Schweizer Post setzt auf Hacker: 1.100 Sicherheitslücken seit 2021 gemeldet

Mit einer Konferenzreihe in mehreren Städten und einem erweiterten Bug-Bounty-Programm will der Staatskonzern seine digitale Sicherheit auf ein neues Niveau heben. Seit 2021 gingen über 1.100 Sicherheitsmeldungen ein – ein Beleg für den Erfolg des Crowdsourcing-Ansatzes.

Viele Schweizer Unternehmen verstoßen unwissentlich gegen das neue Datenschutzgesetz. Dieser kostenlose Leitfaden zeigt, welche revDSG-Vorgaben Sie sofort umsetzen müssen – bevor es teuer wird. revDSG-Leitfaden kostenlos herunterladen

HackEvents in vier Städten geplant

Die Veranstaltungsreihe „Cybersecurity HackEvent" startet am 19. Mai 2026 in Luxemburg. Danach geht es weiter nach Zürich (2. Juni), Genf (9. Juni) und Lugano (16. Juni). Organisiert wird die Tour von der Swiss Post Cybersecurity AG, einer Tochtergesellschaft des Postkonzerns.

Im vergangenen Jahr lockten ähnliche Events über 400 Teilnehmer an. Diesmal stehen interaktive Workshops zu neuen Sicherheitstechnologien und sogenannte „Security Immersion"-Sessions auf dem Programm. Dort können Teilnehmer reale Bedrohungsszenarien durchspielen. Kunden haben zudem die Möglichkeit, per Abstimmung die künftige Sicherheitsstrategie mitzugestalten.

Bug-Bounty-Programm mit Rekordprämien

Das Herzstück der Sicherheitsstrategie bleibt das Bug-Bounty-Programm auf der Plattform YesWeHack. Seit dem Start Anfang 2021 hat die Post rund 244.900 Euro an Prämien ausgezahlt. Die Belohnungen staffeln sich nach der Schwere der entdeckten Schwachstellen.

Während IT-Standardlücken bis zu 10.000 Euro einbringen, lockt das E-Voting-System mit deutlich höheren Summen. Wer kritische Fehler im Quellcode oder im Abstimmungsprotokoll findet, kann bis zu 230.000 Euro kassieren. Kein Wunder: Die elektronische Wahl betrifft die demokratischen Grundfesten der Schweiz.

Die Aktivität der Hacker-Community ist ungebrochen. Allein Ende Februar 2026 gingen fast 20 Meldungen innerhalb einer Woche ein. Ein besonderes Pfund wertet die „Legal Safe Harbor"-Klausel: Wer sich an die Spielregeln hält, muss keine Strafverfolgung fürchten.

E-Voting: Unabhängige Prüfung bestätigt Sicherheit

Die elektronische Stimmabgabe bleibt ein heißes Eisen. Anfang Januar 2026 veröffentlichte die Bundeskanzlei einen Prüfbericht zur Softwareversion 1.5. Die Untersuchung in den Kantonen St. Gallen und Thurgau bescheinigte dem System eine hohe Konformität mit der Verordnung über die elektronische Stimmabgabe.

Die Prüfer analysierten 27 Anforderungen, die durch das Update betroffen waren. Ihr Fazit: Das System verhindert zuverlässig Manipulationen. Besonders hervorgehoben wurde das Konzept der universellen Überprüfbarkeit – jeder Schritt von der Stimmabgabe bis zur Auszählung lässt sich unabhängig kontrollieren.

Am 5. Mai 2026 präsentieren führende Kryptografen der Post in Bern eine technische Analyse. Thema: der Spagat zwischen kryptografischer Sicherheit und Benutzerfreundlichkeit.

Tochtergesellschaft als Sicherheitsdienstleister

Die Swiss Post Cybersecurity AG entstand 2024 aus dem Zusammenschluss von terreActive und Hacknowledge. Das Unternehmen hat sich vom reinen Interndienstleister zum externen Sicherheitsanbieter entwickelt. Es betreibt ein Cyber Defense Center und bietet einen „Watchdog"-Dienst speziell für kleine und mittlere Unternehmen.

Branchenbeobachter sehen darin einen cleveren Schachzug: Die Erkenntnisse aus den eigenen Bug-Bounty-Programmen fließen direkt in die Sicherheitslösungen für externe Kunden ein. Das passt perfekt zum neuen Schweizer Cyber-Resilienz-Regime, das kritische Infrastrukturen zu strengen Meldepflichten verpflichtet.

So meistern nationale und internationale Organisationen das revDSG ohne Rechtsrisiko. Bewährte Selbstchecks und Auditing-Tipps aus der Praxis helfen Ihnen, Schweizer und EU-Datenschutzrecht auf einen Schlag im Griff zu haben. Gratis-Checklisten und Mustervorlagen anfordern

Ausblick: Swiss Cyber Storm und neue Tests

Im Oktober 2026 ist die Post auf der Konferenz Swiss Cyber Storm in Bern vertreten. Dort dürfte die Umsetzung des Bundesgesetzes über die Cybersicherheit und die Anpassung an europäische Vorgaben wie die NIS2-Richtlinie im Mittelpunkt stehen.

Im Sommer 2026 starten zudem die nächsten öffentlichen Penetrationstests für das E-Voting-System. Hacker können dann erneut die Live-Infrastruktur und den Quellcode unter die Lupe nehmen. Seit 2019 setzt die Post auf diesen iterativen Offenlegungsprozess – ein klares Bekenntnis zu Transparenz und geprüfter Sicherheit.

de | wirtschaft | 69276461 |