Das Bacs bezahlt wieder Bug-Bounty-Prämien

30. Juli 2024 um 12:08
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Nach einem Stopp Anfang Jahr hat das Bundesamt für Cybersicherheit sein Bug-Bounty-Programm wieder aufgenommen. 207 Schwachstellen wurden gemeldet, 107'000 Franken an Belohnungen ausbezahlt.

Das Bundesamt für Cybersicherheit (Bacs) hat im zweiten Quartal 2024 wieder Bug-Bounty-Prämien ausbezahlt, wie zuerst die 'Netzwoche' berichtete. Im ersten Quartal dieses Jahres war das Programm zwischenzeitlich wegen des ausgeschöpften Budgets gestoppt worden.
Im zweiten Quartal gingen beim Bundesamt 207 Meldungen von ethischen Hackern ein. 19 der gemeldeten Schwachstellen wurden als "kritisch" eingestuft, 20 als "hoch". 48 wurden mit "mittel" bewertet, 17 mit "tief" und 74 mit "abgelehnt". Das Bacs weist darauf hin, dass sich "die Einstufung der Schwachstellen-Meldungen in Einzelfällen verändern kann".

280'000 Franken stehen zur Verfügung

Im zweiten Quartal wurden 107'000 Franken an Bug-Bounty-Belohnungen ausbezahlt. Das Budget für Belohnungen im Jahr 2024 beträgt insgesamt 280'000 Franken, wie das Bacs auf Anfrage der 'Netzwoche' mitgeteilt hatte.
image
Gemeldete Schwachstellen und deren Einstufung in den vergangenen 12 Monaten. Grafik: Bacs
Die bisher gemachten Erfahrungen seien durchweg positiv, heisst es auf der Website des Bacs. "Die Anzahl Meldungen sowie deren Inhalte zeigen deutlich, dass mit Hilfe des Bug-Bounty-Programms Schwachstellen gefunden und gemeldet werden, die bei Überprüfungen im Rahmen von klassischen Sicherheitstests nicht immer identifiziert werden", schreibt das Bundesamt.

Die Programm-Bilanz seit 2022

Im August 2022 hatte der Bund eine zentrale Bug-Bounty-Plattform beschafft und damit das Programm gestartet. Dieses wird unter Führung des Bacs in Zusammenarbeit mit Bug Bounty Switzerland und den Verwaltungseinheiten der Bundesverwaltung durchgeführt.
Gemäss Bacs haben seither 47 ethische Hacker teilgenommen. Insgesamt wurden 405 "Findings" gemeldet, 45 Schwachstellen als "kritisch" und 44 als "hoch" eingestuft. Seit 2022 gingen bis jetzt 250'000 Franken an Belohnungen an Teilnehmende des Bug-Bounty-Programms.

Loading

Mehr erfahren

Mehr zum Thema

image

Centerboard liefert neue Admin-Software für Berufsschulen

Die für die Softwareentwicklung für Berufsbildende Schulen zuständige Genossenschaft SEBBS hat eine Nachfolgelösung für ihre veraltete Lösung gesucht.

publiziert am 20.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024