Die Schweizerische Post ist eine der grössten Arbeitgeberinnen in der Schweiz. Entsprechend bedeutend ist die Informatik-Infrastruktur des gelben Riesen. Um deren Schutz laufend zu verbessern, ent­wickeln die IT-Security-Experten ständig neue Methoden. Frisch im Repertoire ist seit Kurzem ein Bug-Bounty-Programm, in dessen Rahmen sich die Post von sogenannten ethischen Hackern angreifen lässt. Hierüber und über die aktuellen Bedrohungen sprach Computerworld mit Marcel Zumbühl, Chief Information Security Officer (CISO) der Schweizerischen Post.

Marcel Zumbühl: Die Situation, dass unsere Mitarbeitenden auch aus dem Home Office arbeiten, ist nichts Un­gewöhnliches für uns. Speziell war diesen Frühsommer hauptsächlich die Anzahl Angestellte, die sich von zu Hause aus einloggten. Dabei haben wir einerseits darauf geachtet, dass unsere Daten gut geschützt bleiben. Andererseits haben wir die Mitarbeitenden sensibilisiert und ihnen mitgeteilt, welche Tools sie am besten verwenden und – genauso wichtig: welche lieber nicht –, um im Home Office sicher zu bleiben. So haben wir beispielsweise vorgeschlagen, auf Zoom zu verzichten und stattdessen auf bereits etablierte Kommunikationslösungen wie Skype und Teams zu setzen.

Zumbühl: Wir haben keine speziellen Vorkehrungen treffen müssen. Schon vor der Krise war es wichtig, dass die Geräte der Mitarbeitenden sicher genutzt werden können, sei es im Büro, unterwegs oder von zu Hause aus.

Zumbühl: Nein, höchstens in Sachen Kapazität mussten wir nachjustieren, sodass auch 12 000 Angestellte sich sicher von extern einloggen konnten.

Zumbühl: Ich kann Sie beruhigen. Letzteres ist nicht geschehen. Allerdings haben wir schon beobachten können, dass während der Krise das Thema E-Commerce in den Vordergrund gerückt ist und somit Postunternehmen weltweit in den Fokus der Hacker gerieten. Besonders sind Phishing-Versuche mit bekannten Markennamen im Logistikumfeld vermehrt zu beobachten gewesen. Die Gefahr bestand somit, dass Anwender auf angeblich vertrauenswürdige Links klicken. Umso wichtiger war es von unserer Seite, Kunden und Öffentlichkeit zu sensibilisieren, bei solchen Mails kritisch zu bleiben.

Zumbühl: Phishing ist sicher ein grosser Trend, den wir bei den aktiven Angriffen beobachten. Daneben sieht man auch immer mehr Erpressungsversuche wie auch Versuche, Identitäten von Kunden oder Mitarbeitenden zu stehlen.

Zumbühl: Wir sind überzeugt, dass ein solches Programm ein zusätzlicher Gewinn in Sachen Informationssicherheit sein kann. Hier wird nämlich eine Dienstleistung nicht nur von innen betrachtet, sondern auch von aussen. Wir arbeiten hier mit sogenannten «ethischen Hackern» zusammen, also mit Leuten, die sich wirklich für die IT-Security engagieren wollen. Diese für die eigene Sicherheit einzuspannen und als Partner zu gewinnen, war uns wichtig. Allerdings wussten wir zunächst nicht, wie gut das Ganze funktionieren würde. Daher haben wir die Idee erst einmal getestet. Mittlerweile kann ich aber sagen, dass das Programm sehr erfolgreich ist und dass wir es weiter ausbauen werden.

Zumbühl: Es gibt hier mehrere Unterschiede. So kommen Pentester und Bug-Bounty-Hunter auf unterschiedlichen Entwicklungsstufen zum Einsatz. Ein Pentester klopft unsere Entwicklungen in einem früheren Stadium ab. Er kommt etwa schon in einer Testphase oder innerhalb der Entwicklungsumgebung zum Einsatz. Pentester sollen bewusst eine externe Sicht auf die Entwicklungen werfen. Dadurch vermeiden wir es einerseits, betriebsblind zu werden, andererseits erhalten wir auf diese Weise auch zusätz­liches Know-how bereits in der Entwicklungsphase. Es ist immer wieder interessant zu sehen, wie Pentester an ihre Aufgabe herangehen. Der Pentester kommt mit eigenen Tools und er besitzt Unterlagen von uns über den Aufbau der Systeme. Über all dies verfügt der Bug-Bounty-Hunter nicht. Denn beim Bug-Bounty-Programm wird ein fertiges Produkt angegriffen, das von aussen so auch für die Kunden erreichbar ist, wie beispielsweise der Online-Postshop. Für den Bug-Bounty-Hunter ist unser System eine «Black Box». Er sieht nur das Login oder eine Ein­gabemaske im Web – genauso wie jeder Kunde der Post. Wir informieren ihn auch bewusst nicht näher darüber.

