AGOV: Schweiz setzt auf Hacker für Login-Sicherheit

Die Schweizer Bundesverwaltung öffnet ihre digitale Identitätsplattform AGOV für ethische Hacker. Was steckt hinter diesem ungewöhnlichen Schritt – und was können deutsche Behörden davon lernen?

Mit über einer Million aktiver Nutzerkonten hat sich AGOV binnen zwei Jahren zur zentralen digitalen Zugangsplattform der Schweizer Verwaltung entwickelt. Jetzt geht Bern einen Schritt weiter: Ab sofort dürfen Sicherheitsforscher weltweit nach Schwachstellen in dem System suchen – und werden für ihre Funde belohnt.

Die Bundeskanzlei kündigte am Montag die Einführung eines öffentlichen Bug-Bounty-Programms an. Anders als bisher, wo nur private Sicherheitsaudits stattfanden, kann nun jeder qualifizierte Hacker das System auf Herz und Nieren prüfen. Die Verwaltung des Programms übernimmt Bug Bounty Switzerland AG aus Luzern, die bereits mehrere Bundesbehörden bei der Zusammenarbeit mit der Hacker-Community betreut.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und warum gerade Systeme für digitale Identitäten besonders im Fokus stehen. Das kostenlose E‑Book erklärt aktuelle Bedrohungen, neue gesetzliche Vorgaben (inkl. EU‑KI-Verordnung) sowie praxisnahe Schutzmaßnahmen, mit denen Sie Login-Systeme und Vertrauensinfrastrukturen stärken können. Viele Empfehlungen lassen sich ohne hohe Investitionen umsetzen und sind speziell für Behörden und IT‑Verantwortliche formuliert. Laden Sie das Gratis‑Heft jetzt herunter und schützen Sie Ihre Systeme. Kostenloses Cyber-Security-E-Book herunterladen

„Ein AGOV-Login muss die Identität der handelnden Person zuverlässig bestätigen”, betont die Bundeskanzlei in ihrer Mitteilung. Die Sicherheitsprüfung werde deshalb auf die Öffentlichkeit ausgeweitet. Entdeckte Sicherheitslücken werden nach Marktstandards vergütet – ein Anreiz für Experten, Schwachstellen zu melden, bevor Kriminelle sie ausnutzen können.

Der Ansatz folgt dem Prinzip „Security by Design”: Systematische Schwachstellensuche, bevor der Schaden eintritt. Was in der Privatwirtschaft längst Standard ist, bleibt in deutschen Behörden noch die Ausnahme.

Rasantes Wachstum dank passwortlosem Zugang

Die Sicherheitsoffensive kommt zur rechten Zeit. Bereits am 5. Dezember knackte AGOV die Marke von 1.005.283 aktiven Konten – ein beachtlicher Erfolg für ein System, das erst vor knapp zwei Jahren startete.

AGOV funktioniert ohne klassische Passwörter. Stattdessen nutzen Bürger biometrische Verfahren oder Sicherheitsschlüssel, die als deutlich resistenter gegen Phishing-Angriffe gelten. Mit dem digitalen Ausweis greifen Schweizer auf Behördenleistungen zu: Steuererklärungen einreichen, Aufenthaltsbewilligungen verwalten, Baugesuche stellen.

Aktuell nutzen die Bundesverwaltung und zwölf Kantone das System, darunter Zürich, Bern, Luzern und Basel-Stadt. Weitere Kantone sollen 2026 folgen.

Teil einer größeren Digitalstrategie

Die Sicherheitsinitiative fügt sich in eine umfassendere Digitalisierungsagenda ein. Am 5. Dezember informierte das Eidgenössische Finanzdepartement den Bundesrat über den Stand der „Digital Finance”-Maßnahmen.

Die Regierung strebt an, die Schweiz als führenden Standort für digitale Finanzdienstleistungen zu positionieren. Dabei setzt sie auf Open Finance und Distributed-Ledger-Technologie (DLT) – beides Bereiche, die sichere digitale Identitäten voraussetzen. Die Interoperabilität von AGOV mit künftigen Finanzservices gilt als Grundpfeiler dieser Strategie.

Auch Deutschland ringt mit ähnlichen Herausforderungen: Die Smart-eID auf dem Smartphone kommt nur schleppend voran, während die Schweiz bereits Fakten schafft.

Die staatliche E-ID als Wachstumstreiber

Der nächste große Schritt steht bereits fest: Die Integration der staatlich anerkannten elektronischen Identität (E-ID), die nahtlos mit AGOV zusammenarbeiten soll. Die technische Grundlage der Vertrauensinfrastruktur „SWIYU” wurde bereits Ende 2024 geschaffen.

„Mit der Einführung der staatlichen Schweizer E-ID dürfte diese Zahl weiter steigen”, prognostiziert die Bundeskanzlei. Der Fokus für 2025 und 2026 liegt auf Skalierung und Sicherheit – zwei Ziele, die sich mit dem Bug-Bounty-Programm ergänzen.

Indem die Schweiz ihre digitalen Verteidigungslinien für die globale Sicherheitscommunity öffnet, setzt sie ein Zeichen: Transparenz und Zusammenarbeit sind keine Schwäche, sondern Voraussetzung für einen widerstandsfähigen digitalen Staat. Eine Lektion, die auch deutsche Behörden beherzigen könnten.

PS: Sie wollen unmittelbar handeln? Dieser kostenlose Leitfaden liefert konkrete Schritte zur Härtung von Login‑Flows, Incident‑Response‑Tipps und praxisnahen Schulungsmaßnahmen gegen Phishing – ideal für Verwaltungen, die bereits passwortlose Identitäten nutzen. Konkrete Checklisten erleichtern die Umsetzung in 90 Tagen. Der Download ist kostenlos (E‑Mail erforderlich). Jetzt Cyber-Security-Leitfaden sichern