Ab sofort können alle externen Sicherheitsforscher und Hacker nach Sicherheitslücken im digitalen Auftritt von '20 Minuten' suchen, teilt die TX Group mit. Um Schwachstellen von IT-Systemen auszumachen, brauche "es kreative und unkonventionelle Massnahmen", heisst es weiter. Mit dem öffentlichen Bug-Bounty-Programm beschreite die TX Group nun neue Wege.

Im August 2016 war über die Website von '20 Minuten' für einige Stunden Schadsoftware verteilt worden. Im November war die TX Group auch Opfer eines grossangelegten DDoS-Angriffs, den man aber sehr gut habe abwehren können. Es sei nur zu vereinzelten Unterbrüchen oder Störungen der diversen Websites des Unternehmens gekommen, hiess es damals.

Seit Frühling 2020 erscheine der digitale Auftritt von '20 Minuten' in einem neuen Gewand, schreibt die TX Group in der Ankündigung des Bug-Bounty-Programms. Auch sicherheitstechnisch sei die neue Plattform auf ein sehr hohes Niveau gehoben und vom technischen Design bis hin zum Go-Live seien modernste Sicherheitselemente eingebaut worden. Zusätzlich hätten rund 850 Hacker und Sicherheitsforscher über ein Jahr lang im Rahmen eines geschlossenen Bug-Bounty-Programms nach Sicherheitslücken gesucht.

Nun mache die TX Group das Programm allen Sicherheitsforschern und Hackern öffentlich zugänglich, um das Sicherheitslevel noch weiter zu erhöhen. "Unsere Bug-Bounty-Programme gehören bereits seit längerem zu den wirksamsten Massnahmen unserer Product-Security-Strategie", sagt Andreas Schneider, Group CISO der TX Group. Das Unternehmen beschreite damit eine Vorreiterrolle in der Schweiz für Cybersecurity.

Die TX Group baut dabei auf die Partnerschaft mit der Firma Bugcrowd, einem der weltweit grössten Anbieter für Bug-Bounty-Programme. Untersucht werden sollen Schwachstellen bei den diversen digitalen Angeboten und APIs von '20 Minuten' wie der Bugcrowd-Plattform zu entnehmen ist. Je nach entdeckter Schwachstelle winken dabei gemäss "Vulnerability Rating Taxonomy" Belohnungen von 150 bis 2500 US-Dollar.

Zu einem Bug-Bounty-Millionär werden White Hat Hacker damit wohl noch nicht. Aber der Start des Programms von TX Group ist ein weiterer Schritt, der zeigt, dass sich auch in der Schweiz ethisches Hacking verbreitet und von Unternehmen gefördert wird.

Nicht untersucht werden sollen im neuen Bug-Bounty-Programm weitere TX-Websites wie Tamedia ('Tages-Anzeiger', 'Berner Zeitung' etc.), Ricardo oder andere Onlinemarktplätze. Das Unternehmen will aber demnächst weitere Programme starten. "'20 Minuten' ist erst der Anfang. Noch in diesem Jahr werden wir weitere Bug-Bounty-Programme der Öffentlichkeit zugänglich machen und damit unsere digitale Vertrauenswürdigkeit weiter erhöhen", erklärt CISO Schneider.