«Wichtig ist der Dialog mit dem ethischen Hacker»

Unterschiede zu den Pentestern

CW: Welches sind hier die Unterschiede?
Zumbühl: Der Pentester findet systembezogene Dinge, da er auch Einblicke in die Dokumentation des Systems hat. So hat er einen Überblick über die Beschaffenheit einer Software und kann zum Beispiel ein Versatzstück der App­likation identifizieren, das veraltet ist und deshalb eine Schwachstelle sein könnte. Der Pentester kann mit seinem Know-how somit die Struktur und den Aufbau des Produkts bereits in der Entwicklungsphase beurteilen. Dies alles sieht der Bug-Bounty-Hunter nicht. Er wird lediglich mit dem fertigen Produkt konfrontiert und versucht, anhand der Funktionsweisen Schwachstellen und Fehler zu entdecken.
CW: Wie viele Leute sind derzeit an dem Bug-Bounty-Programm beteiligt?
Zumbühl: Derzeit etwa 200.
CW: Wie wählen Sie diese aus?
Zumbühl: Hier arbeiten wir mit unserem Partner «Yes­WeHack» zusammen, dem euro­päischen Branchen-Leader in diesem Bereich. Dabei handelt es sich um eine Plattform, auf der ethische Hacker sich anmelden können und die sie dann an Bug-Bounty-Programme wie unseres vermittelt. Wir kennen somit die Teilnehmer. Das ist uns auch wichtig, da wir ein Vertrauens­verhältnis zu ihnen aufbauen möchten. Schlussendlich müssen wir auch wissen, auf welches Konto wir das Preisgeld für die gefundenen Bugs überweisen müssen.
“Für ethische Hacker ist unser System eine Black Box„
Marcel Zumbühl, CISO der Post
CW: Wie überprüfen Sie, dass die ethischen Hacker wirklich «ethisch» einwandfrei sind?
Zumbühl: Wir haben Rahmen­bedingungen aufgestellt, deren Einhaltung wir überprüfen können. So erhält der ethische Hacker einen dedizierten Zugang auf unsere Produkte, der von aussen betrachtet gleich aussieht. Dadurch können wir schluss­endlich auch erkennen, wer uns angreift, ob es sich bei dem Angriff um Teilnehmer des Bug-Bounty-Programms handelt oder um Cyber­kriminelle, von denen wir ebenfalls permanent attackiert werden. Leider machen die ja in der Zwischenzeit keine Pause. Zudem treten wir nach der Meldung einer Schwachstelle mit dem Bug-Bounty-Hunter in Kontakt und entwickeln gemeinsam eine Lösung, welche die Lücke schliesst. Auch dieser Dialog vertieft das Ver­trauensverhältnis.
CW: Wäre es nicht theoretisch möglich, dass ein Bug-Bounty-Hunter die gefundene Schwachstelle auch noch im Darknet feilbietet und somit zweimal abkassiert?
Zumbühl: Theoretisch schon, allerdings würden wir das herausfinden und ihn womöglich in der Folge verklagen. Schliesslich ist Hacking nach wie vor ein Offizialdelikt.


Das könnte Sie auch interessieren