Mehr Sicherheit durch Bug-Bounty-Programme

Jagd auf Schwachstellen als Teil des Geschäftsmodells

| Autor / Redakteur: Laurie Mercer / Peter Schmitz

Gerade im Geschäftsfeld der Cloud Services kann sich für Unternehmen die Investition in Bug-Bounty-Programme als Teil des Geschäftsmodells lohnen.
Gerade im Geschäftsfeld der Cloud Services kann sich für Unternehmen die Investition in Bug-Bounty-Programme als Teil des Geschäftsmodells lohnen. (Bild: gemeinfrei)

Der Open-Source-Anbieter Nextcloud hat Sicherheit zu einem zentralen Bestandteil seiner Geschäftsstrategie gemacht. Das interne Sicherheitsteam hat bisher mehr als 100 gültige, spezifische Sicherheitslücken behoben, wobei die Reaktionszeit unter einer Stunde lag. Dies macht das Unternehmen zu einem der reaktionsschnellsten Security-Teams bei der Bug-Bounty-Plattform HackerOne.

Nextcloud hat sich nach eigenen Aussagen die Fokussierung auf Sicherheit und Datenschutz zum Ziel gesetzt. Geschäftskunden sollen jederzeit nachvollziehen können, wo sich ihre Daten befinden, wer darauf zugreift und wie sie gesichert sind, damit Metadaten nicht verloren gehen. Dies erfordert bereits bei Planung, Fertigstellung, Testabläufen und Positionierung ihrer Produkte einen sicherheitsorientierten Ansatz. Der Claim „Security First“, der heutzutage typischerweise oft im Marketing-Bereich verwendet wird, spiegelt hierbei die Kernkomponente der gesamten Geschäftsstrategie, also die Verfolgung eines offensiven Sicherheitsansatzes, wider. So kommt das interne Sicherheitsteam beispielsweise auf eine überdurchschnittliche Reaktionszeit von weniger als einer Stunde auf ihr HackerOne Bounty-Programm. „Die überdurchschnittlich schnellen Reaktionszeiten sind beeindruckend und machen sie zu einem beispielhaften Modell für den Aufbau eines effizienten Bug Bounty Triage- und Response-Prozesses", so Michiel Prins, Mitbegründer von HackerOne. „Ihr Fokus auf Reaktionsschnelligkeit und Sicherheit bietet die beste Voraussetzung, um Top-Hacker-Talente anzuziehen, die die gute Arbeit ihres internen Sicherheitsteams zum Schutz der Kunden weiter ergänzen.“

Zum Start des Bug-Bounty-Programms erhielt der Open Source-Anbieter sehr viele Berichte mit ernstzunehmenden und sicherheitsrelevanten Problemen. Im weiteren Verlauf wurde jedoch die Codebasis stärker und die Schwere der gemeldeten Schwachstellen nahm ab, denn das Engineering in Sicherheitsfragen entwickelte und verbesserte sich stetig weiter. Die Kunden wurden über die erkannten Schwachstellen vor einer Veröffentlichung und Behebung in Kenntnis gesetzt – zudem wurden sie entsprechend informiert, wie darauf reagiert werden sollte. „Wir schätzen, dass etwas 75 Prozent der Sicherheitsprobleme, zu denen wir unsere Kunden beraten, über unser Bug-Bounty-Programm eintrafen“, so Frank Karlitschek, Gründer und Geschäftsführer von Nextcloud.

Mehr Security-Ressourcen durch Bug Bounties

Bug-Bounty-Programme

Mehr Security-Ressourcen durch Bug Bounties

18.10.18 - Cyberangriffe werden immer häufiger und Sicherheitslücken wirken sich zunehmend auch auf die Geschäftsmodelle von Unternehmen aus. Da so viele kritische Daten online gespeichert werden, war die Bedeutung der Sicherung digitaler Ressourcen noch nie so groß wie heute. Bug-Bounty-Programme sind eine Möglichkeit, Schwachstellen zu entdecken, bevor sie von Kriminellen gefunden werden. lesen

Kunden wollen bestmögliche Security

„Kontrolle und Compliance sind die Kernaspekte unserer Lösung und Sicherheit ist dabei von größter Bedeutung", sagt Karlitschek. „Wir haben Nextcloud mit dem Ziel gegründet, eine Lösung zu entwickeln, die im Sicherheitsbereich neue Standards setzt.“ Für den Geschäftsführer steht es außer Frage, genügend Ingenieure einzustellen, um sein Unternehmen vor jeder möglichen Schwachstelle zu schützen. Aus diesem Grund wird das HackerOne Bug-Bounty-Programm genutzt, um On-Demand-Expertise überall dort zu bekommen, wo wir sie benötigt wird sowie darüber hinaus einen kontinuierlichen Schutz gewährleisten zu können.

