Im zentralen Zugriffs- und Berechtigungssystem der Bundesverwaltung haben externe Hacker bei einer vom Bund in Auftrag gegebenen Sicherheitsprüfung 14 Lücken entdeckt. Eine Schwachstelle wurde als von hoher Relevanz eingestuft, neun als von mittlerer Bedeutung und bei vier war die Bedeutung tief.
Wie die Bundeskanzlei am Dienstag mitteilte, sind sämtliche Lücken umgehend analysiert und bearbeitet worden. Die sogenannten «ethischen Hacker» erhielten für den Fund der vierzehn Schwachstellen eine Belohnung von 5700 Franken.
Beim zentralen Zugriff- und Berechtigungsprogramm der Bundesverwaltung (elAM) handelt es sich laut der Mitteilung um die zentrale Login-Infrastruktur des Bundes. Der Service wird von über tausend Fachapplikationen verwendet. Über die eIAM-Infrastruktur erfolgen durchschnittlich 550’000 Anmeldungen pro Tag.
Weitere Systeme überprüfen
Bei der Überprüfung des eIAM handelt es sich um die erste Anwendung des Bundes, welches von externen Hackern im Rahmen eines sogenannten Bug-Bounty-Programms geprüft wurde. 32 Hacker beteiligten sich an der Überprüfung des eIAM-Systems, die rund anderthalb Monate lang dauerte.
Im vergangenen Jahr hatte der Bund bereits IT-Systeme des Aussendepartements und der Parlamentsdienste auf diese Weise unter die Lupe nehmen lassen. Damals entdeckten die Hacker eine Lücke, welche als «kritisch» eingeschätzt wurde.
Der Bund will weitere Systeme nach dieser Methode überprüfen lassen und hat im August 2022 eine Plattform für Bug-Bounty-Programme beschafft.
Kommentar (0)
Schreiben Sie einen Kommentar. Stornieren.
Ihre E-Mail Adresse wird nicht veröffentlicht. Die Pflichtfelder sind mit * markiert.