:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ein Interview mit dem CISO einer internationalen Versicherungsgesellschaft Warum Unternehmen auf Bug-Bounty-Programme setzen
Cyberkriminelle attackieren ihre Ziele rund um die Uhr mit immer neuen Methoden. Unternehmen müssen ihre Cyberabwehr entsprechend anpassen. Pentests greifen oft zu kurz, weil sie nur Momentaufnahmen der Sicherheitslage erlauben. Bug-Bounty-Programme hingegen sind ein kontinuierlicher Ansatz zur Cyberabwehr.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Cyberkriminelle wenden immer neue Methoden an, um an ihr Ziel zu kommen. Gleichzeitig werden einzelne Angriffe immer komplexer. Für Unternehmen, die den neuen Herausforderungen gewachsen sein wollen, bedeutet das: Eine kontinuierliche Überprüfung der Cybersicherheitslage und ein hohes Maß an Flexibilität ist gefragt. Hier ist die agile Bug-Bounty-Methode ideal.
Bug-Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an: Es wird eine Gemeinschaft von Sicherheitsexperten mobilisiert, die IT-Systeme testet und sich dabei verbindlich an die Regeln und Vorgaben hält, die der Kunde im Vorfeld definiert. Die Experten werden für jede entdeckte Schwachstelle je nach Umfang und Qualität des Berichts, den sie abliefern, belohnt.
Unternehmen, die auf agile Softwareentwicklung setzen, profitieren besonders von dem Konzept. Aber wie setzt man diese Methode erfolgreich ein? Wir haben den CISO einer internationalen Versicherungsgesellschaft gefragt, der aber anonym bleiben möchte.
Können Sie sich kurz vorstellen?
Als CISO einer internationalen Versicherungsgesellschaft bin ich zusammen mit meinem Team dafür verantwortlich, einen „Cyber-Schild“ für die Gruppe und alle ihre Tochtergesellschaften zu errichten, indem wir diesen fortwährend neue Sicherheitsdienstleistungen anbieten – einschließlich Bug-Bounty.
Was hat Sie dazu bewogen, ein Bug-Bounty-Programm zu starten?
Ich habe mich mit mehreren CISOs von großen Finanzinstituten ausgetauscht, sie haben mir Bug-Bounty als mögliche Sicherheitsmaßnahme empfohlen. Die Tatsache, dass vergleichbare Organisationen, die in Bezug auf Sicherheit ähnlich anspruchsvoll sind wie wir selbst, Bug-Bounty einsetzen, war ein Schlüsselfaktor für meine Entscheidung. Wir haben klein angefangen und da die Ergebnisse schlüssig waren, haben wir nach und nach mehrere Bug-Bounty-Programme parallel gestartet. Es ist für uns ein neuer Ansatz, der eine Lernkurve beinhaltet.
Welchen Mehrwert bietet Bug-Bounty im Vergleich zu traditionellen Cyber-Sicherheitslösungen wie etwa Penetrationstests?
Bug-Bounty bietet zunächst einmal die Garantie einer kontinuierlichen Überprüfung – und nicht nur punktuell, wie bei "traditionellen" Penetrationstests. Wenn ich jedes Jahr einen zweiwöchigen Penetrationstest durchführe, bedeutet das, dass wir für die restlichen 50 Wochen "ungeschützt" sind. So etwas ist heutzutage nicht akzeptabel. Ergänzend können auch automatisierte Tests sinnvoll sein. Diese sind leider oft aber nicht ausgereift genug. Dank Bug-Bounty habe ich Sicherheitsexperten, die permanent an meinen Anwendungsbereichen arbeiten. Diese Kontinuität ist essentiell, besonders wenn man in einem agilen Entwicklungskontext arbeitet.
Bug-Bounty erlaubt uns auch, flexibler zu sein: Ich muss Umgebungen testen, die sich noch in der Entwicklung oder in der Validierungsphase befinden, bevor ich in die eine Lösung ausrolle. Auch hier sind traditionelle Penetrationstests unterlegen, da sie unflexibler sind. Die Bug-Bounty-Plattform von YesWeHack ermöglicht es uns zum Beispiel, die Regeln für jedes Programm, einschließlich der Spannweite der Prämie, genau an einzelne Projektphasen anzupassen.
