Ethische Hacker entdecken 14 Lücken im Zugriffssystem der Bundesverwaltung

18. Oktober 2022, 13:32
image
Foto: Julia Blumberg / Unsplash

Der Bund vermeldet erste Resultate seines Bug-Bounty-Programms. Eine der im zentralen Zugriffssystem entdeckten Schwachstellen wurde als "hoch" eingestuft.

Vom 30. August bis 11. Oktober hat die Bundesverwaltung ein Bug-Bounty-Programm für das zentrale Zugriffs- und Berechtigungssystem (eIAM) des Bundes durchgeführt. Dies ist nach einem im Mai 2021 gestarteten Pilot-Versuch der erste Test, der auf die anschliessend beschlossene definitive Einführung und Ausweitung folgt. Dafür hat der Bund eine zentrale Plattform für Bug-Bounty-Programme beschafft.
Am aktuellen Programm nahmen 32 eingeladene ethische Hacker teil, schreibt der Bund. Diese überprüften das eIAM-System und damit die zentrale Login-Infrastruktur des Bundes. Der Service wird laut Mitteilung von über 1000 Fachapplikationen verwendet, über die eIAM-Infrastruktur würden durchschnittlich 550’000 Anmeldungen pro Tag erfolgen. Die Sicherheit dieser Infrastruktur sei für den Bund bedeutend.
Gesamthaft wurden 28 Schwachstellen gemeldet, davon wurden 14 als gültig befunden und akzeptiert. "Sämtliche Lücken wurden umgehend analysiert und bearbeitet", schreibt der Bund. Die Gefährlichkeit einer Schwachstelle wurde als "hoch" eingestuft, 9 wurden als "mittel" und 4 als "tief" klassifiziert. Kritische Sicherheitslücken seien keine gefunden worden. "Die Schwachstelle mit Kritikalität 'hoch' konnte während des Programms geschlossen werden. Die anderen Schwachstellen fliessen in die Planung der nächsten Releases ein", heisst es im Bericht zum Programm.
Durchgeführt wurde der Systemtest durch den Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei, das Bundesamt für Informatik und Telekommunikation (BIT) als Systembetreiberin und das für das Bug-Bounty-Programm zuständige NCSC zusammen mit der Firma Bug Bounty Switzerland. Die ethischen Hacker erhielten insgesamt 5700 Franken als Belohnung für die bestätigten Schwachstellen.
"Mit diesem ersten Bug-Bounty-Programm konnten wertvolle Erfahrungen gesammelt werden", so der Bund. Das Programm habe gezeigt, dass mittels dieser Methode bisher unerkannte Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden könnten. Es werde geprüft, diese Art der externen Sicherheitsüberprüfung für das eIAM weiterzuführen.

Loading

Mehr zum Thema

image

Innosuisse baut eigenes IT-Sicherheitszentrum auf

Die Schweizerische Agentur für Innovationsförderung will ihre Hauptanwendungen vom BIT lösen und in die Cloud auslagern. In einer Ausschreibung werden dafür 2 externe Dienstleister gesucht.

publiziert am 29.11.2022
image

Parlament fordert digitale Rezepte

Die beiden Kammern haben eine Motion angenommen, in der nach einer medienbruchfreien Übermittlung von Rezepten verlangt wird. Der Bundesrat ist dagegen.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022
image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022