Am 10. Mai 2021 haben die Bundesverwaltung und Bug Bounty Switzerland (BBS) ein gemeinsames Pilotprojekt gestartet. Während zwei Wochen soll unter der Leitung des Nationalen Zentrums für Cyber-Sicherheit (NCSC) erste Erfahrungen mit Bug-Bounty-Programmen gesammelt werden. So soll etwa abgeklärt werden, inwiefern diese einen strategischen Beitrag zur Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen leisten können.
Beim Pilotprojekt des Bundes wurden als Ziele zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem ist der Kreis der Bug-Bounty-Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche BBS oder dem NSCS bekannt sind und sich bereits in anderen Projekten bewährt haben. Zudem hat BBS für die Bundesverwaltung, die strenge Anforderungen an Datenschutz und -standort hat, mit Hilfe von
Microsoft Schweiz eine eigene Bug-Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird ("Swiss IT Magazine"
berichtete).
Die Durchführung des Bug-Bounty-Programms obliegt BBS, wird aber durch das NCSC sowie Vertreter des EDA und der Parlamentsdienste eng begleitet. Mit dem Test soll die Grundlage für eine Diskussion zum weiteren Vorgehen zur Nutzung von Bug-Bounty-Programmen geschaffen werden.
(abr)
