Veröffentlicht am 23. Januar 2026

Sicherheit & Qualität

Sicherheit

Ein Anmeldesystem wie AGOV ist sicher, wenn niemand unbefugt in das System eindringen kann und die Anmeldevorgänge nicht gefälscht werden können. Es geht also darum, dass Ihre Daten sicher sind und sich niemand über das AGOV-Login als Sie ausgeben kann.

Die hohe Sicherheit von AGOV wird durch folgende Massnahmen erreicht:

  • In AGOV werden nur starke Login-Faktoren verwendet, die fälschungssicher sind.
  • AGOV wird in gesicherten Rechenzentren in der Schweiz betrieben, die sich entweder im Eigentum von Unternehmen mit Sitz und Mehrheitsinhaberschaft in der Schweiz oder im Eigentum der Schweizerischen Eidgenossenschaft befinden.
  • Mobiltelefone* sowie Sicherheitsschlüssel, die unzureichend geschützt oder nicht ausreichend zertifiziert sind, sind für die Verwendung als AGOV-Login-Faktor gesperrt.
  • AGOV wurde von Schweizer Sicherheitsexperten entwickelt, die sich auf die Fehlerfreiheit und Robustheit ihres Programmcodes spezialisiert haben.
  • Die Sicherheit von AGOV wird mittels Bug Bounty und Penetration Testing überprüft. Die Prüfmethoden sind nachfolgend beschrieben.

*Hardware ohne Sicherheitselemente, veraltetes Betriebssystem, veraltete Hardware, manipuliertes Betriebssystem (Rooting/Jailbreak, Emulatoren)

Auch Sie selbst sind Teil Ihrer AGOV-Sicherheit: 

  • Stellen Sie sicher, dass nur Sie Ihre Zugangsdaten verwenden können.
  • Gleiches gilt für Ihre Geräte. Schützen Sie den Zugang zu diesen und halten Sie sie aktuell.
  • Scannen Sie den AGOV-Login-QR-Code ausschliesslich auf der originalen AGOV-Login-Seite. Weitere Informationen hierzu finden Sie unter agov.ch/qr.

Qualität

Die Qualität des Produkts AGOV sowie der Verwaltungsprozesse rund um AGOV wird durch eine klare Aufgaben- und Rollenverteilung zwischen steuernden, beratenden, überprüfenden und aufsichtlichen Stellen sichergestellt, schematisch:

Steuerung → Mitwirkung → rechtlicher Rahmen → Qualitätsprüfung → Aufsicht

Bundeskanzlei
Die Bundeskanzlei (BK DTI) steuert und führt AGOV gesamtheitlich. Sie vergibt die Aufträge für das Produkt AGOV (Architektur, Entwicklung, Betrieb, Wartung und Qualitätssicherung) und definiert die Verwaltungsprozesse rund um AGOV. Zudem ist sie für die übergeordnete Governance sowie die Koordination der beteiligten Akteure verantwortlich.

AGOV Steering Committee (ASC) und Führungsausschuss Standarddienste (FSD)
Für die Digitale Verwaltung Schweiz (DVS) führt die Bundeskanzlei (BK DTI) das AGOV Steering Committee (ASC), in welchem die AGOV-einsetzenden Behörden vertreten sind. Das ASC stellt sicher, dass AGOV die heutigen und zukünftigen Anforderungen der Schweizer Behörden erfüllt. Da AGOV in der Bundesverwaltung zu den IKT-Standarddiensten gehört, werden bundesspezifische Anforderungen an AGOV zusätzlich im Führungsausschluss Standarddienste (FSD) gemäss W008 behandelt.

Bundesamt für Justiz (BJ)
Das Bundesamt für Justiz (BJ) nimmt im Zusammenhang mit AGOV eine rechtlich-normative Rolle wahr, insbesondere mit den Erlassen RVOG mit der IAMV und EMBAG mit der EMBAV sowie BGEID mit der VEID (🔍) und weiteren anwendbaren Erlassen.

AGOV Compliance Audit Body (ACA)
Die AGOV Compliance Audit Body (ACA) ist eine externe, unabhängige Stelle, die von der Bundeskanzlei beauftragt wird, die Qualität der Verwaltungsprozesse rund um AGOV ab 2026 jährlich zu auditieren. Die Ergebnisse der Prüfungen werden in einem Prüfbericht dokumentiert und publiziert.

Eidgenössische Finanzkontrolle (EFK)
Die Eidgenössische Finanzkontrolle (EFK) beaufsichtigt die Bundesverwaltung, einschliesslich der Informatik der Bundesverwaltung und damit auch AGOV, im Rahmen ihres gesetzlichen Auftrags.

Bug-Bounty-Programm

Was ist ein Bug-Bounty-Programm?
Der Begriff setzt sich aus Bug (Fehler) und Bounty (Prämie) zusammen. Solche Programme beauftragen ethische Hacker, IT-Systeme auf Verwundbarkeiten zu prüfen, diese zu dokumentieren und bei Entdeckung Prämien zu erhalten. Ethische Hacker finden oft Schwachstellen, die klassische Penetrationstests oder Security-Reviews übersehen.

Was ist das AGOV-Bug-Bounty-Programm?
Das AGOV-Programm läuft im Rahmen des Bundesprogramms, verantwortet durch das Bundesamt für Cybersicherheit (BACS) und betrieben von Bug Bounty Switzerland AG. Ab dem 8. Dezember 2025 wird das Programm öffentlich: Alle interessierten Sicherheitsforscherinnen und Sicherheitsforscher können sich auf der vom Bundesamt für Cybersicherheit (BACS) betriebenen Bug-Bounty-Plattform registrieren und teilnehmen.

Mehr Details und Registration: bugbounty.ch/agov
Release Notes AGOV: agov.ch/rn

Wie kann eine Schwachstelle gemeldet werden ohne eine Registrierung?
Bitte die Instruktionen «Melden einer Schwachstelle» beachten: Melden einer Schwachstelle

Penetration Test

Symbolbild für Penetration Test: Eine Person bearbeitet eine Tür mit einem Vorschlaghammer.
Was ist ein Penetration Test?
Beim sogenannten Pentesting (ausgeschrieben: Penetration Testing); wird untersucht, ob ein Computersystem sicher ist. Die Sicherheit ist gegeben, wenn nur berechtigte Personen oder Drittsysteme die autorisierten Daten verarbeiten können. Für das Pentesting werden Fachpersonen beauftragt und mit Informationen zu Architektur und Codierung des Systems ausgestattet. Diese Fachpersonen überprüfen, ob das System unberechtigte Zugriffe zuverlässig verhindert, indem sie versuchen, mit den neusten Tools, die potentiellen echten Angreifern zur Verfügung stehen, Zugriff zu erlangen. 

Welche Penetration Tests werden bei AGOV durchgeführt?
Die Bundeskanzlei, Bereich Digitale Transformation und IKT-Lenkung, hat das Bundesamt für Rüstung (armasuisse) beauftragt, AGOV einem Pentesting zu unterziehen. Die Behebung allfälliger Schwachstellen gibt die Bundeskanzlei dem Bundesamt für Informatik und Telekommunikation in Auftrag. Werden bei AGOV neue Funktionen eingeführt, wird das Pentesting, ausgeweitet auf die neuen Funktionen, wiederholt.