:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die strategische Zusammenarbeit von Grammarly mit Hackern Bug Bounty von einem White-Hat-Hacker erklärt
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Um Cyberkriminellen bei der Ausnutzung von Schwachstellen einen Schritt voraus zu sein, gibt es für Unternehmen verschiedene Möglichkeiten, zum Beispiel Pentests und Bug Bounty Programme. Ein White-Hat-Hacker erklärt, wie Unternehmen private und öffentliche Bug Bounty Programme starten können und was sie bringen.
In einer Welt, die immer schneller und komplexer wird, ist es wichtig, die Unternehmenssicherheit als kontinuierlichen Prozess zu betrachten, anstatt sie nur punktuell zu bewerten. Angreifer sind hartnäckig und einfallsreich. Sie finden ständig neue Wege, um Schwachstellen auszunutzen. Das bedeutet, dass Lösungen, die gestern noch funktionierten, morgen möglicherweise nicht mehr ausreichen. Um potenziellen Sicherheitsbedrohungen einen Schritt voraus zu sein, gibt es Validierungsmethoden wie Pentests und Bug Bounty Programme. Das Softwareunternehmen Grammarly, das den gleichnamigen Schreibassistenten entwickelt, führt seit mehr als fünf Jahren ein eigenes Bug Bounty Programm durch und hat dadurch erhebliche Vorteile aus der Zusammenarbeit mit ethischen Hackern gezogen.
Suha Can, Chief Information Security Officer bei Grammarly, arbeitet mit seinem Team täglich daran, neue Sicherheitsstandards für das Unternehmen zu setzen. Eines seiner Teammitglieder, V. Metnew, der heute als Application Security Engineer für Grammarly tätig ist, verfügt über langjährige Erfahrung als White-Hat-Hacker. Er bringt sein umfangreiches Fachwissen und seine einzigartige Perspektive ein, um das Bug Bounty Programm des Unternehmens erfolgreich zu betreiben. Gemeinsam mit Suha Can erklärt der Sicherheitsexperte, wie Unternehmen private und öffentliche Bug Bounty Programme starten können und wie diese dazu beitragen, die Sicherheit von Produkten zu gewährleisten und das Vertrauen der Kunden zu stärken.
Sicherheitslücken werden von ethischen Hackern aufgedeckt
Ethische Hacker decken Sicherheitslücken auf, indem sie mit Unternehmen in Bug Bounty Programmen zusammenarbeiten. Diese Programme ermöglichen die Zusammenarbeit mit White-Hat-Hackern, die das Produkt untersuchen und gefundene Fehler („Bugs“) melden. Es ist wichtig, dass diese Schwachstellen vor ihrer Behebung nicht öffentlich gemacht werden, erklärt Suha Can, CISO bei Grammarly. Die Unternehmen müssen daraufhin schnell auf die Berichte der Forscher reagieren und die entdeckten Lücken schließen. Als Gegenleistung erhalten die Forscher Belohnungen („Bounty“) entsprechend der Schwere der Schwachstellen. Bug Bounty Programme stellen ein zusätzliches Instrument dar, um Ad-hoc-Penetrationstests durch kontinuierliche Programme zu ergänzen. Dadurch wird gewährleistet, dass möglichst sichere Produkte bereitgestellt werden, die die Daten der Nutzer schützen und das Vertrauen der Kunden stärken. Laut Sicherheitsexperte Can können Bug Bounty Programme entweder in einem privaten, selektiven Kreis von ethischen Hackern auf einer bestimmten Plattform oder im öffentlichen Modus durchgeführt werden. Im Falle eines öffentlichen Programms kann jeder Forscher seinen Bericht einreichen und eine Belohnung erhalten. V. Metnew, ein ehemaliger White-Hat-Hacker, erklärt, dass das Prinzip des Linus' Gesetzes in der Software-Entwicklung auch auf Bug Bounty Programme zutrifft. Es besagt: „Bei genügend Augäpfeln sind alle Fehler oberflächlich“. Das bedeutet, dass mit ausreichend Beta-Testern und Mitentwicklern nahezu jedes Problem schnell erkannt und behoben werden kann. Metnew fährt fort und erklärt, dass ethische Hacker bei der Lösung von logischen Fehlern, Fehlkonfigurationen und Kommunikationsproblemen in verschiedenen Diensten helfen, bei denen Automatisierung nicht immer ausreichend ist. Sie sind in der Regel proaktiv und melden Fehler, sobald sie sie entdecken, da sie bestrebt sind, die besten Ergebnisse zu erzielen.
