Sicherheit
Ein Anmeldesystem wie AGOV ist sicher, wenn niemand unbefugt in das System eindringen kann und die Anmeldevorgänge nicht gefälscht werden können. Es geht also darum, dass Ihre Daten sicher sind und sich niemand über das AGOV-Login als Sie ausgeben kann.
Die hohe Sicherheit von AGOV wird durch folgende Massnahmen erreicht:
- In AGOV werden nur starke Login-Faktoren verwendet, die fälschungssicher sind.
- AGOV wird in gesicherten Rechenzentren der Bundesverwaltung betrieben.
- Mobiltelefone* sowie Sicherheitsschlüssel, die unzureichend geschützt oder nicht ausreichend zertifiziert sind, sind für die Verwendung als AGOV-Login-Faktor gesperrt.
- AGOV wurde von Schweizer Sicherheitsexperten entwickelt, die sich auf die Fehlerfreiheit und Robustheit ihres Programmcodes spezialisiert haben.
- Die Sicherheit von AGOV wird mittels Bug Bounty und Penetration Testing überprüft. Die Prüfmethoden sind nachfolgend beschrieben.
*Hardware ohne Sicherheitselemente, veraltetes Betriebssystem, veraltete Hardware, manipuliertes Betriebssystem (Rooting/Jailbreak, Emulatoren)
Auch Sie selbst sind Teil Ihrer AGOV-Sicherheit:
- Stellen Sie sicher, dass nur Sie Ihre Zugangsdaten verwenden können.
- Gleiches gilt für den Wiederherstellungscode; bewahren Sie diesen an einem sicheren Ort auf.
- Scannen Sie den AGOV-Login-QR-Code ausschliesslich auf der originalen AGOV-Login-Seite. Weitere Informationen hierzu finden Sie unter agov.ch/qr.
Bug-Bounty-Programm
Was ist ein Bug-Bounty-Programm?
Der Begriff setzt sich aus Bug (Fehler) und Bounty (Prämie) zusammen. Solche Programme beauftragen ethische Hacker, IT-Systeme auf Verwundbarkeiten zu prüfen, diese zu dokumentieren und bei Entdeckung Prämien zu erhalten. Ethische Hacker finden oft Schwachstellen, die klassische Penetrationstests oder Security-Reviews übersehen.
Was ist das AGOV-Bug-Bounty-Programm?
Das AGOV-Programm läuft im Rahmen des Bundesprogramms, verantwortet durch das Bundesamt für Cybersicherheit (BACS) und betrieben von Bug Bounty Switzerland AG. Ab dem 8. Dezember 2025 wird das Programm öffentlich: Alle interessierten Sicherheitsforscherinnen und Sicherheitsforscher können sich auf der vom Bundesamt für Cybersicherheit (BACS) betriebenen Bug-Bounty-Plattform registrieren und teilnehmen.
Mehr Details und Registration: bugbounty.ch/agov
Release Notes AGOV: agov.ch/rn
Wie kann eine Schwachstelle gemeldet werden ohne eine Registrierung?
Bitte die Instruktionen «Melden einer Schwachstelle» beachten: Melden einer Schwachstelle
Der Begriff setzt sich aus Bug (Fehler) und Bounty (Prämie) zusammen. Solche Programme beauftragen ethische Hacker, IT-Systeme auf Verwundbarkeiten zu prüfen, diese zu dokumentieren und bei Entdeckung Prämien zu erhalten. Ethische Hacker finden oft Schwachstellen, die klassische Penetrationstests oder Security-Reviews übersehen.
Was ist das AGOV-Bug-Bounty-Programm?
Das AGOV-Programm läuft im Rahmen des Bundesprogramms, verantwortet durch das Bundesamt für Cybersicherheit (BACS) und betrieben von Bug Bounty Switzerland AG. Ab dem 8. Dezember 2025 wird das Programm öffentlich: Alle interessierten Sicherheitsforscherinnen und Sicherheitsforscher können sich auf der vom Bundesamt für Cybersicherheit (BACS) betriebenen Bug-Bounty-Plattform registrieren und teilnehmen.
Mehr Details und Registration: bugbounty.ch/agov
Release Notes AGOV: agov.ch/rn
Wie kann eine Schwachstelle gemeldet werden ohne eine Registrierung?
Bitte die Instruktionen «Melden einer Schwachstelle» beachten: Melden einer Schwachstelle
Penetration Test
Was ist ein Penetration Test?
Beim sogenannten Pentesting (ausgeschrieben: Penetration Testing); wird untersucht, ob ein Computersystem sicher ist. Die Sicherheit ist gegeben, wenn nur berechtigte Personen oder Drittsysteme die autorisierten Daten verarbeiten können. Für das Pentesting werden Fachpersonen beauftragt und mit Informationen zu Architektur und Codierung des Systems ausgestattet. Diese Fachpersonen überprüfen, ob das System unberechtigte Zugriffe zuverlässig verhindert, indem sie versuchen, mit den neusten Tools, die potentiellen echten Angreifern zur Verfügung stehen, Zugriff zu erlangen.
Welche Penetration Tests werden bei AGOV durchgeführt?
Die Bundeskanzlei, Bereich Digitale Transformation und IKT-Lenkung, hat das Bundesamt für Rüstung (armasuisse) beauftragt, AGOV einem Pentesting zu unterziehen. Die Behebung allfälliger Schwachstellen gibt die Bundeskanzlei dem Bundesamt für Informatik und Telekommunikation in Auftrag. Werden bei AGOV neue Funktionen eingeführt, wird das Pentesting, ausgeweitet auf die neuen Funktionen, wiederholt.
Beim sogenannten Pentesting (ausgeschrieben: Penetration Testing); wird untersucht, ob ein Computersystem sicher ist. Die Sicherheit ist gegeben, wenn nur berechtigte Personen oder Drittsysteme die autorisierten Daten verarbeiten können. Für das Pentesting werden Fachpersonen beauftragt und mit Informationen zu Architektur und Codierung des Systems ausgestattet. Diese Fachpersonen überprüfen, ob das System unberechtigte Zugriffe zuverlässig verhindert, indem sie versuchen, mit den neusten Tools, die potentiellen echten Angreifern zur Verfügung stehen, Zugriff zu erlangen.
Welche Penetration Tests werden bei AGOV durchgeführt?
Die Bundeskanzlei, Bereich Digitale Transformation und IKT-Lenkung, hat das Bundesamt für Rüstung (armasuisse) beauftragt, AGOV einem Pentesting zu unterziehen. Die Behebung allfälliger Schwachstellen gibt die Bundeskanzlei dem Bundesamt für Informatik und Telekommunikation in Auftrag. Werden bei AGOV neue Funktionen eingeführt, wird das Pentesting, ausgeweitet auf die neuen Funktionen, wiederholt.