Hacker entdecken Schwachstellen in zentralem System des Bundes

Die externen Hacker haben im Auftrag vom Bund eine Sicherheitsprüfung durchgeführt. Dabei haben sie 14 Lücken im Zugriffs- und Berechtigungssystem gefunden.

Die externen Hacker erhielten für ihren Fund einen Lohn. (Symbolbild) - AFP

Das Wichtigste in Kürze

  • Sämtliche Lücken seien laut Bund umgehend analysiert und bearbeitet worden.
  • Die sogenannten «ethischen Hacker» erhielten für den Fund eine Belohnung von 5700 Franken.

Im zentralen Zugriffs- und Berechtigungssystem der Bundesverwaltung haben externe Hacker bei einer vom Bund in Auftrag gegebenen Sicherheitsprüfung 14 Lücken entdeckt. Eine Schwachstelle wurde als von hoher Relevanz eingestuft, neun als von mittlerer Bedeutung und bei vier war die Bedeutung tief.

Wie die Bundeskanzlei am Dienstag mitteilte, sind sämtliche Lücken umgehend analysiert und bearbeitet worden. Die sogenannten «ethischen Hacker» erhielten für den Fund der vierzehn Schwachstellen eine Belohnung von 5700 Franken.

Beim zentralen Zugriff- und Berechtigungsprogramm der Bundesverwaltung (elAM) handelt es sich laut der Mitteilung um die zentrale Login-Infrastruktur des Bundes. Der Service wird von über tausend Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550'000 Anmeldungen pro Tag.

Externe Hacker führen Bug-Bounty-Programm durch

Bei der Überprüfung des eIAM handelt es sich um die erste Anwendung des Bundes, welches von externen Hackern im Rahmen eines sogenannten Bug-Bounty-Programms geprüft wurde. 32 Hacker beteiligten sich an der Überprüfung des eIAM-Systems, die rund anderthalb Monate lang dauerte.

Im vergangenen Jahr hatte der Bund bereits IT-Systeme des Aussendepartements und der Parlamentsdienste auf diese Weise unter die Lupe nehmen lassen. Damals entdeckten die Hacker eine Lücke, welche als «kritisch» eingeschätzt wurde.

Der Bund will weitere Systeme nach dieser Methode überprüfen lassen und hat im August 2022 eine Plattform für Bug-Bounty-Programme beschafft.