Auch die Verfügbarkeit ist ein wichtiges Argument. Es wird immer schwieriger, wenn nicht sogar unmöglich, kurzfristig qualifizierte Penetrationstester für einen bestimmten Zeitpunkt zu finden, etwa wenn ein neues Release veröffentlicht werden soll. Mit Bug-Bounty genügt ein "Knopfdruck" und es geht los: Sie können jederzeit Tests durchführen und erhalten zudem sehr schnell eine Bestätigung, wenn das Problem gelöst ist.
Wirklich erstaunt waren wir außerdem auch über die Vielfalt der gemeldeten Schwachstellen. So haben die Hunter von YesWeHack beispielsweise "Bits", also kleine Einheiten von Schwachstellen gefunden, deren Kombination noch nie dagewesene Angriffe ermöglicht hat. Dass so etwas möglich ist, hatten wir bisher überhaupt nicht in Betracht gezogen – und nun sind wir in der Lage, dieses Übel an der Wurzel zu packen. Mit Bug-Bounty können sich unsere Entwickler quasi in den Kopf eines Hackers versetzen.
Ist Bug-Bounty der Tod der Penetrationstests oder ist es eine Ergänzung?
Für mich ist es immer noch komplementär. Allerdings hinken in der Realität die verfügbaren Anbieter von Pentests der Anzahl der durchzuführenden Tests stark hinterher. Dadurch erhält Bug-Bounty eine neue tragende Rolle. Darüber hinaus weisen Penetrationstests verschiedene Einschränkungen und Zwänge auf: Sie müssen im Voraus geplant werden, ein Start- und Enddatum muss definiert und ein internes Projektmanagement gestartet werden. Besonders bei agilen Entwicklungen macht uns dieser Aufwand das Leben schwer. Wenn etwa ein Release oder Projekt zwei Tage später fertig wird als geplant, sind die Pentester nicht mehr verfügbar. Das ist ein echtes Problem.
Was mir an Bug-Bounty auch sehr gefällt, ist, dass Schwachstellen, nachdem sie behoben wurden, nochmals überprüft werden. Bei herkömmlichen Penetrationstests gibt es nur äußerst selten Checks der Schwachstellenbehebung. Wenn mir ein Entwickler nach einem Audit sagt "Ich habe den Fehler behoben", muss ich mich auf sein Wort verlassen. Bei einem Bug-Bounty-Programm kann ich diese Kontrolle an den Hunter zu delegieren. Dies ermöglicht mir, eine Schwachstelle zu beheben und im gleichen Schritt die Fehlerbehebung zu überprüfen. Wenn jetzt eine kritische Schwachstelle entdeckt wird, kann ich sogar in der Nacht darauf ruhig schlafen. (lacht)
Welche sonstigen Veränderungen haben Sie bemerkt, seitdem Sie das Bug-Bounty-Programm gestartet haben, beispielsweise auf Seiten des Teams?
Es gibt definitiv mehr Sensibilität für Cyberangriffe. Aber die prägnanteste Veränderung ist die Beschleunigung von Patching-Rate und -Frequenz. Unsere Entwickler reparieren viel schneller. Das Reagieren auf die Hunter, die Belohnung, die Abschlussberichte, etc. erfordern eine schnellere Reaktion der Entwickler und führen zu einer viel kürzeren Zeit bis zur Korrektur.
Und in Bezug auf die Agilität?
Wie bereits erwähnt, lassen wir auch Testumgebungen vor deren Veröffentlichung via Bug-Bounty prüfen. Wir erkennen und beheben daher Schwachstellen immer mehr im Vorfeld von Projekten. Dies ermöglicht uns erstens, unsere Entwickler "on the fly" zu schulen und zweitens, viel schneller zu liefern. Grund dafür ist, dass in der Validierungs- und Release-Phase viel weniger Patches zu verwalten sind. Wir sind reaktionsfähiger geworden, sowohl im Interesse der Entwickler als auch des Unternehmens.
Was sind Ihre Pläne für die Zukunft?
Nach und nach wollen wir unseren Tochtergesellschaften weltweit unsere Innovationen und Erkenntnisse anbieten.
(ID:46495060)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904578/original.jpg "„Policy-as-Code kann viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind.“ (sarayut_sy - stock.adobe.com)")