Bei Krankenversicherern ist Vertrauen Teil des Kerngeschäfts. Für die KPT als eine der zehn grössten Krankenkassen der Schweiz stellte sich deshalb die Vertrauensfrage, als es darum ging, mit einem Bug-Bounty-Programm ihre Cyber-Resilienz zu stärken.
Bevor das Programm im Mai 2023 starten konnte, galt es, die anfänglich kritischen Stimmen im Unternehmen zu beruhigen, schliesslich verfügte bei der KPT noch niemand über Erfahrung mit Ethical Hacking. Interessanterweise war es aber weniger die Geschäftsleitung, die Probleme mit dem Gedanken hatte, sich hacken zu lassen, sondern eher die IT-Security. «Ich hätte mehr Skepsis seitens des Managements erwartet», erinnert sich Walter Kunz, Group CSO/CISO und Mitglied der Direktion des Krankenversicherers. «Aber die GL liess sich schnell von den Vorteilen eines Bug-Bounty-Programms überzeugen.»
Ein Bug-Bounty-Programm im Autopilot
Um allfällige Skepsis zu zerstreuen, war die Wahl des Partners von zentraler Bedeutung. Die KPT-Geschäftsleitung folgte dem Vorschlag von Walter Kunz, für die Zusammenarbeit mit Bug Bounty Switzerland. Für die KPT waren dafür zwei Faktoren ausschlaggebend: zum einen, dass es sich um einen Schweizer Anbieter handelte, und zum anderen die hochkarätigen Referenzen, die die Schweizer Bug-Bounty-Pionierin vorweisen konnte. Vertrauensfördernd war zudem, dass Walter Kunz einige Mitglieder der Geschäftsleitung und des Advisory Boards von Bug Bounty Switzerland bereits mehrere Jahre persönlich kannte.
Die KPT entschied sich für eine gemanagte Variante, also ein Bug-Bounty-Programm, das komplett von Bug Bounty Switzerland betrieben werden kann, sofern die KPT keine Kapazität dazu hat. Die Krankenkasse definierte dazu die Rahmenbedingungen wie Ziele, Umfang, Budget und die maximale Anzahl Schwachstellenmeldungen, die von der Organisation problemlos verarbeitet werden können. Den Rest, also die ganze Steuerung und Skalierung des Programms sowie die Interaktionen mit den ethischen Hackern, übernahm Bug Bounty Switzerland in Abstimmung mit der KPT. Für die KPT läuft das Programm damit «im Autopilot» und innerhalb der definierten KPIs, ohne dass zusätzliche personelle Ressourcen benötigt werden, um das Programm effektiv und effizient zu betreiben. Als erstes wurden im Security-Team der KPT der Scope des Programms abgesteckt und dann gemeinsam mit Bug Bounty Switzerland die rechtlichen Rahmenbedingungen für das Programm festgelegt sowie eine für alle beteiligten Hacker geltende Policy ausgearbeitet. Der wichtigste Grundsatz der Policy lautet «Report first» gegenüber «Exploit first»: Hacker müssen jede Schwachstelle umgehend melden, statt selbst auszuprobieren, wie sie ausgenutzt werden könnte. Diese Maxime hat viel zur Beruhigung skeptischer Stimmen innerhalb der KPT beigetragen. Tatsächlich handelt sich bei den Teilnehmenden um keine unbekannten Personen, sondern um von Bug Bounty Switzerland sorgfältig ausgewählte und verifizierte ethische Hacker, die sich an die Verträge mit Bug Bounty Switzerland und der KPT halten. Durch sein datengestütztes Matchmaking stellt Bug Bounty Switzerland sicher, dass sich die geeignetsten aus über 15 000 gelisteten ethischen Hackern in den jeweiligen Programmen befinden. Wichtig ist auch, dass die Hacker während längerer Zeit sehr aktiv sind, so wird eine umfassende und kontinuierliche Testabdeckung sichergestellt.
Überprüfung der gesamten Angriffsoberfläche
Kommunikation und Kollaboration zwischen der KPT, ethischen Hackern und Bug Bounty Switzerland laufen über die von Bug Bounty Switzerland aufgebaute und in der Schweiz betriebene Cyber Resilience Plattform. Entdeckt ein teilnehmender ethischer Hacker eine Schwachstelle, meldet er sie in allen Details auf der Plattform. Die eingehenden Meldungen werden zunächst von Bug Bounty Switzerland punkto Übereinstimmung mit dem definierten Scope und Kritikalität der Sicherheitslücke eingeschätzt und validiert. Durch den gezielten Einsatz von künstlicher Intelligenz funktionieren diese Prozesse in einer sehr hohen Qualität und Effizienz. Nur die als tatsächlich akzeptierten Meldungen erreichen die IT-Security der KPT, wo sie vom Team analysiert und behoben werden.
Als valable Angriffsziele für die angemeldeten ethischen Hacker definierte die KPT alle Systeme, die unter der Domain kpt.ch laufen. Nach anfänglicher Diskussion wurde entschieden, dass dies auch die unter der Domain betriebenen SaaS-Dienste umfassen soll. Dieser Schritt hat sich als richtig erwiesen: In der Tat wurde ausgerechnet bei einem SaaS-Dienst eine kritische Schwachstelle gefunden. Nachdem die Sicherheitslücke gemeldet worden war, nahm die IT-Security umgehend Kontakt zum externen Anbieter auf. Dieser zeigte sich sehr kooperativ, und so konnte die Lücke rasch geschlossen werden.
