Der Bund will mit kontrollierten Hackerattacken nach Schwachstellen in den eigenen IT-Infrastrukturen suchen. Das Pilotprojekt unter der Leitung des Nationalen Zentrums für Cybersicherheit (NCSC) ist auf zwei Wochen begrenzt.
Zum ersten Mal testet das NCSC ein sogenanntes Bug-Bounty-Programm in der Bundesverwaltung. Im Rahmen von diesem Programm rufen die Behörden Hacker dazu auf, die IT-Systeme legal nach Sicherheitslücken zu durchforsten. Wer eine Schwachstelle (Bug) findet, wird belohnt (Bounty).
Als Ziele hat der Bund zwei Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) und eines der Parlamentsdienste ausgewählt, heisst es am Montag in einer Mitteilung.
Das Pilotprojekt wird gemeinsam vom NSCS und der Bug Bounty Switzerland GmbH durchgeführt und soll zeigen, ob diese Programme in Zukunft bei Verwaltungen und Unternehmen zum Einsatz kommen könnten.
Zugelassen sind nur diejenigen Hacker, die dem NCSC oder Bug Bounty Switzerland bekannt sind und sich «in anderen Projekten bewährt haben», schreibt der Bund weiter.
Weil die Bundesverwaltung einen Datenstandort in der Schweiz fordert, hat die Bug Bounty Switzerland GmbH eine Plattform mithilfe von Microsoft entwickelt, die vollständig innerhalb der Landesgrenzen betrieben wird.
