Ethical Hacking? Dem Bundesrat gefällt's

30. November 2023 um 14:42
  • security
  • Regulierung
  • bund
  • cyberangriff
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

In einem Bericht äussert sich die Regierung positiv zu ethischem Hacking. Es liefere einen wertvollen Beitrag zur Cybersicherheit der Schweiz.

"Ethisches Hacking birgt enormes Potenzial, die Cybersicherheit zu verbessern", schreibt der Bundesrat in einem aktuellen Bericht zum Thema (PDF). Die Förderung des ethischen Hackens sei eine der wichtigsten Massnahmen, um bestehende Schwachstellen rechtzeitig zu erkennen und zu beheben.
Der Bundesrat beziehungsweise das Nationale Zentrum für Cybersicherheit (NCSC), welches offensichtlich der Verfasser des Berichts ist, steht ethischem Hacking also sehr positiv gegenüber. Es leiste einen wertvollen Beitrag und sei auch aus ökonomischer Perspektive sinnvoll. "Besonders attraktiv sind dabei Programme, bei denen Hacker ermuntert werden, Schwachstellen zu suchen und zu melden, ohne dass sie dafür direkt beauftragt werden", heisst es weiter – und liefert damit quasi eine Tätigkeitsbeschreibung des Nationalen Testinstituts für Cybersicherheit. Dieses hatte die Legalität von ethischem Hacken zuletzt in einem Rechtsgutachten abklären lassen.
Der Bericht geht auf ein Postulat der ehemaligen GLP-Nationalrätin Judith Bellaiche zurück, welches der Nationalrat am 19. März 20221 angenommen hatte. Er wurde damit beauftragt, aufzuzeigen, wie das ethische Hacking als Grundsatz für die Erhöhung der Cybersicherheit institutionalisiert und in der Bundesverwaltung und in bundesnahen Betrieben gefördert werden kann.

Einschränkend heisst es im Bericht, dass ethisches Hacking nicht mit Altruismus gleichgesetzt werden dürfe. Es sei für die Hackerinnen und Hacker wichtig zu wissen, "was sie bei einer Meldung von Schwachstellen ​erwarten können". Mit "Was" meint der Bericht eine konkrete Geldsumme. Klare Bedingungen und Transparenz, welche Belohnungen für welche Funde ausgerichtet werden, seien wichtig. Entscheidend für den Erfolg von ethischem Hacking seien "möglichst klare Rahmenbedingungen".

Rechtliche Grundlagen bereits geregelt

Die rechtlichen Grundlagen für ethisches Hacking verortet der Bericht im revidierten Informationssicherheitsgesetz, welches unter anderem die Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen regelt. Weil diese dem NCSC gemeldet werden müssen, nehme die Behörde auch eine "aktive Rolle bei der Förderung des ethischen Hackings" ein. Gleichzeitig liefere das Gesetz einen "Rahmen für das korrekte Vorgehen bei Meldungen von Schwachstellen an den Bund".
Das künftige Bundesamt für Cybersicherheit (Bacs) werde eine aktive Rolle bei der koordinierten Offenlegung von Schwachstellen übernehmen. In der Wirtschaft seien regulatorische Massnahmen, wie die Verpflichtung von Unternehmen zur Durchführung von Bug-Bounty -Programmen, "angesichts der positiven Entwicklung nicht nötig". Nötig sei aber, dass bekannte Schwachstellen geschlossen werden. Passiere das nicht, "nützt es wenig, wenn sie zuvor von ethischen Hackern gefunden und über einen Prozess der koordinierten Offenlegung korrekt bekannt gemacht wurden", schliesst der Bericht.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Vogt am Freitag: "Wir nehmen das ernst"

Cyberangriffe auf Unternehmen zeigen, wie fahrlässig diese mit schützenswerten Daten umgehen. Die meisten nehmen das Thema erst dann ernst, wenn es zu spät ist. Wenn überhaupt.

publiziert am 1.3.2024 1
image

EU-Parlament beschliesst Online-Ausweis

Das Parlament hat der eIDAS-Verordnung endgültig grünes Licht gegeben. Damit ist der Weg für eine EU Digital Identity Wallet geebnet.

publiziert am 1.3.2024
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024