Es ist somit viel Kreativität seitens des Angreifers gefragt. Sinn und Zweck ist schliesslich, dass er wie ein
Hacker an die Aufgabe herangehen muss. Das heisst, dass er nicht nur ins Produkt einbrechen kann, sondern dass er bei der ganzen Aktion auch noch unerkannt bleibt. Daher finden Bug-Bounty-Hunter auch andere Schwachstellen he­raus als Pentester und wir sehen gleichzeitig, ob wir den Angriff auch rechtzeitig als solchen erkennen.

Zumbühl: Der Pentester findet systembezogene Dinge, da er auch Einblicke in die Dokumentation des Systems hat. So hat er einen Überblick über die Beschaffenheit einer Software und kann zum Beispiel ein Versatzstück der App­likation identifizieren, das veraltet ist und deshalb eine Schwachstelle sein könnte. Der Pentester kann mit seinem Know-how somit die Struktur und den Aufbau des Produkts bereits in der Entwicklungsphase beurteilen. Dies alles sieht der Bug-Bounty-Hunter nicht. Er wird lediglich mit dem fertigen Produkt konfrontiert und versucht, anhand der Funktionsweisen Schwachstellen und Fehler zu entdecken.

Zumbühl: Derzeit etwa 200.

Zumbühl: Hier arbeiten wir mit unserem Partner «Yes­WeHack» zusammen, dem euro­päischen Branchen-Leader in diesem Bereich. Dabei handelt es sich um eine Plattform, auf der ethische Hacker sich anmelden können und die sie dann an Bug-Bounty-Programme wie unseres vermittelt. Wir kennen somit die Teilnehmer. Das ist uns auch wichtig, da wir ein Vertrauens­verhältnis zu ihnen aufbauen möchten. Schlussendlich müssen wir auch wissen, auf welches Konto wir das Preisgeld für die gefundenen Bugs überweisen müssen.

Zumbühl: Wir haben Rahmen­bedingungen aufgestellt, deren Einhaltung wir überprüfen können. So erhält der ethische Hacker einen dedizierten Zugang auf unsere Produkte, der von aussen betrachtet gleich aussieht. Dadurch können wir schluss­endlich auch erkennen, wer uns angreift, ob es sich bei dem Angriff um Teilnehmer des Bug-Bounty-Programms handelt oder um Cyber­kriminelle, von denen wir ebenfalls permanent attackiert werden. Leider machen die ja in der Zwischenzeit keine Pause. Zudem treten wir nach der Meldung einer Schwachstelle mit dem Bug-Bounty-Hunter in Kontakt und entwickeln gemeinsam eine Lösung, welche die Lücke schliesst. Auch dieser Dialog vertieft das Ver­trauensverhältnis.

Zumbühl: Theoretisch schon, allerdings würden wir das herausfinden und ihn womöglich in der Folge verklagen. Schliesslich ist Hacking nach wie vor ein Offizialdelikt.

Zumbühl: Durchschnittlich sind es etwa 750 Franken, die wir für eine Schwachstelle bezahlen. Allerdings kommt es auf die Gefährlichkeit der gefundenen Lücke an. Die Preisspanne bewegt sich zwischen 50 und mehreren Tausend Franken pro gefundener Schwachstelle.

Zumbühl: Die Beträge lassen sich nicht direkt vergleichen. Aber der Preis ist ja nicht matchentscheidend. Vielmehr geht es um die Motivation. Will ich als Hacker einem Unternehmen helfen, die IT-Sicherheit zu verbessern, oder bin ich ein Krimineller? Das eigene ethische Korsett ist hier schon noch wichtig.

Zumbühl: Wir bieten ihnen zusammen mit weiteren europäischen Firmen einen Marktplatz an, auf dem sie sich legal betätigen und gleichzeitig einer spannenden Arbeit nachgehen können. Das ist meines Erachtens wesentlich attraktiver als die Cyberkriminalität, wo man die Straf­verfolgung fürchten muss.

Zumbühl: Wir haben uns sicherlich zunächst daran orientiert, welche Erfahrungen internationale Firmen in diesem Bereich gemacht haben. Daneben gibt es den Schweizer Kontext. Hier geht es vornehmlich um rechtliche Aspekte. Sie können nämlich keine ethischen Hacker engagieren, wenn Sie ihnen keine Rechtsfreiheit garantieren können. Wichtig war es daher, zusammen mit dem Bund und den Kantonen einen sogenannten «Legal Safe Harbor» zu etablieren.

Zumbühl: Wir geben dabei vor, unter welchen Bedingungen wir auf eine Anzeige verzichten. Wer sich daran hält, kann auf diesen Schutz zählen. Denn der Angriff des ethischen Hackers ist gewollt: Schliesslich sollen Schwach­stellen aufgedeckt und die Sicherheit der Systeme erhöht werden.

Zumbühl: Wir sehen den Beginn des Bug-Bounty-Programms als Prozess. Wir lassen jedes Produkt zunächst im kleinen Rahmen testen, also mit einer relativ kleinen Community von Hackern und erweitern den Rahmen sukzessive. Ein öffentliches Programm wird folgen.

