Sicherheit braucht Offenheit: Swiss Bankers über Bug Bounty und Transparenz

Mike, stell uns Swiss Bankers bitte kurz vor.

Swiss Bankers Prepaid Services AG ist ein international ausgerichteter Finanzdienstleister mit Sitz in Bern und Zürich. Das Unternehmen ist führend in der Entwicklung, dem Vertrieb und der Verarbeitung von Prepaid Kreditkarten und bietet innovative Lösungen im bargeldlosen, weltweit sicheren Zahlungsverkehr an. Als erster Anbieter in der Schweiz ermöglicht Swiss Bankers den weltweiten bargeldlosen Geldversand an Mastercard-Karten. Swiss Bankers baut seine führende Position in diesem Markt stetig aus und entwickelt neue digitale Zahlungsmöglichkeiten. Das Unternehmen wurde 1975 gegründet und zunächst durch die Travelers Cheques bekannt. Heute erfreuen sich die physischen und digitalen aufladbaren Karten- und Geldversandlösungen von Swiss Bankers grosser Beliebtheit. Die Produkte können direkt bei Swiss Bankers unter www.swissbankers.ch oder in der Swiss Bankers App sowie bei über 200 Vertriebspartnern bezogen werden. Alle Karten von Swiss Bankers können mit Apple Pay, Google Pay und Samsung Pay als Mobile Payment digital eingesetzt werden.

Warum ist Cybersicherheit für euch ein zentrales Thema?

Cybersicherheit ist für uns integraler Bestandteil unseres Auftrags. Der Schutz sensibler Kundendaten und der sichere Betrieb unserer digitalen Dienstleistungen stehen im Zentrum unseres täglichen Handelns. Als digital aufgestelltes Unternehmen ohne eigenen Filialbetrieb sind wir darauf angewiesen, dass unsere Services jederzeit zuverlässig funktionieren.

Zudem unterliegen wir strengen regulatorischen Anforderungen, insbesondere durch die Eidgenössische Finanzmarktaufsicht (FINMA). Diese Vorgaben setzen hohe Standards, denen wir mit einem umfassenden Sicherheitskonzept begegnen. Vertrauen ist die Grundlage unseres Geschäfts. Deshalb hat Sicherheit bei uns oberste Priorität – technologisch, organisatorisch und kulturell.

Was ist eure grösste Herausforderung im Bereich Sicherheit?

Die Bedrohungslage im Cyberraum nimmt stetig zu. Phishing, Ransomware und neue, zugehend raffiniertere Angriffsvektoren gehören mittlerweile zum Alltag. Cybergefahren verschwinden nicht – im Gegenteil, sie entwickeln sich weiter und werden komplexer. Wer online agiert, steht permanent im Fokus potenzieller Angriffe.

Für uns ist Wachsamkeit keine Option, sondern Selbstverständlichkeit. Wir begegnen dieser Realität mit einem ganzheitlichen Sicherheitsansatz, der technische Schutzmassnahmen, klare Prozesse und eine sensibilisierte Unternehmenskultur vereint. Denn nur wer Sicherheit als kontinuierlichen Auftrag versteht, kann Vertrauen nachhaltig sichern.

Wie seid ihr auf Bug Bounty aufmerksam geworden?

Mehrere Teammitglieder kamen über persönliche Netzwerke und Fachkontakte mit dem Thema Bug Bounty in Berührung. Das zeigt, wie präsent und relevant das Thema in der Sicherheits-Community geworden ist. Für uns war schnell klar: Bug Bounty bietet eine spannende und sinnvolle Ergänzung zu etablierten Methoden wie Penetrationtests und Schwachstellenmanagement.

Gerade Schwachstellen zählen für mich zu den grössten Risiken im Bereich Cybersicherheit. Kein einzelnes Tool reicht aus, um sie systematisch zu erkennen und nachhaltig zu beheben. Deshalb setzen wir auf einen mehrschichtigen Ansatz: klassisches Schwachstellenmanagement, regelmässige Penetrationtests und ein strukturiertes Bug-Bounty-Programm. Dieser Defence-in-Depth-Ansatz ermöglicht es uns, Schwachstellen aus verschiedenen Blickwinkeln zu identifizieren.

