:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Bug-Bounty-Programme Mehr Security-Ressourcen durch Bug Bounties
Cyberangriffe werden immer häufiger und Sicherheitslücken wirken sich zunehmend auch auf die Geschäftsmodelle von Unternehmen aus. Da so viele kritische Daten online gespeichert werden, war die Bedeutung der Sicherung digitaler Ressourcen noch nie so groß wie heute. Bug-Bounty-Programme sind eine Möglichkeit, Schwachstellen zu entdecken, bevor sie von Kriminellen gefunden werden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Die Zahl potenzieller Cyberkrimineller wird immer weitaus größer sein, als die durchschnittliche Zahl der Analysten in einem Sicherheitsteam. Zudem ändern sich die angewandten Tricks und Techniken täglich. In diesem sich rapide entwickelnden Gefahrenszenario können Unternehmen schnell ins Hintertreffen geraten, besonders wenn die Ressourcen begrenzt sind. Dabei ist auch nicht hilfreich, dass es immer schwieriger wird, Sicherheitsanalysten zu finden, die sich auf Mobile, Web, Single Page-Applikationen, Microservices und APIs spezialisiert haben. Ein kürzlich veröffentlichter Bericht von CyberEdge zeigt, dass 80 Prozent der Unternehmen heute unter einem weltweiten Mangel an qualifiziertem IT-Sicherheitspersonal leiden.
Dabei müssen sich die kleinen und spezialisierten Sicherheitsteams heute täglich gegen ein Heer verschiedenster Cyberkrimineller verteidigen. Vor dem Hintergrund, dass jeder einzelne Angriff unterbunden werden muss, sind die Aussichten denkbar schlecht. Cyberkriminelle hingegen müssen nur einen Treffer landen. Dies wirft die Frage auf, was Unternehmen tun können, um Schwachstellen zu beseitigen, bevor sie von Kriminellen entdeckt werden? Der akute Fachkräftemangel macht es Unternehmen dabei nicht gerade einfacher, kurzfristig und bedarfsgerecht zu agieren.
Viele der größten Unternehmen erkennen heute, dass nur wenige „Aufpasser“ nicht ausreichen, um ihre Daten zu sichern. Um Fehler in Online-Systemen zu entdecken brauchen sie so viele Fachleute wie möglich. Dies ist der Grund, warum sich viele der zukunftsorientierten Unternehmen heute an die Hacker-Community wenden, um ihre Sicherheitsvorkehrungen zu verbessern.
Diese Unternehmen führen Bug-Bounty-Programme durch, zu denen sie erfahrene Hacker einladen. Die Hacker werden auf die Schwachstellen in den Systemen angesetzt, damit diese behoben werden können, bevor sie kompromittiert werden. Anstatt dass eine Person oder ein kleines Team ein- oder zweimal im Jahr nach Schwachstellen suchen, nutzen Sicherheitsteams so Zehntausende von Hackern mit unterschiedlichen Fähigkeiten, um das ganze Jahr über kontinuierlich Sicherheitsbewertungen durchzuführen.
Welche Überlegungen im Vorfeld berücksichtigt werden müssen
Bevor ein Bug-Bounty-Programm durchgeführt wird, muss das gesamte Unternehmen informiert werden, dass dabei Vulnerability-Reports von außerhalb akzeptiert werden. Dadurch wird sichergestellt, dass jeder den Vorgang nachvollziehen kann, wenn Bugs gemeldet werden. Insbesondere IT-Security-Teams müssen im Bild sein und sich ihrer Aufgaben und Verantwortungen dabei bewusst sein. Zudem müssen folgende Überlegungen in Betracht gezogen werden:
- Finden wir die richtige Balance zwischen der Suche von Schwachstellen und deren Behebung?
- Haben wir ein effizientes und bewährtes Verfahren zur Behebung von Schwachstellen etabliert?
- Brauchen wir weitere Ressourcen, um Lücken im Sicherheitssystem des Unternehmens identifizieren zu können?
Vorteile von Bug-Bounty-Programmen
Bug-Bounty-Programme sind schnell: Neueste Untersuchungen zeigen, dass 77 Prozent der Programme die erste Schwachstelle innerhalb der ersten 24 Stunden aufdecken. Zudem sind die Bug-Bounty-Programme sehr intelligent: Durch die Nutzung der Hacker Community können Unternehmen von deren umfassender Expertise auf der ganzen Welt profitieren. Uneingeschränkt nach Standort und Anzahl.
Der einzige limitierende Faktor bei der Durchführung eines Bug-Bounty-Programms ist die Geschwindigkeit, mit der gefundene Schwachstellen behoben werden können. Engagierte IT-Sicherheitsteams werden dabei nicht nur die Zeit bis zur Behebung sorgfältig überwachen, sondern auch alle nützlichen Erkenntnisse, die sie aus der Bug Bounty gewinnen, in ihre anderen Sicherheitslösungen einfließen lassen. So können beispielsweise statische und dynamische Analyseregeln festgelegt werden, um ähnliche Schwachstellen in verschiedenen Code Bases zu finden.
Bug-Bounty-Programme starten daher oft im kleinen Rahmen mit nur einigen ausgesuchten Hacker-Einladungen. Auf diese Weise können Unternehmen sich behutsam darauf einstellen, mit der Hacker-Community an der Behebung von Schwachstellen zu arbeiten. Wenn dann Schwachstellen entdeckt und gemeldet worden sind, können diese Probleme direkt und sicher behoben werden. Bei der Arbeit mit Hackern ist dabei vor allem wichtig, transparent und reaktionsschnell zu kommunizieren.
Kostenkalkulation
Bug-Bounty-Programme können auf der Kostenseite eine große Bandbreite erreichen; - je nachdem, wie konkurrenzfähig die Prämien dafür sein müssen und welchen Umfang die Technologien haben, die Hacker dafür unter die Lupe nehmen müssen. Entsprechend reicht auch die Größe der Unternehmen, die Bug-Bounty-Programme von HackerOne einsetzen: Von kleinen Start-ups über Non-Profit-Organisationen bis hin zu großen Konzernen. Die Kosten richten sich dabei nach den speziellen Sicherheitsbedürfnissen. Einige der hochdotiertesten Bug-Bounty-Programme zahlen Hackern über eine Million US Dollar an Prämien pro Jahr, gleichzeitig gibt es aber auch viele Programme, die überhaupt keine Bounty-Awards anbieten und trotzdem sehr erfolgreich sind.
Fazit
Das Risiko durch fehlende Security-Ressourcen ist eine echte Bedrohung, die durch das Ausführen von Bug-Bounty-Programmen minimiert werden kann. Zudem sorgen diese Programme für mehr Kapazitäten und mehr Analysefähigkeiten und bieten so eine Möglichkeit, Schwachstellen und Sicherheitsprobleme noch vor den Cyberkriminellen aufzudecken. Kurz gesagt, Unternehmen wie HackerOne helfen Sicherheitsteams, weniger Zeit für die Suche nach Bugs und mehr Zeit für deren Behebung aufzuwenden.
Über die Autorin: Laurie Mercer ist Security Engineer bei HackerOne.
(ID:45479622)
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/9f/659fc3fade56d2f05a47b758cc25235f/0115035379.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")