Die Unternehmen Chiefs AG und NIKIN AG, haben ihre IT-Systeme proaktiv von 60 ethischen Hackern angreifen lassen. Dabei wurden insgesamt 36, zum Teil kritische, Sicherheitslücken gefunden. Organisiert wurde der Reality-Check von Bug Bounty Switzerland in Zusammenarbeit mit Cisco Schweiz.
Darf’s ein köstlicher Protein-Riegel oder lieber ein nachhaltig produziertes T-Shirt sein? Fast jeder kennt und mag sie: Chiefs und NIKIN. Die beiden Schweizer Lifestyle Brands setzen beide in ihrem Bereich schon lange neue Standards. Nun gehen Sie auch in Bezug auf Cybersicherheit die Extrameile und werden so zum Vorbild für die ganze Schweizer E-Commerce Branche.
Vom 10. – 28. März wurden sämtliche IT-Systeme der beiden Firmen von 60 ethischen Hackern auf Herz und Nieren getestet. Bei diesem legalen Hackerangriff, einem sogenannten Reality-Check, ging es darum verborgene Sicherheitslücken proaktiv zu finden.
Innerhalb von kürzester Zeit konnte so eine realistische Risikoeinschätzung bezüglich der eigenen Verletzlichkeit durchgeführt und die Sicherheit verbessert werden.
Denn wer kann einem besser sagen, wo man vor böswilligen Cyberattacken noch nicht genügend geschützt ist, als ein echter Hacker?
«Einen legalen Hackerangriff live mitzuerleben, würde ich wirklich jeder Organisation empfehlen, den nirgends werden einem die eigenen Fehler und Verbesserungsmöglichkeiten so knallhart aufgezeigt!»
– Pascal Zeder, Chiefs
Fünf kritische Sicherheitslücken gefunden
Auf den ersten Blick schienen beide Firmen bereits sehr gut geschützt zu sein. Bei beiden Firmen werden moderne und bekannte Onlineshop-Systeme mit einer hohen Sicherheitsmaturität eingesetzt. So wurden in den ersten Wochen von den ursprünglich 10 eingeladenen Hackern auch nur 12 mittelschwere Sicherheitslücken (medium) sowie eine Sicherheitslücke mit hoher Relevanz (high) gefunden.
Am siebten Tag vom Test wurde die Situation von unserem Team analysiert und etwas gemacht, was so nur bei einem Bug Bounty Programm möglich ist: Es fanden Gespräche mit den ethischen Hackern statt und der Sicherheitstest wurde noch während der Laufzeit optimiert.
Am achten und neunten Tag wurde das Bug Bounty Programm dann stark skaliert und die Anzahl der eingeladenen Hackern auf 60 erhöht – quasi per Knopfdruck. Bereits ein Tag später, startete dann ein Feuerwerk mit hoch-kritischen Sicherheitslücken, die gefunden wurden.
Während den 18 Tagen Laufzeit vom Reality-Check wurden insgesamt 36 Sicherheitslücken gefunden. Dafür wurden insgesamt CHF 20’000.- an die ethischen Hacker ausbezahlt. Fünf dieser Sicherheitslücken waren hoch-kritisch (critical) und hätten es erlaubt einen der getesteten Shop- und Serversysteme komplett zu übernehmen, sowie auch Kundendaten zu stehlen.
Dadurch, dass diese Sicherheitslücken proaktiv im Rahmen von einem Bug Bounty Reality-Check gefunden wurden, konnten diese behoben werden, bevor sie von Cyberkriminellen ausgenutzt wurden.
Damit zeigt sich eindrücklich, dass fast jedes noch so moderne und gut geschützte IT-System gehackt werden kann, wenn die richtigen Leute, mit den richtigen Skills und der richtigen Motivation, zur richtigen Zeit zusammenfinden.
Und genau dieses einzigartige Matchmaking erfolgt bei einem Bug Bounty Programm von Bug Bounty Switzerland auf eindrückliche Weise.
Wir sind stolz auf unsere Fehler
Ein perfektes IT-System ohne Schwachstellen gibt es heute nicht mehr. Viel zu komplex und schnelllebig ist die digitale Welt geworden. Deshalb reichen traditionelle Sicherheitsmassnahmen nicht mehr aus, um sich effektiv vor Cyberattacken zu schützen.
Es gibt eigentlich nur zwei Möglichkeiten wie Sicherheitslücken gefunden werden können, von denen man bis anhin noch nichts weiss:
- Entweder durch kriminelle Hacker im Rahmen von bösartigen Cyberattacken – die oft existenzbedrohend sind.
- Oder proaktiv, durch die Zusammenarbeit mit ethischen Hackern – ohne dass dabei ein Schaden entsteht.
Dazu braucht es aber einen offenen Mindset und das Verständnis, dass jeder Fehler eine Chance ist, um besser zu werden. Genau dieser Kulturwandel, hin zu einer transparenten und konstruktiven Fehlerkultur, ist einer der Schlüssel, damit die digitale Transformation gelingt.
Dabei wird IT-Sicherheit und das Vertrauen der Kunden (Digital Trust) ein immer wichtigerer Wettbewerbsvorteil.
Die beiden Firmen Chiefs und NIKIN machen dies eindrücklich vor und sagen «Wir sind stolz auf unsere Fehler, denn dadurch können wir laufend besser werden!».
«Wir waren sehr überrascht von der technischen Raffinesse der Hacker und was wir daraus lernen konnten»
– Nicolas Hänny, Co-Founder von NIKIN
Cybersecurity ist ein Teamsport
Die heutigen Herausforderungen im Bereich Cybersecurity können heute nur noch gemeinsam bewältigt werden. Dazu braucht es eine neue Art der Zusammenarbeit. Innerhalb von Organisationen aber auch weit über die Organisationsgrenzen hinaus.
Mit diesem Vorzeigeprojekt will Cisco Schweiz auf die Wichtigkeit von modernen Cybersecurity Lösungen hinweisen und die Notwendigkeit von Bug Bounty Programmen aufzeigen.
Dazu hat Cisco Schweiz die Kosten für die Belohnungen der ethischen Hacker übernommen. Bug Bounty Switzerland hat ihren Managed Service sowie ihre Kollaborationsplatform zur Verfügung gestellt.
Ganz gemäss dem Motto «Gemeinsam für eine sichere Schweiz!»
«Wir auf der guten Seite müssen uns ebenfalls aufrüsten. Zusammen mit ethischen Hackern, können wir kritische Sicherheitslücken finden.»
– Roman Stefanov, Cyber Security Sales Lead bei CISCO Schweiz
