Content:

Donnerstag
04.08.2022

Digital

Standardisierte Tests reichen nicht mehr…

Standardisierte Tests reichen nicht mehr…

Um die Cybersicherheit der IT-Infrastruktur zu erhöhen, beschafft die Bundesverwaltung eine Plattform für sogenannte Bug-Bounty-Programme. 

«Bug» heisst Fehler, «Bounty» ist das Kopfgeld. Dabei werden wohlgesinnte Hacker auf die eigenen IT-Systeme losgelassen mit dem Auftrag, Sicherheitslücken zu finden.

«Sicherheitslücken in IT-Systemen gehören zu den häufigsten Einfallstoren bei Cyberangriffen. Umso wichtiger ist es, Schwachstellen so rasch wie möglich zu entdecken und zu schliessen», heisst es beim Nationalen Zentrum für Cybersicherheit (NCSC).  

Denn hätten Angreifer durch eine Lücke in der Website oder in einer Software-Komponente ins System hineingefunden, könnten sie sich darin oft auch ausbreiten und weiteren Schaden anrichten. 

Gemäss den Cyber-Wächtern des Bundes reichen standardisierte Sicherheitstests heute häufig nicht mehr aus. Daher sollen in Zukunft nun also «ethische Hacker» auf die IT-Infrastruktur losgelassen werden.

Umgesetzt werden die Bug-Bounty-Programme vom NCSC in Kooperation mit der Bug Bounty Switzerland AG, die eine Community von ethischen Hackern bereithält. Die ersten Hacks sollen noch in diesem Jahr starten.

Ein erstes Pilotprogramm wurde im Frühjahr 2021 durchgeführt. Dabei habe sich gezeigt: Bug Bounty bringts. Schwachstellen seien «effizient identifiziert und behoben» worden, heisst es weiter aus Bern.

Damals wurden insgesamt sechs IT-Systeme des Aussendepartements torpediert. Nun soll das Programm auf möglichst viele Systeme der gesamten Bundesverwaltung ausgeweitet werden.