Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"
Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.
"Hack die Post und verdiene Geld"
8. Juli 2020 um 15:19
Der "Gelbe Riese" startet ein Bug-Bounty-Programm. In einem ersten Test wurden 50 kritische Schwachstellen gefunden und behoben, erklärt Post-CISO Zumbühl.
100 Cyberangriffe, 10'000 Viren und 10 Millionen Phishing- und Spam-Mails wehre die Post jeden Monat ab. Mit den rund 50 Information-Security-Mitarbeitenden, einem Security Operations Center (SOC) und jährlich 60 bis 70 Penetration-Tests habe man ein hohes Mass an Sicherheit erreicht, sagt Marcel Zumbühl, Chief Information Security Officer (CISO) der Schweizerischen Post in einem Gespräch mit den Medien.
Nun wolle man den nächsten Schritt gehen und ethischen Hackern Geld dafür zahlen, wenn sie der Post Security-Schwachstellen melden. Die Post lanciert ein Bug-Bounty-Programm. "Wir glauben an partizipative Sicherheit und streben gemeinsam eine noch höhere Sicherheit an", erklärt der Information-Security-Chef. Es brauche agilere Prozesse und schnelle Zyklen, um Security-Probleme rasch zu fixen.
International setzten zwar schon eine Reihe von Firmen auf Bug-Jäger, um Schwachstellen in ihren Produkten aufzuspüren. In der Schweiz habe sich dies aber noch nicht durchgesetzt. Die Post sei eine der ersten Firmen, die ein solches Programm lancieren, fügt Zumbühl hinzu. Es handelt sich um ein privates Programm. Aber eine Bewerbung stehe jedem offen.
Derzeit lasse man die Bug-Jäger auf zwei Services der Post los, den Shop und das Kundenlogin. Weitere befinden sich laut dem CISO in der Pipeline.
Bis Ende Jahr sollen 250 Bug-Jäger akkreditiert sein
Mit dem Bug-Bounty-Programm wolle die Post die kollektive Intelligenz einer globalen Community nutzen. Nachdem die Post 2018 in Zusammenarbeit mit Bund und Kantonen die rechtlichen Rahmenbedingungen für das Programm geklärt habe, sei 2019 ein Proof of Concept gefolgt. Bei diesem Testlauf seien 8 Services der Post während 6 Wochen von 40 Security-Leuten überprüft worden.
Dabei seien 50 kritische Schwachstellen gefunden und erfolgreich behoben worden. Als schwerwiegendste, so Zumbühl, betrachte er eine Lücke, die eine remote Code-Ausführung erlaubt hätte. Sie sei aber gefunden worden, bevor sie jemand ausgenutzt habe, fügt er an.
Bis anhin habe die Post 50 Teilnehmende für das Programm akkreditiert und bis Ende Jahr sollen es rund 250 sein. Auf sie warten Prämien von bis zu 5000 Franken.
Loading
Ingram Micro erholt sich von Cyberangriff
Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.
100 Tage Meldepflicht: Das Bacs zieht erste Bilanz
Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.
SAP patcht hochkritische Lücken
In Supplier Relationship Management gibt es eine Schwachstelle, die die höchste CVSS-Bewertung erhalten hat. Patches für diese und weitere schwerwiegende SAP-Lücken stehen zur Verfügung.