Die Schweizerische Post geht mit dem Thema ganz offen um. 2021 forderte sie Hacker offensiv auf, Jagd auf Schwachstellen und Sicherheitslücken ihres E-Voting-System zu machen. Sie winkte mit hohen Belohnungen. Wer kritische Schwachstellen im System entdeckt, bekommt bis zu 230.000 Euro Kopfgeldprämie. Für die Jagd auf die Schwachstellen arbeitet die Post mit der Bug-Bounty-Plattform YesWeHack zusammen.
Die Zahl der von den YesWeHack-Huntern identifizierten Schwachstellen schoss 2021 im Vergleich zum Vorjahr auf das doppelte hoch. 35 Prozent der gefundenen Schwachstellen wurden als „kritisch“ oder „hoch“ eingestuft. Dies bedeutet, dass viele Unternehmenssysteme und -anwendungen ernsthaft beeinträchtigt worden wären, wenn die Schwachstellen nicht gefunden oder behoben worden wären. Was die Art der entdeckten Schwachstellen angeht, treten Implementierungs- und Designfehler (Secure Design, Zugriffskontrolle) das zweite Jahr in Folge am häufigsten auf. Dieser Trend lässt sich insbesondere durch die zunehmende Komplexität der eingesetzten Anwendungen erklären.
Im Interview erklärt Phil Leatham, Senior Account Executive von YesWeHack, wie Bug-Bounty-Programme funktionieren und das gegenseitiges Vertrauen der Schlüssel für den Erfolg von Hunter-Programmen sind.
Bug Bounty ist nicht unbedingt neu. Warum empfehlen Sie Unternehmen gerade jetzt darauf zu setzen?
Phil Leatham: Bug Bounty gibt es tatsächlich seit den 80ern, ist aber gerade wieder stark im Kommen. Dies liegt daran, dass die Security-Herausforderungen stark gewachsen sind und die IT extrem komplex und agil geworden ist. Zudem öffnet sich die IT immer mehr in Richtung Internet, wird also nicht mehr isoliert im Rechenzentrum betrieben und ist daher von außen angreifbar. In der Vergangenheit war es vielleicht nicht so schlimm, wenn es ein paar Sicherheitslücken gab, weil sie oftmals nie gefunden wurden. Aber jetzt kann man sich das nicht mehr leisten. Die Welt ist dermaßen vernetzt, dass alle Schwachstellen sehr schnell gefunden werden. Gleichzeitig werden die Hacker immer professioneller und wollen ihr Geld damit verdienen. Deswegen müssen die Unternehmen reagieren und zusätzliche Wege suchen, sich neben allen sonstigen professionellen Sicherheitsmaßnahmen wie Firewalls oder Security Operation Center (SOC) besser zu schützen.
Wie läuft denn die Beauftragung ab? Suchen sich die Kunden ein Bug-Bounty-Programm aus oder eine Zahl von Huntern?
Wir vermitteln über unsere Plattform auf der einen Seite 35.000 Hunter, also ethische Hacker, die auf Jagd nach Lücken und Fehlern gehen. Auf der anderen Seite sind unsere Kunden, die wissen wollen, ob und wie ein System angreifbar ist. Wenn Unternehmen ein Bug-Bounty-Programm aufsetzen wollen, melden sie sich an der Plattform an und setzen mit uns ein Programm auf. Sie können wählen zwischen einem privaten Programm, das nur für die vom Kunden ausgewählten Hunter zugänglich ist, oder einem öffentlichen Programm, an dem alle unsere Hunter teilnehmen können. Wir beraten die Kunden dabei, welches Programm für ihre Anforderungen das Beste ist. Dies hängt unter anderem davon ab, was und wo die Hunter genau jagen sollen. Typischerweise sind das zum Beispiel URLs oder eine Subdomain. Dann muss das Unternehmen festlegen, wieviel es für eine gefundene Schwachstelle bezahlen möchte. Hunter bekommen also das Kopfgeld nur, wenn sie eine Schwachstelle finden.
Der Preis ist also nicht immer gleich?