Der Beginn privater Bug Bounty Programme
Um ein privates Bug Bounty Programm durchzuführen, sind bestimmte wesentliche Schritte erforderlich. Als Erstes sollte das Unternehmen eine passende Plattform wählen. Grammarly hat sich für HackerOne entschieden, eine Plattform, die von namhaften Unternehmen wie Adobe, IKEA, GitHub, PayPal und Lufthansa genutzt wird. Anschließend sollten klare Richtlinien für die Zusammenarbeit mit ethischen Hackern festgelegt werden, darunter der Umfang der Tests, die Berichterstattung und das Belohnungssystem. Die Plattform lädt dann gezielt Forscher mit entsprechenden Profilen ein. Zu Beginn des Programms kann es eine Herausforderung sein, den Ansturm von Berichten zu bewältigen. Eine Empfehlung besteht darin, ein Rotationssystem für Ingenieure einzuführen, um eine effiziente Bearbeitung und Verteilung der Berichte an die Entwicklungsteams zu gewährleisten.
Die Definition der Zusammenarbeit mit ethischen Hackern
Der Erfolg des Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. Auch hier gibt der CISO des Softwareunternehmens Grammarly Ratschläge, die sein Unternehmen befolgt: „Wir pflegen eine offene Kommunikation, reagieren zeitnah und schaffen Anreize für die Teilnahme“, erklärt Suha Can. Es ist wichtig, schnell auf Nachrichten von Hackern zu reagieren, da die Reaktionsgeschwindigkeit für Forschende oft ein entscheidender Faktor ist, um an einem Unternehmensprogramm teilzunehmen. Das Softwareunternehmen Grammarly ging sogar noch einen taktischen Schritt weiter und beschloss, einen White-Hat-Hacker intern in das Team aufzunehmen: „Nach einer Zeit produktiver Zusammenarbeit haben wir einen erfahrenen Bug Bounty Hacker aus dem Programm eingeladen, sich unserem Sicherheitsteam anzuschließen“, berichtet der CISO von Grammarly. V. Metnew arbeitet nun bereits seit über vier Jahren als Application Security Engineer im Unternehmen und leitet derzeit das öffentliche Bug Bounty Programm von Grammarly, wobei er direkt mit den ethischen Hackern zusammenarbeitet, erklärt Can. „Es war für mich eine naheliegende Entscheidung, dem Team von Grammarly beizutreten und dem Unternehmen dabei zu helfen, die Sicherheitsbemühungen zu stärken“, sagt V. Metnew. Er fährt fort: „Während viele meiner Aufgaben als unabhängiger Sicherheitsforscher ähnlich sind wie meine aktuellen Aufgaben, ist die Arbeit als Application Security Engineer viel komplexer und vielschichtiger. Sie erfordert solide Fähigkeiten in der Entwicklung und Softwarearchitektur. Als Bug Bounty Researcher liegt der Fokus im Allgemeinen mehr auf Details wie Datenflüssen, Zeitabläufen und erwartetem Verhalten. Als Sicherheitsingenieur muss man jedoch auch das größere Bild, das 'Big Picture', im Blick haben und in einem entsprechend größeren Maßstab arbeiten: Hunderte von Datenflüssen, Projekten und Kontrollen müssen berücksichtigt werden.“
Kommunikation: Das Geheimnis des Erfolgs
Der frühere White-Hat-Hacker V. Metnew ist fest davon überzeugt: „Kommunikation ist der Schlüssel zum Erfolg jedes Bug-Bounty-Programms. Es ist wichtig, einen aktiven Austausch aufrechtzuerhalten und die Bemühungen der teilnehmenden ethischen Hacker zu würdigen, die sich dafür entschieden haben, ihre Zeit in dieses Programm zu investieren anstatt in ein anderes.“ Ein weiterer Ratschlag des Experten besteht darin, die Kennzahlen des Programms (z. B. Time-to-Resolution, Time-to-Response, Time-to-Bounty, usw.) kontinuierlich im Blick zu behalten. Diese Kennzahlen geben Auskunft darüber, wie effektiv die Teams Schwachstellen beheben, wie gut sie die Kommunikation mit den Forschern pflegen und wie angemessen sie diese belohnen. Die Anstellung einer Person in einem internen Sicherheitsteam oder die Beauftragung eines Beraters mit Erfahrung als ethischer Hacker ist ebenfalls äußerst vorteilhaft. „Ehemalige Bug-Bounty-Forscher verfügen über unschätzbares Wissen über interne Abläufe und verstehen die Feinheiten der Zusammenarbeit mit Forschern. Sie können wertvolle Einblicke in bewährte Praktiken geben, um die bestmöglichen Ergebnisse für das Unternehmen zu erzielen“, betont der Experte.