Effizientere Budgetnutzung

Die Entscheidung ein Bug-Bounty-Programm zu starten fiel, um zum einen das Sicherheitsbudget so effizient wie möglich zu nutzen und zum anderen zusätzliche Sicherheitsvorkehrungen erheblich zu erweitern. Aus dieser Überzeugung heraus arbeitet das Unternehmen aus Stuttgart bereits seit Juni 2016 mit mehr als hundert qualifizierten Hackern der Bug-Bounty-Plattform zusammen. Das interne Sicherheitsteam hat dabei das Bug-Bounty-Programm von Anfang an als Chance gesehen, mehr Ressourcen, mehr Fähigkeiten und mehr Erfahrung einzubringen, ohne auf zusätzliche Mitarbeiter zurückgreifen zu müssen. „Wir wollten unser Budget nutzen, um unseren Kunden, Partnern und Anwendern unser Engagement für Sicherheit zu demonstrieren", fügt Jos Poortvliet, Mitbegründer und Marketingleiter von Nextcloud, hinzu.

Auch das Sicherheitsteam des Stuttgarter Unternehmens drängte darauf, da es die Fülle an Sicherheitswissen auf der HackerOne-Plattform kannte und sich einen direkten Zugang dazu wünschte. In diesem Bereich wird besonders stark investiert. Zwar wurden bereits in der Vergangenheit Third-Party-Reviews und andere typische Sicherheitsmaßnahmen durchgeführt, aber, wie Poortlvliet es ausdrückt: „die Qualität war nicht immer überzeugend“.

Bounties als DSGVO-Compliance Tool

Als Anbieter von selbst gehosteter Cloud-Technologie innerhalb der Europäischen Union, der über viele Kunden mit datenschutzrelevanten Datenmengen verfügt, wurde die DSGVO-Compliance frühzeitig in den Blick genommen. Die Datensicherheit gilt hier als eine wesentliche Komponente der DSGVO-Konformität. „Die DSGVO verlangt einen Nachweis, dass die Sicherheit der Benutzerdaten ernst genommen wird", erklärt Poortvliet. „Dies hängt natürlich nicht nur an einem einzelnen Faktum, aber ich würde sagen, ein gut verwaltetes Security Bug-Bounty-Programm ist ein deutlicher Beweis dafür, wie ernst wir den Datenschutz nehmen." Poortvliet beschreibt die Bug-Bounty-Programme nicht nur als Beleg für das Sicherheits-Engagement, sondern auch als Investition zum Schutz vor möglichen DSGVO-Verletzungen. „Ich sehe Prozesse um Datensicherheit kommen, die verloren gehen können, aber mit einem HackerOne-Programm hätten gewonnen werden können, sowohl aus praktischen als auch aus rechtlichen Gründen", prognostiziert Poortvliet. „Auf praktischer Ebene, da sie möglicherweise Probleme in der Infrastruktur aufgedeckt hätten. Und auf legaler, weil es zeigt, dass Sie alle Vorkehrungen getroffen haben, die möglich waren."

Bug-Bounty-Programme erfolgreich nutzen

Vulnerability Reward Programs

Bug-Bounty-Programme erfolgreich nutzen

10.01.18 - Bug-Bounty-Programme verwandeln Hacker vom Feind zum Freund. Das bringt massive Vorteile für Unternehmen, die in einem sich ständig wandelnden Sicherheitsumfeld agieren. Gut durchdachte Programme zum Auffinden von Schwachstellen können Software-Anbietern helfen, den Netzwerkeffekt zu nutzen, um ihre Nutzer besser zu schützen. lesen

Ausblick

Die Produzenten sowie Kunden sicherheitskritischer Codes stehen laut Poortvliet zukünftig noch große Herausforderungen bevor. „Wir hoffen, dass Bug-Bounty-Programme zu einem Industriestandard werden - um der Sicherheit und Stabilität der gesamten Branche willen“, so sein Resümee. Jede der ans Internet angebundene Infrastruktur sollte seiner Einschätzung nach ein solches Programm durchlaufen, da sich Unternehmen einerseits dringend notwendigen und sicherheitsrelevanten Analysen unterziehen und andererseits einen Selbstschutz bezüglich drohender Klagen durch die DSVGO aufbauen. Poortvliet selbst würde kein Produkt empfehlen, dass das eigene Netzwerk oder die Daten der Kunden als sicher einstuft, dabei aber selbst kein Bug-Bounty-Programm durchlaufen hat. Demnach fällt sein Fazit zur Zusammenarbeit mit HackerOne äußerst positiv aus, da es erhebliche Vorteile gegenüber konkurrierenden Unternehmen gebracht hat. „Einer unserer potenziellen Kunden hat unseren Code mit einem unserer Wettbewerber verglichen und war sehr beeindruckt. Natürlich muss man ein derartiges Programm managen und Ressourcen einkalkulieren, aber es bietet zugleich die Möglichkeit, Mitarbeiter zu schulen, ihnen Feedback über die Sicherheitsauswirklungen ihrer Arbeit zu geben und sie dafür zu sensibilisieren, dass es nicht nur darum geht, die Probleme selbst zu finden“, erklärt er abschließend.

Über den Autor: Laurie Mercer ist Lösungsingenieur bei HackerOne.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45793819 / Schwachstellen-Management)