Mehr IT-Sicherheit durch „ethische Hacker“? Zusammenarbeit zwischen Unternehmen und White-Hat-Hackern

Von Jaya Baloo

Die breite Öffentlichkeit denkt bei „Hackern“ direkt an Cyberkriminelle - zu Unrecht, denn Hacker sind erst einmal Experten, die es verstehen, Sicherheitslücken in System und deren Code zu entdecken. Wer diese Fähigkeit aus Profitgier missbraucht, kann in die Cyberkriminalität abrutschen. Die meisten aber sind sogenannte „White Hat Hacker“, die Bugs aufdecken und mit Unternehmen, Organisationen und Regierungen zusammenarbeiten, um die Integrität von Systemen zu verteidigen.

Anbieter zum Thema

White Hat Hacker als Unternehmen in Programme zur Absicherung gegen digitale Angriffe von außen einzubinden, ist eine gute Strategie, solange der Prozess sauber definiert und verwaltet wird.
White Hat Hacker als Unternehmen in Programme zur Absicherung gegen digitale Angriffe von außen einzubinden, ist eine gute Strategie, solange der Prozess sauber definiert und verwaltet wird.
(© peshkov - stock.adobe.com)

Die „Black Hats“ sind eine Referenz zu Bösewichten mit schwarzem Hut in Western-Filmen und sie bestimmen mit ihren Hacks meist die Schlagzeilen. In diesem Jahr sind sie besonders rund um Themen, wie Solarwinds oder Microsoft Exchange auffällig geworden. Diese Hacker werden manchmal von Staaten gesponsert oder sind politisch motiviert. Die Angriffe werden immer raffinierter und spektakulärer, zugleich steigt ihre Anzahl. Der Hiscox Cyber Readiness Report 2021 schreibt von 46 Prozent der deutschen Unternehmen, die 2020 von einer Cyberattacke betroffen waren. Im Jahr davor zählte der Bericht fünf Prozent weniger.

Die Folgen sind teure und komplizierte Schäden, hervorgerufen vor allem durch Ransomware. Die Cyberkriminellen erhöhen so ständig den Druck auf Unternehmen und Organisationen, sich sicherheitstechnisch besser aufzustellen. Zwang übt aber auch die andere Seite aus, auf der die White Hats stehen - sogenannte „ethische Hacker“, die im Auftrag oder aus Eigeninteresse Schwachstellen in Sicherheitssystemen identifizieren und melden. Denn die Einfallstore, die White Hats aufdecken, müssen Firmen und Institutionen so schnell wie möglich schließen.

Wer weitsichtig handelt, bindet die White Hats professionell strategisch ins eigene Sicherheitskonzept ein. Aber an wen wendet man sich dafür? Eine der besten Adressen ist sicher Katie Moussouris, Gründerin und CEO von Luta Security und Initiatorin der „Pay Equity Now Foundation“. Die anerkannte Pionierin und Expertin für so genannte „Bug-Bounty-Programme“ sowie für Standards zur Offenlegung von Schwachstellen (Vulnerability Disclosure), Handhabungsprozesse und sichere Entwicklung ist darauf spezialisiert, Unternehmen und Regierungen bei der Zusammenarbeit mit Hackern zu unterstützen. Das gemeinsame Ziel ist es, einen besseren Schutz vor digitalen Angriffen zu erreichen. In ihrer Referenzliste stehen so illustre Namen wie Microsoft, das Pentagon oder die britische und die US-Regierung.

Vorab selbst Bugs verhindern

Viele Organisationen wenden sich an Luta Security, weil sie Bug-Bounty-Programme starten wollen, um Fehler und Einfallstore in Systemen und Software zu erkennen. Den Hackern winkt dabei eine Prämie, wenn sie kritische Schwachstellen entdecken. Doch bevor man sich über Fehlerprämien unterhält, bohrt Katie Moussouris immer erst mal nach. Ihre Standardfragen sind: Was tut die Firma gerade, um Bugs von vornherein zu verhindern? Wie sichert sie die Entwicklungsarbeit ab? Welche Tests baut sie in den Lebenszyklus ihrer Softwareentwicklung ein? „Fallen die Antworten dürftig aus, dann bitte ich das Unternehmen, erst einmal in diese Dinge zu investieren. Ansonsten handelt es höchst ineffizient“, erklärt sie.

Reifegradmodell anwenden und Schwachstellen offenlegen

Die IT-Security-Fähigkeiten eines Unternehmens ermittelt ein Team von Luta Security mit einem Reifegradmodell (Vulnerability Coordination Maturity Model). Damit lassen sich entscheidende Fragen beantworten wie: Hat eine Firma überhaupt die Fähigkeiten, um die eingehenden Schwachstellenmeldungen zu bearbeiten? Und welches erhöhte Meldungsvolumen ist bei einem Bug Bounty zu erwarten?

