Bis zu 10'000 Franken Belohnung

Die Post lanciert öffentliches Bug-Bounty-Programm

Uhr
von René Jaun und lha

Die Schweizerische Post baut ihr Bug-Bounty-Programm aus. Während das Unternehmen bislang gezielt ethische Hacker einlud, kann sich jetzt jeder und jede an der Suche nach Schwachstellen beteiligen. Für gefundene Sicherheitslücken zahlt die Post bis zu 10'000 Franken.

(Source: REDPIXEL.PL / Shutterstock.com)
(Source: REDPIXEL.PL / Shutterstock.com)

Ethische Hacker aus der ganzen Welt dürfen künftig Applikationen der Schweizerischen Post auf Sicherheitslücken abklopfen. Wie die Post mitteilt, lanciert sie ein öffentliches Bug-Bounty-Programm auf der Hacker-Plattform "Yeswehack", und jeder oder jede, der oder die dort registriert ist, kann sich an der Schwachstellensuche beteiligen. Bislang hatte die Post jeweils gezielt Hackerinnen und Hacker für die Tests eingeladen.

Belohnungen bis zu 10'000 Franken

Laut der Mitteilung sind zunächst folgende Applikationen und Dienste für die öffentliche Bug-Jagd freigegeben: das Kundenlogin der Post, der Postshop, die Post-App, der Bike Sharing Dienst Publibike sowie andere Onlinedienste wie Webstamp, Meine Sendungen, Adressverwaltungen, Empfängerleistungen und der Bezahlservice Billing Online. Man sei laufend dabei, weitere Dienste ins Bug-Bounty-Programm aufzunehmen.

Wer eine Schwachstelle findet, wird je nach Kritikalität der gefundenen Lücke belohnt. Die Beträge variierten zwischen 50 und 10'000 Franken, schreibt die Post und merkt an, dass sie im Rahmen von Bug-Bounty-Programmen bislang rund 250'000 Franken ausbezahlt habe, aufgeteilt auf 500 gefundene Schwachstellen.

Auf "Yeswehack" kann man ganz legal die Post hacken. (Source: Screenshot https://yeswehack.com/programs/swiss-post)

Erste Versuche im Jahr 2019

Bug-Bounty-Programme sind also nichts Neues bei der Post. Erstmals lancierte das Unternehmen im Frühling 2019 einen öffentlichen Intrusionstest seines E-Voting-Systems. Dabei fanden Forschende mehrere kritische Sicherheitslücken, und die Post stellte wenig später ihr damaliges E-Voting-System ein.

Das Beispiel zeige, dass Bug-Bounty-Programme funktionieren, führt Sandro Nafzger, Leiter Bug-Bounty bei der Post, in einem Blogbeitrag aus. In der Folge sei die Frage aufgekommen, ob die Zusammenarbeit mit einer globalen Community von IT-Sicherheitsexperten nicht auch für die Post als Ganzes sinnvoll wäre. Schon im Oktober 2019 führte das Unternehmen einen "Proof-of-Concept" durch, zu welchem fünf ethische Hacker eingeladen wurden. Binnen einer Stunde sei die erste kritische Schwachstelle gemeldet worden, schreibt Nafzger und fasst zusammen: "Die Frage, ob es Bug Bounty wirklich braucht, hatte sich also innerhalb von wenigen Stunden erledigt."

Bug-Bounties sind im Trend

Inzwischen durchlaufen die Post-Dienste ein dreistufiges Bug-Bounty-System, von der die öffentliche Ausschreibung auf "Yeswehack" die höchste darstellt, schreibt Nafzger weiter. Auf der Plattform seien rund 23'000 Hackerinnen und Hacker registriert. Doch nicht nur die Post setzt bei der Schwachstellensuche auf die Community. Auch der Bund experimentiert damit. Unlängst startete auch die TX Group ein Bug-Bounty-Programm für die Onlinezeitung "20 Minuten".

Warum gemäss Sandro Nafzger die Digitalisierung ohne Bug-Bounty-Programme nicht möglich ist, lesen Sie im Interview. Und wie sich Bug-Bounty-Programme im europäischen Markt entwickeln, lesen Sie in den Zahlen von Yeswehack.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_213823