Suchen

Ein Interview mit dem CISO einer internationalen Versicherungsgesellschaft Warum Unternehmen auf Bug-Bounty-Programme setzen

Redakteur: Peter Schmitz

Cyberkriminelle attackieren ihre Ziele rund um die Uhr mit immer neuen Methoden. Unternehmen müssen ihre Cyberabwehr entsprechend anpassen. Pentests greifen oft zu kurz, weil sie nur Momentaufnahmen der Sicherheitslage erlauben. Bug-Bounty-Programme hingegen sind ein kontinuierlicher Ansatz zur Cyberabwehr.

Firmen zum Thema

Unternehmen mit agiler Softwareentwicklung profitieren besonders von Bug-Bounty-Programmen. Wir haben mit dem CISO einer internationalen Versicherung darüber gesprochen.
Unternehmen mit agiler Softwareentwicklung profitieren besonders von Bug-Bounty-Programmen. Wir haben mit dem CISO einer internationalen Versicherung darüber gesprochen.
(Bild: gemeinfrei / Pixabay )

Cyberkriminelle wenden immer neue Methoden an, um an ihr Ziel zu kommen. Gleichzeitig werden einzelne Angriffe immer komplexer. Für Unternehmen, die den neuen Herausforderungen gewachsen sein wollen, bedeutet das: Eine kontinuierliche Überprüfung der Cybersicherheitslage und ein hohes Maß an Flexibilität ist gefragt. Hier ist die agile Bug-Bounty-Methode ideal.

Bug-Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an: Es wird eine Gemeinschaft von Sicherheitsexperten mobilisiert, die IT-Systeme testet und sich dabei verbindlich an die Regeln und Vorgaben hält, die der Kunde im Vorfeld definiert. Die Experten werden für jede entdeckte Schwachstelle je nach Umfang und Qualität des Berichts, den sie abliefern, belohnt.

Unternehmen, die auf agile Softwareentwicklung setzen, profitieren besonders von dem Konzept. Aber wie setzt man diese Methode erfolgreich ein? Wir haben den CISO einer internationalen Versicherungsgesellschaft gefragt, der aber anonym bleiben möchte.

Können Sie sich kurz vorstellen?

Als CISO einer internationalen Versicherungsgesellschaft bin ich zusammen mit meinem Team dafür verantwortlich, einen „Cyber-Schild“ für die Gruppe und alle ihre Tochtergesellschaften zu errichten, indem wir diesen fortwährend neue Sicherheitsdienstleistungen anbieten – einschließlich Bug-Bounty.

Was hat Sie dazu bewogen, ein Bug-Bounty-Programm zu starten?

Ich habe mich mit mehreren CISOs von großen Finanzinstituten ausgetauscht, sie haben mir Bug-Bounty als mögliche Sicherheitsmaßnahme empfohlen. Die Tatsache, dass vergleichbare Organisationen, die in Bezug auf Sicherheit ähnlich anspruchsvoll sind wie wir selbst, Bug-Bounty einsetzen, war ein Schlüsselfaktor für meine Entscheidung. Wir haben klein angefangen und da die Ergebnisse schlüssig waren, haben wir nach und nach mehrere Bug-Bounty-Programme parallel gestartet. Es ist für uns ein neuer Ansatz, der eine Lernkurve beinhaltet.

Welchen Mehrwert bietet Bug-Bounty im Vergleich zu traditionellen Cyber-Sicherheitslösungen wie etwa Penetrationstests?

Bug-Bounty bietet zunächst einmal die Garantie einer kontinuierlichen Überprüfung – und nicht nur punktuell, wie bei "traditionellen" Penetrationstests. Wenn ich jedes Jahr einen zweiwöchigen Penetrationstest durchführe, bedeutet das, dass wir für die restlichen 50 Wochen "ungeschützt" sind. So etwas ist heutzutage nicht akzeptabel. Ergänzend können auch automatisierte Tests sinnvoll sein. Diese sind leider oft aber nicht ausgereift genug. Dank Bug-Bounty habe ich Sicherheitsexperten, die permanent an meinen Anwendungsbereichen arbeiten. Diese Kontinuität ist essentiell, besonders wenn man in einem agilen Entwicklungskontext arbeitet.

