:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schwachstellenmanagement Mit Bug Bounty zu mehr Cybersecurity
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Wer seine Daten schützen will, muss bereit sein, sein Sicherheitssystem auf den Prüfstand zu stellen. Deshalb engagieren immer mehr Unternehmen ethische HackerInnen um Schwachstellen im System aufzudecken. Das auch als Bug Bounty bekannte Konzept trägt durch die gewonnene Expertise und Perspektive der externen Sicherheitsforschenden dazu bei, Sicherheitssysteme zu stärken und so Daten effektiver zu schützen.
Digitale Sicherheit gewinnt in der aktuellen Zeit immer mehr an Bedeutung und wird gleichzeitig zur großen Herausforderung: Techniken von HackerInnen werden immer ausgefeilter und politische Konflikte stellen auch online eine Bedrohung dar. Für Unternehmen, Organisationen und alle Personen, die online agieren, ist es zu einer fast unlösbaren Aufgabe geworden, einen hohen Grad an Sicherheit zu erreichen. Besonders Unternehmen, die eine Sicherheitslösung für die sensiblen Daten ihrer Kundinnen und Kunden anbieten, müssen deshalb dynamische Wege gehen, um diese effektiv zu schützen.
Kollektive Intelligenz fördert digitale Sicherheit
Wer seinen Kundinnen und Kunden anbietet, ihre sensiblen Daten sicher aufzubewahren, steht in der Verantwortung zu demonstrieren, auf welche Art und Weise die Daten gesichert werden. Und muss gewährleisten, dass kontinuierlich daran gearbeitet wird, dass dies auch zukünftig der Fall sein wird. Wie Unternehmen intern garantieren, dass die Daten ihrer Kundinnen und Kunden zuverlässig sicher verwahrt werden, lässt sich einfach darstellen. Um zu beweisen, dass auch ein externes Eindringen in das System nicht so einfach möglich ist, braucht es jedoch die Aussagekraft von Tests, die durch externe Sicherheitsprofis - wie in Penetrationstest-Studios oder durch ethische HackerInnen Communities - durchgeführt werden.
Gute Beziehungen zu externen Sicherheitsforschenden erweisen sich deshalb für Unternehmen als äußerst wertvoll im Streben nach maximaler digitaler Sicherheit. Im Rahmen von Bug Bounty-Programmen gewinnen Unternehmen ethische HackerInnen für sich, um potenzielle Schwachstellen in ihrer Software aufzudecken. Sie bringen als Außenstehende eine neue Perspektive auf das System und die Bugsuche mit.
Prämien von 300 bis 1 Million US-Dollar
Das Engagement der HackerInnen wird natürlich entlohnt: Finden sie einen Bug im System und melden diesen, erhalten sie eine Prämie. Schon das Aufdecken kleinerer Sicherheitslücken ist für die Optimierung des Sicherheitssystems von großer Bedeutung und wird deshalb belohnt. Beim Bug Bounty-Programm des kanadischen Unternehmens 1Password zum Beispiel reichen die Prämien für das Aufdecken von Sicherheitslücken von 300 bis 1 Million US-Dollar.
Bislang lag die ausgezahlte Prämie bei durchschnittlich 900 US-Dollar, denn die Sicherheitslücken, die seit dem Start des Bug Bounty Programms 2017 gefunden wurden, waren alle geringfügig und stellten keine Gefahr für die Geheimhaltung sensibler Kundendaten dar. Das firmeninterne Entwicklungsteam konnte sie einfach beheben und so das Angriffsrisiko reduzieren. Wer gravierendere Bugs findet, bekommt eine höhere Prämie: Um die 1 Millionen US-Dollar sicher zu kassieren, kann man sich auch an der „Fahnen-Challenge“ beteiligen. Der spielerische Ansatz – in Verbindung mit der Rekordprämie – soll die externen Sicherheitsprofis einen besonders lukrativen Anreiz bieten.
Bei der Challenge muss, in Anlehnung an ein klassisches Fahnenraubspiel, eine sogenannte “Fahne” erobert werden. Dabei handelt es sich um eine Notiz in einer White-Box-Testumgebung, die ein auffälliges Gedicht enthält. Wer die Schritte zum Erobern der Fahne detailliert beschreiben und das Gedicht zitieren kann, gewinnt eine der höchsten Bug Bounty-Prämien, die jemals ausgeschrieben wurden. Die Entscheidung dafür kommt nicht von ungefähr: Je höher die Prämie, desto höher das Interesse der Community daran, am Bug Bounty des Unternehmens teilzunehmen und so sein Sicherheitssystem zu stärken.
