Sicherheitsprüfungen auf der produktiven AGOV-Umgebung
Mittels Penetration Testing und Bug Bounty-Programm wird AGOV auf Sicherheitslücken überprüft. Ein Login Verfahren muss sehr sicher sein, die Sicherheitsaspekte liegen in der AGOV-Software, der Betriebsplattform inkl. Datenbanken und der Netzwerkanbindung, deshalb müssen Sicherheitstests ganzheitlich durchgeführt werden, am besten am echten Produktivsystem. Die Schweizerische Bundeskanzlei hat das Bundesamt für Rüstung armasuisse mit einem Penetration Testing beauftragt. Die Spezialisten von armasuisse probieren unautorisierte Transaktionen auf AGOV aus und verfügen über detaillierte Kenntnisse bis hin zum Quellcode. Über das Bundesamt für Cybersicherheit läuft ein Bug-Bounty-Programm, mit dem ebenfalls AGOV untersucht wird. Dabei werden ethische Hacker eingesetzt, die ohne Detailwissen Angriffe simulieren. Die ethischen Hacker werden pro gemeldete Schwachstelle entschädigt (sogenannte Bounties). Gefundene unkritische Schwachstellen werden innerhalb weniger Tage behoben, kritische Schwachstellen innerhalb eines Tages.
