Budget aufgebraucht

BACS pausiert Bug-Bounty-Programm

Uhr
von René Jaun und lpe

Im Rahmen von Bug-Bounty-Programmen sucht die Bundesverwaltung regelmässig nach Schwachstellen in ihren IT-Systemen. Doch nun musste des Bundesamt für Cybersicherheit ein solches Programm vorübergehend stoppen. Grund: Das Budget war aufgebraucht.

(Source: Choo Studio / shutterstock.com)
(Source: Choo Studio / shutterstock.com)

Um ihre IT-Systeme sicherer zu machen, setzt die Bundesverwaltung unter anderem auf Bug-Bounty-Programme. Doch wer die dazu vom Bundesamt für Cybersicherheit (BACS) veröffentlichten Statistiken anschaut, gerät ins Stutzen: Demnach wurden im 1. Quartal 2024 lediglich drei Bugs gemeldet – und alle drei wurden als ungültig (invalid) verbucht. Zum Vergleich: Im 4. Quartal 2023 erhielt das BACS durch Bug-Bounty-Programme noch 51 valide Meldungen, Selbst im 2. Quartal 2023 waren es noch 7 gültige Meldungen.

Auf Anfrage erklärt das BACS, Schwankungen in der Anzahl eingehender Meldungen seien bei Bug-Bounty-Programmen natürlich. Die Programme "werden anhand verschiedener Parameter gesteuert, dazu zählen beispielsweise der Umfang der zu prüfenden Systeme (Scope), die Höhe der ausbezahlten Prämien (Bounties) oder die Anzahl der teilnehmenden ethischen Hacker."

Noch Ende 2023 startete das BACS ein grosses Bug-Bounty-Programm. Die Behörde liess "alle öffentlich exponierten und zugänglichen Systeme der Bundesverwaltung durch ethische Hacker" prüfen, wie es in der Stellungnahme heisst. Durch den breit gefassten Kontext habe eine hohe Anzahl von Schwachstellen identifiziert und behoben werden können.

Doch der Erfolg der Bug-Jagd wurde zum Verhängnis: "Das Programm musste pausiert werden, da das zur Verfügung stehende Budget für die Prämien aufgebraucht war", schreibt das BACS und fügt an, man verfüge "heute nicht über entsprechende finanzielle Mittel, um das Bug-Bounty-Programm in diesem Umfang permanent zu betreiben".

Höheres Budget für 2024

Insgesamt zahlte der Bund im Jahr 2023 Bounties im Wert von 131'500 Franken aus. Im Jahr 2024 seien Bounties im Wert von 280'000 Franken budgetiert, schreibt das BACS weiter. Zudem seien im Jahr 2023 600'000 Franken für die Nutzung der "Bug-Bounty-Plattform" in den nächsten fünf Jahren aufgewendet worden.

In der Stellungnahme schreibt das BACS weiter, es sei sehr zufrieden mit dem Verlauf und den Ergebnissen des Bug-Bounty-Programms in der Bundesverwaltung. Bug-Bounty-Programme und die Zusammenarbeit mit ethischen Hackern sei auch als Schwerpunkt in die Nationale Cyberstrategie (NCS) aufgenommen worden. "Es ist eine wichtige Massnahme, um die Cyberresilienz in der Schweiz zu stärken und sichere und verfügbare digitale Dienstleistungen und Infrastrukturen in der Schweiz zu ermöglichen."

Der Bund machte seine ersten Bug-Bounty-Erfahrungen im Frühling 2021. Mitte 2022 beschaffte er dann eine Plattform für Bug-Bounty-Programme und führt diese seither regelmässig durch.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
LZFcCiH3