Zum Inhalt springen

Header

Video
Ethische Hacker suchen nach Schwachstellen
Aus Tagesschau vom 23.05.2021.
abspielen
Inhalt

Schwachstelle Informatik So spüren Hacker Sicherheitslücken beim Bund auf

Im Auftrag des Bundes suchen Computer-Hacker Fehler in Informatik-Systemen. SRF hat ihnen über die Schulter geschaut.

Eine Recherche der «Rundschau» hat Schwachstellen in der Informatik-Sicherheit des Rüstungskonzerns Ruag aufgezeigt. Auch Betriebe des Bundes sind Angriffen von Computer-Hackern ausgeliefert. Genau solche Schwachstellen versuchte ein gutes Dutzend Hacker während zwei Wochen ausfindig zu machen.

Diese Computerspezialisten haben aber nicht kriminell, sondern im Auftrag des Bundes gehandelt – und auch erfolgreich Fehler in einigen Computer-Systemen gefunden.

Raphael Arrouas, ein ethischer Hacker, hat einen kritischen Fehler in einem IT-System der Bundesverwaltung gefunden: «Man hätte mit der Schwachstelle, die ich gefunden habe, die Kontrolle über den Server übernehmen und so einigen Schaden anzurichten können.»

Für jede gefundene Schwachstelle gibt es eine Belohnung. «Generell werden kritische Schwachstellen besser entschädigt als die kleinen. Ich habe hier in diesem Fall 5000 Franken verdient», sagt Arrouas.

Video
Raphael Arrouas: «Man hätte die Kontrolle über den Server übernehmen können»
Aus Tagesschau vom 23.05.2021.
abspielen

Das Unternehmen Bug Bounty Switzerland lädt ausgewählte Hacker ein, die nach Fehlern in den Informatik-Systemen des Auftraggebers suchen. Bis zu 10'000 Franken pro Fehler können ethische Hacker in der Schweiz dabei verdienen.

Sehr gute Erfahrungen beim Bund

Beim aktuellen Untersuchungsprojekt hatten die Hacker neun Fehler in sechs unterschiedlichen IT-Systemen des Bundes gefunden: Projektleiter Pascal Lamia, Leiter Operative Cybersicherheit beim Bund, ist zufrieden.

«Man bekommt ein Feedback von den Hackern: Da ist eine Lücke. Wir haben das angeschaut und die Verantwortlichen haben das direkt geflickt, so schnell wie möglich und haben nicht gewartet. Dann gaben wir das an die Hacker zurück, die haben nochmals geschaut und die Lücke war dann wirklich geschlossen. Wir haben damit sehr, sehr gute Erfahrungen gemacht.»

Auch KMU sind gefährdet

Pascal Lamia vom Nationalen Zentrum für Cybersicherheit (NCSC, Link öffnet in einem neuen Fenster) möchte mit dem Projekt des Bundes auch Vorbild sein für kleine und mittlere Unternehmen (KMU). Denn vor allem diese werden in der Schweiz häufig angegriffen. Viele schützten sich oft auch gar nicht gegen solche Angriffe.

Aber auch grosse Konzerne weisen oft Mängel bei der Informatik-Infrastruktur auf. Dies zeigt der Fall Ruag, wo laut der «Rundschau» unzählige unbeaufsichtigten Servern grosse Sicherheitslücken aufweisen.

Tagesschau, 23.05.2021, 13:00 Uhr;

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel

Nach links scrollen Nach rechts scrollen

18 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Aktuell sind keine Kommentare unter diesem Artikel mehr möglich.

  • Kommentar von Alex Volkart  (Lex18)
    Das Internet ist Segen und Fluch zugleich. Vielleicht sollte man neben einem guten Internetschutz sich auch überlegen ob wirklich alles mit dem Internet verbunden sein muss sowie immer zu Verfügung sein muss. Ein Arbeitskollege, ein ehemaliger Informatiker, sagte einmal die beste Sicherheit für ein Gerät ist es so selten wie möglich mit dem Internet verbunden zu sein.
  • Kommentar von René Baron  (René Baron)
    Ein Hauptproblem der Sicherheit ist, dass man heute nur noch lernt Systeme zu testen und zu flicken aber niemand mehr die Grundlagen kennt, wie man von Grund auf sichere Systeme baut und das auch tut!
    Sicherheitsprobleme sind - nebst organisatorischen Herausforderungen - vor allem (Aus-)Bilungsprobleme, bei denen insbesondere Fachhochschulen mal über die Bücher und sich fragen müssten, ob sie lehren wie man sichere Systeme baut oder nur wie man unsichere Systeme verwaltet und riskmanaged!
  • Kommentar von Urs Ziegler  (Urs Ziegler)
    Was tut eigentlich die Cyber-Truppe beim Bund? Wenn man schon eine solche Truppe hat, dann sollte man sie auch einsetzen. Penetrationtests in bundesnahe Betriebe und besonders kritische Infrastrukturen sollte doch zu deren Kernaufgaben gehören.
    1. Antwort von René Baron  (René Baron)
      Zur Kernaufgabe sollte es gehören, eine Infrastruktur so bereitzustellen, dass sie mit mathematischer Präzision jegliche Intrusion ausschließen können und damit Penetrationstest überflüssig machen.
      Die aktuellen Sicherheitsprobleme haben wir nur deshalb, weil man in der Vergangenheit gebastelt statt Informatik von der Pieke auf studiert hatte (Verifikation von Invarianten - anyone)?
      Ok, früher hatten wir noch mit instabilen System zu kämpfen. Heute ist das kaum mehr Thema!