„Ergebnis der Reifeprüfung kann ein Bug-Bounty-Botox sein“, dämpft Katie Moussouris allzu große Erwartungen. Die professionelle Hackerin meint damit: Nach außen sieht es zwar hübsch aus, intern fehlt jedoch die Kapazität, die Informationen adäquat zu verarbeiten. Im Durchschnitt brauchen Unternehmen mehr als sechs Monate, um hochkritische Sicherheitslücken zu beheben. Wer aber schneller agiert, so viele Schwachstellen wie möglich reduziert und nicht mehr laufend über die immer gleichen Arten von Bugs stolpert sondern diese beherrscht, hat seine Hausaufgaben gemacht. So eine Organisation ist an dem Punkt, den Rahmen für die externe White-Hat-Hilfe festzulegen. Bevor man jedoch Geldprämien für das Finden von Fehlern auslobt, empfiehlt es sich, zunächst mit eigenen Maßnahmen zu starten, um die Schwachstellen offenzulegen. Dies dient dazu, die Übersicht über Fehlervolumen und Anstieg zu behalten.

Tür auf für White Hats

Katie Moussouris und ihre Mitstreiter sehen ihre Aufgabe darin, Auftraggeber und andere Unternehmen zu überzeugen, dass der Erfolg von zwei Sachen abhängt: Die White Hats brauchen einen Kontakt, um Sicherheitslücken einfach und dennoch ISO-konform zu melden. Die einfache Kontaktaufnahme klingt trivial, ist aber noch längst keine Realität. So schätzt sie, dass etwa 80 Prozent der größeren Unternehmen noch keinen Mechanismus haben, der White Hats quasi die Tür aufmacht, damit sie einen Bug anzeigen können. Idealerweise sollten die beauftragten Hacker auch gleich helfen können, die komplizierteren Bugs zu beheben – in Kooperation mit den Softwareentwicklern im Unternehmen. Hierbei hat es sich bewährt, Feedback-Schleifen einzurichten. Auf die Weise lernt eine Firma aus Bugs, um diese in der Zukunft zu vermeiden. Genau um diesen Lerneffekt geht es.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Strategischer Vorteil für Microsoft und andere

Ein Beispiel, wie unsinnig es wäre, sofort mit einem Geld-Prämien-Programm zu starten, lieferte Microsoft. Bei dem Konzern gingen im Jahr 200.000 E-Mails zu entdeckten Bugs ein. Ein kostenloser Service aus der Hacker-Gemeinde. Ein Bug-Bounty-Programm ist nur dann sinnvoll, wenn man konkrete Sicherheitsziele für Microsoft und die Community formuliert. In der Community steckten dabei Talente, die Katie Moussouris und ihr Team erkannt und rekrutiert haben. Sie bringen Microsoft den strategischen Vorteil, sich mit ihrer Expertise schneller und besser gegen Cyberattacken aufstellen zu können.

Luta Security unterstützte beispielsweise auch die britische Regierung dabei, den Sicherheitsstatus von verschiedenen Regierungsbehörden durch das Aufdecken von Schwachstellen zu ermitteln. In der Folge konnten die fehlenden Ressourcen, Tools und Mitarbeiter aufgestockt werden, um ein einheitliches Niveau in allen Behörden sicherzustellen. Das war deshalb so relevant, weil der britische National Health Service zu Beginn der Pandemie praktisch über Nacht ein Telehealth-Programm einführen musste. Auch die US-Regierung hat am 1. März 2021 ihr eigenes Programm zur Offenlegung von Sicherheitslücken veröffentlicht, an dem Luta Security im Hintergrund wirkte.

Schnelleres Aufspielen von Patches ist nötig – und motiviert White Hats

Die White Hats können entscheidend dazu beitragen, die Unternehmens-IT sicherer gegen Angriffe aus dem Netz zu machen. Ein Missstand liegt jedoch nicht in ihren Händen: Bereitstellung und Implementierung von Patches müssen schneller und effektiver erfolgen. Warum dauert es so lange, bis die Sicherheits-Updates gründlich auf Unternehmens-Netzwerke angewendet werden, obwohl Hersteller und Anbieter oft zügig reagieren? Hier bedarf es endlich Lösungen, die Patch-Aktualisierung im gesamten Netzwerk und allen Systemen zu automatisieren. Ansonsten sehen White-Hat-Hacker bei ihren Penetrationstests immer wieder die gleichen Schwachstellen in einer Firma. Dann besteht die Gefahr, dass sie sich abwenden, weil sie das Gefühl haben, nichts zu bewirken. Ganz zu schweigen von dem potenziellen Risiko, diese Schwachstellen ungepatcht zu lassen.

Über die Autorin: Jaya Baloo ist Chief Information Security Officer (CISO) bei Avast.

(ID:47952984)