Wie habt ihr gestartet?

Ende 2022 haben wir gemeinsam mit GObugfree ein privates Bug-Bounty-Programm mit reduziertem Scope gestartet. Ziel war es, das Thema zunächst intern zu verankern, Vertrauen aufzubauen und erste Erfahrungen in einem geschützten Rahmen zu sammeln. Dieser kontrollierte Einstieg hat sich bewährt – sowohl technisch als auch organisatorisch. Im nächsten Schritt folgte eine Attack Surface Analyse (ASA). Für uns war das der ideale Zwischenschritt: eine realistische Standortbestimmung in einem erweiterten Scope, ohne gleich mit einer Vielzahl von Meldungen konfrontiert zu werden. Die ASA ermöglichte es uns, gezielt zu evaluieren, ob Sicherheitslücken bestehen – und ob wir bereit waren für den nächsten Schritt.

Mit diesen Erkenntnissen und einem gestärkten Sicherheitsverständnis konnten wir unser öffentliches Bug-Bounty-Programm fundiert und mit klar definiertem Scope lancieren. Der strukturierte Aufbau hat sich für uns als wertvoll erwiesen – sowohl in Bezug auf die Qualität der Findings als auch auf die interne Akzeptanz.

Was hat euch das gebracht?

Die durchgeführte Attack Surface Analyse (ASA) hat uns nochmals eine wertvolle Gesamtsicht auf unsere Angriffsoberfläche gegeben. Überraschungen blieben dabei aus – ein gutes Zeichen. Denn es zeigt, dass unser bestehendes Bug-Bounty-Programm bereits Wirkung entfaltet und potenzielle Schwachstellen frühzeitig adressiert werden. Für uns ist das ein klarer Beleg dafür, dass kontinuierliche Sicherheitsarbeit Früchte trägt. Gleichzeitig unterstreicht es einen zentralen Wert unseres Handelns: Transparenz. Sie ist nicht nur ein internes Prinzip, sondern Teil unseres Serviceversprechens gegenüber unseren Kundinnen und Kunden.

Mit dem öffentlichen Bug-Bounty-Programm machen wir sichtbar, dass wir Cybersicherheit nicht nur ernst nehmen, sondern aktiv leben – offen, überprüfbar und im Dialog mit der Community. Denn echte Sicherheit entsteht nicht im Verborgenen, sondern durch Vertrauen und Zusammenarbeit.

Wie habt ihr das Thema intern verankert?

Bug Bounty ist bei uns längst kein rein technisches Thema mehr – es ist fester Bestandteil der regelmässigen Gespräche mit der Geschäftsleitung. Von Anfang an standen dabei zentrale Fragen im Raum: Warum öffnen wir unsere Systeme für ethische Hacker? Welchen konkreten Mehrwert bringt uns das? Und wie stellen wir sicher, dass mit sensiblen Informationen verantwortungsvoll umgegangen wird?

Der strukturierte Austausch war zentral, um das Thema intern zu verankern. Mit GObugfree hatten wir einen erfahrenen Partner an unserer Seite, der uns sowohl bei der Einführung als auch bei der Weiterentwicklung des Programms unterstützt hat. Gerade zu Beginn waren die Prozesse rund um die Bearbeitung von Findings noch neu – insbesondere in einer komplexen IT-Landschaft. Doch mit der Zeit haben sich Strukturen etabliert, Verantwortlichkeiten geklärt und Abläufe eingespielt. Heute sind wir überzeugt: Das System funktioniert. Und es lohnt sich.

Was motiviert dich persönlich, dich so intensiv mit Bug Bounty und Ethical Hacking auseinanderzusetzen?

Mein beruflicher Hintergrund liegt in der Informatik – doch im Laufe der Zeit bin ich immer tiefer in die Welt der Cybersicherheit eingetaucht. Besonders fasziniert mich das Zusammenspiel aus Technik, Transparenz und Vertrauen. Denn Cybersicherheit ist längst nicht mehr nur eine technische Disziplin – sie lebt vom Dialog und vom gegenseitigen Verständnis.

