Veröffentlicht am 23. Januar 2026

Sicherheit & Qualität

Sicherheit

Ein Anmeldesystem wie AGOV ist sicher, wenn niemand unbefugt in das System eindringen kann und die Anmeldevorgänge nicht gefälscht werden können. Es geht also darum, dass Ihre Daten sicher sind und sich niemand über das AGOV-Login als Sie ausgeben kann.

Die hohe Sicherheit von AGOV wird durch folgende Massnahmen erreicht:

  • In AGOV werden nur starke Loginfaktoren verwendet, die fälschungssicher sind.
  • AGOV wird in gesicherten Rechenzentren in der Schweiz betrieben, die sich entweder im Eigentum von Unternehmen mit Sitz und Mehrheitsinhaberschaft in der Schweiz oder im Eigentum der Schweizerischen Eidgenossenschaft befinden.
  • Mobiltelefone* sowie Sicherheitsschlüssel, die unzureichend geschützt oder nicht ausreichend zertifiziert sind, sind für die Verwendung als AGOV-Loginfaktor gesperrt.
  • AGOV wurde von Schweizer Sicherheitsexperten entwickelt, die sich auf die Fehlerfreiheit und Robustheit ihres Programmcodes spezialisiert haben.
  • Die Sicherheit von AGOV wird mittels Bug Bounty und Penetration Testing überprüft. Die Prüfmethoden sind nachfolgend beschrieben.

*Hardware ohne Sicherheitselemente, veraltetes Betriebssystem, veraltete Hardware, manipuliertes Betriebssystem (Rooting/Jailbreak, Emulatoren)

Auch Sie selbst sind Teil Ihrer AGOV-Sicherheit: 

  • Stellen Sie sicher, dass nur Sie Ihre Zugangsdaten verwenden können.
  • Gleiches gilt für Ihre Geräte. Schützen Sie den Zugang zu diesen und halten Sie sie aktuell.
  • Scannen Sie den AGOV-Login-QR-Code ausschliesslich auf der originalen AGOV-Login-Seite. Weitere Informationen hierzu finden Sie unter agov.ch/qr.

Qualität

Die Qualität des Produkts AGOV sowie der Verwaltungsprozesse rund um AGOV wird durch eine klare Aufgaben- und Rollenverteilung zwischen steuernden, beratenden, überprüfenden und aufsichtlichen Stellen sichergestellt, schematisch:

Steuerung → Mitwirkung → rechtlicher Rahmen → Qualitätsprüfung → Aufsicht

Bundeskanzlei
Die Bundeskanzlei (BK DTI) steuert und führt AGOV gesamtheitlich. Sie vergibt die Aufträge für das Produkt AGOV (Architektur, Entwicklung, Betrieb, Wartung und Qualitätssicherung) und definiert die Verwaltungsprozesse rund um AGOV. Zudem ist sie für die übergeordnete Governance sowie die Koordination der beteiligten Akteure verantwortlich.

AGOV Steering Committee (ASC) und Führungsausschuss Standarddienste (FSD)
Für die Digitale Verwaltung Schweiz (DVS) führt die Bundeskanzlei (BK DTI) das AGOV Steering Committee (ASC), in welchem die AGOV-einsetzenden Behörden vertreten sind. Das ASC stellt sicher, dass AGOV die heutigen und zukünftigen Anforderungen der Schweizer Behörden erfüllt. Da AGOV in der Bundesverwaltung zu den IKT-Standarddiensten gehört, werden bundesspezifische Anforderungen an AGOV zusätzlich im Führungsausschuss Standarddienste (FSD) gemäss W008 behandelt.

Bundesamt für Justiz (BJ)
Das Bundesamt für Justiz (BJ) nimmt im Zusammenhang mit AGOV eine rechtlich-normative Rolle wahr, insbesondere mit den Erlassen RVOG mit der IAMV und EMBAG mit der EMBAV sowie BGEID mit der VEID (🔍) und weiteren anwendbaren Erlassen.

AGOV Compliance Audit Body (ACA)
Die AGOV Compliance Audit Body (ACA) ist eine externe, unabhängige Stelle, die von der Bundeskanzlei beauftragt wird, die Qualität der Verwaltungsprozesse rund um AGOV ab 2026 jährlich zu auditieren. Die Ergebnisse der Prüfungen werden in einem Prüfbericht dokumentiert und publiziert.

Eidgenössische Finanzkontrolle (EFK)
Die Eidgenössische Finanzkontrolle (EFK) beaufsichtigt die Bundesverwaltung, einschliesslich der Informatik der Bundesverwaltung und damit auch AGOV, im Rahmen ihres gesetzlichen Auftrags.

Bug-Bounty-Programm

Was ist ein Bug-Bounty-Programm?
Der Begriff setzt sich aus Bug (Fehler) und Bounty (Prämie) zusammen. Bei solchen Programmen werden ethische Hacker beauftragt, IT-Systeme auf Verwundbarkeiten zu prüfen und diese zu dokumentieren. Bei Entdeckung erhalten sie eine Prämie. Ethische Hacker finden oft Schwachstellen, die klassische Penetrationstests oder Security-Reviews übersehen.

Was ist das AGOV-Bug-Bounty-Programm?
Das AGOV-Programm läuft im Rahmen des Bundesprogramms, verantwortet durch das Bundesamt für Cybersicherheit (BACS) und betrieben von Bug Bounty Switzerland AG. Ab dem 8. Dezember 2025 wird das Programm öffentlich: Alle interessierten Sicherheitsforscherinnen und Sicherheitsforscher können sich auf der vom Bundesamt für Cybersicherheit (BACS) betriebenen Bug-Bounty-Plattform registrieren und teilnehmen.

Mehr Details und Registration: bugbounty.ch/agov
Release Notes AGOV: agov.ch/rn

Wie kann eine Schwachstelle gemeldet werden ohne eine Registrierung?
Bitte die Instruktionen «Melden einer Schwachstelle» beachten: Melden einer Schwachstelle

Penetrationstest

Symbolbild für Penetration Test: Eine Person bearbeitet eine Tür mit einem Vorschlaghammer.
Was ist ein Penetrationstest?
Beim sogenannten «Penetration Testing» (kurz: Pentest); wird untersucht, ob ein Computersystem sicher ist. Die Sicherheit ist gegeben, wenn nur berechtigte Personen oder Drittsysteme die autorisierten Daten verarbeiten können. Für einen Penetrationstest werden Fachpersonen beauftragt, die mit Informationen zur Architektur und zur Codierung des Systems ausgestattet werden. Diese Fachpersonen überprüfen, ob das System unberechtigte Zugriffe zuverlässig verhindert, indem sie versuchen, mit den neuesten Tools, die auch potenziellen Angreifern zur Verfügung stehen, Zugriff zu erlangen.

Welche Penetrationstests werden bei AGOV durchgeführt?
Die Bundeskanzlei, Bereich Digitale Transformation und IKT-Lenkung, hat das Bundesamt für Rüstung (armasuisse) beauftragt, AGOV einem Penetrationstest zu unterziehen. Die Behebung allfälliger Schwachstellen beauftragt die Bundeskanzlei beim Bundesamt für Informatik und Telekommunikation. Werden bei AGOV neue Funktionen eingeführt, wird das Penetration Testing - erweitert auf die neuen Funktionen - erneut durchgeführt.