Mit Florian Schütz ist der Delegierte des Bundes für Cybersicherheit dem Advisory Board der Bug Bounty Switzerland beigetreten. Schütz steht dem Nationalen Zentrum für Cybersicherheit (NCSC) vor und ist verantwortlich für die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken. Das NCSC ist erste Anlaufstelle für Politik, Medien und Bevölkerung zu Fragen der Cybersicherheit.
Bug Bounty Switzerland ist im April 2020 mit dem Ziel gegründet worden, Bug-Bounty-Programme in der Schweiz zu etablieren. Ethische Hacker suchen im Rahmen eines solchen Programms im Auftrag von Schweizer Firmen nach Schwachstellen in deren produktiven Systemen und werden bei Erfolg belohnt.
Das Advisory Board (Beirat) von Bug Bounty Switzerland setzt sich somit aus folgenden Vertretern aus Wirtschaft und IT-Security zusammen:
· Florian Schütz: Delegierter des Bundes für Cybersicherheit und Leiter des Nationalen Zentrums für Cybersicherheit (NCSC)
· Marcel Zumbühl: CISO von Swiss Post Group und Co-Präsident des Fachverbandes für ICT-Sicherheit "Information Security Society Switzerland" (ISSS)
· Christian Folini: OWASP Projektleiter, Programmleiter der Swiss Cyber Storm Konferenz und Experte für Webserversicherheit bei der Netzwerk- und Security-Spezialistin Netnea
· Daniel Egli: Rechtsanwalt für Technologie- und Datenrecht bei der Schweizerischen Post
· Peter Lüssi: MAS ZFH in Digital Business und unabhängiger Verwaltungsrat, ehemaliger Partner PwC Schweiz bis 2019
· Catherine Chapman: Kanadische Journalistin und Security-Aktivistin mit Spezialisierung auf Datenschutz und ethisches Hacken
Das Engagement von Schütz bei Bug Bounty Switzerland erfolgt den Angaben zufolge in seiner Rolle als Leiter des NCSC. "Bug-Bounty-Programme sind wirksam und kosteneffizient und können so einen wichtigen Beitrag zur Sicherheit von Unternehmen und Infrastruktur hierzulande leisten", erklärt er. "Es liegt daher im strategischen Interesse der Schweiz, dass wir eine schweizerische Plattform unterstützen."
Interessant in diesem Zusammenhang ist auch das Postulat zu diesem Thema, das die Swico-Geschäftsführerin Judith Bellaïche am 17. Dezember beim Parlament eingereicht hat und das der Bundesrat vor einer Woche zur Prüfung angenommen hat. Nachfolgend der genaue Wortlaut des Drei-Punkte-Postulats von Bellaïche zur Institutionalisierung von Ethischem Hacking und zur Erhöhung der Cybersicherheit in der Schweiz:
Öffentliche Verwaltung und bundesnahe Betriebe sollen Offenlegungsrichtlinien, sogenannte Vulnerability Disclosure Guidelines, erarbeiten. Diese Richtlinien sollen einen klar geregelten Ablauf beim Auffinden einer Sicherheitslücke in einem Datenverarbeitungssystem vorsehen und eine koordinierte Offenlegung durch Dritte, sogenannte Coordinated Disclosure, sicherstellen.
Die Richtlinien legen insbesondere fest, welche Systeme überprüft werden dürfen, welche Tests dazu erlaubt sind und wohin eine Lücke gemeldet werden kann. Sie schaffen Rechtssicherheit für Ethische Hacker, indem sie den Verzicht auf Strafverfolgung regeln, sofern die Bedingungen der Richtlinien eingehalten worden sind.Die Betriebe sollen ihre Datenverarbeitungssysteme proaktiv im Rahmen von Bug Bounty Programmen auf Schwachstellen prüfen lassen. Davon ausgenommen sind klassifizierte Systeme. Da diese Programme in der Regel erfolgsbasiert prämiert werden, sollen die Budgets der Staats- und staatsnahen Betriebe entsprechen ausgestaltet werden dürfen.
Das National Cyber Security Center (NCSC) unterstützt diesen Prozess aktiv und begleitet die Umsetzung.
Der Online-Stellenmarkt für ICT Professionals