Der Einbruch der Cyber-Kriminellen in die Server der Firma Xplain in Interlaken, bei der Hacker im Juni geheime Sicherheitsdispositive des Fedpol oder heikle Auszüge aus der Hooligandatenbank erbeuten konnten, hat nicht nur die Öffentlichkeit, sondern auch die IT-Fachwelt mit einem flauen Gefühl zurückgelassen.
Wie es zum Datenleck und zur Publikation der Daten im Darknet kommen konnte, ist immer noch Gegenstand diverser Untersuchungen. Gleichzeitig wurden neue Massnahmen in die Wege geleitet, damit solche Vertraulichkeiten im Bundeshaus in Zukunft besser geschützt werden können.
Dabei arbeitet das Nationale Zentrum für Cybersicherheit des Bundes bereits seit Ende 2022 auch mit Bug Bounty Switzerland zusammen, wie der «SonntagsBlick» schreibt.
Bei der Firma mitten im Berner Diplomatenviertel arbeiten sogenannte «ethische Hacker». Für ein angemessenes Honorar dringen diese in Systeme ein. Sie machen sich dabei nicht strafbar, denn die vertrauenswürdigen Hacker sollen für ihre Auftraggeber mögliche Schwachstellen im Netz entdecken.
Chef der Firma ist Sandro Nafzger. Auf der Webseite von Bug Bounty heisst es: «Wir arbeiten mit unseren Kundinnen und Kunden an einem ganzheitlichen Schwachstellenmanagement, der Befähigung der ganzen Organisation und dem Aufbau von Public Trust.»
Beim Unternehmen sind 21 Spezialistinnen und Spezialisten angestellt. Sie betreiben eine Plattform, auf der sich sogenannte ethische Hacker registrieren können. Auf der anderen Seite können potenzielle Kunden ihre Preisgelder ausschreiben. Die Prämien für einen erfolgreichen Hack reichen von 3’000 Franken für das Aufspüren kritischer Schwachstellen bis zu 15'000 für gröbere Sachen.
Sandro Nafzger ist überzeugt, dass «hundertprozentige Sicherheit» der Vergangenheit angehöre. Heute ginge es darum, zu lernen, mit der neuen Verletzlichkeit umzugehen, meint er. Schwachstellen gibt es fast überall. «Umso wichtiger ist es, dass es die Guten sind, die diese Schwachstellen aufspüren.»
Der Bund hat bislang fünf Bug-Bounty-Programme gestartet. 19 Hacker haben seither bei der Bundesverwaltung auf 54 Schwachstellen aufmerksam gemacht. 27 davon wurden akzeptiert und gemäss einer Vereinbarung belohnt. Dabei hat der Bund seit der Lancierung des Bug-Bounty-Programms insgesamt 13’950 Franken an die ethischen Hacker ausbezahlt. Dazu wurden noch knapp 10’000 Franken in ein Pilotprogramm 2021 investiert, bei dem Schwachstellen im EDA und bei den Parlamentsdiensten identifiziert werden konnten.
Etwas knauseriger wollte es eine Schweizer Grossbank angehen. Sie bot den ethischen Hackern 3’000 Franken für jede aufgedeckte kritische Schwachstelle. Gefunden wurde nichts. Bis Sandro Nafzger ein paar Computerfreaks angerufen hat. Diese meinten gemäss dem Bericht im «SonntagsBlick», dass sich der Aufwand für 3’000 Franken nicht lohne. Nachdem die Bank das Kopfgeld daraufhin verzehnfacht hatte, dauerte es nur noch eine kurze Nacht lang. Und die Hacker konnten legal in die Bank einbrechen.