Der Preis richtet sich nach dem Schweregrad einer gefundenen Schwachstelle von niedrig bis kritisch. Typischerweise sind dies Beträge im niedrigen dreistelligen Bereich für weniger kritische Lücken bis zu fünfstelligen Beträgen für kritische Lücken. Dies hängt auch vom Auftraggeber und dem zu hackenden System ab. Die Systeme von Banken zum Beispiel sind meist schon sehr sicher. Wer als Bank Hunter beauftragen will, muss daher schon etwas mehr anbieten. Ansonsten lassen sich Hunter kaum dazu bewegen, sich damit zu beschäftigen und Lücken zu suchen. Ist ein Programm aufgesetzt, lädt man Hunter dazu ein, auf die Jagd zu gehen.
Aber Schwachstellen kann es in vollkommen unterschiedlichen Systemen geben. Und mit der Digitalisierung nimmt diese Vielfalt zu. Hat denn jeder Hunter das gleiche Know-how?
Wir empfehlen unseren Kunden bestimmte Hunter, die sich auf unserer Plattform durch ihre Jagderfolge hochgearbeitet haben. Zudem müssen sie entsprechende Skills für bestimmte Systeme mitbringen. Zum Beispiel braucht es für IoT-Systeme andere spezialisierte Hunter als für einen Online-Shop auf einer Website. Einer unserer Kunden ist ein Drohnenhersteller. Dafür braucht man spezialisierte Hunter, die typische Schwachstellen solcher Systeme kennen. Wenn Preis und Hunter festgelegt sind, lädt man die Hunter ein, wählt einen Starttermin und dann legen sie los und suchen nach Schwachstellen.
Sie behaupten von sich, Europas führende Hunter-Plattform zu sein? Woran machen sie das fest?
Wir haben die meisten Hunter auf einer europäischen Plattform. Derzeit sind es mehr als 35.000 und die Zahl wächst monatlich. Und wir haben sehr viele und sehr große Kunden, die wir aber fast alle aus guten Gründen nicht nennen dürfen. Ein Kunde ist die Schweizer Post, die ein E-Voting System für Direktwahl in der Schweiz entwickelt hat. Zum Beispiel für Parlamentswahlen. Dieses Leuchtturmprojekt ist deswegen so interessant, weil die Schweizer Post alles Erdenkliche dafür tun wollte, das System sicherer zu machen. Daher geht das Unternehmen offen damit um. Für die Schweizer Post wäre es fatal, wenn durch eine Schwachstelle Wahlen manipulierbar wären. Das Voting-System der Schweizer Post ist übrigens so sicher, dass ein Hunter 230.000 Euro erhält, wenn er ein kritisches Problem entdeckt.
Sollten Unternehmen Hunter mehrmals beauftragen oder reicht es, ein System vor dem offiziellen Start zu prüfen?
Das Problem ist, dass jedes IT-System Schwachstellen hat. Der Punkt ist, so viele von diesen Schwachstellen zu finden und zu beseitigen wie möglich. Allein deshalb ist es mit einem einmaligen Einsatz nicht getan. Zudem gibt es heute quasi keinen finalen Zustand von IT-Systemen mehr. Es gibt nicht nur Releasezyklen, sondern durch die agile Entwicklung werden permanent neue Funktionen dazu entwickelt, die jedes Mal neue Schwachstellen mit sich bringen können. Es ist quasi also immer alles live und muss kontinuierlich überwacht werden.
Woran verdient denn YesWeHack selbst?
Wir stellen unseren Kunden eine Jahresgebühr für die Nutzung unserer Plattform in Rechnung. Die Unternehmen zahlen die gefunden Bugs. Die Hunter müssen uns nichts zahlen für ihre Anmeldung auf unserer Plattform. Sie hinterlegen ihre Kontakt- und Kontodaten, werden geprüft und bekommen ihr Geld, sobald die Schwachstelle gefunden und von uns verifiziert wurde.
Die Aufgabe hat doch viel mit Vertrauen zu tun. Sowohl ein Hunter als auch sie könnten das Jagen auch missbrauchen?
