Wie das Nationale Zentrum für Cybersicherheit (NCSC) mitteilt, beschafft der Bund eine zentrale Plattform für Bug-Bounty-Programme. Unter der Federführung des NCSC sollen ethische Hacker künftig die IT-Systeme der Bundesverwaltung nach Schwachstellen durchsuchen. Die Plattform dafür wird von Bug Bounty Switzerland geliefert.

Ein im Mai 2021 durchgeführtes Pilotprojekt habe gezeigt, dass mittels Bug-Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können, sagt das NCSC. Damals wurden insgesamt sechs IT-Systeme des Eidgenössischen Departementes für auswärtige Angelegenheiten (EDA) und der Parlamentsdienste von ethischen Hackern auf allfällige Sicherheitslücken durchsucht. Dabei wurden 10 Schwachstellen identifiziert.

Aufgrund der gewonnenen Erfahrungen aus dem Pilotprojekt und den Erkenntnissen aller Beteiligten sei deshalb beschlossen worden, unter der Leitung des NCSC das Bug-Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten. Durch die etablierte Bug-Bounty-Plattform und die grosse Community der ethischen Hacker von Bug Bounty Switzerland stünden nun die nötigen Werkzeuge bereit, um die ersten Programme der Bundesverwaltung bereits in diesem Jahr starten zu können, so das NCSC in seiner Mitteilung.

Damit erhält die Idee, Schwachstellen in IT-Systemen durch freischaffende ethische Hacker identifizieren zu lassen, sozusagen einen Eidgenössischen Qualitätsstempel. Bug Bounty Switzerland wurde 2020 von ehemaligen Mitarbeitern der Post und von Swisscom gegründet und gehört in der Schweiz zu den Pionieren auf diesem Gebiet.