Mit einem Proof of Concept startete 2019 das Bug-Bounty-Programm der Schweizerischen Post und wurde 2020 offiziell lanciert. Zuerst privat auf Einladung, seit April 2021 läuft es öffentlich für alle, die sich auf der Plattform registrieren. Seit kurzem hat die Post sämtliche digitalen Angebote in das öffentliche Programm überführt und lässt sie von ethischen Hackern und Hackerinnen prüfen, inklusive offenem Zugriff auf den Quellcode. "Was weltweit nur wenige Unternehmen wagen", schreibt der Konzern in einer Mitteilung.

Die Post sieht das Programm als Erfolg und zieht eine Zwischenbilanz. Seit dem Start wurden insgesamt 999’000 Franken an Prämien ausgezahlt. Die höchste Einzelprämie belief sich auf 40'000 Franken. Gemeldet wurden in diesem Zeitraum 2968 Schwachstellen. Davon sind laut dem Unternehmen 896 bestätigte und 590 behobene Lücken.

Für inside-it.ch hat die Post die Zahlen noch etwas genauer aufgeschlüsselt. Im Jahr 2023 wurden mit 213'000 Franken die höchste Prämiensumme ausbezahlt. Im vergangenen Jahr lag die Gesamtsumme bei 115'000 Franken. Bis zum 15. Juli 2025 wurde diese Summe mit bisher 116'000 Franken an Prämien bereits übertroffen. Aktuell sind auf der Bug-Bounty-Plattform über 10'000 Teilnehmende registriert.

"Mit der Zunahme von teilnehmenden ethischen Hackern ist auch die Zahl von gemeldeten Bugs gestiegen. Während es zu Beginn des privaten Bug-Bounty-Programms im Jahr 2020 rund 285 gemeldete Bugs gab, verdoppelte sich die Zahl mit dem Start des öffentlichen Programms mit seither steigender Entwicklung", erklärt die Post-Medienstelle auf Anfrage von inside-it.ch. 2024 waren es 630 gemeldete Schwachstellen, Stand Juli 2025 sind es in diesem Jahr rund 450.

Seit Beginn wurden 44 gemeldete kritische Schwachstellen und 159 ernsthafte akzeptiert. 2024 waren es 28 akzeptierte Lücken, die als kritisch oder ernsthaft eingestuft wurden, 2025 sind es bis dahin 17. "Die Anzahl gemeldeter kritischen / ernsthaften Schwachstellen ist seit 2022 rückläufig – wobei der Anteil von akzeptierten kritischen / ernsthaften Schwachstellen bei rund einem Viertel liegt", erläutert die Medienstelle.

Marcel Zumbühl, Chief Information Security Officer (CISO) der Post, zeigt sich in der Mitteilung sehr zufrieden mit dem Programm und dessen weiterer Öffnung: "Dieser Schritt hat Mut verlangt – und das Wagnis hat sich mehr als gelohnt."

In einer Zeit, in der sich die Bedrohungslage rasant verändert, müsse auch die Post Cybersecurity neu denken. "Durch die Zusammenarbeit mit ethischen Hackerinnen und Hackern schaffen wir nicht nur Vertrauen in unsere digitalen Dienstleistungen, sondern können auch schneller lernen und besser reagieren. Denn wir können von einem Netzwerk mit enorm viel Know-how profitieren, das wir in diesem Umfang als Unternehmen nie abdecken könnten", sagt der CISO.