«Wichtig ist der Dialog mit dem ethischen Hacker»
Innert kürzester Zeit 50 Bugs entdeckt
CW: Wie viele Bugs meldeten Teilnehmer Ihnen schon?
Zumbühl: Als wir das Programm starteten, konnten die Bug-Bounty-Hunter uns innert kürzester Zeit 50 Schwachstellen aufzeigen. Da durften wir feststellen, dass die Methode offensichtlich funktioniert und wir diese fortsetzen werden.
CW: Greifen die ethischen Hacker alle Ihre Systeme an?
Zumbühl: Nein, wir haben eine Liste von Produkten erstellt, die angegriffen werden dürfen. Allerdings handelt es sich dabei um eine wachsende Liste. Die Idee ist, dass dereinst die Mehrheit unserer Anwendungen von Bug-Jägern unter die Lupe genommen werden.
CW: Gab es einen ersten Schwerpunkt an Systemen?
Zumbühl: Gestartet sind wir nicht mit Systemen, sondern mit einzelnen Produkten, die direkte Dienstleistungen nach aussen erbringen, so etwa das Kunden-Login, der Post-Shop im Web, unsere E-Commerce-Lösung oder Bezahlsysteme wie Billing Online. Danach kamen weitere Dienstleistungen wie «Meine Sendungen», bei der Kunden ihre Sendungen online verfolgen und beeinflussen können. Es kommen somit laufend neue Dienstleistungen hinzu. Und jedes neue Produkt wird zunächst von einer kleinen Teilnehmerzahl begutachtet, bevor sich der Kreis der Hacker weitet.
“Die Bug-Bounty-Hunter fanden innert kürzester Zeit 50 Schwachstellen„
Marcel Zumbühl, CISO der Post
CW: Anfang 2019 hat die Post das E-Voting-System für einen öffentlichen Instrusiontest zur Verfügung gestellt. Was sind da Ihre Erfahrungen?
Zumbühl: Wir durften vor allem feststellen, dass ein solches Programm sehr mächtig und wirksam ist, dass also Schwachstellen sehr rasch gefunden und gefixt werden können.
CW: Was passiert genau, wenn ein Bug-Jäger fündig geworden ist? Wie sieht der weitere Prozess aus?
Zumbühl: Wenn Teilnehmer etwas finden, können sie dies auf einer Plattform melden. Danach untersuchen und beurteilen wir die gemeldete Lücke. In der Folge etablieren wir einen Dialog zwischen dem Entwickler und dem Hunter, damit die Schwachstelle so schnell wie möglich geschlossen werden kann. Unser Ziel ist es also, uns so rasch wie möglich der Lösungsfindung zu widmen.
Parallel hierzu sprechen wir anhand der ursprünglichen Beurteilung der gefundenen Lücke ein Preisgeld. Schliesslich sind wir bemüht, den Dialog zwischen den Bug-Bounty-Huntern und den IT-Spezialisten auch danach aufrechtzuhalten. Hierzu haben wir einige Mitglieder unseres Entwicklerteams zusätzlich in Aspekten der Informationssicherheit geschult. Diese von uns als Security Champions bezeichneten Personen stehen in engem Kontakt mit den ethischen Hackern. Dieser Dialog ist übrigens nicht nur für uns wichtig, sondern auch für den Bug-Bounty-Hunter. Denn dieser möchte ja auch sehen, dass das Unternehmen mit seinen Erkenntnissen etwas anfängt und die von ihm gefundenen Schwachstellen schliesst.
CW: Ist somit Security by Design bei Ihnen ein Thema?
Zumbühl: Sicherlich. Die Erfahrungen aus dem Bug-Bounty-Programm werden in die Entwicklungsabteilung und das Produktmanagement zurückgespielt. Security wird dort als wichtiges Element neuer und bestehender Software-Produkte angesehen. Im Übrigen haben die Rückmeldungen der Hacker ein besonderes Gewicht.
CW: Sie wollen das Bug-Bounty-Programm ausweiten. Gibt es da schon einen Zeithorizont?
Zumbühl: Ja, so bald wie möglich. Allerdings bleiben wir dabei, dass wir die Hacker nur stufenweise auf unsere Produkte «loslassen». Jede Entwicklung, die zunächst 50 und danach 250 Hackern standhält, dürfte schlussendlich auch mit Tausenden Bug-Bounty-Huntern klarkommen.
