"Hack die Post und verdiene Geld"

8. Juli 2020 um 15:19
  • security
  • schweiz
  • lücke
  • it-strategie
  • die post
image

Der "Gelbe Riese" startet ein Bug-Bounty-Programm. In einem ersten Test wurden 50 kritische Schwachstellen gefunden und behoben, erklärt Post-CISO Zumbühl.

100 Cyberangriffe, 10'000 Viren und 10 Millionen Phishing- und Spam-Mails wehre die Post jeden Monat ab. Mit den rund 50 Information-Security-Mitarbeitenden, einem Security Operations Center (SOC) und jährlich 60 bis 70 Penetration-Tests habe man ein hohes Mass an Sicherheit erreicht, sagt Marcel Zumbühl, Chief Information Security Officer (CISO) der Schweizerischen Post in einem Gespräch mit den Medien.
Nun wolle man den nächsten Schritt gehen und ethischen Hackern Geld dafür zahlen, wenn sie der Post Security-Schwachstellen melden. Die Post lanciert ein Bug-Bounty-Programm. "Wir glauben an partizipative Sicherheit und streben gemeinsam eine noch höhere Sicherheit an", erklärt der Information-Security-Chef. Es brauche agilere Prozesse und schnelle Zyklen, um Security-Probleme rasch zu fixen.
International setzten zwar schon eine Reihe von Firmen auf Bug-Jäger, um Schwachstellen in ihren Produkten aufzuspüren. In der Schweiz habe sich dies aber noch nicht durchgesetzt. Die Post sei eine der ersten Firmen, die ein solches Programm lancieren, fügt Zumbühl hinzu. Es handelt sich um ein privates Programm. Aber eine Bewerbung stehe jedem offen.
Derzeit lasse man die Bug-Jäger auf zwei Services der Post los, den Shop und das Kundenlogin. Weitere befinden sich laut dem CISO in der Pipeline.

Bis Ende Jahr sollen 250 Bug-Jäger akkreditiert sein

Mit dem Bug-Bounty-Programm wolle die Post die kollektive Intelligenz einer globalen Community nutzen. Nachdem die Post 2018 in Zusammenarbeit mit Bund und Kantonen die rechtlichen Rahmenbedingungen für das Programm geklärt habe, sei 2019 ein Proof of Concept gefolgt. Bei diesem Testlauf seien 8 Services der Post während 6 Wochen von 40 Security-Leuten überprüft worden.
Dabei seien 50 kritische Schwachstellen gefunden und erfolgreich behoben worden. Als schwerwiegendste, so Zumbühl, betrachte er eine Lücke, die eine remote Code-Ausführung erlaubt hätte. Sie sei aber gefunden worden, bevor sie jemand ausgenutzt habe, fügt er an.
Bis anhin habe die Post 50 Teilnehmende für das Programm akkreditiert und bis Ende Jahr sollen es rund 250 sein. Auf sie warten Prämien von bis zu 5000 Franken. 

Loading

Mehr erfahren

Mehr zum Thema

image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024
image

Die neuen Namen im Ransomware-Geschäft

Neue Banden wie Akira, Qilin oder Rhysida haben in der Schweiz bereits Opfer gefunden. Wir haben uns gefragt, wer und was sich dahinter verbirgt – und Antworten gefunden.

publiziert am 11.4.2024
image

Google liest öffentliche Docs für KI-Trainings

Es ist wenig überraschend, aber doch augenöffnend: Alles, was online und öffentlich ist, wird für KI-Trainings genutzt. Unter bestimmten Bedingungen auch Google Docs.

publiziert am 11.4.2024