Illustration: Erstellt durch inside-it.ch mit Midjourney
Nach einem Stopp Anfang Jahr hat das Bundesamt für Cybersicherheit sein Bug-Bounty-Programm wieder aufgenommen. 207 Schwachstellen wurden gemeldet, 107'000 Franken an Belohnungen ausbezahlt.
Das Bundesamt für Cybersicherheit (Bacs) hat im zweiten Quartal 2024 wieder Bug-Bounty-Prämien ausbezahlt, wie zuerst die 'Netzwoche' berichtete. Im ersten Quartal dieses Jahres war das Programm zwischenzeitlich wegen des ausgeschöpften Budgets gestoppt worden.
Im zweiten Quartal gingen beim Bundesamt 207 Meldungen von ethischen Hackern ein. 19 der gemeldeten Schwachstellen wurden als "kritisch" eingestuft, 20 als "hoch". 48 wurden mit "mittel" bewertet, 17 mit "tief" und 74 mit "abgelehnt". Das Bacs weist darauf hin, dass sich "die Einstufung der Schwachstellen-Meldungen in Einzelfällen verändern kann".
280'000 Franken stehen zur Verfügung
Im zweiten Quartal wurden 107'000 Franken an Bug-Bounty-Belohnungen ausbezahlt. Das Budget für Belohnungen im Jahr 2024 beträgt insgesamt 280'000 Franken, wie das Bacs auf Anfrage der 'Netzwoche' mitgeteilt hatte.
Gemeldete Schwachstellen und deren Einstufung in den vergangenen 12 Monaten. Grafik: Bacs
Die bisher gemachten Erfahrungen seien durchweg positiv, heisst es auf der Website des Bacs. "Die Anzahl Meldungen sowie deren Inhalte zeigen deutlich, dass mit Hilfe des Bug-Bounty-Programms Schwachstellen gefunden und gemeldet werden, die bei Überprüfungen im Rahmen von klassischen Sicherheitstests nicht immer identifiziert werden", schreibt das Bundesamt.
Die Programm-Bilanz seit 2022
Im August 2022 hatte der Bund eine zentrale Bug-Bounty-Plattform beschafft und damit das Programm gestartet. Dieses wird unter Führung des Bacs in Zusammenarbeit mit Bug Bounty Switzerland und den Verwaltungseinheiten der Bundesverwaltung durchgeführt.
Gemäss Bacs haben seither 47 ethische Hacker teilgenommen. Insgesamt wurden 405 "Findings" gemeldet, 45 Schwachstellen als "kritisch" und 44 als "hoch" eingestuft. Seit 2022 gingen bis jetzt 250'000 Franken an Belohnungen an Teilnehmende des Bug-Bounty-Programms.