Behörden-Login Agov startet öffentliches Bug-Bounty-Programm

Mit einem öffentlichen Bug-Bounty-Programm soll das Schweizer Behörden-Login Agov auf Schwachstellen überprüft werden. Auf sicherheitsrelevante Funde sind Prämien ausgesetzt, wie der Bund mitteilt. Die Ausdehnung des zuvor privaten Programms auf die Öffentlichkeit bestehe seit dem 8. Dezember 2025; ethische Hackerinnen und Hacker können sich direkt auf der Plattform von Bug Bounty Switzerland für das Bug-Bounty-Programm anmelden. 

Das Programm läuft laut Bund auf einer Plattform des Bundesamts für Cybersicherheit (BACS), wobei die Firma Bug Bounty Switzerland als Plattformlieferantin agiert. Für den inhaltlichen Teil des Programmes sei der Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei zusammen mit dem Bundesamt für Informatik und Telekommunikation (BIT) verantwortlich. 

Derzeit habe das Agov-Login über eine Million eingerichtete Accounts, heisst es weiter. Das Login diene mittlerweile zwölf Kantonen und immer mehr Städten und Gemeinden für digitale Behördenleistungen wie etwa für die elektronische Steuererklärung. Der Bund prognostiziert eine Zunahme der Logins mit der Einführung der E-ID.

Die wichtigsten Angriffspunkte im Agov-Bug-Bounty-Programm betreffen laut Ausschreibung auf der Website von Bug Bounty Switzerland die Gefährdung des Token-Austauschs oder der Verschlüsselung sowie unbefugten Zugriff auf Anmeldedaten. Ebenfalls relevant seien Schwachstellen in der Agov-API oder der Serverinfrastruktur sowie Angriffe auf mobilgerätebasierte Agov-Anwendungen.

Übrigens: Auch das E-Voting-System der Post hat Intrusionstests durchlaufen. Innerhalb von vier Wochen mit rund 8800 Angriffen sei aber es niemandem gelungen, die elektronische Urne zu kompromittieren. Hier lesen Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.