Ich kenne die Szene gut. Viele Ethical Hacker sind hochmotiviert, weil sie sich selbst herausfordern wollen – und weil sie einen Beitrag leisten möchten. Dieses Mindset verdient Anerkennung. Für mich gehört es zu meiner Rolle, diese Perspektive intern zu vermitteln und die Vorteile eines offenen kooperativen Sicherheitsansatzes aufzuzeigen.

Wie findest du die Zusammenarbeit mit GObugfree?

Die Zusammenarbeit mit dem Team von GObugfree erleben wir als sehr kollegial, unkompliziert und auf Augenhöhe. Ob per E-Mail, am Telefon oder im persönlichen Austausch auf einer Messe – das Team ist stets ansprechbar, hilfsbereit und engagiert. Besonders schätzen wir die aktive Unterstützung beim Kontakt mit den Ethical Hackern sowie die kontinuierliche Begleitung durch den gesamten Prozess.

Diese partnerschaftliche Zusammenarbeit erleichtert es, gemeinsam Fortschritte zu erzielen.

Welche Rolle spielt das Bug-Bounty-Programm für eure Compliance?

Gerade im Finanzbereich unterliegen wir einer Vielzahl regulatorischer Anforderungen – darunter auch regelmässige Penetrationstests gemäss den Vorgaben der FINMA. Ein kontinuierlich laufendes Bug-Bounty-Programm setzt hier ein starkes Zeichen: Wir verlassen uns nicht nur auf periodische Tests, sondern lassen unsere Systeme laufend überprüfen. Das erhöht nicht nur die Sicherheit, sondern stärkt auch unsere Position im Dialog mit externen Prüfern. Denn es zeigt, dass wir proaktiv handeln – und Cybersicherheit als fortlaufenden Prozess verstehen, nicht als punktuelle Pflichtübung.

Was würdest du anderen Unternehmen raten, die über ein Bug-Bounty-Programm nachdenken?

Ein Bug-Bounty-Programm einzuführen, ist eine bewusste Entscheidung. Man muss es wollen – und man muss bereit sein, gefundene Schwachstellen auch konsequent anzugehen. Für viele Organisationen ist ein privates, invite-only Programm ein sinnvoller erster Schritt. Es schafft einen geschützten Rahmen, der hilft, Berührungsängste abzubauen – insbesondere bei Stakeholdern, die Ethical Hackern noch mit Vorbehalten begegnen.

Ein kleiner, kontrollierter Scope bedeutet: Weniger Augen, aber auch weniger Unsicherheit. Für uns war das ein guter Mittelweg. Die Zusammenarbeit mit GObugfree war respektvoll, die Findings waren konkret und hilfreich – und das Vertrauen in den Prozess ist dadurch gewachsen. Heute können wir klar sagen: Es funktioniert. Und es ist ein guter Weg. Wichtig ist dabei auch die interne Struktur: Wer übernimmt was bei einem Finding? Wie läuft die Kommunikation? Und wie werden Erkenntnisse dokumentiert und weiterverarbeitet? Wenn diese Fragen geklärt sind, entfaltet Bug Bounty sein volles Potenzial – besonders im Zusammenspiel mit klassischen Penetrationtests, Attack Surface Analysen und etabliertem Schwachstellenmanagement.

Wie geht es bei euch weiter?

Unser Bug-Bounty-Programm hat sich in den letzten Monaten deutlich weiterentwickelt: Inzwischen decken wir nahezu unseren gesamten IP-Range sowie alle relevanten Domains ab – nur wenige, klar definierte Ausnahmen sind noch offen. Damit befinden wir uns in einer nahezu vollständigen Ausbau-Stufe.

Ein Thema, das aktuell bei uns auf der Agenda steht, ist die Einbindung externer Entwicklungspartner. Einige Systeme entstehen heute in Zusammenarbeit mit Dritten – entsprechend wichtig ist es, auch diese Komponenten in die Sicherheitsbetrachtung einzubeziehen. Eine Ausweitung des Programms in diese Richtung wäre daher ein nächster logischer Schritt.