- Im zentralen Zugriffs- und Berechtigungssystem der Bundesverwaltung haben externe Hacker Schwachstellen gefunden.
- Bei der vom Bund in Auftrag gegebenen Sicherheitsprüfung wurden insgesamt 14 Lücken aufgespürt.
- Eine dieser Schwachstellen wurde als von hoher Relevanz eingestuft.
Neun Schwachstellen wurden als von mittlerer Bedeutung eingeordnet. Bei vier weiteren Schwachstellen war die Bedeutung tief.
550'000 Logins pro Tag
Wie die Bundeskanzlei mitteilte, sind sämtliche Lücken umgehend analysiert und bearbeitet worden. Die sogenannten «ethischen Hacker» erhielten für den Fund der vierzehn Schwachstellen eine Belohnung von 5700 Franken.
Beim zentralen Zugriff- und Berechtigungsprogramm der Bundesverwaltung (elAM) handelt es sich laut der Mitteilung um die zentrale Login-Infrastruktur des Bundes. Der Service wird von über tausend Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550'000 Anmeldungen pro Tag.
32 Hacker waren am Test beteiligt – rund anderthalb Monate lang. Der Bund will weiterhin Systeme nach dieser Methode überprüfen lassen und hat sich dafür im August 2022 eine Plattform für sogenannte Bug-Bounty-Programme beschafft.
Schon im vergangenen Jahr hatten 15 ethische Hacker zehn Sicherheitslücken in IT-Systemen des Aussendepartements (EDA) und der Parlamentsdienste ausfindig gemacht. Eine Lücke stellte sich als «kritisch» heraus, wie Keystone-sda damals berichtete.
Sämtliche Sicherheitslücken seien damals geschlossen sowie von Hackern verifiziert und bestätigt worden, versicherte das Eidgenössische Finanzdepartement (EFD) am 01. Juli 2021.
