Die SBB haben ein Bug-Bounty-Programm lanciert, in dem nach Möglichkeiten zum Klau von Userdaten und zur Datenmanipulation gesucht werden soll. Als Ziele der freundlichen Hacker haben die SBB die Bereiche Swisspass.ch, SBB Cargo und eine Preview-Version der neuen SBB-Website zugelassen. Gehostet wird das Programm auf der Bug-Bounty-Plattform "Intigriti".

In der Vergangenheit haben sich die SBB nicht nur mit Ruhm bekleckert: Im Januar 2022 hatte der Bahnbetrieb eine Lücke geschlossen, die Millionen Kundendaten gefährdete, ein Sicherheitsexperte konnte Teile davon testweise herunterladen. Offenbar waren die SBB seit 2018 mehrfach auf das Problem hingewiesen worden.

Damit habe das Programm aber nichts zu tun, erklären die SBB auf Anfrage. Vielmehr laufe dieses bereits seit einigen Jahren und sei im Rahmen allgemeiner Cyberaktivitäten aufgebaut worden. "Die SBB investiert schon länger jährlich einen zweistelligen Millionenbetrag in Cybersecurity und eine entsprechende Cyberstrategie wird konsequent umgesetzt", heisst es aus dem Bundesbetrieb.

Tatsächlich haben die SBB schon lange eine Vulnerability Disclosure Policy veröffentlicht, ein Regelwerk, nach dem ethische Hacker ihre Befunde melden können. Auch ein Bug-Bounty-Programm, also die Prämierung von Funden, läuft schon eine Weile, allerdings lange als geschlossenes Unterfangen. Im letzten Herbst wurde es geöffnet.

"Wie bei grossen Firmen üblich, startete das Bug Bounty als 'Closed' und wurde erst nach dem Testing im kontrollierten Rahmen auf 'Open' umgestellt", schreibt die Pressestelle. Wer einen Account auf Intigriti besitzt und von dem Plattformbetreiber geprüft wurde, kann also Jagd auf Lücken machen.

Für den Swisspass – das Kronjuwel der Kundenbindung und "den ersten Schritt in eine neue Ära des öffentlichen Transports" – versprechen die SBB Belohnungen bis zu 4000 Euro. Für SBB Cargo und den Preview der neuen Website sind Prämien zwischen 75 und 2000 Euro ausgelobt. Das Leaderboard führt ein User namens "Barantivirus" an, der ein Problem der Stufe "hoch" gefunden hat. Wie viel Geld bereits gesprochen wurde, wollen die SBB nicht preisgeben.

Man soll keine Befunde öffentlich diskutieren oder publizieren, heisst es in den Bestimmungen des Programms. Verboten sind DDoS-Attacken, Brute-Force-Angriffe, Social Engineering, Spam sowie physische Angriffe. Auch automatische Scanner oder Angriffe in veralteten Browsern sind nicht zugelassen. Wer sich an die Regeln hält, soll innerhalb von zwei Wochen eine Antwort der Bug-Bounty-Programmmacher erhalten, versprechen die Verantwortlichen.