«Wichtig ist der Dialog mit dem ethischen Hacker»
So viel kostet ein Bug
CW: Sie bezahlen die Hacker ja für die gefundenen Schwachstellen, und zwar je nach Schwere der Lücke. Können Sie etwas zur «Preisgestaltung» sagen?
Marcel Zumbühl plant ein öffentliches Bug-Bounty-Programm
Quelle: Jens Stark/NMGZ
CW: Ist das mehr, als was man dafür im Darknet erzielen könnte?
Zumbühl: Die Beträge lassen sich nicht direkt vergleichen. Aber der Preis ist ja nicht matchentscheidend. Vielmehr geht es um die Motivation. Will ich als Hacker einem Unternehmen helfen, die IT-Sicherheit zu verbessern, oder bin ich ein Krimineller? Das eigene ethische Korsett ist hier schon noch wichtig.
CW: Wie halten Sie die ethischen Hacker bei der Stange?
Zumbühl: Wir bieten ihnen zusammen mit weiteren europäischen Firmen einen Marktplatz an, auf dem sie sich legal betätigen und gleichzeitig einer spannenden Arbeit nachgehen können. Das ist meines Erachtens wesentlich attraktiver als die Cyberkriminalität, wo man die Strafverfolgung fürchten muss.
Zahlen zur Information Security der Post
Die Schweizerische Post beschäftigt 1200 Mitarbeitende in der IT. Im ganzen Unternehmen sind über 80 Personen in der Informationssicherheit für Post und PostFinance im Einsatz.
Diese sehen sich einigen Attacken und Angriffsversuchen gegenüber:
- 10 Millionen Spam- und Phishing-Attacken werden pro Monat registriert.
- 10 000 Viren werden pro Monat abgefangen.
- 100 aktive Angriffe auf die eigene Infrastruktur werden pro Monat abgewehrt.
