digitale Kriminalität stark an

Die jährliche Kriminalstatistik verzeichnet bei den digitalen Delikten eine Zunahme um ein Drittel. Es wurden fast 60'000 Straftaten registriert.

publiziert am 24.3.2025