Bis zu hundert Hacker suchten nach einer kritischen Sicherheitslücke in der Schweizer Meeting-Management-Lösung Sherpany – aber eine Schwachstelle über dem definierten kritischen Grenzwert konnte nicht gefunden werden. Der Test war Teil einer Wette zwischen Sherpany und Bug Bounty Switzerland. Wir freuen uns, wenn unsere Kunden die Wette gewinnen, insbesondere wenn diese sich wie Sherpany bereits durch ein hohes Sicherheitslevel auszeichnen und sich der Sicherheit ihrer Kundendaten verpflichtet haben. So geht auch Bug Bounty Switzerland als Sieger aus der Wette heraus: Um die Sicherheit seiner Lösung auch in Zukunft zu garantieren, wird Sherpany das Bug-Bounty-Programm fortführen und im Rahmen eines kontinuierlichen Programms die Plattform regelmässig von unseren ethischen Hackern auf Sicherheitslücken überprüfen lassen.
Der Zürcher Hersteller von Meeting-Management-Software Sherpany hat seine gleichnamige Software von unseren ethischen Hackern auf Sicherheitslücken prüfen lassen. Während eines Testlaufs vom 8. bis zum 29. Juni 2021 konnten die aufgebotenen Hacker trotz eines Preisgelds von bis zu 15 000 Franken pro gefundene kritische Schwachstelle keine relevanten Lücken finden. Um die Sicherheit der Plattform auch weiterhin zu garantieren, wird das Bug-Bounty-Programm von Bug Bounty Switzerland in den laufenden Betrieb überführt.
Sherpany ist eine Lösung für die Vorbereitung, Durchführung und Nachbearbeitung von Geschäftsmeetings. Die Software unterstützt Führungskräfte bei der Strukturierung von Sitzungen, um die Produktivität von Meetings zu erhöhen und damit den Geschäftserfolg zu steigern. Da Sherpany als Software-as-a-Service-Lösung in geschäftsrelevanten Bereichen eingesetzt wird, ist ein hoher Grad an Sicherheit vor Cyberattacken unerlässlich. Im Rahmen unserer Bug-Bounty-Programme werden «ethische Hacker» – also Hacker, die komplett legal arbeiten – dazu aufgerufen, Schwachstellen in den produktiven Systemen unserer Kunden aufzuspüren. Für jede gefundene und bestätigte Schwachstelle erhält der erfolgreiche, ethische Hacker aus unserer Community eine Belohnung.
Von der Wette zum kontinuierlichen Programm
Die Kooperation von Sherpany und Bug Bounty Switzerland begann mit einer Wette zwischen den beiden Unternehmen: Würde ein Bug-Bounty-Programm kritische Sicherheitslücken in der Software aufspüren können? Hundert ethische Hacker konnten in drei Wochen die Sicherheit der Sherpany-Plattform nicht beeinträchtigen. Dies unterstreicht den hohen Sicherheitsstandard der Lösung und bestätigt, dass die Kundendaten gut geschützt sind.
Für Mathias Brenner, CTO von Sherpany hat sich das Investment in das Bug-Bounty-Programm gelohnt: «Sherpany konnte den öffentlichen Beweis erbringen, dass die Daten unserer Kunden so sicher wie möglich sind. Unsere bisherigen Bemühungen und Investitionen in die Sicherheit haben sich ausgezahlt.»
Trotz des positiven Resultats der Wette will sich Sherpany nicht zurücklehnen. Im Gegenteil: Der Bug-Bounty-Testbetrieb von BBS wird als laufendes Programm weitergeführt, da sich durch die Zusammenarbeit mit den ethischen Hackern durchaus Hinweise auf mögliche Optimierungen ergaben, mit denen sich die Sicherheit aller Systeme weiter verbessern lässt. Damit unterstreicht Sherpany, wie ernst es den Schutz der Kundendaten nimmt. «Sicherheit ist ein kontinuierlicher Prozess», erklärt Mathias Brenner. «Mit dem fortwährenden Einsatz eines Bug-Bounty-Programms beweisen wir, dass wir diesen Prozess verinnerlicht haben.»
Florian Badertscher, CTO von Bug Bounty Switzerland, grämt sich keineswegs ob der verlorenen Wette: «Unser Ziel ist eine sichere Schweiz und der sogenannte Digital Trust. Wir freuen uns deshalb, dass Sherpany die Wette gewonnen hat», erklärt er. «Sherpany konnte so unter Beweis stellen, dass sich ein hohes Investment in die Sicherheit lohnt und sichere Systeme durchaus möglich sind. Auch wenn keine kritischen Fehler gefunden wurden, konnten unsere Hacker Sherpany trotzdem helfen. Das freut uns natürlich besonders. Die Fortführung des Bug-Bounty-Programms hilft, das Niveau der Plattform auch in Zukunft zu halten, die Sicherheit des gesamten Unternehmens zu verbessern und so das Vertrauen der Kunden zu stärken.»
Mehr zu unserem Kunden Sherpany
Sherpany ist der Schweizer Marktführer für Meeting-Management-Software. CEO Tobias Häckermann verfolgt seit der Gründung 2011 das Ziel, eine Welt zu schaffen, in der jedes Meeting zählt. Die Sherpany Software beruht auf dem eigens entwickelten Azend-Framework, das anhand der neuesten Erkenntnisse aus der Meeting-Wissenschaft erstellt wurde und Best Practices aufzeigt. Bereits über 300 europäische Unternehmen nutzen Sherpany mit dem Ziel, ihre geschäftsrelevanten Meetings produktiver zu machen und dadurch den Unternehmenserfolg zu erhöhen. Laut einer Jury aus internationalen Investorinnen und Investoren gehört Sherpany zu den besten Scale-ups der Schweiz mit dem Potenzial zum Einhorn. Sherpany beschäftigt über 150 Mitarbeitende an sechs Standorten in Europa sowie remote in 19 Ländern auf der ganzen Welt.
