Bug-Bounty-Plattformen

Mit Crowd-sourced Security Angriffen vorbeugen

Über Bug-Bounty-Plattformen können Unternehmen mit ethischen Hackern zusammenarbeiten, um Softwarefehler und Schlampereien aufzuspüren. Ein Vorteil liegt in der Disziplinierung der Entwickler.
Von 
CSO | 08. Oktober 2021 09:17 Uhr

Die meisten Betriebe nutzen heute agile Entwicklungsmethoden, um Software schneller und zuverlässiger schreiben, testen und veröffentlichen zu können. Auch wenn laut dem "Hype Cycle for Agile and DevOps 2020" vom Analystenhaus Gartner DevSecOps allgemein akzeptiert sind, kommt es doch immer wieder zu Differenzen zwischen Entwicklungs- und Sicherheitsteams.

Ethische Hacker können Unternehmen und Softwarehäusern helfen, Fehler von vornherein auszuschließen.
Ethische Hacker können Unternehmen und Softwarehäusern helfen, Fehler von vornherein auszuschließen.
Foto: goodbishop - shutterstock.com

Sicherheitsvorgaben werden als unnötig übertrieben beziehungsweise als Ursache für Verzögerungen in der Anwendungsentwicklung und -bereitstellung gesehen. Für CISOs ist es daher oft schwer, auf die Unternehmenskultur so einzuwirken, dass Anwendungen von Anfang an sicher entwickelt werden. Manchmal haben die Entwickler auch einfach nicht die Zeit, die Werkzeuge oder schlicht die Fähigkeiten, um einwandfrei sicheren Code zu schreiben. Oder es fehlt ihnen an Motivation.

Bug-Bounty-Plattformen binden ethische Hacker ein

Abhilfe können hier unter Umständen Bug-Bounty-Programme schaffen. Sie belohnen das Auffinden von Schwachstellen und machen die finanziellen Auswirkungen von Sicherheitsmängeln in der Softwareentwicklung und in anderen Prozessen faktenbasiert sichtbar. Auf diese Weise können Entwicklerteams und externe Dienstleister für das Erstellen oder Liefern unsicherer Produkte zur Rechenschaft gezogen werden. Inhärente Sicherheitslücken lassen sich schließen, eine kontinuierliche Verbesserung wird eingeleitet.

Anders als mit konventionellen Methoden der Sicherheitsüberprüfung wie Audits oder Pentests ist über Bug-Bounty-Plattformen die Zusammenarbeit mit Sicherheitsforschern möglich. Im Idealfall wird ein kontinuierlicher Wissenstransfer zwischen ethischen Hackern und Entwicklern erreichen. Damit steigen die Cybersecurity-Kenntnisse auf Anwenderseite und im Idealfall auch das Sicherheitsbewusstsein im Team.

Musik-Streaming-Dienst Deezer als Vorreiter

Der französische Musik-Streaming-Dienst Deezer hat Bug Bounty eingeführt, um Künstler vor Betrug im Zusammenhang mit seiner Streaming-Plattform zu schützen. Romain Lods, Head of Engineering bei Deezer, empfiehlt entsprechende Tools und Plattformen, um Lücken und Abhängigkeiten zu vermeiden, die im Nachhinein unnötige Komplexität schaffen.

"Es ist besser, die Sicherheitslücken zu kennen, wenn man ein Projekt beginnt, als zu warten, bis es zu viele gibt, mit denen man sich auseinandersetzen muss, nachdem man eine schlechte Wahl der Architektur getroffen hat. Die Bug-Bounty-Schwachstellenberichte haben uns geholfen, wichtige Sicherheitsprojekte anzustoßen. Unsere Haltung gegenüber Cybersecurity hat sich deutlich weiterentwickelt", sagt Lods.

Bessere Sicherheitskontrolle bei Software von Drittanbietern

Immer weniger Unternehmen wählen heute neue Software willkürlich aus, ohne sich mit dem Sicherheitsaspekt zu beschäftigen. Zu heftig war der Angriff auf den IT-Dienstleister Kaseya, desen Fernwartungssoftware manipuliert worden war. Rund 60 Firmenkunden hatten das Update eingespielt und sich damit einen Erpressungstrojaner der Ransomware-Gang REvil eingehandelt. Das führt unter anderem bei der Supermarktkette Coop in Schweden dazu, dass Hunderte Filialen aufgrund defekter Kassensysteme nicht öffnen konnten.

