Hacker entdecken 10 Schwachstellen beim Bund

1. Juli 2021, 12:42
  • security
  • lücke
  • verwaltung
  • bug bounty switzerland
image

Das Nationale Zentrum für Cyber­sicherheit ist zufrieden. 15 ethische Hacker hatten am Bug-Bounty-Projekt teilgenommen und erhalten nun eine Belohnung.

Vom 10. bis 21. Mai hat das Nationale Zentrum für Cybersicherheit (NCSC) in Zusammenarbeit mit weiteren Bundesbehörden und Bug Bounty Switzerland erstmals ein Bug Bounty-Pilotprojekt durchgeführt. "Das Projekt verlief sehr erfolgreich und die gewonnenen Erkenntnisse sollen in die Durchführung weiterer Bug-Bounty-Programme in der Bundesverwaltung einfliessen", heisst es in einer Mitteilung.
Insgesamt nahmen 15 durch den Bund beauftragte ethische Hacker am Pilotprojekt teil. Dabei wurden insgesamt sechs IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) und der Parlamentsdienste (PD) auf allfällige Sicherheitslücken durchsucht. Davon stellte sich eine Lücke als "critical" heraus, sieben Schwachstellen wurden als "medium" und zwei als "low" klassifiziert. Welche IT-Systeme konkret Teil der Überprüfung und welcher Art die Schwachstellen waren, werde nicht kommuniziert, so das NCSC.

Lücken wurden sofort geschlossen

Sämtliche Lücken seien durch die zuständigen Leistungserbringer unverzüglich geschlossen worden. "Die erfolgreiche Schliessung der Lücken konnte im Anschluss durch die ethischen Hacker verifiziert und bestätigt werden." Weiter heisst es im Abschlussbericht: "Der gute Security-Zustand der Systeme des EDA und der PD wurde durch die eingeladenen ethischen Hacker bestätigt ('the scope is hard')." Die Gesamtanzahl an Schwachstellenreports sei für einen erstmaligen Bug-Bounty-Test im Vergleich tief.
Schlussendlich wurden 9240 Franken an Belohnungen an die Hacker ausbezahlt. Vom verfügbaren Kostendach in der Höhe von 49'900 Franken wurden rund 27'300 Franken für Belohnungen, Onboarding, technische Umsetzung usw. aufgebraucht. Der Restbetrag werde für weitere Bug-Bounty-Programme in der Bundesverwaltung zurückgestellt.

Florian Schütz gibt Advisory-Mandat ab

Denn es soll nicht bei diesem ersten Pilotprojekt bleiben. Dieses habe gezeigt, dass mit solchen Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden könnten. Ein Bug-Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leiste einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes, so das Fazit.
Das NCSC sehe vor, das Bug-Bounty-Programm kontinuierlich auf möglichst viele Systeme der Bundesverwaltung auszuweiten. Der entsprechende Beschaffungsprozess soll deshalb möglichst rasch gestartet werden. Mittlerweile würden neben Bug Bounty Switzerland auch weitere Unternehmen in der Schweiz Programme anbieten, schreibt das NCSC. Um bei der Beschaffung die Neutralität zu gewährleisten, ziehe sich Florian Schütz, der Delegierte des Bundes für Cybersicherheit, deshalb aus dem Advisory Board von Bug Bounty Switzerland zurück.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023