Das öffentliche unterscheidet sich vom privaten Programm hauptsächlich in der Teilnehmerzahl. Denn auch bei einem öffentlichen Programm müssten sich die ethischen Hacker registrieren und wären bekannt. Allerdings könnten dann statt wie jetzt nur 200 Leute, 1000 oder gar 10 000 Teilnehmer sich die Software anschauen.

Zumbühl: Das ist natürlich die Hoffnung. Allerdings ist unsere Erfahrung, dass es auch bei der Anzahl entdeckter Lücken eine Kurve gibt, die bei einer gewissen Anzahl Teilnehmer abflacht. Wenn also 250 Leute eine Software in­spiziert haben, ist die Wahrscheinlichkeit eher gering, dass noch sehr schwerwiegende Fehler entdeckt werden, wenn man das Programm ganz öffnet. Die grössten Benefits hat man schon beim Start. Auch eine recht kleine Community kann die schwerwiegendsten Lücken finden.

Zumbühl: Am ärgerlichsten für uns sind Fehler, bei denen eine Remote Code Execution möglich ist, wenn also unser System dazu gebracht werden kann, etwas auszuführen, was von uns nicht gewollt ist. Wichtig ist dabei aber für uns, dass wir schnell herausfinden, ob die Lücke schon vorher von jemanden genutzt wurde und wie schnell man sie schliessen kann. Hier spielt dann eben der Dialog zwischen Entwickler und Bug-Bounty-Hunter eine grosse Rolle. Darin liegt die eigentliche Stärke des Programms.

Zumbühl: Als wir das Programm starteten, konnten die Bug-Bounty-Hunter uns innert kürzester Zeit 50 Schwachstellen aufzeigen. Da durften wir feststellen, dass die Methode offensichtlich funktioniert und wir diese fortsetzen werden.

Zumbühl: Nein, wir haben eine Liste von Produkten erstellt, die angegriffen werden dürfen. Allerdings handelt es sich dabei um eine wachsende Liste. Die Idee ist, dass dereinst die Mehrheit unserer Anwendungen von Bug-Jägern unter die Lupe genommen werden.

Zumbühl: Gestartet sind wir nicht mit Systemen, sondern mit einzelnen Produkten, die direkte Dienstleistungen nach aussen erbringen, so etwa das Kunden-Login, der Post-Shop im Web, unsere E-Commerce-Lösung oder Bezahlsysteme wie Billing Online. Danach kamen weitere Dienstleistungen wie «Meine Sendungen», bei der Kunden ihre Sendungen online verfolgen und beeinflussen können. Es kommen somit laufend neue Dienstleistungen hinzu. Und jedes neue Produkt wird zunächst von einer kleinen Teilnehmerzahl begutachtet, bevor sich der Kreis der Hacker weitet.

Zumbühl: Wir durften vor allem feststellen, dass ein solches Programm sehr mächtig und wirksam ist, dass also Schwachstellen sehr rasch gefunden und gefixt werden können.

Zumbühl: Wenn Teilnehmer etwas finden, können sie dies auf einer Plattform melden. Danach untersuchen und beurteilen wir die gemeldete Lücke. In der Folge etablieren wir einen Dialog zwischen dem Entwickler und dem Hunter, damit die Schwachstelle so schnell wie möglich geschlossen werden kann. Unser Ziel ist es also, uns so rasch wie möglich der Lösungsfindung zu widmen.

Parallel hierzu sprechen wir anhand der ursprünglichen Beurteilung der gefundenen Lücke ein Preisgeld. Schliesslich sind wir bemüht, den Dialog zwischen den Bug-Bounty-Huntern und den IT-Spezialisten auch danach aufrecht­zuhalten. Hierzu haben wir einige Mitglieder unseres Entwicklerteams zusätzlich in Aspekten der Informations­sicherheit geschult. Diese von uns als Security Champions bezeichneten Personen stehen in engem Kontakt mit den ethischen Hackern. Dieser Dialog ist übrigens nicht nur für uns wichtig, sondern auch für den Bug-Bounty-Hunter. Denn dieser möchte ja auch sehen, dass das Unternehmen mit seinen Erkenntnissen etwas anfängt und die von ihm gefundenen Schwachstellen schliesst.

Zumbühl: Sicherlich. Die Erfahrungen aus dem Bug-Bounty-Programm werden in die Entwicklungsabteilung und das Produktmanagement zurückgespielt. Security wird dort als wichtiges Element neuer und bestehender Software-Produkte angesehen. Im Übrigen haben die Rück­meldungen der Hacker ein besonderes Gewicht.

Zumbühl: Ja, so bald wie möglich. Allerdings bleiben wir dabei, dass wir die Hacker nur stufenweise auf unsere Produkte «loslassen». Jede Entwicklung, die zunächst 50 und danach 250 Hackern standhält, dürfte schlussendlich auch mit Tausenden Bug-Bounty-Huntern klarkommen.