Wie der Bund ethisches Hacking fördern will
Der Bundesrat führt in einem neuen Bericht Massnahmen auf, um ethisches Hacking zu fördern. Diese betreffen unter anderem die Meldung von Schwachstellen, Hackathons und Bug-Bounty-Programme. Der Bericht folgt auf ein entsprechendes Postulat aus dem Jahr 2020.
Der Bundesrat hat in einem Bericht dargelegt, wie er ethisches Hacking fördern will respektive dies bereits tut. Der Bericht geht aus der Sitzung am 29. November 2023 hervor und folgt auf ein entsprechendes Postulat von GLP-Politikerin Judith Bellaiche aus dem Jahr 2020.
Meldestellen, Hackathons und Bug-Bounty-Programme
Der Bundesrat spricht im Bericht von mehreren Massnahmen zur Förderung des ethischen Hackings. Eine davon ist die Meldung von Schwachstellen. So wurde das NCSC im März 2021 als Anlaufstelle für die Offenlegung von Schwachstellen positioniert. Auf den Internetseiten der Bundesverwaltung gilt der security.txt-Standard, der einen für die Cybersicherheit zuständigen Kontakt beinhalten muss. Personen, die auf Sicherheitslücken aufmerksam werden, könnten damit einsehen, an wen sie sich wenden können. Schwachstellen könnten auch andere Stellen der Bundesverwaltung gemeldet werden - grundsätzlich immer an jene, die betroffen sind, wie es im Bericht heisst. Datenschutzverletzungen könnten auch direkt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Dies sei jedoch nicht obligatorisch, betonte der EDÖB bereits in einem Merkblatt vom Juni 2023. Darin definiert er auch die datenschutzrechtlichen Vorgaben für das ethische Hacking.
Zudem führte der Bund auch einzelne öffentliche Sicherheitstests durch, wie der Bundesrat berichtet. Er nennt etwa die Tests des Covid-Zertifikats vor dessen Einführung im Jahr 2021. Später folgte ein öffentlicher Sicherheitstest zum "SwissCovid Proximity Tracing System" für die SwissCovid-App.
Weiter nennt der Bundesrat die Hackathons des Cyber Defence Campus der Armasuisse sowie das Bug-Bounty-Programm des NCSC für die Bundesverwaltung. Dabei gilt, dass das NCSC bzw. ab 2024 das Bundesamt für Cybersicherheit im Einvernehmen mit den betroffenen Stellen nach Schwachstellen suchen darf. Es ist explizit erlaubt, dass dafür Dritte beauftragt werden, wie es im Bericht weiter heisst.
Der volle Bericht des Bundesrats zur Förderung von ethischem Hacking ist hier abrufbar.
Übrigens: Wann ethisches Hacking straffrei ist und wann nicht, erklärte das NTC im Sommer 2023 in einem Rechtsgutachten.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Möge der Saft wieder mit dir sein
Schwachstelle macht aus KI-Agenten gefährliche Plaudertaschen
Die Spring Party bringt die Westschweizer IT-Branche zusammen
Graubünden ernennt Leiterin der neuen Aufsichtsstelle Datenschutz
Wie man mit einer Smartwatch einen Air Gap zunichte macht
Bund und Schweizer Finanzsektor vertiefen ihre Zusammenarbeit für mehr Cybersicherheit
Cyberkriminelle geben sich als Logistikdienstleister aus
Fast Schweizerdeutsch - aber eben nur fast
Update: Berner Grosser Rat befürwortet Zentralisierung der Datenschutzbehörden