Bug-Bounty erlaubt uns auch, flexibler zu sein: Ich muss Umgebungen testen, die sich noch in der Entwicklung oder in der Validierungsphase befinden, bevor ich in die eine Lösung ausrolle. Auch hier sind traditionelle Penetrationstests unterlegen, da sie unflexibler sind. Die Bug-Bounty-Plattform von YesWeHack ermöglicht es uns zum Beispiel, die Regeln für jedes Programm, einschließlich der Spannweite der Prämie, genau an einzelne Projektphasen anzupassen.

Auch die Verfügbarkeit ist ein wichtiges Argument. Es wird immer schwieriger, wenn nicht sogar unmöglich, kurzfristig qualifizierte Penetrationstester für einen bestimmten Zeitpunkt zu finden, etwa wenn ein neues Release veröffentlicht werden soll. Mit Bug-Bounty genügt ein "Knopfdruck" und es geht los: Sie können jederzeit Tests durchführen und erhalten zudem sehr schnell eine Bestätigung, wenn das Problem gelöst ist.

Wirklich erstaunt waren wir außerdem auch über die Vielfalt der gemeldeten Schwachstellen. So haben die Hunter von YesWeHack beispielsweise "Bits", also kleine Einheiten von Schwachstellen gefunden, deren Kombination noch nie dagewesene Angriffe ermöglicht hat. Dass so etwas möglich ist, hatten wir bisher überhaupt nicht in Betracht gezogen – und nun sind wir in der Lage, dieses Übel an der Wurzel zu packen. Mit Bug-Bounty können sich unsere Entwickler quasi in den Kopf eines Hackers versetzen.

Ist Bug-Bounty der Tod der Penetrationstests oder ist es eine Ergänzung?

Für mich ist es immer noch komplementär. Allerdings hinken in der Realität die verfügbaren Anbieter von Pentests der Anzahl der durchzuführenden Tests stark hinterher. Dadurch erhält Bug-Bounty eine neue tragende Rolle. Darüber hinaus weisen Penetrationstests verschiedene Einschränkungen und Zwänge auf: Sie müssen im Voraus geplant werden, ein Start- und Enddatum muss definiert und ein internes Projektmanagement gestartet werden. Besonders bei agilen Entwicklungen macht uns dieser Aufwand das Leben schwer. Wenn etwa ein Release oder Projekt zwei Tage später fertig wird als geplant, sind die Pentester nicht mehr verfügbar. Das ist ein echtes Problem.

Was mir an Bug-Bounty auch sehr gefällt, ist, dass Schwachstellen, nachdem sie behoben wurden, nochmals überprüft werden. Bei herkömmlichen Penetrationstests gibt es nur äußerst selten Checks der Schwachstellenbehebung. Wenn mir ein Entwickler nach einem Audit sagt "Ich habe den Fehler behoben", muss ich mich auf sein Wort verlassen. Bei einem Bug-Bounty-Programm kann ich diese Kontrolle an den Hunter zu delegieren. Dies ermöglicht mir, eine Schwachstelle zu beheben und im gleichen Schritt die Fehlerbehebung zu überprüfen. Wenn jetzt eine kritische Schwachstelle entdeckt wird, kann ich sogar in der Nacht darauf ruhig schlafen. (lacht)

Welche sonstigen Veränderungen haben Sie bemerkt, seitdem Sie das Bug-Bounty-Programm gestartet haben, beispielsweise auf Seiten des Teams?

Es gibt definitiv mehr Sensibilität für Cyberangriffe. Aber die prägnanteste Veränderung ist die Beschleunigung von Patching-Rate und -Frequenz. Unsere Entwickler reparieren viel schneller. Das Reagieren auf die Hunter, die Belohnung, die Abschlussberichte, etc. erfordern eine schnellere Reaktion der Entwickler und führen zu einer viel kürzeren Zeit bis zur Korrektur.

Und in Bezug auf die Agilität?

Wie bereits erwähnt, lassen wir auch Testumgebungen vor deren Veröffentlichung via Bug-Bounty prüfen. Wir erkennen und beheben daher Schwachstellen immer mehr im Vorfeld von Projekten. Dies ermöglicht uns erstens, unsere Entwickler "on the fly" zu schulen und zweitens, viel schneller zu liefern. Grund dafür ist, dass in der Validierungs- und Release-Phase viel weniger Patches zu verwalten sind. Wir sind reaktionsfähiger geworden, sowohl im Interesse der Entwickler als auch des Unternehmens.

Was sind Ihre Pläne für die Zukunft?

Nach und nach wollen wir unseren Tochtergesellschaften weltweit unsere Innovationen und Erkenntnisse anbieten.

(ID:46495060)