Bug-Bounty-Programm

Hacker finden 14 Schwachstellen im Zugriffssystem des Bundes

Uhr
von René Jaun und mla

Im Rahmen eines Bug-Bounty-Programms hat die Bundesverwaltung ihr zentrales Zugriffssystem auf Sicherheitslücken abklopfen lassen. Dabei fanden ethische Hacker insgesamt 14 Schwachstellen, darunter eine der Risikostufe "hoch".

(Source: Foto-Ruhrgebiet)
(Source: Foto-Ruhrgebiet)

14 Sicherheitslücken haben ethische Hacker in "eIAM", dem zentralen Zugriffssystem des Bundes, entdeckt. Dies teilt die Bundesverwaltung zum Abschluss eines Bug-Bounty-Programms mit, das sie vom 30. August zum 11. Oktober 2022 durchführte. Im Rahmen des Programms lud sie 32 ethische Hacker ein, das System auf Schwachstellen abzuklopfen.

Keine kritische Sicherheitslücke entdeckt

Beim untersuchten System handle es sich um die zentrale Login-Infrastruktur des Bundes. Laut der Mitteilung verwenden über 1000 Fachapplikationen den Service; pro Tag erfolgen durchschnittlich 550’000 Anmeldungen.

Die entdeckten Schwachstellen wurden anhand ihres Schweregrades kategorisiert: 4 Probleme wurden als "tief" eingestuft (optionale Behebung), 9 als "mittel" (Behebung beim nächsten Release) und eine als "hoch" (rasche Behebung). Als "kritisch" (sofortige Behebung) eingestufte Sicherheitslücken fanden die Hacker laut der Mitteilung keine.

Man habe mit dem Bug-Bounty-Programm wertvolle Erfahrungen sammeln können, schreibt die Bundesverwaltung. "Das Programm hat gezeigt, dass mittels dieser Methode bisher unerkannte Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Es wird geprüft, diese Art der externen Sicherheitsüberprüfung für "eIAM" weiterzuführen."

Das Bug-Bounty-Programm führten der Bereich Digitale Transformation und IKT-Lenkung (DTI), das Bundesamt für Informatik und Telekommunikation (BIT) als Systembetreiberin und das für das Bug-Bounty-Programm zuständige Nationale Zentrum für Cybersicherheit (NCSC) in Zusammenarbeit mit Bug Bounty Switzerland durch. Die Luzerner Firma erhielt im August 2022 den Zuschlag der Bundesverwaltung, eine Plattform für solche Programme zu schaffen. Entsprechend soll die Bugjagd in der Bundesverwaltung weitergehen, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_271742