Wenn internationale Experten Schwachstellen in IT-Systemen suchen

Please login or
register
19.08.2020
Bug Bounty Team

Die Post und Swisscom gehören zu den Schweizer Vorreitern bei Bug-Bounty-Programmen, bei denen Belohnungen für das Auffinden von Sicherheitslücken und anderen Problemen ausgesetzt werden. Die führenden Köpfe hinter den Programmen haben nun ein Startup gegründet.

Das Gelingen der digitalen Transformation bedingt sichere IT-Systeme – und eine der wirksamsten und kosteneffizientesten Vorgehensweisen, um Schwachstellen aufzudecken und die Sicherheit laufender IT-Systeme kontinuierlich zu verbessern, sind sogenannte Bug-Bounty-Programme. Die im April 2020 gegründete Bug Bounty Switzerland mit Sitz in Luzern hat sich dem Ziel verschrieben, Bug-Bounty-Programme in der Schweiz zu etablieren.

Im Rahmen eines Bug-Bounty-Programms werden «ethische Hacker» – also Hacker, die sich komplett im Rahmen der Legalität bewegen – dazu aufgerufen, Schwachstellen in den produktiven Systemen eines Unternehmens aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), deren Höhe abhängig von der Gefährlichkeit der entdeckten Lücke ausfällt. Im Gegensatz zu herkömmlichen Penetrationstests, wo eine begrenzte Anzahl Security-Experten eines Drittunternehmens die Sicherheitsparameter ihres Kunden erforschen, nehmen bei einem Bug-Bounty-Programm in der Regel hunderte unabhängige und hochqualifizierte, internationale Experten teil. Der Return on Investment fällt dabei um ein Vielfaches höher aus, da nur für gefundene Lücken bezahlt wird.

Die Schweizerische Post und Swisscom sind hierzulande Vorreiter dieses Vorgehens. Beide Unternehmen betreiben konzernweite Bug-Bounty-Programme, deren Ergebnisse sich sehen lassen: So konnte die Post in einer ersten Phase bereits fünfzig kritische Schwachstellen in den getesteten Onlinediensten beheben. Bei der Swisscom werden jährlich rund 400 Schwachstellen aufgespürt – trotz hoher Sicherheitsstandards und vielen Penetrationstests.

Ausgewiesene Experten

Mit Sandro Nafzger (CEO) und Florian Badertscher (CTO) stehen jene Experten hinter dem neuen Unternehmen, die in den letzten Jahren diese ersten grossen Bug-Bounty-Programme der Schweiz aufgebaut und geführt haben. Als COO und Partner steht ihnen mit Matthias Jauslin ein IT-Projektleiter mit jahrelanger Erfahrung zur Seite, der zuletzt in der Geschäftsleitung einer Unternehmens- und IT-Beratung tätig war. Komplettiert wird das Team durch Lukas Heppler (Head of Customer Success) und Alessandro Casablanca (Head of Marketing).

Penetrationstest reichen nicht mehr

«Die sichere Digitalisierung der Schweiz liegt uns sehr am Herzen», erklärt Sandro Nafzger. «Unsere Erfahrung zeigt allerdings, dass traditionelle Sicherheitsmassnahmen wie Penetrationstests nicht mehr ausreichen, um kritische Schwachstellen in IT-Systemen zu finden.» Den meisten Unternehmen ist nicht bewusst, dass sie ein Sicherheitsproblem haben und nur ungenügend vor Cyberattacken geschützt sind. Das merkt man in der Regel erst, wenn es bereits zu spät ist. «Es gibt keine effektivere Art, sich vor Cyberattacken zu schützen, als die Zusammenarbeit mit ethischen Hackern», ist Nafzger deshalb überzeugt. «Indem wir die hierzulande vorhandene Expertise in einem Unternehmen bündeln, können auch andere Firmen von unserem Erfahrungsschatz profitieren und so die Sicherheit ihrer Systeme erhöhen.»

0Comments

More news about

Bug Bounty Switzerland AG

rss