Im Mai 2022 veröffentlichte der Kanton Zürich die "Cybersicherheitsstrategie – Organisation und Umsetzung". Darin hiess es unter anderem zum Thema Bug Bounty (PDF): "Der allfällige Aufbau der Bug-Bounty-Plattform soll erst nach einem Abgleich mit dem Bund gestartet werden."

Nun soll eine entsprechende Plattform für die parallele Durchführung mehrerer Bug-Bounty- und Vulnerability-Disclosure-Programme für den Kanton Zürich aufgebaut werden, hiess es in der Ausschreibung. Nach Inbetriebnahme soll die Plattform "der kantonalen Verwaltung und kantonsnahen Organisationen" zur Verfügung gestellt werden.

Den Zuschlag für den Auftrag erhalten hat Swisscom zu einem Preis von 150'000 Franken für 5 Jahre. Damit fährt der Kanton Zürich günstiger als ursprünglich geplant: Budgetiert waren in der erwähnten Cyberstrategie 75'000 Franken pro Jahr.

Der Telco und IT-Dienstleister setzte sich in der Ausschreibung gegen zwei Konkurrenten durch. Dabei tritt Swisscom als Reseller von Bug Bounty Switzerland auf – entsprechend kommt beim Kanton Zürich die Plattform des Anbieters zum Einsatz.

Auf Anfrage von inside-it.ch sagt Sandro Nafzger, CEO & Co-Founder von Bug Bounty Switzerland, dass man mit Swisscom partnerschaftlich zusammenarbeite. Der Telco bestätigt ein "Reselling der Leistungen des Dienstleisters Bug Bounty Switzerland". Aber man wolle nicht einen "neuen Markt eintreten", schreibt uns Swisscom-Sprecherin Annina Merk auf Anfrage.

Nafzger führt aus, dass im "kompetitiven Preis" die Lizenzen für die Plattform, jedoch keine Bounties inbegriffen seien. Der Kanton Zürich setze auf das gleiche Modell wie das Bundesamt für Cybersicherheit und betreibe die Plattform entsprechend selbst, so Nafzger. Reto Flury von der Finanzdirektion des Kantons Zürich ergänzt, dass im Preis ausserdem "die Durchführung der Programme für einen Zeitraum von 5 Jahren" enthalten seien. Swisscom will den Preis nicht kommentieren und schreibt: "Wir machen keine Angaben zu Details."

Der Bund hat den Zuschlag für die Nutzung derselben Plattform an Bug Bounty Switzerland im August 2022 erteilt; ebenfalls für fünf Jahre, aber zum Preis von 600'000 Franken. Allerdings musste das Programm wegen fehlendem Budget für die Bounty-Zahlungen nur zwei Jahre später pausiert werden, wie die 'Netzwoche' im Mai 2024 berichtete.