Wie sicher ist unser Unternehmen vor Hackerangriffen? Mit dieser Frage beschäftigen sich zahlreiche Unternehmen, auch in der Schweiz; unter anderem die Finanzdienstleisterin Baloise. Um diese Frage zu beantworten, lässt sie sich – in einem geschützten Rahmen – hacken.
Nach dem Credo «Fight Fire With Fire» oder «Hack Hackers With Hackers» hat sich die Baloise entschieden, für die Verteidigung der Cybersicherheit in den Ring zu steigen. Dazu startete sie gemeinsam mit dem Schweizer Start-up Bug Bounty Switzerland ein Programm, das darauf abzielt, aktiv verborgene Schwachstellen zu finden und zu beheben. Die Ergebnisse nach den ersten Schritten zu sehen, war sehr spannend. Auch herrschte Erleichterung bei den ersten Rückmeldungen der ethischen Hacker, da auch Sicherheitslücken geschlossen werden konnten. In einem Projekt konnte die Effizienz von Penetrationstests und Bug-Bounty-Programmen direkt gegenübergestellt und wichtige Erkenntnisse gewonnen werden.
Unternehmen können sich folgende Frage stellen: Sollen wir zulassen, dass Cyberkriminelle ihr Unwesen treiben oder übernehmen wir die Kontrolle über die Situation und setzen uns auf den «Driver’s Seat»? Sandro Nafzger, CEO & Co-Founder von Bug Bounty Switzerland, sagt:
«Es geht darum, nicht einfach zu hoffen, dass man bereits genug für die Informationssicherheit getan hat, sondern herauszufinden, wo man noch mehr tun muss, um sich vor Cyberattacken zu schützen. Durch ein Bug-Bounty-Programm erhält man endlich eine realistische Risikoeinschätzung und setzt sich proaktiv mit seiner zunehmenden Verletzlichkeit auseinander.»
Durch die Zusammenarbeit mit den ethischen Hackern kann man sich gegenüber Cyberkriminellen kontinuierlich einen wichtigen Wissensvorsprung erarbeiten. Die Beschreibung der Erkenntnisse lassen sich einfach nachvollziehen, wodurch schnell eine passende Lösung implementiert werden kann. Auch erhält man eine Schritt-für-Schritt-Anleitung, wie die Hacker vorgegangen sind, sowie einer Empfehlung, wie das Problem nachhaltig behoben werden kann.
Die Zeiten sind vorbei, in denen Softwareversionen fix ein- bis zweimal pro Jahr veröffentlicht wurden. Damit geht auch die Planbarkeit von neu entstehenden, potenziellen Sicherheitslücken verloren. In den letzten Jahren geht der Trend (auch in der Finanzbranche) immer mehr in Richtung «Continuous Delivery & Continuous Deployment».
Man muss also ständig am Ball bleiben. Daher ist es sinnvoll, traditionelle Pentests mit einem Bug-Bounty-Programm zu ergänzen und wo sinnvoll sogar zu ersetzen.
Finanzunternehmen müssen jederzeit den organisatorischen Anforderungen der Finma entsprechen. Dazu gehören auch Massnahmen zum Schutz der Institute und des Finanzsystems vor Missbrauch. Tobias Lux, Mediensprecher der Finma, sagt dazu:
«Die beaufsichtigten Institute müssen darlegen, wie sie mit Bedrohungen durch Cyberattacken umgehen und ihre Systeme vor solchen Attacken schützen. Wo sind die eigenen Risiken? Wie reagieren wir auf Angriffe? Um solche Fragen zu beantworten, müssen die Institute die eigenen Schwachstellen kennen. Dafür sind regelmässige Penetrationstests und Verwundbarkeitsanalysen unabdingbar.»
Nafzger begrüsst das:
«Was viele Firmen nicht wissen, dazu gehören auch Bug-Bounty-Programme.»
Wir müssen uns gerade im schnell mutierenden Cyberbereich dauernd auf neue Risikolagen einstellen und unsere Vorgehensweise zur Abwehr von Schaden kontinuierlich anpassen. Bei Auswahl und Bewertung neuer Tools und Services schauen wir sehr genau auf den Kosten-Nutzen-Faktor. Und der Nutzen eines Bug-Bounty-Programms ist im Vergleich zum Arbeits- beziehungsweise Kostenaufwand sehr hoch.