Zum Inhalt springen
Video
Ethische Hacker suchen nach Schwachstellen
Aus Tagesschau vom 23.05.2021.
abspielen. Laufzeit 1 Minute 29 Sekunden.

Schwachstelle Informatik So spüren Hacker Sicherheitslücken beim Bund auf

Im Auftrag des Bundes suchen Computer-Hacker Fehler in Informatik-Systemen. SRF hat ihnen über die Schulter geschaut.

Eine Recherche der «Rundschau» hat Schwachstellen in der Informatik-Sicherheit des Rüstungskonzerns Ruag aufgezeigt. Auch Betriebe des Bundes sind Angriffen von Computer-Hackern ausgeliefert. Genau solche Schwachstellen versuchte ein gutes Dutzend Hacker während zwei Wochen ausfindig zu machen.

Diese Computerspezialisten haben aber nicht kriminell, sondern im Auftrag des Bundes gehandelt – und auch erfolgreich Fehler in einigen Computer-Systemen gefunden.

Raphael Arrouas, ein ethischer Hacker, hat einen kritischen Fehler in einem IT-System der Bundesverwaltung gefunden: «Man hätte mit der Schwachstelle, die ich gefunden habe, die Kontrolle über den Server übernehmen und so einigen Schaden anzurichten können.»

Für jede gefundene Schwachstelle gibt es eine Belohnung. «Generell werden kritische Schwachstellen besser entschädigt als die kleinen. Ich habe hier in diesem Fall 5000 Franken verdient», sagt Arrouas.

Video
Raphael Arrouas: «Man hätte die Kontrolle über den Server übernehmen können»
Aus Tagesschau vom 23.05.2021.
abspielen. Laufzeit 8 Sekunden.

Das Unternehmen Bug Bounty Switzerland lädt ausgewählte Hacker ein, die nach Fehlern in den Informatik-Systemen des Auftraggebers suchen. Bis zu 10'000 Franken pro Fehler können ethische Hacker in der Schweiz dabei verdienen.

Sehr gute Erfahrungen beim Bund

Beim aktuellen Untersuchungsprojekt hatten die Hacker neun Fehler in sechs unterschiedlichen IT-Systemen des Bundes gefunden: Projektleiter Pascal Lamia, Leiter Operative Cybersicherheit beim Bund, ist zufrieden.

«Man bekommt ein Feedback von den Hackern: Da ist eine Lücke. Wir haben das angeschaut und die Verantwortlichen haben das direkt geflickt, so schnell wie möglich und haben nicht gewartet. Dann gaben wir das an die Hacker zurück, die haben nochmals geschaut und die Lücke war dann wirklich geschlossen. Wir haben damit sehr, sehr gute Erfahrungen gemacht.»

Auch KMU sind gefährdet

Pascal Lamia vom Nationalen Zentrum für Cybersicherheit (NCSC) möchte mit dem Projekt des Bundes auch Vorbild sein für kleine und mittlere Unternehmen (KMU). Denn vor allem diese werden in der Schweiz häufig angegriffen. Viele schützten sich oft auch gar nicht gegen solche Angriffe.

Aber auch grosse Konzerne weisen oft Mängel bei der Informatik-Infrastruktur auf. Dies zeigt der Fall Ruag, wo laut der «Rundschau» unzählige unbeaufsichtigten Servern grosse Sicherheitslücken aufweisen.

Tagesschau, 23.05.2021, 13:00 Uhr ; 

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel