Umgang mit Schwachstellen

Das Belohnen von Sicherheitsforschern für das Erkennen von Sicherheitslücken in Software und deren verantwortungsvolle Offenlegung gegenüber dem Unternehmen ist eine gute Investition für Unternehmen, bestätigt die EU-Agentur für Cybersicherheit ENISA. Die ENISA weist in diesem Zusammenhang allerdings auf etwas Wichtiges hin: Ein Bug-Bounty-Programm könne von Vorteil sein, das Unternehmen müsse aber über die richtigen Prozesse verfügen, um es unter­stützen zu können.

«Grundsätzlich ist ein Bug-Bounty-Programm eine gute Idee», meint auch Tim Berghoff, Security Evangelist beim IT-Sicherheitsunternehmen G-Data CyberDefense. Und auch er gibt zu bedenken: «Wie in allen Bereichen, in denen es um Sicherheit geht, stellt sich unausweichlich die Frage nach einem entsprechenden Prozess. Die entscheidenden Fragen sind hier: Wie kann jemand von extern eventuelle Bugs oder Sicherheitslücken melden? Wer bekommt diese Meldungen und wie werden sie priorisiert? Wenn diese und andere Fragen nicht geklärt sind, dann hilft ein Bug-Bounty-Programm nicht nur nicht weiter, sondern verursacht Verwirrung.»

Viele Unternehmen seien dazu übergegangen, ein Bug-Bounty-Programm an einen externen Dienstleister zu geben, so Tim Berghoff. Alle Berichte würden über diese Plattform gesammelt, sodass dieser Aufwand für die angeschlossenen Unternehmen entfalle. Damit werde jedoch nur ein Teilaspekt verlagert. Ein Unternehmen, das eine solche externe Plattform nutzt, müsse die darüber gesammelten Reports immer noch verarbeiten. Es sei also nicht damit getan, einfach nur eine Seite auf der Homepage zu erstellen und eine Mailbox einzurichten.

Berghoff warnt: «Fehlen die darunterliegenden Prozesse und Zuständigkeiten, ist das Unternehmen organisatorisch einfach nicht bereit für ein Bug-Bounty-Programm. Mehr noch: Es ist gängige Praxis, eine an einen Hersteller gemeldete Sicherheits­lücke nach Verstreichen einer Frist von 90 Tagen öffentlich zu machen. Hat es ein Unternehmen bis zu diesem Zeitpunkt nicht geschafft, eine Lösung oder zumindest einen Work­around bereitzustellen, ist es
jedem möglich, der die Motivation und das Fachwissen hat, die Sicherheitslücke auszunutzen. Dass dies kaum im Sinne der betroffenen Unternehmen ist, versteht sich von selbst.»

Daraus folgt: Unternehmen, die selbst ein Bug-Bounty-Programm aufsetzen möchten, sollten zuerst ein Verfahren etablieren, wie Externe Sicherheits­lücken an das Sicherheitsteam des Unternehmens melden können. Dazu gehört ein sicherer Kommunikationskanal, damit die Meldungen nicht in falsche Hände gelangen.

Um die gemeldeten Sicherheitslücken gefahrlos überprüfen zu können, braucht man zudem im Unternehmen entsprechende Testumgebungen. Und es müssen die Kapazitäten für eine zeitnahe Reaktion auf die gemeldeten Sicherheitslücken vorhanden sein. Alle relevanten Stellen wie Unternehmensleitung, Security-Team, Rechtsabteilung, eigene Entwickler und die Kommunikationsabteilung müssen involviert werden. Und schliesslich müssen der Umfang des Programms und die Höhe der möglichen Belohnungen klar kommuniziert werden.

So hilfreich gut gemachte Bug-Bounty-Programme für die Cybersicherheit auch sein können, sie reichen bei Weitem nicht aus, um wirklich fehlerfreie Software zu gewährleisten. Da einem Angreifer im Regelfall schon eine einzige Schwachstelle in einem Software-Produkt genügt, um sie auszunutzen, ein Hersteller oder Verteidiger hingegen alle Schwachstellen eliminieren muss, ist die Suche und Beseitigung von Schwachstellen zwar notwendig, aber nicht hinreichend, wie das BSI betont.

Trotz Bug-Bounty-Programm muss ein Unternehmen also davon ausgehen, dass immer Schwachstellen vorhanden sind, die früher oder später erfolgreich ausgenutzt werden können. Für einen angemessenen Schutz sind daher weitere Massnahmen notwendig. Cybersicherheit ist und bleibt ein umfangreiches Paket an Verfahren, Standards, Lösungen und Expertenwissen. Was alles zur Vermeidung von Schwachstellen gehört, zeigen zum Beispiel die Empfehlungen der EU-Agentur für Cybersicherheit ENISA unter www.enisa.europa.eu/publications/info-notes/effective-patch-management.