Vom 10. bis 21. Mai hat das Nationale Zentrum für Cybersicherheit (NCSC) in Zusammenarbeit mit weiteren Bundesbehörden und Bug Bounty Switzerland erstmals ein Bug Bounty-Pilotprojekt durchgeführt. "Das Projekt verlief sehr erfolgreich und die gewonnenen Erkenntnisse sollen in die Durchführung weiterer Bug-Bounty-Programme in der Bundesverwaltung einfliessen", heisst es in einer Mitteilung.

Insgesamt nahmen 15 durch den Bund beauftragte ethische Hacker am Pilotprojekt teil. Dabei wurden insgesamt sechs IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) und der Parlamentsdienste (PD) auf allfällige Sicherheitslücken durchsucht. Davon stellte sich eine Lücke als "critical" heraus, sieben Schwachstellen wurden als "medium" und zwei als "low" klassifiziert. Welche IT-Systeme konkret Teil der Überprüfung und welcher Art die Schwachstellen waren, werde nicht kommuniziert, so das NCSC.

Sämtliche Lücken seien durch die zuständigen Leistungserbringer unverzüglich geschlossen worden. "Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden." Weiter heisst es im Abschlussbericht: "Der gute Security-Zustand der Systeme des EDA und der PD wurde durch die eingeladenen ethischen Hacker bestätigt ('the scope is hard')." Die Gesamtanzahl an Schwachstellenreports sei für einen erstmaligen Bug-Bounty-Test im Vergleich tief.

Schlussendlich wurden 9240 Franken an Belohnungen an die Hacker ausbezahlt. Vom verfügbaren Kostendach in der Höhe von 49'900 Franken wurden rund 27'300 Franken für Belohnungen, Onboarding, technische Umsetzung usw. aufgebraucht. Der Restbetrag werde für weitere Bug-Bounty-Programme in der Bundesverwaltung zurückgestellt.

Denn es soll nicht bei diesem ersten Pilotprojekt bleiben. Dieses habe gezeigt, dass mit solchen Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden könnten. Ein Bug-Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leiste einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes, so das Fazit.

Das NCSC sehe vor, das Bug-Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten. Der entsprechende Beschaffungsprozess soll deshalb möglichst rasch gestartet werden. Mittlerweile würden neben Bug Bounty Switzerland auch weitere Unternehmen in der Schweiz Programme anbieten, schreibt das NCSC. Um bei der Beschaffung die Neutralität zu gewährleisten, ziehe sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, deshalb aus dem Advisory Board von Bug Bounty Switzerland zurück.