«Wichtig ist der Dialog mit dem ethischen Hacker»

Wichtiger Rechtsrahmen

CW: Das Bug-Bounty-Konzept stammt ja aus den USA und Sie sind eines der ersten Schweizer Unternehmen, das ein solches Programm aufzieht. Haben Sie die Idee eins zu eins übernommen oder haben Sie eigene Elemente eingebaut?
Zumbühl: Wir haben uns sicherlich zunächst daran orientiert, welche Erfahrungen internationale Firmen in diesem Bereich gemacht haben. Daneben gibt es den Schweizer Kontext. Hier geht es vornehmlich um rechtliche Aspekte. Sie können nämlich keine ethischen Hacker engagieren, wenn Sie ihnen keine Rechtsfreiheit garantieren können. Wichtig war es daher, zusammen mit dem Bund und den Kantonen einen sogenannten «Legal Safe Harbor» zu etablieren.
CW: Wie funktioniert dieser Rechtsrahmen?
Zumbühl: Wir geben dabei vor, unter welchen Bedingungen wir auf eine Anzeige verzichten. Wer sich daran hält, kann auf diesen Schutz zählen. Denn der Angriff des ethischen Hackers ist gewollt: Schliesslich sollen Schwach­stellen aufgedeckt und die Sicherheit der Systeme erhöht werden.
CW: Noch ist das Programm ja auf eine gewisse Anzahl Teilnehmer beschränkt, die Hacker dürfen nur auf Einladung angreifen. Warum diese Beschränkung und kein öffentliches Programm?
Zumbühl: Wir sehen den Beginn des Bug-Bounty-Programms als Prozess. Wir lassen jedes Produkt zunächst im kleinen Rahmen testen, also mit einer relativ kleinen Community von Hackern und erweitern den Rahmen sukzessive. Ein öffentliches Programm wird folgen.
Das öffentliche unterscheidet sich vom privaten Programm hauptsächlich in der Teilnehmerzahl. Denn auch bei einem öffentlichen Programm müssten sich die ethischen Hacker registrieren und wären bekannt. Allerdings könnten dann statt wie jetzt nur 200 Leute, 1000 oder gar 10 000 Teilnehmer sich die Software anschauen.
CW: Finden mehr Hacker mehr Schwachstellen?
Zumbühl: Das ist natürlich die Hoffnung. Allerdings ist unsere Erfahrung, dass es auch bei der Anzahl entdeckter Lücken eine Kurve gibt, die bei einer gewissen Anzahl Teilnehmer abflacht. Wenn also 250 Leute eine Software in­spiziert haben, ist die Wahrscheinlichkeit eher gering, dass noch sehr schwerwiegende Fehler entdeckt werden, wenn man das Programm ganz öffnet. Die grössten Benefits hat man schon beim Start. Auch eine recht kleine Community kann die schwerwiegendsten Lücken finden.
CW: Welche Bugs konnten die Hacker bislang finden? Und welche waren am schlimmsten?
Zumbühl: Am ärgerlichsten für uns sind Fehler, bei denen eine Remote Code Execution möglich ist, wenn also unser System dazu gebracht werden kann, etwas auszuführen, was von uns nicht gewollt ist. Wichtig ist dabei aber für uns, dass wir schnell herausfinden, ob die Lücke schon vorher von jemanden genutzt wurde und wie schnell man sie schliessen kann. Hier spielt dann eben der Dialog zwischen Entwickler und Bug-Bounty-Hunter eine grosse Rolle. Darin liegt die eigentliche Stärke des Programms.


Das könnte Sie auch interessieren