Nachgefragt beim NCSC und Bug Bounty Switzerland

So ist das erste Bug-Bounty-Programm der Bundesverwaltung verlaufen

Uhr
von René Jaun und cka

Zwei Wochen lang haben ausgesuchte ethische Hacker Systeme der Bundes-IT auf Schwachstellen abgeklopft. Diese testeten während des Pilots mehr als zunächst geplant. Der Bund und Umsetzungspartner Bug Bounty Switzerland sind zufrieden.

(Source: JumalaSika ltd / Fotolia.com)
(Source: JumalaSika ltd / Fotolia.com)

Das erste Bug-Bounty-Programm der Bundesverwaltung ist vorbei. Das Nationale Zentrum für Cybersicherheit (NCSC) hatte ethische Hacker dazu eingeladen, zwei Wochen lang ausgewählte IT-Dienste des Bundes anzugreifen und auf Schwachstellen abzuklopfen.

Umfangreicher als geplant

Das Pilotprojekt erfolgte in Zusammenarbeit mit Bug Bounty Switzerland. Ursprünglich war geplant, drei IT-Anwendungen der Parlamentsdienste und des Aussendepartements (EDA) von sieben ausgesuchten Hackern testen zu lassen. Doch dabei ist es nicht geblieben, verrät Sandro Nafzger, CEO von Bug Bounty Switzerland, auf Anfrage. "Im Verlauf der Testphase erhöhten wir die Anzahl getesteter Systeme auf sechs und arbeiteten schlussendlich mit 15 Hackern."

Sandro Nafzger, CEO von Bug Bounty Switzerland. (Source: zVg)

Die getesteten IT-Anwendungen seien allesamt schon sehr gut abgehärtet gewesen, sagt Nafzger weiter. Dennoch waren die Bug-Jäger erfolgreich: "Wir starteten den Test eine Minute nach Mitternacht. Bis zu diesem Zeitpunkt hatten die teilnehmenden Hacker keine Informationen über die anzugreifenden Systeme. Schon 49 Minuten nach dem Start des Tests wurde uns die erste Schwachstelle gemeldet." Im Verlauf des zweiten Tages entdeckten die Hacker erstmals eine kritische Sicherheitslücke. Über diese hätte ein Angreifer das komplette System übernehmen und etwa Ransomware installieren, Daten manipulieren oder das System herunterfahren können.

"Ein perfektes IT-System gibt es einfach nicht", fasst Nafzger zusammen. "Der Test zeigt sehr eindrücklich, wie wichtig die Zusammenarbeit mit ethischen Hackern ist." Binnen zwei Wochen wurden 9 Schwachstellen gefunden. Die Hacker wurden dafür mit insgesamt 10'000 Franken belohnt.

Bereit für mehr

Die Befunde wurden von Bug Bounty Switzerland jeweils ans NCSC weitergeleitet. Dieses übernahm die Koordination mit den beim Bund verantwortlichen Entwicklern. Nachdem sie die Sicherheitslücken geschlossen hatten, erfolgte wiederum das Retesting durch die Hacker.

Alle entdeckten Probleme wurden auf diese Weise gelöst. Beeindruckend schnell, merkt Nafzger an. "Dank dieses Feedback-Loops konnten Entwickler und Hacker gemeinsam an den Bugs arbeiten. Bei einem klassischen Pentest hätte es wohl Monate gedauert, um die Probleme zu verstehen und zu beheben".

"Für mich war die Zusammenarbeit ein Highlight", sagt Nafzger. Auch von den übrigen Beteiligten habe er ausschliesslich positive Feedbacks erhalten. Und: "Die getesteten Systeme und involvierten Parteien haben bewiesen, dass sie bereit sind für ein kontinuierliches Bug Bounty".

Positiv äussert sich auch Pascal Lamia, Stv. des Delegierten des Bundes für Cybersicherheit, der das Projekt Seitens Bund betreute. Die Zusammenarbeit zwischen den ethischen Hackern und den Betreibern der Systeme und Applikationen habe sehr gut funktioniert, sagt er auf Anfrage. "Die Qualität der dokumentierten Schwachstellen war sehr gut und unsere internen Leistungserbringer haben sehr rasch reagiert und die entsprechenden Massnahmen zur Behebung der Schwachstellen in die Wege geleitet oder wo möglich sofort umgesetzt."

Der Bund als Vorbild für Privatunternehmen

Noch ist nicht offiziell klar, ob und wie der Bund das Projekt fortsetzt. Man sei derzeit daran, einen Abschlussbericht zu erstellen, sagt Nafzger. Laut Lamia sollte dieser noch vor den Sommerferien veröffentlicht werden. Und basierend darauf werde der Bund entscheiden, wie es weitergeht.

Für den CEO von Bug Bounty Switzerland ist der Fall jedoch schon klar: Mit dem Aufbau der Plattform und dem Pilotprojekt sei der Hauptaufwand geleistet, sagt er. "Ist ein Bug-Bounty-Programm einmal aufgesetzt, gibt es eigentlich keinen Grund mehr, es wieder zu beenden."

Vielmehr sollte das Programm ab jetzt kontinuierlich weiter ausgerollt werden und zwar so lange, "bis die gesamte Organisation im Test-Scope ist und das Bug-Bounty-Programm öffentlich, also für alle Hacker, zugänglich ist." Als Beispiel verweist er unter anderem auf die Post, die unter seiner Leitung seit Kurzem einige Anwendungen im öffentlichen Bug-Bounty-Programm testen lässt.

Doch Nafzger denkt bei seiner Empfehlung längst nicht nur an die Bundesverwaltung. "Das NCSC hat nicht lange über Bug-Bounty-Programme debattiert, sondern schnell und unkompliziert einen ersten Versuch gewagt", lobt er. Es sei ein mutiges, agiles und transparentes Vorgehen gewesen. "Der Bund hat der ganzen Schweiz vorgemacht, wie man eine solche Initiative lancieren sollte."

Nun hofft er, dass auch mehr Schweizer Privatunternehmen auf den Bug-Bounty-Zug aufspringen, denn: "Die digitale Transformation gelingt nur, wenn wir mit ethischen Hackern zusammenarbeiten", ist er überzeugt. Warum dies so ist, lesen Sie hier im ausführlichen Interview.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_218872

Kommentare

« Mehr

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter