SwissAccounting Blog

Bug Bounty: Ethische Hacker zeigen effektiv auf Schwachstellen

Geschrieben von Matthias Jauslin | 27/06/2022 11:35

Datendiebstahl, Lösegeldforderungen, Reputationsschaden und Wettbewerbsnachteile: Erfolgreiche Cyberattacken können Unternehmen
empfindlich treffen. Wie realistisch lässt sich die Cybersicherheit einschätzen? Ein Sicherheitstest mit ethischen Hackern kann Schwachstellen aufzeigen – das brachte auch bei veb.ch Licht ins Dunkle.

Die Herausforderungen in der Cybersicherheit sind allgegenwärtig. Die digitale Welt wandelt sich hin zu agilen Entwicklungsmethoden, kurzen Release-Zyklen und Outsourcing in die Cloud. Unternehmen, die auf traditionelle
Security-Massnahmen setzen, haben Mühe, den aktuellen technischen Stand zu sichern. Wer mit ethischen Hackern zusammenarbeitet, weiss um seine Sicherheitslücken im IT-System, die zu erfolgreichen Cyberattacken führen können. Ethische Hacker sind in der Expertise auf gleicher Augenhöhe mit den kriminellen Angreifern. Sie agieren aber ethisch und haben die
Motivation, die Sicherheit der Unternehmen zu steigern. Für ihr Tun erhalten sie Belohnungen und bewegen sich dabei im Rahmen der Legalität und der auferlegten Bedingungen des Unternehmens. Die Unternehmen und die ethischen Hacker
treffen sich auf sogenannten Bug-Bounty-Plattformen und die Tests werden innerhalb eines Bug-Bounty-Programms
(sinngemäss «Kopfgeld-Programm für Programmfehler») durchgeführt. Was zumindest in den USA bei den bekannten Technologieunternehmen wie Google, Facebook, Amazon, Spotify, Airbnb etc. seit Jahren zum Standard gehört, hält immer mehr auch in der Schweiz Einzug.

Ethische Hacker greifen veb.ch an

Im September 2021 hat veb.ch seine neue Systeminfrastruktur live geschalten und diese in Zusammenarbeit mit Matthias Jauslin von Enrol und dem Anbieter der Bug-Bounty-Plattform «Gobugfree» testen lassen: «Da viele Schnittstellen im Spiel sind, wollten wir die Architektur auf Schwachstellen testen lassen», sagt Marija Atanasova, Co-Geschäftsleiterin und verantwortlich für Digitalisierung und Finanzen bei veb.ch zu den Beweggründen. Nach dem Security-Test zieht sie ein positives Fazit: «So ein Hackerangriff ist absolut lohnenswert. Es bringt die Fakten auf den Tisch und bringt uns als Unternehmen weiter und gibt
mir ein sichereres Gefühl.» Die Vorgehensweise wurde mit dem veb.ch transparent besprochen. Mit den Tests durch ethische Hacker werden die produktiven Systeme auf Schwachstellen getestet, dabei werden keine Daten manipuliert oder gestohlen – meist merkt man gar nichts davon.

Wer garantiert, dass die Hacker auch wirklich ethisch agieren?

Die Verantwortlichen der Bug-Bounty-Plattform «Gobugfree» schreiben dazu: «Die Hacker durchlaufen einen mehrstufigen Identifikationsprozess: Wenn Sie sich auf der Plattform registrieren, müssen sie ihre Identität offenlegen, um daran teilzunehmen. Ebenfalls wird der sogenannte Legal-Safe-Harbor gemeinsam mit dem Kunden erarbeitet, welcher die Regeln für die Zusammenarbeit festlegt und dem Hacker die Erlaubnis erteilt, um in die Systeme des Eigentümers einzudringen. Der ethische Hacker muss sich an diese Regeln der Zielorganisation sowie das Recht des Landes, in dem sich diese befindet, halten.»

Nur noch Bug Bounty?

Bei all den anderen unzähligen Cyber-Security-Massnahmen kann Bug Bounty ergänzend und differenziert betrachtet werden. Der grösste Unterschied ist, dass eine Community von unzähligen Spezialisten mit ihrem spezifischen Fachwissen und kreativem Denken herangezogen werden kann. Die Systeme werden über einen langfristigen Zeitraum kontinuierlich getestet und nicht nur in regelmässigen Zeitabständen punktuell geprüft. Zudem bezahlt das Unternehmen nicht für eine theoretische Prävention, sondern die Belohnung erfolgt erst, wenn eine echte Schwachstelle gefunden wird.

 

>>> Eine Krise kann jedes Unternehmen treffen – unverhofft und zu jeder Zeit! Lernen Sie den richtigen Umgang vor, während und nach einem Angriff! Jetzt informieren und anmelden.