So funktioniert das Bug Bounty-Programm im Detail
Die Plattform bugcrowd ist das verbindende Glied zwischen 1Password und einer ethischen HackerInnen-Community. Neben der Community liefert die Plattform auch den Rahmen für Programmregeln und Datenschutz.
Nach der Anmeldung über bugcrowd erhalten die Sicherheitsforschenden Zugriff zu einem Tresor, in dem alle Informationen und Hilfestellungen zum Testen bereitstehen. Zudem erhalten Teilnehmende Zugriff auf Dokumentationen zu kürzlich gefunden Sicherheitslücken, die Hinweise auf weitere geben könnten.
Was getestet werden soll, wird innerhalb eines Scopes definiert. Das Programm deckt alle serverseitigen APIs ab. Zudem stehen White-Box-Testumgebungen zur Verfügung, die es den Forschenden ermöglichen, das System direkter anzugreifen. Eine API-Dokumentation wird dabei nach bestem Wissen und Gewissen bereitgestellt. Ebenso ist definiert, welche gefundenen Fehler anerkannt und welche ausgeschlossen werden.
Bug Bounty als Teil eines ausgeklügelten Sicherheitspuzzles
Zum Secure Software Development Life Cycle bei 1Password gehören neben dem Bug Bounty-Programm auch jährlich mehr als ein Dutzend extern durchgeführte Penetrationstests, deren Ergebnisse veröffentlicht werden. Aber auch interne Maßnahmen gewährleisten die bedingungslose Sicherheit der Kundendaten. So dienen Test- und Überprüfungsprogramme der Festigung der starken Datenschutz- und Sicherheitskultur des Unternehmens. Zudem gehören zu jedem Produktentwicklungsteam auch auf Cybersecurity spezialisierte EntwicklerInnen und die Expertise der Entwicklungsteams wird im Rahmen eines Security-Ambassador-Programms kontinuierlich geschult und weiterentwickelt. Mithilfe des „Eyes of the Month“-Programms werden außerdem Mitarbeitende belohnt, die schwerwiegende Sicherheitsprobleme melden.
Wer Geheimnisse hütet, sollte selbst keine haben
Mit der Unterstützung ethischer Hacker haben Unternehmen die Chance, echten Angreifern im Wettlauf um die Cybersecurity schnell einen Schritt voraus zu sein – und darin liegt der große Wert von Bug Bounty-Programmen. Nur wer offen mit seinen Sicherheitslücken umgeht, hat die Chance, diese zu beheben und so seinen Kundinnen und Kunden eine größtmögliche Systemsicherheit zu gewährleisten. An diesem Prozess sollten nie nur interne Profis beteiligt sein, sondern es braucht für eine ganzheitliche Sicherheitslösung auch externe Sicherheitsexpertinnen und -experten. Programme wie Bug Bounty sind dabei ein willkommenes Tool, um Sicherheitslücken aufzudecken und so geheime Daten bestmöglich zu schützen.
Über den Autor: Alex Hoffmann ist Sales Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt. Alex hat eine Leidenschaft für menschenzentrierte Sicherheit: Er kennt 1Password sowie das Sicherheits-Ökosystem in- und auswendig und weiß, wo die Bedürfnisse der Kunden liegen. Er lebt im Schwarzwald und hat einen Magister in Marketing und Sinologie.
(ID:48443539)
:quality(80)/p7i.vogel.de/wcms/cb/87/cb874b03631457a90ee26688ba9408bf/0108224527.jpeg "Dass Sicherheitsforscher Schwachstellen früher entdecken und veröffentlichen ist ein gutes Zeichen. Allerdings bedeutet es auch, dass Hacker Zero-Day-Schwachstellen künftig noch schneller ausnutzen werden. (Bild: kentoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/ff/22ff85cafe83d94532fed772c55ade05/0106137713.jpeg "OT-Systeme und -Geräte können nicht mehr als bloße Kisten behandelt werden. Deshalb gilt es das Wachstum von Forschungs-Communities fördern, um die industrielle Cybersicherheit zu stärken. (Bild: greenbutterfly - stock.adobe.com)")