Die Post öffnet ihr Bug-Bounty-Programm

15. April 2021, 11:27
  • die post
  • security
  • lücke
  • it-strategie
image

Über die Plattform Yeswehack können freundlich gesinnte Hacker nach Schwachstellen in den IT-Systemen der Post suchen.

Vor knapp einem Jahr hat die Post als eines der ersten Schweizer Unternehmen ein Bug-Bounty-Programm gestartet. Bislang wurde es als privates Programm betrieben, Hacker konnten nur auf Einladung nach Schwachstellen suchen. Nun gibt die Post bekannt, das Programm zu öffnen: Jeder registrierte Hacker habe die Möglichkeit, über die Bug-Bounty-Plattform von Yeswehack nach Schwachstellen beim Schweizer Unternehmen zu suchen.
Das Public-Bug-Bounty-Programm starte zunächst mit denjenigen Dienstleistungen, die bisher im privaten Bug Bounty Programm getestet wurden, schreibt die Post. Dabei handelt es sich um das Kundenlogin der Post, den Postshop, die Post-App, den Bike-Sharing-Dienst Publibike sowie andere Onlinedienste wie unter anderem WebStamp, "Meine Sendungen" und der Bezahlservice "Billing Online". "Wir sind laufend daran, weitere Dienstleistungen in das private Bug-Bounty-Programm aufzunehmen und beabsichtigen, diese in Zukunft ebenfalls in das öffentliche Programm zu überführen", erklärt Post-CISO Marcel Zumbühl.
Für gefundene Schwachstellen bezahlt die Post Prämien von bis zu 10'000 Franken, wie aus der Mitteilung weiter hervorgeht. "Seit Start des Programms haben wir bereits 500 Schwachstellen gefunden und rund 250'000 Franken an Belohnungen ausbezahlt", so Zumbühl.

Rechtlicher Rahmen muss geregelt werden

Ethisches Hacking erfreut sich in der Schweiz zunehmender Beliebtheit. Dazu benötigt es aber einen geregelten Rahmen, denn das Hacken von IT-Systemen gilt in der Schweiz als Straftat. Unternehmen können dazu eine Vulnerability Disclosure Policy publizieren: Regeln, nach denen White-Hat-Hacker Systeme untersuchen und Schwachstellen melden können. Falls Hacker Schwachstellen in digitalen Dienstleistung der Post entdecken, die nicht Teil des Bug-Bounty-Programms sind, können diese Schwachstellen über das Vulnerability-Disclosure-Programm gemeldet werden. Dafür gibt es aber keine Belohnungen. Auch beispielsweise die SBB haben ein solches Regelsystem publiziert. Im Nationalrat ist daneben ein Postulat hängig, das den Bundesrat beauftragt, Vulnerability Disclosure Guidelines für die Verwaltung und bundesnahe Betriebe zu prüfen.
Die Post schreibt weiter, man habe in Zusammenarbeit mit Bund und Kantonen einen rechtlichen Rahmen geschaffen, der Hacker vor einer Strafverfolgung schützt. Dadurch sei ein Legal Safe Harbor entstanden, wobei Hacker in einem klar bestimmten Rahmen entkriminalisiert würden. 

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023