"Hack die Post und verdiene Geld"
8. Juli 2020 um 15:19
Der "Gelbe Riese" startet ein Bug-Bounty-Programm. In einem ersten Test wurden 50 kritische Schwachstellen gefunden und behoben, erklärt Post-CISO Zumbühl.
100 Cyberangriffe, 10'000 Viren und 10 Millionen Phishing- und Spam-Mails wehre die Post jeden Monat ab. Mit den rund 50 Information-Security-Mitarbeitenden, einem Security Operations Center (SOC) und jährlich 60 bis 70 Penetration-Tests habe man ein hohes Mass an Sicherheit erreicht, sagt Marcel Zumbühl, Chief Information Security Officer (CISO) der Schweizerischen Post in einem Gespräch mit den Medien.
Nun wolle man den nächsten Schritt gehen und ethischen Hackern Geld dafür zahlen, wenn sie der Post Security-Schwachstellen melden. Die Post lanciert ein Bug-Bounty-Programm. "Wir glauben an partizipative Sicherheit und streben gemeinsam eine noch höhere Sicherheit an", erklärt der Information-Security-Chef. Es brauche agilere Prozesse und schnelle Zyklen, um Security-Probleme rasch zu fixen.
International setzten zwar schon eine Reihe von Firmen auf Bug-Jäger, um Schwachstellen in ihren Produkten aufzuspüren. In der Schweiz habe sich dies aber noch nicht durchgesetzt. Die Post sei eine der ersten Firmen, die ein solches Programm lancieren, fügt Zumbühl hinzu. Es handelt sich um ein privates Programm. Aber eine Bewerbung stehe jedem offen.
Derzeit lasse man die Bug-Jäger auf zwei Services der Post los, den Shop und das Kundenlogin. Weitere befinden sich laut dem CISO in der Pipeline.
Bis Ende Jahr sollen 250 Bug-Jäger akkreditiert sein
Mit dem Bug-Bounty-Programm wolle die Post die kollektive Intelligenz einer globalen Community nutzen. Nachdem die Post 2018 in Zusammenarbeit mit Bund und Kantonen die rechtlichen Rahmenbedingungen für das Programm geklärt habe, sei 2019 ein Proof of Concept gefolgt. Bei diesem Testlauf seien 8 Services der Post während 6 Wochen von 40 Security-Leuten überprüft worden.
Dabei seien 50 kritische Schwachstellen gefunden und erfolgreich behoben worden. Als schwerwiegendste, so Zumbühl, betrachte er eine Lücke, die eine remote Code-Ausführung erlaubt hätte. Sie sei aber gefunden worden, bevor sie jemand ausgenutzt habe, fügt er an.
Bis anhin habe die Post 50 Teilnehmende für das Programm akkreditiert und bis Ende Jahr sollen es rund 250 sein. Auf sie warten Prämien von bis zu 5000 Franken.
Loading
Zehn gefährliche Backup-Irrtümer
Ihre Daten müssen rekonstruierbar sein: Das Backup muss sicherstellen, dass dies im Katastrophenfall sicher und einfach möglich ist - damit Ihr Geschäft auch im Notfall erfolgreich weiterlaufen kann. Erfahren Sie, welche Backup-Irrtümer immer noch weitverbreitet sind.
Standortverband Vaud Promotion bestätigt Cyberangriff
Die noch sehr junge Ransomware-Bande Darkrace beansprucht die Attacke für sich und veröffentlicht Dokumente. Der Waadtländer Verband erklärt uns die Auswirkungen.
VMware schliesst kritische Lücken in Analytics-Tool
Admins, bitte umgehend VMware Aria Operations Networks patchen! Eine Lücke mit dem Score 9,8 ermöglicht Remote Code Execution.
Xplain-Hack: Auch operative Daten der Bundesverwaltung gestohlen?
Derzeit läuft eine vertiefte Analyse der publizierten Daten. Es muss davon ausgegangen werden, dass auch operative Daten der Behörden gestohlen worden sein könnten.