Das Bacs bezahlt wieder Bug-Bounty-Prämien

30. Juli 2024 um 12:08
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Nach einem Stopp Anfang Jahr hat das Bundesamt für Cybersicherheit sein Bug-Bounty-Programm wieder aufgenommen. 207 Schwachstellen wurden gemeldet, 107'000 Franken an Belohnungen ausbezahlt.

Das Bundesamt für Cybersicherheit (Bacs) hat im zweiten Quartal 2024 wieder Bug-Bounty-Prämien ausbezahlt, wie zuerst die 'Netzwoche' berichtete. Im ersten Quartal dieses Jahres war das Programm zwischenzeitlich wegen des ausgeschöpften Budgets gestoppt worden.
Im zweiten Quartal gingen beim Bundesamt 207 Meldungen von ethischen Hackern ein. 19 der gemeldeten Schwachstellen wurden als "kritisch" eingestuft, 20 als "hoch". 48 wurden mit "mittel" bewertet, 17 mit "tief" und 74 mit "abgelehnt". Das Bacs weist darauf hin, dass sich "die Einstufung der Schwachstellen-Meldungen in Einzelfällen verändern kann".

280'000 Franken stehen zur Verfügung

Im zweiten Quartal wurden 107'000 Franken an Bug-Bounty-Belohnungen ausbezahlt. Das Budget für Belohnungen im Jahr 2024 beträgt insgesamt 280'000 Franken, wie das Bacs auf Anfrage der 'Netzwoche' mitgeteilt hatte.
image
Gemeldete Schwachstellen und deren Einstufung in den vergangenen 12 Monaten. Grafik: Bacs
Die bisher gemachten Erfahrungen seien durchweg positiv, heisst es auf der Website des Bacs. "Die Anzahl Meldungen sowie deren Inhalte zeigen deutlich, dass mit Hilfe des Bug-Bounty-Programms Schwachstellen gefunden und gemeldet werden, die bei Überprüfungen im Rahmen von klassischen Sicherheitstests nicht immer identifiziert werden", schreibt das Bundesamt.

Die Programm-Bilanz seit 2022

Im August 2022 hatte der Bund eine zentrale Bug-Bounty-Plattform beschafft und damit das Programm gestartet. Dieses wird unter Führung des Bacs in Zusammenarbeit mit Bug Bounty Switzerland und den Verwaltungseinheiten der Bundesverwaltung durchgeführt.
Gemäss Bacs haben seither 47 ethische Hacker teilgenommen. Insgesamt wurden 405 "Findings" gemeldet, 45 Schwachstellen als "kritisch" und 44 als "hoch" eingestuft. Seit 2022 gingen bis jetzt 250'000 Franken an Belohnungen an Teilnehmende des Bug-Bounty-Programms.

Loading

Mehr zum Thema

imageAbo

Neue Ransomware-Bande behauptet Angriff auf Plattform von Syngenta

Die Gruppe Shadowbyt3$ ist erst seit Februar aktiv, will aber neben dem Agrarkonzern weitere prominente Opfer wie Nintendo erfolgreich attackiert haben.

publiziert am 16.6.2026
image

Ostschweizer Kantone koordinieren KI-Einsatz

Eine neue Vereinbarung soll gemeinsame KI-Projekte, Beschaffungen und den Erfahrungsaustausch zwischen Verwaltungen ermöglichen.

publiziert am 16.6.2026
imageAbo

Walliser BVZ richtet Security Operations Center ein

Das Security Operations Center für den Verkehrs- und Tourismusdienstleister mit der Matterhorn Gotthard Bahn baut Anomal auf.

publiziert am 16.6.2026
imageAbo

Bund soll KI-Einsatz bei Polizei prüfen

Der Ständerat hat ein Postulat zum Einsatz von Künstlicher Intelligenz bei Polizei, innerer Sicherheit und Strafverfolgung angenommen.

publiziert am 16.6.2026