Bericht des Bundesrats

Wie der Bund ethisches Hacking fördern will

Uhr
von Maximilian Schenner und jor

Der Bundesrat führt in einem neuen Bericht Massnahmen auf, um ethisches Hacking zu fördern. Diese betreffen unter anderem die Meldung von Schwachstellen, Hackathons und Bug-Bounty-Programme. Der Bericht folgt auf ein entsprechendes Postulat aus dem Jahr 2020.

(Source: Beatrice Devenes)
(Source: Beatrice Devenes)

Der Bundesrat hat in einem Bericht dargelegt, wie er ethisches Hacking fördern will respektive dies bereits tut. Der Bericht geht aus der Sitzung am 29. November 2023 hervor und folgt auf ein entsprechendes Postulat von GLP-Politikerin Judith Bellaiche aus dem Jahr 2020.

Meldestellen, Hackathons und Bug-Bounty-Programme

Der Bundesrat spricht im Bericht von mehreren Massnahmen zur Förderung des ethischen Hackings. Eine davon ist die Meldung von Schwachstellen. So wurde das NCSC im März 2021 als Anlaufstelle für die Offenlegung von Schwachstellen positioniert. Auf den Internetseiten der Bundesverwaltung gilt der security.txt-Standard, der einen für die Cybersicherheit zuständigen Kontakt beinhalten muss. Personen, die auf Sicherheitslücken aufmerksam werden, könnten damit einsehen, an wen sie sich wenden können. Schwachstellen könnten auch andere Stellen der Bundesverwaltung gemeldet werden - grundsätzlich immer an jene, die betroffen sind, wie es im Bericht heisst. Datenschutzverletzungen könnten auch direkt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Dies sei jedoch nicht obligatorisch, betonte der EDÖB bereits in einem Merkblatt vom Juni 2023. Darin definiert er auch die datenschutzrechtlichen Vorgaben für das ethische Hacking.

Zudem führte der Bund auch einzelne öffentliche Sicherheitstests durch, wie der Bundesrat berichtet. Er nennt etwa die Tests des Covid-Zertifikats vor dessen Einführung im Jahr 2021. Später folgte ein öffentlicher Sicherheitstest zum "SwissCovid Proximity Tracing System" für die SwissCovid-App.

Weiter nennt der Bundesrat die Hackathons des Cyber Defence Campus der Armasuisse sowie das Bug-Bounty-Programm des NCSC für die Bundesverwaltung. Dabei gilt, dass das NCSC bzw. ab 2024 das Bundesamt für Cybersicherheit im Einvernehmen mit den betroffenen Stellen nach Schwachstellen suchen darf. Es ist explizit erlaubt, dass dafür Dritte beauftragt werden, wie es im Bericht weiter heisst.

Der volle Bericht des Bundesrats zur Förderung von ethischem Hacking ist hier abrufbar.

Übrigens: Wann ethisches Hacking straffrei ist und wann nicht, erklärte das NTC im Sommer 2023 in einem Rechtsgutachten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
vyBc5p2T