Schweizer Bug-Bounty Experten bündeln ihre Kräfte

19.08.2020 Informationsquelle

Schweizer Bug-Bounty-Experten bündeln ihre Kräfte für eine sichere digitale Transformation. Medienmitteilung:

"Im Rahmen von Bug-Bounty-Programmen suchen hunderte unabhängige Security-Spezialisten nach Sicherheitslücken in laufenden IT-Systemen. Noch sind entsprechende Programme in der Schweiz rar, einsame Vorreiter sind hierzulande die Post und Swisscom. Die führenden Köpfe hinter deren Programmen haben sich nun in der Bug Bounty Switzerland GmbH zusammengeschlossen, um dies zu ändern.

Luzern, 18. August 2020 – Das Gelingen der digitalen Transformation bedingt sichere IT-Systeme – und eine der wirksamsten und kosteneffizientesten Vorgehensweise, um Schwachstellen aufzudecken und die Sicherheit laufender IT-Systeme kontinuierlich zu verbessern, sind sogenannte Bug-Bounty-Programme. Die im April 2020 gegründete Bug Bounty Switzerland GmbH mit Sitz in Luzern hat sich dem Ziel verschrieben, Bug-Bounty-Programme in der Schweiz zu etablieren.

Im Rahmen eines Bug-Bounty-Programms werden «ethische Hacker» – also Hacker, die sich komplett im Rahmen der Legalität bewegen – dazu aufgerufen, Schwachstellen in den produktiven Systemen eines Unternehmens aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), deren Höhe abhängig von der Gefährlichkeit der entdeckten Lücke ausfällt. Im Gegensatz zu herkömmlichen Penetrationstests, wo eine begrenzte Anzahl Security-Experten eines Drittunternehmens die Sicherheitsparameter ihres Kunden erforschen, nehmen bei einem Bug-Bounty-Programm in der Regel hunderte unabhängige und hochqualifizierte, internationale Experten teil. Der Return on Investment fällt dabei um ein Vielfaches höher aus, da nur für gefundene Lücken bezahlt wird.

Die Schweizerische Post und Swisscom sind hierzulande Vorreiter dieses Vorgehens. Beide Unternehmen betreiben konzernweite Bug-Bounty-Programme, deren Ergebnisse sich sehen lassen: So konnte die Post in einer ersten Phase bereits fünfzig kritische Schwachstellen in den getesteten Onlinediensten beheben. Bei der Swisscom werden jährlich rund 400 Schwachstellen aufgespürt – trotz hoher Sicherheitsstandards und vielen Penetrationstests.

Ausgewiesene Experten und ein abgestuftes Angebot

Mit Sandro Nafzger (CEO) und Florian Badertscher (CTO) stehen jene Experten hinter dem neuen Unternehmen, die in den letzten Jahren diese ersten grossen Bug-Bounty-Programme der Schweiz aufgebaut und geführt haben: Nafzger leitet seit zwei Jahren als externer Spezialist das Programm der Schweizerischen Post, Badertscher ist als interner Senior Security Analyst für jenes von Swisscom verantwortlich. Beide werden in ihren Funktionen bei den genannten Betrieben verbleiben. Parallel dazu vereinen sie nun aber in der gemeinsamen Firma ihre Expertise in diesem Bereich, sodass auch andere Unternehmen davon profitieren können. Als COO und Partner steht ihnen mit Matthias Jauslin ein IT-Projektleiter mit jahrelanger Erfahrung zur Seite, der zuletzt in der Geschäftsleitung einer Unternehmens- und IT-Beratung tätig war. Komplettiert wird das Team durch Lukas Heppler (Head of Customer Success) und Alessandro Casablanca (Head of Marketing).

Das Angebot von Bug Bounty Switzerland ist in drei Stufen eingeteilt und begleitet Unternehmen auf ihrem Weg zum eigenen Bug-Bounty-Programm:

Der Sensibilisierung und Risikoeinschätzung dient der «Reality-Check»: Der Kunde bestimmt Budget und Ziel für einen unkomplizierten Testlauf, worauf ethische Hacker bis zu zwei Wochen nach Sicherheitslücken in den vom Kunden bestimmten Systemen suchen.

Im «Proof of Concept» wird zusammen mit dem Kunden ein dreimonatiges Programm aufgezogen, um die Machbarkeit zu beweisen und die zu erwartenden Ergebnisse eines vollständigen Programms aufzuzeigen. Während dieser ganzen Zeit wird der Kunde aktiv in die Durchführung des Programms einbezogen und erhält volle Transparenz über alle Abläufe.

Der letzte Schritt umfasst den Ausbau zu einem kontinuierlichen Bug-Bounty-Programm gemäss den Gegebenheiten und Wünschen des Kunden. Für ein voll ausgebautes Programm bezieht der Kunde in der Regel eine Jahreslizenz.

Penetrationstest reichen nicht mehr

«Die sichere Digitalisierung der Schweiz liegt uns sehr am Herzen», erklärt Sandro Nafzger. «Unsere Erfahrung zeigt allerdings, dass traditionelle Sicherheitsmassnahmen wie Penetrationstests nicht mehr ausreichen, um kritische Schwachstellen in IT-Systemen zu finden.» Den meisten Unternehmen ist nicht bewusst, dass sie ein Sicherheitsproblem haben und nur ungenügend vor Cyberattacken geschützt sind. Das merkt man in der Regel erst, wenn es bereits zu spät ist. «Es gibt keine effektivere Art, sich vor Cyberattacken zu schützen, als die Zusammenarbeit mit ethischen Hackern», ist Nafzger deshalb überzeugt. «Indem wir die hierzulande vorhandene Expertise in einem Unternehmen bündeln, können auch andere Firmen von unserem Erfahrungsschatz profitieren und so die Sicherheit ihrer Systeme erhöhen.»

Über Bug Bounty Switzerland

Die Bug Bounty Switzerland GmbH wurde im April 2020 gegründet mit dem Ziel, Bug-Bounty-Programme in der Schweiz zu etablieren. Zu den Gründungsmitgliedern zählen CEO Sandro Nafzger und CTO Florian Badertscher, die über umfangreiche Erfahrung im Aufbau und Betrieb von Bug-Bounty-Programmen bei der Schweizerischen Post bzw. Swisscom aufweisen, sowie Matthias Jauslin als operativer Geschäftsführer (COO). Sitz des Unternehmens ist Luzern. www.bugbounty.ch"

19.08.2020, Providerliste Admin