Von Bug Bounty bis Malware Scanning

Bug Bounty Programme, bei denen Belohnungen für die Meldung von entdeckten Schwachstellen ausgelobt werden, sind nur ein Beispiel, wie Unternehmen von der Cyber Security Community profitieren können. Auch die aktive Suche nach Angriffsmöglichkeiten, der Penetrationstest, nutzt die Securityexpertise der Crowd, also externer Securityfachleute, die sich ehrenamtlich oder gegen ein bestimmtes Entgelt auf die Suche nach Sicherheitslücken machen. Ein «Penetration Testing as a Service» gibt es auch von Securitydienstleistern, doch ähnlich wie bei Open Source hat auch die Security Community solche «Freiwilligendienste» hervorgebracht.

Ein anderes Beispiel für Crowdsourced Security ist das «Crowdsourced Malware Scanning» mit VirusTotal. VirusTotal nutzt die Fähigkeiten und die Informationen von vielen, verschiedenen Antiviren-Engines, Websitescannern, Datei- und Link-Analysetools sowie Hinweisen von Nutzenden und aggregiert deren Kommentare und Resultate zur Schadsoftware. Die Besonderheit ist, dass nicht nur ein einzelner Malwarescanner die Bösartigkeit einer Datei oder eines Links bewertet, sondern eine Vielzahl von Scannern tut dies und lässt deren Bewertungen ins Gesamtresultat einfliessen.
Ein Securityservice wie VirusTotel nutzt somit das Wissen über Malware von vielen verschiedenen Malwarescannern und Malwareexpertinnen und -experten gleichzeitig. Aber auch die Unternehmen selbst und damit die Angriffsziele der Cyberkriminellen haben ein Wissen, das für die Cybersicherheit sehr wertvoll sein kann.

Jedes Unternehmen, das bereits angegriffen wurde und die Attacke entdeckt und abgewehrt hat, hat wichtige Erfahrungen gesammelt, zum Beispiel über die ausgenutzten Schwachstellen, die Angriffswege oder aber über die Möglichkeiten, den Angriff möglichst schnell zu entdecken und die Folgeschäden einzudämmen.
Dieses Erfahrungswissen ist die Threat Intelligence (Bedrohungsintelligenz) des jeweiligen Unternehmens. «Threat Intelligence sind alle Informationen, die einem Unternehmen helfen können, Bedrohungen zu identifizieren, zu bewerten, zu überwachen und auf Cyberbedrohungen zu reagieren», so die Erläuterung der US-amerikanischen Bundesbehörde NIST (National Institute of Standards and Technology). «Organisationen, die Informationen über Cyberbedrohungen austauschen, können dadurch ihre eigene Sicherheitslage sowie die anderer Organisationen verbessern.»

Der Grund liegt auf der Hand: Andere Unternehmen haben andere Erfahrungen mit Cyberattacken gemacht und verfügen damit über ein eigenes Bedrohungswissen. Wenn sich die Unternehmen darüber austauschen, können sie voneinander lernen in einer Art Selbsthilfegruppe für Cybersicherheit. Der Erfahrungsschatz vieler und die Meldung von IT-Sicherheitsvorfällen sind die Basis für einen stets aktuellen Lagebericht zur Cybersicherheit.