Im Auftrag des Bundes suchen Computer-Hacker Fehler in Informatik-Systemen. SRF hat ihnen über die Schulter geschaut.

Eine Recherche der «Rundschau» hat Schwachstellen in der Informatik-Sicherheit des Rüstungskonzerns Ruag aufgezeigt. Auch Betriebe des Bundes sind Angriffen von Computer-Hackern ausgeliefert. Genau solche Schwachstellen versuchte ein gutes Dutzend Hacker während zwei Wochen ausfindig zu machen.

Diese Computerspezialisten haben aber nicht kriminell, sondern im Auftrag des Bundes gehandelt – und auch erfolgreich Fehler in einigen Computer-Systemen gefunden.

Raphael Arrouas, ein ethischer Hacker, hat einen kritischen Fehler in einem IT-System der Bundesverwaltung gefunden: «Man hätte mit der Schwachstelle, die ich gefunden habe, die Kontrolle über den Server übernehmen und so einigen Schaden anzurichten können.»

Für jede gefundene Schwachstelle gibt es eine Belohnung. «Generell werden kritische Schwachstellen besser entschädigt als die kleinen. Ich habe hier in diesem Fall Franken verdient», sagt Arrouas.

Das Unternehmen Bug Bounty Switzerland lädt ausgewählte Hacker ein, die nach Fehlern in den Informatik-Systemen des Auftraggebers suchen. Bis zu Franken pro Fehler können ethische Hacker in der Schweiz dabei verdienen.

Beim aktuellen Untersuchungsprojekt hatten die Hacker neun Fehler in sechs unterschiedlichen IT-Systemen des Bundes gefunden: Projektleiter Pascal Lamia, Leiter Operative Cybersicherheit beim Bund, ist zufrieden.

«Man bekommt ein Feedback von den Hackern: Da ist eine Lücke. Wir haben das angeschaut und die Verantwortlichen haben das direkt geflickt, so schnell wie möglich und haben nicht gewartet. Dann gaben wir das an die Hacker zurück, die haben nochmals geschaut und die Lücke war dann wirklich geschlossen. Wir haben damit sehr, sehr gute Erfahrungen gemacht.»

Pascal Lamia vom Nationalen Zentrum für Cybersicherheit NCSC, Link öffnet in einem neuen Fenster möchte mit dem Projekt des Bundes auch Vorbild sein für kleine und mittlere Unternehmen KMU. Denn vor allem diese werden in der Schweiz häufig angegriffen. Viele schützten sich oft auch gar nicht gegen solche Angriffe.

Aber auch grosse Konzerne weisen oft Mängel bei der Informatik-Infrastruktur auf. Dies zeigt der Fall Ruag, wo laut der «Rundschau» unzählige unbeaufsichtigten Servern grosse Sicherheitslücken aufweisen.

Kategorien: Web-Security