Im Rahmen von Bug-Bounty-Programmen suchen hunderte unabhängige Security-Spezialisten nach Sicherheitslücken in laufenden IT-Systemen. In der Schweiz sind solche Programme noch rar, einsame Vorreiter sind hierzulande die Post und Swisscom. Die führenden Köpfe hinter deren Programmen haben sich nun in der Bug Bounty Switzerland GmbH zusammengeschlossen, um bezüglich dieses Mankos Abhilfe zu schaffen.
Im Rahmen eines Bug-Bounty-Programms werden "ethische Hacker" – also Hacker, die sich komplett im Rahmen der Legalität bewegen – dazu aufgerufen, Schwachstellen in den produktiven Systemen eines Unternehmens aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), deren Höhe abhängig von der Gefährlichkeit der entdeckten Lücke ausfällt. Im Gegensatz zu herkömmlichen Penetrationstests, wo eine begrenzte Anzahl Security-Experten eines Drittunternehmens die Sicherheitsparameter ihres Kunden erforschen, nehmen bei einem Bug-Bounty-Programm in der Regel hunderte unabhängige und hochqualifizierte, internationale Experten teil. Der Return on Investment fällt dabei um ein Vielfaches höher aus, da nur für gefundene Lücken bezahlt wird.
Die Schweizerische Post und Swisscom sind hierzulande Vorreiter dieses Vorgehens. Beide Unternehmen betreiben konzernweite Bug-Bounty-Programme, deren Ergebnisse sich sehen lassen: So konnte die Post in einer ersten Phase bereits fünfzig kritische Schwachstellen in den getesteten Onlinediensten beheben. Bei der Swisscom werden jährlich rund 400 Schwachstellen aufgespürt – trotz hoher Sicherheitsstandards und vielen Penetrationstests.
Mit Sandro Nafzger (CEO) und Florian Badertscher (CTO) stehen jene Experten hinter dem neuen Unternehmen, die in den letzten Jahren diese ersten grossen Bug-Bounty-Programme der Schweiz aufgebaut und geführt haben: Nafzger leitet seit zwei Jahren als externer Spezialist das Programm der Schweizerischen Post, Badertscher ist als interner Senior Security Analyst für jenes von Swisscom verantwortlich. Beide werden in ihren Funktionen bei den genannten Betrieben verbleiben. Parallel dazu vereinen sie nun aber in der gemeinsamen Firma ihre Expertise in diesem Bereich, sodass auch andere Unternehmen davon profitieren können. Als COO und Partner steht ihnen mit Matthias Jauslin ein IT-Projektleiter mit jahrelanger Erfahrung zur Seite, der zuletzt in der Geschäftsleitung einer Unternehmens- und IT-Beratung tätig war. Komplettiert wird das Team durch Lukas Heppler (Head of Customer Success) und Alessandro Casablanca (Head of Marketing).
Das Angebot von Bug Bounty Switzerland ist gemäss eines heute verschickten Communiqués in drei Stufen eingeteilt und soll Unternehmen auf ihrem Weg zum eigenen Bug-Bounty-Programm zur Seite stehen:
1. Der Sensibilisierung und Risikoeinschätzung dient der "Reality-Check": Das Anwenderunternehmen bestimmt Budget und Ziel für einen unkomplizierten Testlauf, worauf ethische Hacker bis zu zwei Wochen nach Sicherheitslücken in den vom Kunden bestimmten Systemen suchen.
2. Im "Proof of Concept" wird zusammen mit dem Anwenderunternehmen ein dreimonatiges Programm aufgezogen, um die Machbarkeit zu beweisen und die zu erwartenden Ergebnisse eines vollständigen Programms aufzuzeigen. Während dieser ganzen Zeit wird der Kunde aktiv in die Durchführung des Programms einbezogen und erhält volle Transparenz über alle Abläufe.
3. Der letzte Schritt umfasst den Ausbau zu einem kontinuierlichen Bug-Bounty-Programm gemäss den Gegebenheiten und Wünschen des Anwenderunternehmens. Für ein voll ausgebautes Programm bezieht der Kunde in der Regel eine Jahreslizenz.
"Die sichere Digitalisierung der Schweiz liegt uns sehr am Herzen", erklärt dazu Sandro Nafzger. "Unsere Erfahrung zeigt allerdings, dass traditionelle Sicherheitsmassnahmen wie Penetrationstests nicht mehr ausreichen, um kritische Schwachstellen in IT-Systemen zu finden." Den meisten Unternehmen ist nicht bewusst, dass sie ein Sicherheitsproblem haben und nur ungenügend vor Cyberattacken geschützt sind. Das merkt man in der Regel erst, wenn es bereits zu spät ist. "Es gibt keine effektivere Art, sich vor Cyberattacken zu schützen, als die Zusammenarbeit mit ethischen Hackern", ist Nafzger deshalb überzeugt. "Indem wir die hierzulande vorhandene Expertise in einem Unternehmen bündeln, können auch andere Firmen von unserem Erfahrungsschatz profitieren und so die Sicherheit ihrer Systeme erhöhen."