Der Shift vom privaten zu öffentlichen Bug Bounty Programm
„Unser Team investierte die ersten Monate in die Sammlung von Erkenntnissen und die Verfeinerung interner Prozesse zur Annahme und Behebung von Schwachstellen“, erklärt der Sicherheitsexperte des Unternehmens Grammarly, Suha Can. Allerdings ist es bei einem privaten Bug Bounty Programm mit der Zeit unvermeidlich, dass die Anzahl der Berichte abnimmt, da die Teilnehmerzahl begrenzt ist. Um die Skalierbarkeit zu erhöhen und die Transparenz sowie das Vertrauen zu stärken, entschied sich das Team daher für einen Wechsel zu einem öffentlichen Programm. Dadurch stieg die potenzielle Teilnehmerzahl um das 150-fache, von 2.000 auf 300.000 registrierte Hacker auf der Plattform zu diesem Zeitpunkt.
Sicherung langfristigen Erfolgs durch effektive Sicherheitsstrategien
Um langfristigen Erfolg sicherzustellen, ist es wichtig, effektive Sicherheitsstrategien zu implementieren. Nach einem erfolgreichen Start des öffentlichen Programms gilt es, kontinuierlich daran zu arbeiten und das Effizienzniveau aufrechtzuerhalten. Eine wichtige Maßnahme besteht darin, die Programmbeschreibung regelmäßig zu aktualisieren, um sicherzustellen, dass sie relevant bleibt und die Teilnehmenden über die aktuellen Prioritäten des Unternehmens informiert. Auftraggebende können beispielsweise temporär höhere Prämien für Berichte über neue Produktveröffentlichungen anbieten, um das Interesse der Forschenden darauf zu lenken. „Solche Anreize tragen dazu bei, qualitativ hochwertige Berichte zu Themen mit hoher Priorität schneller zu erhalten. Derzeit bieten wir beispielsweise einen doppelten 'Bounty Bonus' von bis zu 100.000 Dollar für relevante Berichte über Schwachstellen mit hohem und kritischem Schweregrad in unserem neuen Authentifizierungs- und Autorisierungsdienst“, erklärt Suha Can, CISO bei Grammarly. Bisher hat Grammarly über 270.000 Dollar an Prämien an ethische Hacker ausgezahlt. Diese Investition führte zu etwa 190 wertvollen Berichten von führenden Sicherheitsforschenden. Fünf Jahre nach dem Start des Bug Bounty Programms betrachtet Suha Can es als integralen Bestandteil eines umfassenden Sicherheitsansatzes, von dem ein Softwareentwicklungsunternehmen wie Grammarly erheblich profitieren kann. „Ein kooperativer Sicherheitsansatz und die Zusammenarbeit mit vertrauenswürdigen ethischen Hackern über Plattformen können dazu beitragen, den Schutz der Unternehmenssysteme und Kundendaten kontinuierlich zu verbessern“, schließt Can.
Über den Autor: Suha Can ist Chief Information Security Officer bei Grammarly und leitet auf globaler Ebene die Bereiche Sicherheit, Datenschutz, Compliance und Identität für das Unternehmen. Seine Teams kümmern sich um die Sicherheit der Daten von über 30 Millionen täglichen Grammarly-Nutzenden und 50.000 Teams weltweit. Zuvor war Suha Can „Director of Security“ bei Amazon und leitete weltweit das Sicherheits-Engineering für Amazon Payments sowie Alexa.
(ID:49709556)
:quality(80)/p7i.vogel.de/wcms/e8/dd/e8dd9cd92a19a52f7c87ed0d08991525/0109794094.jpeg "Die proaktive Arbeit der ethischen Hacker trägt dazu bei, die Sicherheitslage eines Unternehmens zu optimieren. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")