«Uns hat dieser Vorfall einmal mehr gezeigt, wie wichtig das Third-Party-Risikomanagement ist», resümiert Kunz. «Bevor man seine Unternehmensdaten einem externen Anbieter anvertraut, muss dieser genau geprüft werden.» Dass Schwachstellen auch in SaaS-Angeboten gefunden werden, liegt schliesslich im Interesse aller: «Wenn wir einen Partner über ein Leak in einem seiner Services informieren, kann er deshalb nur dankbar sein.»
Der KPT dient Bug-Bounty als Ergänzung zum strategischen, mehrschichtigen Monitoring, das zum Ziel hat, die gesamte im Internet exponierte Angriffsfläche rund um die Uhr automatisch zu überwachen. «Wir haben dazu einen Monitoring-Service eingerichtet, den man als eine Art Oberflächenanalyse vorstellen kann», erklärt Kunz. Das zusätzliche Bug-Bounty-Programm dringt nun eine Stufe tiefer ein und bietet grössere Transparenz über noch vorhandene Schwachstellen – und dies sehr effektiv und kostengünstig im Vergleich zu herkömmlichem Penetration-Testing. Mit fortlaufender Dauer wurde das Programm zudem hochskaliert: Waren zu Beginn noch elf ethische Hacker am Start, sind mittlerweile über 500 involviert welche permanent die gesamte Angriffs-Oberfläche der KPT testen. Kunz ist sich des Werts dieser kollektiven Intelligenz für die KPT bewusst: «Jede Schwachstelle, die wir mit Hilfe unserer ethischen Hacker vor einem bösartigen Angreifer finden und schliessen, bringt uns einen Schritt weiter bei der Stärkung unserer Cyber-Resilienz.»
Die Skepsis hat sich in Begeisterung gewandelt
«Die Zusammenarbeit mit Bug Bounty Switzerland ist immer sehr professionell, unkompliziert, vertrauensvoll und persönlich – das gab uns stets ein gutes Gefühl», erklärt Kunz. «Die anfängliche Skepsis einiger Kollegen hat sich sehr schnell in Begeisterung gewandelt. Zudem kam es nie zu einem Problem im Betrieb», erklärt Kunz. Es überrascht daher kaum, dass die KPT verschiedene Erweiterungspläne für ihr Bug-Bounty-Programm hegt. Etwa mit sogenannten On-Demand Deep-Spot-Checks: Zwanzig bis dreissig ausgewählte ethische Hacker sollen Accounts erhalten, sodass sie in den Systemen und Anwendungen nach Schwächen suchen können.
Ein Bug-Bounty-Programm mit Bug Bounty Switzerland kann Walter Kunz nur empfehlen. Er rät jedoch davon ab, ein Programm selbst betreiben zu wollen. «Bei Bug Bounty Switzerland gibt es Bug Bounty Programme als Plug-and-Play-Lösung – das ist in meinen Augen die effektivste und effizienteste Variante. Wir hätten zu lange gebraucht und viele Ressourcen benötigt, um unser Programm selbst so präzise zu steuern.»
Allen, die noch unsicher oder skeptisch sind, rät Kunz, sich mit Firmen auszutauschen, die bereits diesbezügliche Erfahrungen gemacht haben. Erzählungen aus der Kundensicht würden diese Befürchtungen schnell zerstreuen, ist er überzeugt. «Laden sie Leute ein, die der Geschäftsleitung berichten und Fragen beantworten können!»
Würde Kunz sich denn dafür selbst auch zur Verfügung stellen? «Ich bin zwar sehr beschäftigt, aber wenn es mir zeitlich möglich ist, tu ich das gerne», bestätigt dieser. «Schliesslich geht es dabei ja auch um die kollektive Sicherheit in der Schweiz. Wenn ich etwas dafür tun kann, ist das auch in meinem Sinn.»
Über die KPT
Die KPT gehört zu den zehn grössten Krankenkassen der Schweiz. Rund 700 Mitarbeitende bieten den 600‘000 Versicherten das, was sie wirklich brauchen: Beste Preis-Leistung und höchste Kundenzufriedenheit. Als Genossenschaft übernimmt die KPT gesellschaftliche Verantwortung und setzt sich stets für die Interessen der Versicherten und Mitarbeitenden ein.
Über Walter Kunz
Walter Kunz ist lange bevor es den Beruf des Informatikers gab, ursprünglich als Fernmeldespezialist vor fast 40 Jahren in die Informatik eingestiegen. Anfänglich als Telematiker und Netzwerkspezialist tätig, hat ihn schon vor über 30 Jahren die IT-Security fasziniert, was zu seiner Spezialisierung führte. Nach der Weiterbildung zum Dipl. Wirtschaftsinformatiker und diversen Security Zertifizierungen wie CISM, CRISC, ISO 27001 Lead Auditor, hat er sich nach 15 Jahren von den technisch geprägten Aufgaben hauptsächlich auf das Information Security Management und Information Risk Management konzentriert und ist seit vielen Jahren in CISO-Rollen tätig. Während 6 Jahren war er parallel zur CISO Rolle auch als Auditor für das Zahlungsnetzwerk EuroGiro tätig und konnte dabei internationale IT-Audit Erfahrung bei Finanzinstituten sammeln. Walter Kunz hat sich stets für aktuelle Trends und Methoden interessiert und war daher auch sofort überzeugt, dass ein Bug Bounty Programm einen wichtigen Beitrag zur Cyber-Resilienz der KPT-Krankenkasse leisten konnte. Es passt sehr gut zu der Strategie des kontinuierlichen Monitorings der gesamten Angriffsoberfläche.Walter Kunz auf Linkedin