Bug-Bounty-Programm 10.07.2020, 11:36 Uhr

Die Post lädt ethische Hacker zu sich ein

Die Post ist ein beliebtes Angriffsziel für Hacker. Um ihre Systeme besser zu schützen, hat der Gelbe Riese nun ein Bug-Bounty-Programm aufgegleist. In einer ersten Phase wurden so 50 kritische Schwachstellen entdeckt, bevor Cyberkriminelle diese ausnützen konnten.
Post-CISO Marcel Zumbühl will, dass ethische Hacker die Systeme des Gelben Riesen angreifen
(Quelle: pd)
Künftig sollen auch ethische Hacker ausgewählte Anwendungen der Schweizerischen Post bewusst angreifen und so Schwachstellen aufdecken. Dies zumindest erhofft sich Marcel Zumbühl, der als Chief Information Security Officer (CISO) für die Cybersecurity des Gelben Riesen zuständig ist. Dabei kann er bereits erste Erfolge feiern, wie er in einem Hintergrundgespräch mit der Presse erklärte.
Das Bug-Bounty-Programm der Post, das bereits 2019 in einer Proof-of-Concept-Phase getestet und ab Mai 2020 offiziell gestartet ist, habe bereits 50 Schwachstellen in den Systemen und Online-Diensten der Post zu Tage gefördert, so Zumbühl. Durch das gezielte Hackenlassen wurden sie entdeckt und konnten gefixt werden, bevor Cyberkriminelle von ihnen Kenntnis erhalten hätten.
Derzeit hat die Post 50 externe IT-Security-Forscher für das Bug-Bounty-Programm akkreditieren können, die derzeit hauptsächlich den Online-Shop der Post und das Kunden-Login attackieren. Ende Jahr will Zumbühl sogar 250 ethische Hacker verpflichtet haben und diese für gefundene Schwachstellen bezahlen.
In Zukunft sei auch ein öffentliches Bug-Bounty-Programm geplant, so der Post-CISO. Derzeit setzt man noch auf ein privates Verfahren. Ethische Hacker können sich bei der Post melden und werden «gescreent», um dann ans Werk gehen zu können.
Mit dem Vorgehen beschreitet die Post relativ frisches Terrain. «Wir sind wohl fast die einzige Firma in der Schweiz, die auf Bug Bounty zur zusätzlichen Absicherung setzt», erklärt er.



Kommentare
Avatar
karnickel
11.07.2020
Hmmm, dieser rechtliche Rahmen würde mich interessieren. Gibt es den schon? Kann mir jemand den Paragraphen nennen und wann dieser in Kraft getreten ist? Ausserdem würde mich die finanzielle Sicht der Dinge interessieren. Kann man als Firma wirklich international eine Straftat gegen Geld ausschreiben? Und das in Zeiten, in denen Grossfirmen Grosskunden Schreiben zukommen lassen, um sie über Geldwäsche zu informieren. Diese White Hat Hacker begehen nach meinem bisherigen Rechtsverständnis noch immer eine Straftat nach Art. 143bis StGB, auch wenn man sie im Ausland wohl eher nicht verfolgen wird. Je nach Ausmass des Schadens können Meldepflichten bestehen und Behörden von Amtes wegen aktiv werden. - Okay, normalerweise geht ja nichts Grosses kaputt und was von den Firmen nicht gemeldet wird ist wohl auch nicht meldewürdig.