Ein anderes prominentes Beispiel ist der Angriff auf die in Großkonzernen weit verbreitete IT- und Netzwerkmanagement-Plattform "Orion" von Solarwinds: Über ein manipuliertes Update konnten Angreifer eine Hintertür ("Sunburst") in die Systeme und Netze der Nutzer einschleusen. In Hackerkreisen waren die Schwachstellen in der Solarwind-Software schon länger bekannt gewesen. Allein in Deutschland zählt das Unternehmen 16 Bundesbehörden und Ministerien zu seinen Kunden.

Wie die Fälle Kaseya, Solarwinds und andere gezeigt haben, sind nicht nur die Softwareentwicklungsabteilungen in den Unternehmen, sondern genauso Produkte von Anbietern und auch Open-Source-Komponenten Ziele für Cyberkriminelle. Die meisten IT-Abteilungen und Beschaffungsteams investieren viel Arbeitszeit und Geld, um ein sinnvolles Programm zum Testen von Drittanbieter-Software einzuführen.

Die Softwarehäuser wissen natürlich, sie landen schnell auf der schwarzen Liste, wenn sie zu viele Fehler verursachen und aufgrund von Sicherheitsbedenken als riskant gelten. Auf der anderen Seite können sie ihren Kunden helfen, Sicherheitsanforderungen zu erfüllen, indem sie die Überprüfung durch eigene Bug-Bounty-Programme verbessern und beschleunigen. Sie können so die Sicherheit ihrer Produkte hervorheben, Bedenken ausräumen und schnellere Abschlüsse herbeiführen.

30.000 ethische Hacker bei YesWeHack

Vor allem öffentliche Bug-Bounty-Programme sorgen für Vertrauen bei Kunden und Partnerunternehmen. Beispielsweise ist YesWeHack eine Bug-Bounty- und VDP-Plattform (Vulnerability Disclosure Policy), die Unternehmen mit über 30.000 ethischen Hackern ("Hunter") aus 170 Ländern zusammenführt. Die Hunter in diesem von Paris aus organisierten Netzwerk orientieren sich an den Regeln des Kunden und lassen sich ergebnisbasiert bezahlen.

Mit ethischen Hackern zusammenzuarbeiten, gibt Softwarehäusern und Entwicklungsteams die Chance zu belegen, dass ihr Engagement über konventionelle Sicherheitslösungen hinausreicht. Unternehmen können damit werben, dass sie nicht nur halbjährliche oder periodische Sicherheitstests vornehmen, sondern mit Bug-Bounty kontinuierlich nach Schwachstellen suchen, um diese zu beheben und die Einfallstore für Ransomware-Angriffe zu schließen.

Mehr Transparenz und bessere Kostenkontrolle bei Sicherheitsaudits

Die meisten Betriebe haben heute keinen Überblick darüber, wie viel sie für Sicherheitsaudits ausgeben und ob diese Investitionen tatsächlich zu einer Verkleinerung der Angriffsfläche führen. Da das Bug-Bounty-Modell plattform- und ergebnisorientiert ist, liefert es die notwendigen Daten, um einen transparenten Prozess für die Kostenkontrolle zu schaffen. Unternehmen zahlen also nur für Ergebnisse, die sich nach ihren Prioritäten richten - und nicht schon für die Testleistung, wie etwa beim Pentesting.

Darüber hinaus wird nur der Hunter belohnt, der den ersten gültigen Bericht eingereicht hat. Die Vergütung richtet sich dabei nach einem für jedes ausgeschriebene Programm vordefinierten Raster: Der Schweregrad der Schwachstelle bestimmt die Höhe des Lohns. Dies hilft, den Nutzen dieser Art von Sicherheitsüberprüfung und die damit verbundenen Kosten besser zu verstehen und im Unternehmen zu kommunizieren.

Ein IT-Sicherheitsexperte eines großen europäischen Finanzinstituts berichtete zum Beispiel, dass zwei Pentests eine 18 Monate alte, kritische Schwachstelle übersehen hatten, die innerhalb von nur einer Stunde nach dem Start eines Bug-Bounty-Programms identifiziert wurde. Solche Zahlen liefern IT-Verantwortlichen wichtige Argumente dafür, dass Bug Bounty eine sinnvolle Ergänzung für die effektive Abwehr von Ransomware-Angriffen und anderen Cyberbedrohungen ist. (hv)

Heinrich Vaske ist Editorial Director von COMPUTERWOCHE, CIO und CSO sowie Chefredakteur der europäischen B2B-Marken von IDG. Er kümmert sich um die inhaltliche Ausrichtung der Medienmarken - im Web und in den Print-Titeln.