«Wichtig ist der Dialog mit dem ethischen Hacker»

Wichtiger Rechtsrahmen

CW: Das Bug-Bounty-Konzept stammt ja aus den USA und Sie sind eines der ersten Schweizer Unternehmen, das ein solches Programm aufzieht. Haben Sie die Idee eins zu eins übernommen oder haben Sie eigene Elemente eingebaut?
Zumbühl: Wir haben uns sicherlich zunächst daran orientiert, welche Erfahrungen internationale Firmen in diesem Bereich gemacht haben. Daneben gibt es den Schweizer Kontext. Hier geht es vornehmlich um rechtliche Aspekte. Sie können nämlich keine ethischen Hacker engagieren, wenn Sie ihnen keine Rechtsfreiheit garantieren können. Wichtig war es daher, zusammen mit dem Bund und den Kantonen einen sogenannten «Legal Safe Harbor» zu etablieren.
CW: Wie funktioniert dieser Rechtsrahmen?
Zumbühl: Wir geben dabei vor, unter welchen Bedingungen wir auf eine Anzeige verzichten. Wer sich daran hält, kann auf diesen Schutz zählen. Denn der Angriff des ethischen Hackers ist gewollt: Schliesslich sollen Schwach­stellen aufgedeckt und die Sicherheit der Systeme erhöht werden.
CW: Noch ist das Programm ja auf eine gewisse Anzahl Teilnehmer beschränkt, die Hacker dürfen nur auf Einladung angreifen. Warum diese Beschränkung und kein öffentliches Programm?
Zumbühl: Wir sehen den Beginn des Bug-Bounty-Programms als Prozess. Wir lassen jedes Produkt zunächst im kleinen Rahmen testen, also mit einer relativ kleinen Community von Hackern und erweitern den Rahmen sukzessive. Ein öffentliches Programm wird folgen.
Das öffentliche unterscheidet sich vom privaten Programm hauptsächlich in der Teilnehmerzahl. Denn auch bei einem öffentlichen Programm müssten sich die ethischen Hacker registrieren und wären bekannt. Allerdings könnten dann statt wie jetzt nur 200 Leute, 1000 oder gar 10 000 Teilnehmer sich die Software anschauen.
CW: Finden mehr Hacker mehr Schwachstellen?
Zumbühl: Das ist natürlich die Hoffnung. Allerdings ist unsere Erfahrung, dass es auch bei der Anzahl entdeckter Lücken eine Kurve gibt, die bei einer gewissen Anzahl Teilnehmer abflacht. Wenn also 250 Leute eine Software in­spiziert haben, ist die Wahrscheinlichkeit eher gering, dass noch sehr schwerwiegende Fehler entdeckt werden, wenn man das Programm ganz öffnet. Die grössten Benefits hat man schon beim Start. Auch eine recht kleine Community kann die schwerwiegendsten Lücken finden.
CW: Welche Bugs konnten die Hacker bislang finden? Und welche waren am schlimmsten?
Zumbühl: Am ärgerlichsten für uns sind Fehler, bei denen eine Remote Code Execution möglich ist, wenn also unser System dazu gebracht werden kann, etwas auszuführen, was von uns nicht gewollt ist. Wichtig ist dabei aber für uns, dass wir schnell herausfinden, ob die Lücke schon vorher von jemanden genutzt wurde und wie schnell man sie schliessen kann. Hier spielt dann eben der Dialog zwischen Entwickler und Bug-Bounty-Hunter eine grosse Rolle. Darin liegt die eigentliche Stärke des Programms.
Seite 5/6
Auf einer Seite lesen
  1. «Wichtig ist der Dialog mit dem ethischen Hacker»
  2. Ethische Hacker greifen an
  3. Unterschiede zu den Pentestern
  4. So viel kostet ein Bug
  5. Wichtiger Rechtsrahmen
  6. Innert kürzester Zeit 50 Bugs entdeckt
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
Cybersecurity? Challenge accepted
«Das Sicherheits­denken ist gestiegen»
 
vor 15 Stunden
Im Gespräch
Sabine Brändle, Quality Director SAP Schweiz, im Computerworld-Podcast
 
vor 1 Tag
#LockedShields2024
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
 
vor 1 Tag
Deutschland
Volkswagen über mehrere Jahre im Visier von Hackern
 
vor 3 Tagen