Ethical Hacking in der Softwarebranche: Bug Bounty & Coordinated Vulnerability Disclosure (CVD) bei Puzzle ITC

Zusammen mit Bug Bounty Switzerland arbeitet Puzzle ITC erfolgreich mit ethischen Hackern zusammen – und wird dadurch zum Vorbild für die Softwareentwicklungsbranche. 

Von Isaak Mtizwa, Veröffentlicht am 16. Februar 2024 5 min Lesezeit

Puzzle ITC ist ein etabliertes Schweizer Software- und Technologieunternehmen. An den Standorten Bern, Zürich, Basel und Tübingen (DE) setzen über 140 Mitarbeiter anspruchsvolle IT-Projekte um. Dabei spielt die Cybersicherheit eine immer zentralere Rolle und wird gegenüber Mitbewerbern sogar zu einem Wettbewerbsvorteil. Zusammen mit Bug Bounty Switzerland arbeitet Puzzle ITC dazu erfolgreich mit ethischen Hackern zusammen – und wird dadurch zum Vorbild für die Softwareentwicklungsbranche. 

Wie alles begann – Die Frau die sich selbst zum CISO machte

Dass die Rolle vom Chief Information Security Officer (CISO) auch in der Schweiz immer wie wichtiger wird, ist spätestens seit den letztjährigen «CISO of the Year» Awards klar. Franziska Bühler hat bereits im 2021 verstanden, dass es auch für Puzzle ITC eine dedizierte Person braucht, welche die Verantwortung für das Thema Informationssicherheit übernimmt und firmenweit, aber auch gegenüber dem Top-Management vertritt. So hat sie sich kurzerhand auf die damals nicht existierende Position «CISO bei Puzzle ITC» beworben und somit zusammen mit der Geschäftsleitung diese neue und erfolgskritische Stelle geschaffen.

Für einen modernen CISO geht es nicht mehr darum zu beweisen, wie sicher man ist, sondern ganz genau hinzuschauen und die bestehenden Verletzlichkeiten und Risiken zu kennen, um dann die Organisation zu befähigen jeden Tag etwas besser damit umzugehen. Und genau dafür ist die Zusammenarbeit mit ethischen Hackern eine richtige Wunderwaffe.

So wurde auch bei Puzzle ITC, kurz nach der Benennung von Franziska Bühler zum CISO, ein privates Bug Bounty Programm gestartet. Zuerst wurde mit einem Reality-Check eine Standortbestimmung über die Cyber-Resilienz durchgeführt und danach in ein kontinuierliches Bug Bounty Programm überführt, um eine laufende Überprüfung der gesamten Angriffsoberfläche sicherzustellen, quasi als «Last Line of Defense».

Massiver Skalierungseffekt für Security Organisationen 

Mittlerweilen wird Informationssicherheit bei Puzzle von Mark Zeman als neuen CISO geleitet. Der ehemalige Penetration Tester erklärt im Interview, warum eine kontinuierliche Testabdeckung durch ethische Hacker so wichtig ist.  

«Sobald neue Sicherheitslücken auftreten, müssen diese schnell gefunden werden. Wir selbst hätten aber die Kompetenzen und Kapazitäten gar nicht, um solch umfassende Sicherheitstest laufend durchzuführen. Mit einem Bug Bounty Programm hingegen kann man seine ganze Angriffsoberfläche sehr effizient testen lassen. Das ist ein massiver Skalierungseffekt, gerade für kleine Security Organisationen.» 

Neben privaten Bug Bounty Programmen, betreibt Puzzle ITC deshalb auch ein sogenanntes Vulnerability Disclosure Program (VDP). Bei dieser passiven Form von einem Bug Bounty Programm, werden zwar keine Belohnungen ausgezahlt, können ethische Hacker dennoch Sicherheitslücken melden in einem legalen Rahmen und gemäss klar definierten Spielregeln. 

Schutz der gesamten Angriffsoberfläche 

Durch die Zusammenarbeit mit ethischen Hackern kann die gesamte Angriffsoberfläche einer Organisation sehr effektiv und effizient getestet werden. Dabei ist ein Bug Bounty Programm als ein aktives Portfolio von mehreren Sicherheitstest mit verschiedenen Ausprägungen zu verstehen.  

Zu den wichtigsten gehören: 

  • Reality & Deep Spot Checks: Mit diesen dedizierten Sicherheitstest werden ganz spezifische Problemstellungen gelöst. Sei es, dass man die Zusammenarbeit mit ethischen Hackern einfach einmal ausprobieren und die Cyber-Resilienz testen will oder dass man ganz spezifische Fragestellungen beantworten möchte, zum Beispiel zur Verbesserung der Produktsicherheit. Viele der traditionellen Penetrationstests können durch solch private und zeitlich limitierte Bug Bounty Programme ersetzt werden. 
  • Kontinuierliche Bug Bounty Programme: Ethische Hacker werden dazu motiviert 24/7 die gesamte Angriffsoberfläche einer Organisation zu testen gemäss klar definierten Spielregeln. Denn früher oder später treten neue Schwachstellen auf, egal wie modern und professionell die IT-Systeme sind. Mit dieser «Last Line of Defense» werden solche Sicherheitslücken erkannt und behoben bevor sie von Cyberkriminellen ausgenutzt werden können. Auch kontinuierliche Bug Bounty Programme werden meist in einem privaten Modus mit Geheimhaltungsvereinbarungen betrieben. 
  • Vulnerability Disclosure Program (VDP): Als neuer Sicherheitsstandard ermöglich ein VDP das Melden von Sicherheitslücken auch ausserhalb von einem Bug Bounty Programm. Dafür werden zwar keine Belohnungen ausgezahlt für gemeldete Sicherheitslücken, jedoch der Grundstein gelegt für eine konstruktive Zusammenarbeit mit einer talentierten und motivierten Community von ethischen Hackern.  

Lass uns auch Deine Cyber Resilienz aufs nächste Level bringen 

Als Schweizer Marktführer helfen wir dabei, die Zusammenarbeit mit ethischen Hackern als neuen Cyber-Security-Standard für die ganze Schweiz zugänglich zu machen. 

Lass uns in einem unverbindlichen Onlinemeetings darüber sprechen, wie wir zusammen auch die Cyber-Resilienz deiner Organisation aufs nächste Level bringen können. Ganz einfach, schnell und sicher.

Wir freuen uns darauf dich kennen zu lernen!

Anbei kannst Du Deinen Termin vereinbaren mit Abedin einem unserer Cyber Risk Consultants:
 

Beratungstermin vereinbaren

Wir freuen uns Dich kennen zu lernen, Deine Ideen zu besprechen und Dich ganz unverbindlich zu beraten. Hier kannst Du direkt einen Termin buchen.

Beratungstermin vereinbaren

Bleib auf dem Laufenden mit unserem Newsletter!

Du suchst Bug Bounty News, Hackerportraits und Erfolgsgeschichten aus dem Unternehmensalltag? Bleib auf dem Laufenden mit unserem Newsletter.

Hast Du Fragen?

Nimm mit uns Kontakt auf - wir freuen uns auf Dich!

Termin vereinbaren