Vertrauen ist der Knackpunkt bei Bug Bounty. Wir pflegen enge Kontakte zu den Kunden und Huntern und können dementsprechend gut vermitteln. Unternehmen kennen die Hacker-Community in der Regel nicht. Wenn sie selbst ein Programm aufsetzen würden, würden eventuell keine Hunter mitarbeiten und die Unternehmen wüssten auch nicht, ob die Hunter auch vertrauenswürdig sind. Wie bieten dieses Vertrauen und helfen Unternehmen, die richtigen Bountys und attraktive Programme für die Hunter aufzusetzen. Hilfreich ist auch unser Rankingsystem für Hunter. Die Kunden können Punkte vergeben und die Hunter sich so hocharbeiten. Neue Kunden können so sehen, wer die besten Hunter sind. Das ist unser Mehrwert, abgesehen von der Plattform.
Wie werden die von den Huntern gefundenen Schwachstellen bewertet?
Das übernehmen wir für einen Großteil der Kunden. Wenn ein Hunter eine Schwachstelle meldet, dann prüfen wir, ob es das erste Mal ist, dass diese Schwachstelle gemeldet wurde. Denn nur der Erstfinder bekommt die Belohnung. Ein Grund, warum sich die Hunter auch beeilen, wenn sie für ein Programm ausgewählt wurden. Wir prüfen zudem den Hunter-Bericht auf Vollständigkeit. Was hat er getestet? Was ist das Ergebnis? Wie hat das System auf den Angriff reagiert? Dann prüfen wir noch die Kritikalität, da ein Hunter natürlich alles als kritisch einstufen will, damit er mehr Geld verdient. Auf Basis des Berichts können Kunden auf einen Blick sehen, wie viele und welche Schwachstellen gemeldet wurden und sie dann gezielt beheben.
Welche Funktion hat eine Vulnerability Disclosure Policy (VDP)?
Neben den professionellen Huntern, die ihr Geld damit verdienen, gibt es Menschen, die eine Schwachstelle finden, ohne dass sie gesucht haben. Sie wollen eigentlich nicht von Schwachstellen profitieren. Für sie ist es wichtig, dass sie die Schwachstelle an der richtigen Stelle melden. Es gibt immer wieder Fälle, dass jemand eine Schwachstelle per E-Mail meldet, sich aber niemand darum kümmert. Eine VDP bietet Huntern oder den Menschen, die eine Schwachstelle durch Zufall gefunden haben, dagegen eine strukturierte und einfache Möglichkeit, Schwachstellen offiziell zu melden.
Was ist dann der Unterschied zu Bug Bounty?
Bug Bounty ist proaktiv, VDP dagegen reaktiv. Der Prozess ist aber ähnlich wie bei Bug Bounty. Nur es werden keine Bountys ausgelobt. Typischerweise würde ein Unternehmen eine Sonderwebseite aufsetzen, über die Schwachstellen gemeldet werden können. Wir empfehlen eine Policy aufzusetzen und zu erklären, wie eine Schwachstelle gemeldet werden kann. Und dass es dafür kein Geld gibt. In der Vergangenheit gingen solche Meldungen über Social-Media-Kanäle ein. Die Melder wollte auch eine Belohnung haben, obwohl keine ausgeschrieben war. Wer bezahlt werden will, soll sich am Bug-Bounty-Programm anmelden.
Ethische Hacker hatten speziell in Deutschland mit rechtlichen Problemen zu kämpfen. Hunter konnten sich strafbar machen.
Die offiziellen Bug-Bounty-Programme und die VDP haben das Problem gelöst. Wer als Hunter Schwachstellen meldet, kann sich heute sicher sein, dass er nicht strafverfolgt wird, so lange er sich an die Regeln hält.
Phil Leatham
ist Senior Account Executive und leitet das Vertriebsteam von YesWeHack in der DACH-Region. Er hat Computertechnik an der Teesside University in Middlesbrough studiert. Zuletzt war Leatham als Account Executive bei der Prozessautomatisierungsplattform Camunda tätig.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…