Veröffentlicht am 24. März 2026

AGOV PenTest & BugBounty Übersicht 2023-2025

Übersicht der durchgeführten und geplanten Penetration Tests (PenTests) für AGOV. Die PenTest wurden von Armasuisse in Abstimmung mit den Softwarelieferanten, den System Betreibern und dem Business Owner durchgeführt.

Grafik AGOV PenTest & Bug Bounty 2023-2025

Zeitachse der AGOV PenTests

2023 (Bericht vom 24.01.2024): PenTest I

  • Fokus: Umfassende Prüfung der AGOV-Kernsysteme, einschließlich Account Management (me.agov.admin.ch), Identity Provider (idp.agov.admin.ch) und Authentication Service (auth.agov.admin.ch). Die Prüfung wurde als partieller White-Box-Test durchgeführt.

Februar 2024: PenTest II

  • Fokus: Diese Phase konzentrierte sich auf das System «HeloITSM».

Mai 2024: PenTest III (Teil 1)

  • Fokus: Prüfung der Komponente AGOV Counter in den Kalenderwochen 19 und 20.

Juni 2024: Geplanter PenTest III (Teil 2)

  • Details: Ursprünglich für AGOV Connect und IdP Re-Tests geplant. Diese Tests konnten jedoch nicht wie geplant durchgeführt werden und wurden in den PenTest IV verschoben.

September – Oktober 2024: PenTest IV

  • Fokus: Prüfung des Trust Brokers (BTB/STB) sowie der AGOV-Module Connect, View, Access App und des Nevis IDM.

April – Mai 2025: Iteration #1

  • Fokus: AGOV Account Recovery Prozesse (SMS, OBL, Video) vom 28. April bis 2. Mai

Oktober 2025: Iteration #2

  • Fokus: e-ID Login-Workflows und Integration, einschließlich Verifier Management Service und OID4VP (OpenID for Verifiable Presentations)

Findings pro PenTest

PenTest I (2023)

In diesem Test wurden insgesamt 12 Schwachstellen identifiziert:

  • Address Information Disclosure (Hoch): Offenlegung von Adressdaten durch API-Antworten.
  • Address Verification Rate Limiting (Hoch): Fehlende Ratenbegrenzung bei der Adressprüfung.
  • Potential Race Conditions (Mittel): Verschiedene Endpunkte ohne Sperrmechanismen.
  • Address Verification Design (Mittel): Designmängel im Verifizierungsprozess.
  • Token Verbosity (Mittel): Tokens enthalten mehr Informationen als für den Resource Provider nötig.
  • Insecure Cryptography (Mittel): Verwendung einer schwachen Verschlüsselung (AES-ECB) für Sicherheitstokens.
  • Vulnerable JS Library (Mittel): Einsatz einer veralteten jQuery-Version (3.3.1) mit bekannten Sicherheitslücken.
  • Cookie Security (Mittel): Verschiedene Mängel bei der Absicherung von Cookies.
  • Strict-Transport-Security Header (Mittel): Fehlende oder falsch konfigurierte HSTS-Header.
  • Email Changing Race Condition (Niedrig): Möglichkeit, E-Mail-Adressen mehrerer Konten gleichzeitig auf dieselbe Adresse zu ändern.
  • Address Verification Ignored Field (Niedrig): Ein nicht validiertes Feld könnte zur Umleitung von Briefen genutzt werden.
  • Content Security Policy (Niedrig): Suboptimal konfigurierte CSP-Header auf Subdomains.

PenTest III Teil 1 (AGOV Counter, Mai 2024)

  • Findings: Für die Komponente AGOV Counter wurden in dieser Phase keine Findings verzeichnet.

PenTest 2025 Iteration #1 (Account Recovery Prozess)

  • SMS Recovery Code Mass Attack (Hoch): Angreifer könnten massenhaft SMS-Codes auslösen, was zu wirtschaftlichem Schaden und Ressourcenerschöpfung führt.
  • Recovery Code Letter (OBL) Mass Attack (Hoch): Missbrauch des Systems zum massenhaften Versand physischer Briefe.

PenTest 2025 Iteration #2 (e-ID Flows, Oktober 2025)

In diesem Test wurden fünf Findings identifiziert:

  • Verifier Management service publicly accessible (Mittel): Der Dienst sollte nur intern erreichbar sein.
  • AGOV Account Takeover (Hoch/Info): Ein Angreifer könnte eine selbst erstellte e-ID mit der AHV-Nummer eines Opfers verknüpfen (getestet in der Beta-Umgebung).
  • Verifier APIs improper input validation (Niedrig): Die APIs validieren Feldwerte nicht strikt genug.
  • Swagger enabled (Info): Aktivierte Swagger-UI erleichtert die Rekognoszierung für Angreifer.
  • Non-sanitized values accepted from e-ID (Info): Daten von der e-ID werden ohne Bereinigung akzeptiert.

AGOV BugBounty Übersicht 2023-2025

Sicherheitsforscher können an den AGOV Bug Bounty Programmen teilnehmen. BugBounty Switzerland ist der Plattform-Partner für die operative Umsetzung der BugBounty Programme. NCSC (BACS) begleitet die Umsetzung beratend.

Tabelle mit der vom AGOV (eIAM) Security Team anerkannten Kritikalität und einer Kurzbeschreibung (basierend auf dem Fehlertyp) für alle Findings aus beiden Bug Bounty Programmen:

Private Bug Bounty Programm (eIAM & AGOV)

Public Bug Bounty Programm (AGOV)