Legale Cyberattacke auf Chiefs und NIKIN

Die Unternehmen Chiefs AG und NIKIN AG, haben ihre IT-Systeme proaktiv von 60 ethischen Hackern angreifen lassen. Dabei wurden insgesamt 36, zum Teil kritische, Sicherheitslücken gefunden. Organisiert wurde der Reality-Check von Bug Bounty Switzerland in Zusammenarbeit mit CISCO Schweiz.

Darf’s ein köstlicher Protein-Riegel oder lieber ein nachhaltig produziertes T-Shirt sein? Fast jeder kennt und mag sie: Chiefs und NIKIN. Die beiden Schweizer Lifestyle Brands setzten beide in ihrem Bereich schon lange neue Standards. Nun gehen Sie auch in Bezug auf Cybersicherheit die Extrameile und werden so zum Vorbild für die ganze Schweizer E-Commerce Branche.

Vom 10. – 28. März wurden sämtliche IT-Systeme der beiden Firmen auf Herz und Nieren getestet von 60 ethischen Hackern. Bei diesem legalen Hackerangriff, einem sogenannten Reality-Check, ging es darum verborgene Sicherheitslücken zu finden.

Innerhalb von kürzester Zeit konnte so eine realistische Risikoeinschätzung bezüglich der eigenen Verletzlichkeit durchgeführt und die Sicherheit verbessert werden.

Denn wer kann einem besser sagen, wo man vor böswilligen Cyberattacken noch nicht genügend geschützt ist, als ein echter Hacker?

«Einen legalen Hackerangriff live mitzuerleben, würde ich wirklich jeder Organisation empfehlen, den nirgends werden einem die eigenen Fehler und Verbesserungsmöglichkeiten so knallhart aufgezeigt!» – Pascal Zeder, CEO von Chiefs

Fünf kritische Sicherheitslücken gefunden

Auf den ersten Blick schienen beide Firmen bereits sehr gut geschützt. Bei beiden Firmen werden moderne und bekannte Onlineshop-Systeme mit einer hohen Sicherheitsmaturität eingesetzt. So wurden in den ersten Wochen von den ursprünglich 10 eingeladenen Hackern auch nur 12 mittelschwere Sicherheitslücken (medium) sowie eine Sicherheitslücke mit hoher Relevanz (high) gefunden.

Am siebten Tag vom Test wurde die Situation analysiert von unserem Team und etwas gemacht, was so nur bei einem Bug Bounty Programm möglich ist: Es fanden Gespräche mit den ethischen Hackern statt und der Sicherheitstest wurde noch während der Laufzeit optimiert.

Am achten und neunten Tag wurde das Programm stark skaliert und die Anzahl der eingeladenen Hackern auf 60 erhöht – quasi per Knopfdruck. Bereits ein Tag später, startete dann ein Feuerwerk mit hoch-kritischen Sicherheitslücken, die gefunden wurden.

Während den 18 Tagen Laufzeit vom Reality-Check wurden insgesamt 36 Sicherheitslücken gefunden. Dafür wurden insgesamt CHF 20’000.- an die ethischen Hacker ausbezahlt. Fünf dieser Sicherheitslücken waren hoch-kritisch (critical) und hätten es erlaubt einen der getesteten Shop- und Serversysteme komplett zu übernehmen, sowie auch Kundendaten zu stehlen.

Damit zeigt sich eindrücklich, dass fast jedes noch so gut geschützte IT-System gehackt werden kann, wenn die richtigen Leute, mit den richtigen Skills und der richtigen Motivation, zur richtigen Zeit zusammenfinden.

Und genau dieses einzigartige Matchmaking erfolgt bei einem Bug Bounty Programm von Bug Bounty Switzerland, wie bei wohl keiner anderen Cybersecurity-Lösung auf dem Markt.

Wir sind stolz auf unsere Fehler

Ein perfektes IT-System ohne Schwachstellen gibt es heute nicht mehr. Viel zu komplex und schnelllebig ist die digitale Welt geworden. Deshalb reichen traditionelle Sicherheitsmassnahmen nicht mehr aus, um sich effektiv vor Cyberattacken zu schützen.

Es gibt eigentlich nur zwei Möglichkeiten wie Sicherheitslücken gefunden werden können, von denen man bis anhin noch nichts weiss:

Entweder durch kriminelle Hacker im Rahmen von bösartigen Cyberattacken – die oft existenzbedrohend sind.
Oder proaktiv, durch die Zusammenarbeit mit ethischen Hackern – ohne dass dabei ein Schaden entsteht.

Dazu braucht es aber einen offenen Mindset und das Verständnis, dass jeder Fehler eine Chance ist, um besser zu werden. Genau dieser Kulturwandel, hin zu einer transparenten und konstruktiven Fehlerkultur, ist einer der Schlüssel, damit die digitale Transformation gelingt.

Dabei wird IT-Sicherheit und das Vertrauen der Kunden (Digital Trust) ein immer wichtigerer Wettbewerbsvorteil.

Die beiden Firmen Chiefs und NIKIN machen dies eindrücklich vor und sagen «Wir sind stolz auf unsere Fehler, denn dadurch können wir laufend besser werden!».

«Wir waren sehr überrascht von der technischen Raffinesse der Hacker und was wir daraus lernen konnten» – Nicolas Hänni, Co-Founder von NIKIN

Cybersecurity ist ein Teamsport

Die heutigen Herausforderungen im Bereich Cybersecurity können heute nur noch gemeinsam bewältigt werden. Dazu braucht es eine neue Art der Zusammenarbeit. Innerhalb von Organisationen aber auch weit über die Organisationsgrenzen hinaus.

Interne Teams müssen mit ihren Partnern, Lieferanten, Behörden und einer globalen Community von ethischen Hackern und Sicherheitsforscherinnen effizient und ohne Medienbrüche zusammenarbeiten können.

Die beteiligten Unternehmen wollen mit dieser Kollaboration mehr Awareness für moderne Cybersecurity schaffen und auf die Notwendigkeit von Bug Bounty Programmen hinweisen.

Dazu hat CISCO Schweiz die Kosten für die Belohnungen der ethischen Hacker übernommen. Bug Bounty Switzerland hat ihren Managed Service sowie ihre Vulnerability Collaboration Platform zur verfügung gestellt.

Ganz gemäss dem Motto «Gemeinsam für eine sichere Schweiz!»

«Wir auf der guten Seite müssen uns ebenfalls aufrüsten. Zusammen mit ethischen Hackern, können wir kritische Sicherheitslücken finden.»

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.