Bekannterweise hat
Die Post mit Bug Bounty Post ein eigenes Bug Bounty Programm, im Rahmen dessen Whitehat-Hacker die Plattformen der Post auf Fehler durchsuchen und dafür Prämien erhalten können. Besondere Beachtung hat das Programm etwa im Rahmen der Durchleuchtung des E-Voting-Systems der Post gefunden. Der öffentliche Test des E-Voting-Systems bezeichnete denn auch den Start der Bug-Bounty-Bemühungen des gelben Riesen. In der Zwischenzeit wurde eine neue Stufe erreicht: Die Post hat alle digitalen Services ins Programm überführt, inklusive Zugriff auf den Quellcode.
Nun zieht man eine erste Zwischenbilanz. Stand Juli 2025 wurden total 2968 Lücken gemeldet, davon 896 bestätigt (44 kritisch, 159 ernsthaft) und 590 behoben. Die Prämien, die die Post fürs Auffinden der Sicherheitslücken ausgezahlt hat, betragen gesamthaft 999'226 Franken. Die höchste je ausbezahlte Prämie liegt bei 40'000 Franken.
Der Schritt, alle Services inklusive Quellcode offenzulegen, habe Mut verlangt, so Post-CISO Marcel Zumbühl, aber: "das Wagnis hat sich mehr als gelohnt." Dass sich die Zahl der gemeldeten Schwachstellen erhöht habe, sei dabei kein Problem, sondern ein Zeichen funktionierender Sicherheitskultur.
Hier geht’s zum Portal des Bug Bounty Programms. Stand heute sind bereits mehr als 10'000 Teilnehmende registriert.
(win)
