Kopfgeldjäger 09.04.2020, 06:57 Uhr

Schwachstellen aufspüren, Belohnung kassieren

Bug-Bounty-Programme sollen Hacker animieren, Sicherheitslücken zu melden. Dafür zahlen die Unternehmen je nach schwere des Lecks eine beträchtliche Prämie.
Bug-Bounty-Programme helfen Softwarelücken zu schliessen
(Quelle: Glebstock / shutterstock.com )
Viele Webseiten von Unternehmen sind Einfallstore für Cyberkriminelle. Der deutsche Verband der Internetwirtschaft eco hat mehr als 1400 Webseiten kleiner und mittelständischer Unternehmen mit dem Sicherheits-Scanner SIWECOS untersucht und dabei zahlreiche Sicherheitslücken festgestellt. «Rund jede zweite KMU-Webseite ist potenziell angreifbar», berichtet Cornelia Schildt, SIWECOS-Projektleiterin und Sicherheitsexpertin im eco-Verband.
Würden diese Schwachstellen nicht bei einem Security-Projekt, sondern von kriminellen Hackern entdeckt, könnten in vielen Fällen vertrauliche Daten ausspioniert und Webdienste manipuliert und behindert werden. Das Ziel muss es deshalb sein, die Schwachstellen vor den Angreifern aufzuspüren und zu beheben.

Vorprogrammierte Lücken

Sicherheitslücken findet man in nahezu jeder Software. Die Ursachen dafür sieht Gartner-Analyst Dale Gardner in den Entwicklungsprozessen: «Da die Tests häufig gegen Ende des Entwicklungszyklus stattfinden, werden viele Fehler nicht behoben, weil die Teams darauf drängen, die Fristen einzuhalten.» Auch neuere Verfahren wie DevOps ändern daran wenig, so Gardner. «Während sich Programmierer und Betriebs­teams zu DevOps entwickeln, fehlt den kombinierten Gruppen eine einheitliche Sicht auf die Schwachstellen. Es gibt keine Grundlage für die gemeinsame Priorisierung potenzieller Sicherheitsprobleme oder die Priorisierung von Fixes.»
“Die Verantwortlichen in vielen Unternehmen wissen oft nicht, dass ihr CMS Schwachstellen hat, und gefährden so Unternehmens-IT und Kundendaten.„
Cornelia Schildt, Projekleiterin SIWECOS im eco-Verband
Ein weiteres Problem, das der Gartner-Experte sieht: «Die Kombination von Schwachstellendaten aus mehreren Quellen überfordert Teams, die keine Ahnung haben, wo sie mit der Bewertung beginnen sollen und welche Aufgaben sie durchführen sollen.»
Dazu kommt, dass viele Unternehmen nicht über die Security-Experten verfügen, um ihre IT regelmässig auf Schwachstellen zu checken und Lücken zu schliessen. Da hilft es auch wenig, wenn in einer Umfrage des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) 71 Prozent der befragten Unternehmen und Institutionen angaben, über ein strukturiertes Patch-Management zu verfügen, um auf bekannt gewordene Sicherheitslücken schnell reagieren zu können. Viele Schwachstellen sind den Unternehmen nämlich überhaupt nicht bekannt, und unbekannte Sicherheits­lücken werden nicht gepatcht. Oberstes Gebot ist also, möglichst viele Sicherheitslücken zu erkennen.


Das könnte Sie auch interessieren