Ethische Hacker entdecken 14 Lücken im Zugriffssystem der Bundesverwaltung

18. Oktober 2022 um 13:32
image
Foto: Julia Blumberg / Unsplash

Der Bund vermeldet erste Resultate seines Bug-Bounty-Programms. Eine der im zentralen Zugriffssystem entdeckten Schwachstellen wurde als "hoch" eingestuft.

Vom 30. August bis 11. Oktober hat die Bundesverwaltung ein Bug-Bounty-Programm für das zentrale Zugriffs- und Berechtigungssystem (eIAM) des Bundes durchgeführt. Dies ist nach einem im Mai 2021 gestarteten Pilot-Versuch der erste Test, der auf die anschliessend beschlossene definitive Einführung und Ausweitung folgt. Dafür hat der Bund eine zentrale Plattform für Bug-Bounty-Programme beschafft.
Am aktuellen Programm nahmen 32 eingeladene ethische Hacker teil, schreibt der Bund. Diese überprüften das eIAM-System und damit die zentrale Login-Infrastruktur des Bundes. Der Service wird laut Mitteilung von über 1000 Fachapplikationen verwendet, über die eIAM-Infrastruktur würden durchschnittlich 550’000 Anmeldungen pro Tag erfolgen. Die Sicherheit dieser Infrastruktur sei für den Bund bedeutend.
Gesamthaft wurden 28 Schwachstellen gemeldet, davon wurden 14 als gültig befunden und akzeptiert. "Sämtliche Lücken wurden umgehend analysiert und bearbeitet", schreibt der Bund. Die Gefährlichkeit einer Schwachstelle wurde als "hoch" eingestuft, 9 wurden als "mittel" und 4 als "tief" klassifiziert. Kritische Sicherheitslücken seien keine gefunden worden. "Die Schwachstelle mit Kritikalität 'hoch' konnte während des Programms geschlossen werden. Die anderen Schwachstellen fliessen in die Planung der nächsten Releases ein", heisst es im Bericht zum Programm.
Durchgeführt wurde der Systemtest durch den Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei, das Bundesamt für Informatik und Telekommunikation (BIT) als Systembetreiberin und das für das Bug-Bounty-Programm zuständige NCSC zusammen mit der Firma Bug Bounty Switzerland. Die ethischen Hacker erhielten insgesamt 5700 Franken als Belohnung für die bestätigten Schwachstellen.
"Mit diesem ersten Bug-Bounty-Programm konnten wertvolle Erfahrungen gesammelt werden", so der Bund. Das Programm habe gezeigt, dass mittels dieser Methode bisher unerkannte Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden könnten. Es werde geprüft, diese Art der externen Sicherheitsüberprüfung für das eIAM weiterzuführen.

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

EU-Parlament beschliesst Online-Ausweis

Das Parlament hat der eIDAS-Verordnung endgültig grünes Licht gegeben. Damit ist der Weg für eine EU Digital Identity Wallet geebnet.

publiziert am 1.3.2024
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Luzerner Regierung gibt grünes Licht für kantonale E-ID

Gedacht ist das Angebot als Übergangslösung, bis die staatliche E-ID verfügbar ist. Ausserdem führt der Kanton das Behördenlogin "Agov" ein.

publiziert am 1.3.2024 1