Das Zugriffs- und Berechtigungssystem der Bundesverwaltung ist die zentrale Login-Infrastruktur des Bundes. Der Service wird von über 1’000 Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550’000 Anmeldungen pro Tag. Die Sicherheit dieser Infrastruktur ist für den Bund bedeutend.

Bug-Bounty-Programme dienen ergänzend zu anderen Sicherheitsmassahmen dazu, allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen in Zusammenarbeit mit sogenannten ethischen Hackern zu identifizieren, zu dokumentieren und zu beheben. Ethische Hacker verpflichten sich, im Gegensatz zu kriminell motivierten Hackern, sich an rechtliche Vorgaben zu halten und handeln im Einverständnis der Betroffenen. Nach dem Pilot-Projekt des Nationalen Zentrums für Cybersicherheit (NCSC) vergangenes Jahr wurde nun eIAM einer Prüfung unterzogen. Das Bug-Bounty-Programm hat zwischen dem 30. August und dem 11. Oktober mit insgesamt 32 eingeladenen ethischen Hackern stattgefunden.

Der für den eIAM-Service verantwortliche Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei, das Bundesamt für Informatik und Telekommunikation (BIT) als Systembetreiberin und das für das Bug-Bounty-Programm zuständige NCSC haben diese Systemüberprüfung gemeinsam mit der Firma Bug Bounty Switzerland AG durchgeführt.

Die Schwachstellen wurden anhand einer weltweit anerkannten Skala in «tief» (optionale Behebung), «mittel» (Behebung beim nächsten Release), «hoch» (rasche Behebung) oder «kritisch» (sofortige Behebung) eingestuft. Gesamthaft wurden 28 Schwachstellen gemeldet, davon 14 als gültig befunden und akzeptiert. Sämtliche Lücken wurden umgehend analysiert und bearbeitet. Eine Schwachstelle wurde als «hoch» eingestuft. Neun wurden als «mittel» und vier als «tief» klassifiziert. Kritische Sicherheitslücken wurden keine gefunden. Die ethischen Hacker erhielten insgesamt 5’700 Franken als Belohnung für die bestätigten Schwachstellen.

Mit diesem ersten Bug-Bounty-Programm konnten wertvolle Erfahrungen gesammelt werden. Das Programm hat gezeigt, dass mittels dieser Methode bisher unerkannte Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Es wird geprüft, diese Art der externen Sicherheitsüberprüfung für eIAM weiterzuführen.

Bug-Bounty-Programm des Bundes

Standardisierte Sicherheitstests reichen heute häufig nicht mehr aus, um die versteckten Lücken zu finden. Das im Frühjahr 2021 durchgeführte Pilotprojekt hat gezeigt, dass mittels Bug-Bounty-Programmen Schwachstellen in IT-Systemen und Anwendungen effizient identifiziert und behoben werden können. Aufgrund dieser Erkenntnisse hat der Bund im August 2022 eine Plattform für Bug-Bounty-Programme beschafft. Unter der Federführung des NCSC sollen in Zukunft ethische Hacker im Rahmen von sogenannten Bug-Bounty-Programmen die produktiven IT-Systeme und Applikationen der Bundesverwaltung nach Schwachstellen durchsuchen. Mit eIAM wurde nun eine erste Anwendung im Rahmen dieses Programms geprüft.
Ethische Hacker, die interessiert sind, die Systeme der Bundesverwaltung im Rahmen von künftigen Bug-Bounty-Programmen zu prüfen und am Bug-Bounty-Programm des Bundes teilzunehmen, können sich unter folgendem Link registrieren: www.bugbounty.ch/ncsc

Bug-Bounty-Programm für das zentrale Zugriffssystem eIAM des Bundes durchgeführt