100 Cyberangriffe, 10'000 Viren und 10 Millionen Phishing- und Spam-Mails wehre die Post jeden Monat ab. Mit den rund 50 Information-Security-Mitarbeitenden, einem Security Operations Center (SOC) und jährlich 60 bis 70 Penetration-Tests habe man ein hohes Mass an Sicherheit erreicht, sagt Marcel Zumbühl, Chief Information Security Officer (CISO) der Schweizerischen Post in einem Gespräch mit den Medien.
Nun wolle man den nächsten Schritt gehen und ethischen Hackern Geld dafür zahlen, wenn sie der Post Security-Schwachstellen melden. Die Post lanciert ein Bug-Bounty-Programm. "Wir glauben an partizipative Sicherheit und streben gemeinsam eine noch höhere Sicherheit an", erklärt der Information-Security-Chef. Es brauche agilere Prozesse und schnelle Zyklen, um Security-Probleme rasch zu fixen.
International setzten zwar schon eine Reihe von Firmen auf Bug-Jäger, um Schwachstellen in ihren Produkten aufzuspüren. In der Schweiz habe sich dies aber noch nicht durchgesetzt. Die Post sei eine der ersten Firmen, die ein solches Programm lancieren, fügt Zumbühl hinzu. Es handelt sich um ein privates Programm. Aber eine Bewerbung stehe jedem offen.
Derzeit lasse man die Bug-Jäger auf zwei Services der Post los, den Shop und das Kundenlogin. Weitere befinden sich laut dem CISO in der Pipeline.
Bis Ende Jahr sollen 250 Bug-Jäger akkreditiert sein
Mit dem Bug-Bounty-Programm wolle die Post die kollektive Intelligenz einer globalen Community nutzen. Nachdem die Post 2018 in Zusammenarbeit mit Bund und Kantonen die rechtlichen Rahmenbedingungen für das Programm geklärt habe, sei 2019 ein Proof of Concept gefolgt. Bei diesem Testlauf seien 8 Services der Post während 6 Wochen von 40 Security-Leuten überprüft worden.
Dabei seien 50 kritische Schwachstellen gefunden und erfolgreich behoben worden. Als schwerwiegendste, so Zumbühl, betrachte er eine Lücke, die eine remote Code-Ausführung erlaubt hätte. Sie sei aber gefunden worden, bevor sie jemand ausgenutzt habe, fügt er an.
Bis anhin habe die Post 50 Teilnehmende für das Programm akkreditiert und bis Ende Jahr sollen es rund 250 sein. Auf sie warten Prämien von bis zu 5000 Franken.