Post fordert zum Hacken auf

Zwischen 50 und 10.000 Franken zahlt die schweizerische Post jedem, dem es gelingt, eine Schwachstelle im IT-System der Brief- und Post-Dienstleister aufzudecken, und der dies an die zuständigen Stellen meldet. Problem war erst mal, dass das Hacken eine Straftat ist. Es musste ein gesetzlicher Rahmen her.

Im Mai 2020 startete die Post als eines der ersten Schweizer Unternehmen mit einem sogenannten «Bug-Bounty»-Programm: Ein Programm, bei dem Hacker eingeladen werden bestimmte IT-Systeme auf Sicherheitslücken zu überprüfen. Ziel der Post ist es, die Sicherheit ihrer digitalen Dienstleistungen verbessern. Dabei suchen wohlgesinnte Hacker, auch «Hunter» genannt, auf Einladung nach Sicherheitslücken. Für jede gefundene Schwachstelle erhalten sie eine Entschädigung. Marcel Zumbühl, IT-Sicherheits-Chef der Post ist überzeugt, dass das Bug-Bounty-Programm bestehende Sicherheitstests optimal ergänzt: «Sicherheit ist ein Prozess, kein Zustand. Dank dem Bug-Bounty-Programm können wir unsere Informationssicherheit stärken. Zudem können wir das kollektive Wissen der internationalen Hacker-Community nutzen, um unsere Sicherheitsprozesse weiter zu verbessern».

Bilder: Post CH

Entdeckt ein Hacker eine Schwachstelle, leitet die Post Massnahmen ein, um die Sicherheitslücke zu schliessen. Auch prüfen die Spezialisten seitens Post, ob die gemeldete Schwachstelle mögliche Auswirkungen auf andere Anwendungen hat. «Seit Start des Programms haben wir bereits 500 Schwachstellen gefunden und rund 250000 Franken an Belohnungen ausbezahlt», so Zumbühl. «Nur aus Fehlern kann man lernen und sich in der Folge verbessern».

Allerdings geht die Post jetzt noch einen Schritt weiter. Bisher hatte sie ausschliesslich ein privates Programm betrieben. Das heisst, Hacker durften nur auf Einladung nach Schwachstellen suchen – denn nur diese hatten auch Zugang zum Bug-Bounty-Programm. Neu hat jeder registrierte Hacker oder Hackerin die Möglichkeit, über eine Bug-Bounty-Plattform namens «YesWeHack» nach Schwachstellen zu suchen.

www.post.ch / post.ch/bug-bounty

Silvana Grellmann