Ethisches Hacking, bei dem freundlich gesinnte Hacker in Systeme eindringen und nach Schwachstelle suchen, erfreut sich in der Schweiz zunehmend Beliebtheit. Für diese White-Hat-Hacker ist es wichtig, dass Firmen eine Vulnerability Disclosure Policy publiziert haben: Regeln, nach denen sie Systeme untersuchen und Schwachstellen melden können. Ansonsten laufen auch ethische Hacker Gefahr, strafrechtlich verfolgt zu werden. Die SBB hat ein solches Regelsystem publiziert. Einige Unternehmen wie Post und Swisscom haben zudem Bug-Bounty-Programme ins Leben gerufen: Prämien-Systeme für die Entdeckung von Lücken.

Im Nationalrat ist derzeit ein Postulat hängig, das den Bundesrat beauftragt, Vulnerability Disclosure Guidelines für die Verwaltung und bundesnahe Betriebe zu prüfen. Im Vorstoss von Swico-Geschäftsführerin Judith Bellaiche wird zudem gefordert, dass die Systeme im Rahmen von Bug-Bounty-Programmen geprüft und ein entsprechendes Budget gesprochen werden soll. Unterstützung wünschen sich die GLP-Politikerin und ihre neun Mitunterzeichner vom Nationalen Zentrum für Cybersicherheit (NCSC).

Der Bundesrat empfiehlt die Annahme des Postulats. In diesem heisst es: "Staatsbetriebe und staatsnahe Betriebe haben eine wichtige Vorbildrolle gegenüber der Wirtschaft und Gesellschaft. Mit der Institutionalisierung von ethischem Hacking senden sie wichtige Signale in Bezug auf ihren kompromisslosen Willen zur Verteidigung ihrer IT-Systeme."

Das NCSC plant bereits im April ein Bug-Bounty-Programm für Applikationen der Bundesverwaltung, wie die 'NZZ' (Paywall) kürzlich berichtete. "Bug Bounty Programme gibt es schon lange und die Erfahrungen aus dem Ausland, aber auch von Schweizer Firmen, welche dies einsetzen, sind sehr positiv", erklärt Pascal Lamia, Leiter Operative Cybersicherheit beim NCSC, auf Anfrage von inside-it.ch. Welche Applikationen und Systeme dafür freigegeben werden, werde noch abgeklärt.

Vulnerability Disclosure Policies stehen beim NCSC ebenfalls auf der Agenda. "Wir können uns vorstellen, dass das NCSC ein VDP definiert", erklärt Lamia. Nach den Erfahrungen mit dem Pilotprojekt will man in der Bundesverwaltung entscheiden, wie man in den Themen weiterverfährt.

Partner des Projekts im Frühling ist Bug Bounty Switzerland. Bislang hatte das Unternehmen mit der europäischen Plattform Yeswehack zusammengearbeitet, nun aber mit Hilfe von Microsoft eine eigene Plattform entwickelt, die in Schweizer RZs der Redmonder gehostet wird. Dies war eine Voraussetzung, damit die Bundesverwaltung überhaupt mit dem Unternehmen zusammenarbeiten konnte. Bug Bounty Switzerland biete derzeit als einzige Firma eine Plattform in der Schweiz, erklärt Lamia. Sie wird auch für das Belohnungssystem zuständig sein.

Bug Bounty Switzerland wurde im August 2020 als eigenständiges Unternehmen von den Zuständigen der Bug-Bounty-Programme von Post und Swisscom gegründet. Global gibt es bereits einige Player, wie etwa Bugcrowd, Hackerone, Cobalt, Synack, Yeswehack, Detectify, Immuniweb, Breachlock. Auch in der Schweiz möchte eine weitere Firma in den Markt: Davos Networks.

Vom Startup hörte man bislang wenig,  Es habe noch keine Plattform lanciert, erklärt dies Gründer Bajram Hoxha im Gespräch mit inside-it.ch. Der Cybersecurity-Spezialist hat in Kalifornien studiert und dort bei mehreren Firmen als Software-Entwickler gearbeitet, bevor er 2018 bei der Swiss als Software Performance Engineer anheuerte. 2019 machte sich Hoxha selbständig und gründete die Einzelfirma Davos Networks.

Mittlerweile habe man einige Partnerschaften geschlossen, erklärt er: Checkpoint, Radware, Veracode, Cynet, Sentry zählen dazu. Auch Startup-Programme haben Davos Networks aufgenommen, im Dezember 2020 wurde es Teil von Tech4Trust, einem Acceleration-Programm für digitales Vertrauen und Cyber Security. Vertrauen sei das A und O in der Security-Welt, so Hoxha, der auf einige Fallstricke der Schweizer Startup-Welt hinweist. Das meiste Geld fliesse in Spinoffs von Universitäten, während unabhängige Seed-Stage-Startups, wie seines, wenig Unterstützung erhielten, moniert er.

Seine Ziele sind hoch gesetzt: Davos Networks will auf seiner Plattform Suisse Bounty das ethische Hacking mit Künstlicher Intelligenz ergänzen. Die KI soll die tägliche Arbeit der ethischen Hacker verrichten und automatisierte Penetration-Tests durchführen. Zudem sollen "Hacker" nach der DevSecOps-Methodik bereits früh im Entwicklungszyklus eingesetzt werden können und Schwachstellen von Software vor dem Go-Live aufspüren.

Auf die Frage nach dem aktuellen Stand der Cybersicherheit in der Schweiz erklärt Hoxha, dass der Ansatz noch am Anfang stehen würde: "Das Bug Bounty und Penetration Testing in der Schweiz holt aber endlich auf. Mit dem Eintritt neuer Akteure in den Markt erwarten wir eine zunehmende Akzeptanz dieses Modells durch mittlere und grosse Unternehmen in der Schweiz". Der politische Vorstoss, die Bewegung im Markt und die Eile in der Bundesverwaltung dürften ihm in der allgemeinen Einschätzung Recht geben.