Ethical Hacking? Dem Bundesrat gefällt's

30. November 2023 um 14:42
  • security
  • Regulierung
  • bund
  • cyberangriff
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

In einem Bericht äussert sich die Regierung positiv zu ethischem Hacking. Es liefere einen wertvollen Beitrag zur Cybersicherheit der Schweiz.

"Ethisches Hacking birgt enormes Potenzial, die Cybersicherheit zu verbessern", schreibt der Bundesrat in einem aktuellen Bericht zum Thema (PDF). Die Förderung des ethischen Hackens sei eine der wichtigsten Massnahmen, um bestehende Schwachstellen rechtzeitig zu erkennen und zu beheben.
Der Bundesrat beziehungsweise das Nationale Zentrum für Cybersicherheit (NCSC), welches offensichtlich der Verfasser des Berichts ist, steht ethischem Hacking also sehr positiv gegenüber. Es leiste einen wertvollen Beitrag und sei auch aus ökonomischer Perspektive sinnvoll. "Besonders attraktiv sind dabei Programme, bei denen Hacker ermuntert werden, Schwachstellen zu suchen und zu melden, ohne dass sie dafür direkt beauftragt werden", heisst es weiter – und liefert damit quasi eine Tätigkeitsbeschreibung des Nationalen Testinstituts für Cybersicherheit. Dieses hatte die Legalität von ethischem Hacken zuletzt in einem Rechtsgutachten abklären lassen.
Der Bericht geht auf ein Postulat der ehemaligen GLP-Nationalrätin Judith Bellaiche zurück, welches der Nationalrat am 19. März 20221 angenommen hatte. Er wurde damit beauftragt, aufzuzeigen, wie das ethische Hacking als Grundsatz für die Erhöhung der Cybersicherheit institutionalisiert und in der Bundesverwaltung und in bundesnahen Betrieben gefördert werden kann.

Einschränkend heisst es im Bericht, dass ethisches Hacking nicht mit Altruismus gleichgesetzt werden dürfe. Es sei für die Hackerinnen und Hacker wichtig zu wissen, "was sie bei einer Meldung von Schwachstellen ​erwarten können". Mit "Was" meint der Bericht eine konkrete Geldsumme. Klare Bedingungen und Transparenz, welche Belohnungen für welche Funde ausgerichtet werden, seien wichtig. Entscheidend für den Erfolg von ethischem Hacking seien "möglichst klare Rahmenbedingungen".

Rechtliche Grundlagen bereits geregelt

Die rechtlichen Grundlagen für ethisches Hacking verortet der Bericht im revidierten Informationssicherheitsgesetz, welches unter anderem die Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen regelt. Weil diese dem NCSC gemeldet werden müssen, nehme die Behörde auch eine "aktive Rolle bei der Förderung des ethischen Hackings" ein. Gleichzeitig liefere das Gesetz einen "Rahmen für das korrekte Vorgehen bei Meldungen von Schwachstellen an den Bund".
Das künftige Bundesamt für Cybersicherheit (Bacs) werde eine aktive Rolle bei der koordinierten Offenlegung von Schwachstellen übernehmen. In der Wirtschaft seien regulatorische Massnahmen, wie die Verpflichtung von Unternehmen zur Durchführung von Bug-Bounty -Programmen, "angesichts der positiven Entwicklung nicht nötig". Nötig sei aber, dass bekannte Schwachstellen geschlossen werden. Passiere das nicht, "nützt es wenig, wenn sie zuvor von ethischen Hackern gefunden und über einen Prozess der koordinierten Offenlegung korrekt bekannt gemacht wurden", schliesst der Bericht.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

Deutsches Bundeskartell­amt nimmt sich Microsoft an

Der Konzern habe eine "überragende marktübergreifende Bedeutung für den Wettbewerb", stellen die Wettbewerbshüter fest. Diese haben die Möglichkeit, Geschäftspraktiken zu untersagen.

publiziert am 30.9.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024