Wie können kleine Organisationen auch mit geringen Ressourcen und IT-Know-how einfachen Zugang zu Bug-Bounty-Programmen erhalten, um so ihre IT-Sicherheit effektiv zu erhöhen? Dies herauszufinden ist das Ziel einer von Bug Bounty Switzerland zusammen mit der Zürcher Hochschule für Angewandte Wissenschaften lancierten Studie, die von der schweizerischen Innovationsförderung Innosuisse unterstützt wird. In einem Vorprojekt, das kürzlich angelaufen ist, wird zunächst die Zielgruppe von KMUs und Gemeinden untersucht, um zu verstehen, welche speziellen Bedürfnisse diese Organisationen haben, wo Hürden liegen und wie ein passendes Angebot ausgestaltet werden müsste.
Das Bug-Bounty-Konzept, also das Suchen von Schwachstellen in IT-Infrastrukturen durch ethische Hacker, die für ihre Funde belohnt werden, ist in der Schweiz mittlerweile angekommen – nicht zuletzt dank der Pionierarbeit von Bug Bounty Switzerland . Mit seinem ganzheitlichen Service-Angebot (von der Beratung über den Programmaufbau und die Begleitung des Kunden bis zur Unterstützung beim Schliessen von Sicherheitslücken) sowie einer eigenen, in der Schweiz gehosteten Bug Bounty Plattform ist es dem Unternehmen gelungen, Bug-Bounty-Programme mehr Firmen zugänglich zu machen. Nichtsdestotrotz sind es heute in erster Linie grössere Organisationen wie das Universitätsspital Zürich, Ringier, Valiant Bank, die Baloise Group oder die BKW, die kontinuierliche Bug-Bounty-Programme betreiben.
Mit dem gemeinsamen Forschungsprojekt mit der ZHAW verfolgt Bug Bounty Switzerland nun das Ziel, die Komplexität der Methode noch weiter zu reduzieren, sodass auch kleine Organisationen Zugang erhalten und befähigt werden, ihre Informationssicherheit kontinuierlich zu verbessern.
Angesichts der oft knappen finanziellen IT-Ressourcen in kleinen Organisationen geht es in der Vorstudie darum, herauszufinden, welche alternativen Finanzierungsmodelle denkbar sind und welche nicht-monetären Anreize man den ethischen Hackern bieten könnte. Darüber hinaus stellt sich die Frage nach der Bereitstellung des Know-hows, das benötigt wird, um mit den identifizierten Schwachstellen umzugehen. Dabei müssen insbesondere auch jene externen Dienstleister eingebunden werden, die sich als Outsourcing-Anbieter um das Management der IT-Systeme kümmern. Und schliesslich interessiert die Forscher auch, inwiefern eine Community von Bug-Bounty-Anwendern für den Austausch untereinander und mit den ethischen Hackern von Nutzen sein könnte.
Keine Digitalisierung ohne IT-Sicherheit: «Digital Trust»
IT-Sicherheit ist für alle relevant, die im Rahmen der Digitalisierung auf moderne Geschäftsmodelle und Abläufe setzen. Denn die digitale Transformation kann nur dann gelingen, wenn die Benutzer und Kunden Vertrauen in die Prozesse und Sicherheit ihrer Daten haben und diese lauffähig bleiben. Man spricht in diesem Zusammenhang auch von «Digital Trust». Dieses Vertrauen ist jedoch gefährdet, wenn wöchentlich neue Datenlecks entstehen und Sicherheitslücken ausgenutzt werden können. Dabei geraten heute auch KMUs und Gemeinden vermehrt in die Fänge von Cyberkriminellen.
«Soll die digitale Transformation in der Schweiz als Ganzes gelingen, dürfen wir die KMUs – und auch den öffentlichen Sektor – sicherheitstechnisch nicht vernachlässigen»
gibt Dr. Peter Heinrich von der Fachstelle für Prozessmanagement und Informationssicherheit an der ZHAW School of Management and Law zu bedenken. Dabei reiche es nicht, bloss Sicherheitslücken aufzuzeigen: «Wir müssen echte Handlungsfähigkeit erzeugen. Die Organisationen müssen die Mittel und das Know-how erhalten, um ihre Gefährdung richtig einschätzen zu können und sinnvolle Entscheidungen zu treffen. Wir wollen deshalb herausfinden, wo sie Hilfe zur Selbsthilfe benötigen.»
Ein Schweizer Ökosystem für den Umgang mit Schwachstellen
In einem Folgeprojekt wollen Bug Bounty Switzerland und die ZHAW an der Weiterentwicklung von Bug Bounty Switzerlands Plattform zu einem Schweizer Ökosystem für ganzheitliches Schwachstellenmanagement und Digital Trust arbeiten. Dieses soll alle Akteure (neben den ethischen Hackern z. B. auch Behörden und Lieferanten) in einem kontinuierlichen Informationssicherheitsprozess verbinden und auch für KMUs, Kleinstorganisationen und die öffentliche Verwaltung zugänglich und erschwinglich sein.
«Wir leben in einer vernetzten Welt. Den Schutz des Wirtschaftsstandorts Schweiz im weltweiten Netz müssen wir gemeinsam in den Griff bekommen», erklärt Sandro Nafzger, CEO von Bug Bounty Switzerland.
«Als Schweizer Bug-Bounty-Pionier wollen wir einen Beitrag zur Sicherheit des Landes und zum Gelingen der digitalen Transformation leisten: Gemeinsam für eine sichere Schweiz.»
Über Bug Bounty Switzerland
Die Bug Bounty Switzerland GmbH wurde im April 2020 gegründet mit dem Ziel, Bug-Bounty-Programme und die Zusammenarbeit mit ethischen Hackern und unabhängigen Security-Researchern in der Schweiz zu etablieren. Zu den Gründungsmitgliedern zählen CEO Sandro Nafzger, CTO Florian Badertscher und CPO Lukas Heppler, welche die konzernweiten Bug-Bounty-Programme von Swisscom und der Schweizerischen Post aufgebaut haben. Bereits tausende ethische Hacker und Sicherheitsforscher haben an den von ihnen für führende Schweizer Unternehmen, den öffentlichen Sektor sowie kritische Infrastrukturen organisierten Bug-Bounty-Programme und Public-Trust-Initiativen teilgenommen. Zu den Kunden zählen unter anderem das Universitätsspital Zürich, Ringier, Baloise Group, Valiant Bank, Protonmail, Sherpany, BKW Energie und der Kanton Waadt. Sitz von Bug Bounty Switzerland ist Luzern, eine zweite Niederlassung unterhält das Unternehmen in Bern.