Externe Hacker haben 14 Fehler im zentralen Zugriffssystem eIAM des Bundes aufgedeckt. Die Sicherheitsprüfung erfolgte im Rahmen eines von der Bundesverwaltung in Auftrag gegebenen «Bug Bounty»-Programmes vom 30. August bis zum 11. Oktober.
Von den festgestellten Schwachstellen sei eine als von hoher Relevanz und neun als von mittlerer Bedeutung eingestuft worden, schreibt der Bund in einer Mitteilung. Eine tiefe Bedeutung hatten vier der Schwachstellen und kritische Sicherheitslücken fanden die ethischen Hacker keine. "Die Schwachstelle mit Kritikalität 'hoch' konnte während des Programms geschlossen werden. Die anderen Schwachstellen fliessen in die Planung der nächsten Releases ein", heisst es im Bericht zum Programm. Insgesamt nahmen 32 Hacker an dem Bug Bounty-Programm teil, als Belohnung für die bestätigten Schwachstellen erhielten sie insgesamt 5’700 CHF.
Beim zentralen Zugriff- und Berechtigungsprogramm der Bundesverwaltung (elAM) handelt es sich laut der Mitteilung um die zentrale Login-Infrastruktur des Bundes. Der Service wird von über tausend Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550'000 Anmeldungen pro Tag, daher ist die Sicherheit dieser Infrastruktur für den Bund bedeutend.
Der Bund plant weitere Bug Bounty-Programme
Bug Bounty-Programme dienen ergänzend zu anderen Sicherheitsmassahmen dazu, allfällige Verwundbarkeiten in IT-Systemen und in Anwendungen in Zusammenarbeit mit sogenannten ethischen Hackern zu identifizieren, zu dokumentieren und zu beheben, so die Mitteilung weiter. Ethische Hacker verpflichten sich, im Gegensatz zu kriminell motivierten Hackern, sich an rechtliche Vorgaben zu halten und handeln im Einverständnis der Betroffenen.
Bei der Überprüfung des eIAM handelt es sich um die erste Anwendung des Bundes, welche von externen Hackern im Rahmen eines sogenannten Bug-Bounty-Programms geprüft wurde. Zuvor hatte das Nationale Zentrum für Cybersicherheit (NCSC) im vergangenen Jahr ein Pilotprojekt durchgeführt. Um weitere Systeme nach dieser Methode überprüfen zu lassen hat der Bund im August 2022 eine Plattform für Bug-Bounty-Programme beschafft.
Antivirenprogramme schützen vor Sicherheitslücken
Bug Bounty-Programme sind längst nicht für alle Unternehmen und Organisationen erschwinglich und Sicherheitslücken bleiben häufig unentdeckt. Schutz vor ungebetenen Gästen bzw. böswilligen Nutzenden bieten Virenschutzprogramme. Derartige Software ist relativ kostengünstig und lässt sich einfach einsetzen.
Cyberangriffe erfolgen häufig über E-Mail. Eine effektive Antiviren-Software, wie Bitdefender, blockiert E-Mails von verdächtigen Absendern und verhindert dadurch, das sie Schaden anrichten. Die Gefahr, die von allfälligen Sicherheitslücken ausgeht, wird dadurch weitgehend entschärft.