Update: Post hat Bug-Jägern schon fast eine Million Franken ausbezahlt
Seit Frühling 2021 betreibt die Schweizerische Post ein öffentliches Bug-Bounty-Programm. Für gefundene Sicherheitslücken zahlt die Post bis zu 10'000 Franken. Bis jetzt hat die Post insgesamt knapp eine Million Franken an Prämien ausbezahlt.
Update vom 16.07.2025: Seit dem Start des öffentlichen Bug-Bounty-Programms der Schweizerischen Post sind etwas mehr als vier Jahre vergangen. In dieser Zeit überführte der Konzern alle seine digitalen Services in das öffentliche Programm, inklusive offenem Zugriff auf den Quellcode. In einer Mitteilung zieht das Unternehmen eine positive Zwischenbilanz. Die ethischen Hacker meldeten an die 3000 Schwachstellen, von denen die Schweizerische Post 896 bestätigen konnte - "davon 44 kritische Schwachstellen und 159 ernsthaft", wie der Konzern hinzufügt. 590 Schwachstellen konnte die Post bislang beheben.
Die höchste von der Post bislang an einen Hacker ausbezahlte Prämie (Bounty) beträgt 40'000 Franken. Alles in allem hat die Post bis im Juli 2025 999'260 Franken an Prämien ausbezahlt.
Marcel Zumbühl, Chief Information Security Officer (CISO) der Post, findet, das Wagnis des Bug-Bounty-Programms habe sich mehr als nur gelohnt: "In einer Zeit, in der sich die Bedrohungslage rasant verändert, müssen wir als Post Sicherheit neu denken. Durch die Zusammenarbeit mit ethischen Hackerinnen und Hackern schaffen wir nicht nur Vertrauen in unsere digitalen Dienstleistungen, sondern können auch schneller lernen und besser reagieren. Denn wir können von einem Netzwerk mit enorm viel Knowhow profitieren, das wir in diesem Umfang als Unternehmen nie abdecken könnten."
Originalmeldung vom 16.04.2021:
Die Post lanciert öffentliches Bug-Bounty-Programm
Ethische Hacker aus der ganzen Welt dürfen künftig Applikationen der Schweizerischen Post auf Sicherheitslücken abklopfen. Wie die Post mitteilt, lanciert sie ein öffentliches Bug-Bounty-Programm auf der Hacker-Plattform "Yeswehack", und jeder oder jede, der oder die dort registriert ist, kann sich an der Schwachstellensuche beteiligen. Bislang hatte die Post jeweils gezielt Hackerinnen und Hacker für die Tests eingeladen.
Belohnungen bis zu 10'000 Franken
Laut der Mitteilung sind zunächst folgende Applikationen und Dienste für die öffentliche Bug-Jagd freigegeben: das Kundenlogin der Post, der Postshop, die Post-App, der Bike Sharing Dienst Publibike sowie andere Onlinedienste wie Webstamp, Meine Sendungen, Adressverwaltungen, Empfängerleistungen und der Bezahlservice Billing Online. Man sei laufend dabei, weitere Dienste ins Bug-Bounty-Programm aufzunehmen.
Wer eine Schwachstelle findet, wird je nach Kritikalität der gefundenen Lücke belohnt. Die Beträge variierten zwischen 50 und 10'000 Franken, schreibt die Post und merkt an, dass sie im Rahmen von Bug-Bounty-Programmen bislang rund 250'000 Franken ausbezahlt habe, aufgeteilt auf 500 gefundene Schwachstellen.
Auf "Yeswehack" kann man ganz legal die Post hacken. (Source: Screenshot https://yeswehack.com/programs/swiss-post)
Erste Versuche im Jahr 2019
Bug-Bounty-Programme sind also nichts Neues bei der Post. Erstmals lancierte das Unternehmen im Frühling 2019 einen öffentlichen Intrusionstest seines E-Voting-Systems. Dabei fanden Forschende mehrere kritische Sicherheitslücken, und die Post stellte wenig später ihr damaliges E-Voting-System ein.
Das Beispiel zeige, dass Bug-Bounty-Programme funktionieren, führt Sandro Nafzger, Leiter Bug-Bounty bei der Post, in einem Blogbeitrag aus. In der Folge sei die Frage aufgekommen, ob die Zusammenarbeit mit einer globalen Community von IT-Sicherheitsexperten nicht auch für die Post als Ganzes sinnvoll wäre. Schon im Oktober 2019 führte das Unternehmen einen "Proof-of-Concept" durch, zu welchem fünf ethische Hacker eingeladen wurden. Binnen einer Stunde sei die erste kritische Schwachstelle gemeldet worden, schreibt Nafzger und fasst zusammen: "Die Frage, ob es Bug Bounty wirklich braucht, hatte sich also innerhalb von wenigen Stunden erledigt."
Bug-Bounties sind im Trend
Inzwischen durchlaufen die Post-Dienste ein dreistufiges Bug-Bounty-System, von der die öffentliche Ausschreibung auf "Yeswehack" die höchste darstellt, schreibt Nafzger weiter. Auf der Plattform seien rund 23'000 Hackerinnen und Hacker registriert. Doch nicht nur die Post setzt bei der Schwachstellensuche auf die Community. Auch der Bund experimentiert damit. Unlängst startete auch die TX Group ein Bug-Bounty-Programm für die Onlinezeitung "20 Minuten".
Warum gemäss Sandro Nafzger die Digitalisierung ohne Bug-Bounty-Programme nicht möglich ist, lesen Sie im Interview. Und wie sich Bug-Bounty-Programme im europäischen Markt entwickeln, lesen Sie in den Zahlen von Yeswehack.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Sicherheit von Anfang an – Multi-Cloud richtig gedacht
So erkennen Sie betrügerische Websites
Wie Cyberkriminelle LLMs einsetzen
Eine kleine Geschichte der politischen Karikaturen
Schwarzmarkt für Reisedokumente boomt
Update: Post hat Bug-Jägern schon fast eine Million Franken ausbezahlt
Gefahren und Risiken im Netz - mit diesen Tipps geht nichts schief
Goethe trifft auf Rap
Schwachstelle in Google Gemini ermöglicht Phishing über E-Mail-Zusammenfassungen
