Ethical Hacking: Programme für Kleinunternehmen und Gemeinden
Bug Bounty Switzerland und die Zürcher Hochschule für Angewandte Wissenschaften ZHAW haben ein gemeinsames Forschungsprojekt gestartet mit dem Ziel, Programme für Ethical Hacking auch für KMU und Gemeinden zugänglich zu machen. Eine bereits laufende Vorstudie wird durch Innosuisse unterstützt.
Wie können kleine Organisationen auch mit geringen Ressourcen und IT-Know-how einfachen Zugang zu Bug-Bounty-Programmen erhalten, um so ihre IT-Sicherheit effektiv zu erhöhen? Dies herauszufinden ist das Ziel einer von Bug Bounty Switzerland zusammen mit der Zürcher Hochschule für Angewandte Wissenschaften ZHAW lancierten Studie, die von der schweizerischen Innovationsförderung Innosuisse unterstützt wird. In einem Vorprojekt, das kürzlich angelaufen ist, wird zunächst die Zielgruppe von KMUs und Gemeinden untersucht, um zu verstehen, welche speziellen Bedürfnisse diese Organisationen haben, wo Hürden für Ethical Hacking liegen und wie ein passendes Angebot ausgestaltet werden müsste.
Ethical Hacking: Das Bug-Bounty-Konzept
Das Bug-Bounty-Konzept, also das Suchen von Schwachstellen in IT-Infrastrukturen durch ethische Hacker, die für ihre Funde belohnt werden, ist in der Schweiz mittlerweile angekommen – nicht zuletzt dank der Pionierarbeit von Bug Bounty Switzerland. Mit seinem ganzheitlichen Service-Angebot (von der Beratung über den Programmaufbau und die Begleitung des Kunden bis zur Unterstützung beim Schliessen von Sicherheitslücken) sowie einer eigenen, in der Schweiz gehosteten Plattform ist es dem Unternehmen gelungen, Bug-Bounty-Programme mehr Firmen zugänglich zu machen. Nichtsdestotrotz sind es heute in erster Linie grössere Organisationen wie das Universitätsspital Zürich, Ringier, Valiant Bank, die Baloise Group oder die BKW, die kontinuierliche Programme mit Ethical Hacking betreiben. Mit dem gemeinsamen Forschungsprojekt mit der ZHAW verfolgt Bug Bounty Switzerland nun das Ziel, die Komplexität der Methode noch weiter zu reduzieren, sodass auch kleine Organisationen Zugang erhalten und befähigt werden, ihre Informationssicherheit kontinuierlich zu verbessern.
Angesichts der oft knappen finanziellen IT-Ressourcen in kleinen Organisationen geht es in der Vorstudie darum, herauszufinden, welche alternativen Finanzierungsmodelle denkbar sind und welche nicht-monetären Anreize man den ethischen Hackern bieten könnte. Darüber hinaus stellt sich die Frage nach der Bereitstellung des Know-hows, das benötigt wird, um mit den identifizierten Schwachstellen umzugehen. Dabei müssen insbesondere auch jene externen Dienstleister eingebunden werden, die sich als Outsourcing-Anbieter um das Management der IT-Systeme kümmern. Und schliesslich interessiert die Forscher auch, inwiefern eine Community von Bug-Bounty-Anwendern für den Austausch untereinander und mit den ethischen Hackern von Nutzen sein könnte.
Keine Digitalisierung ohne IT-Sicherheit: «Digital Trust»
IT-Sicherheit ist für alle relevant, die im Rahmen der Digitalisierung auf moderne Geschäftsmodelle und Abläufe setzen. Denn die digitale Transformation kann nur dann gelingen, wenn die Benutzer und Kunden Vertrauen in die Prozesse und Sicherheit ihrer Daten haben und diese lauffähig bleiben. Man spricht in diesem Zusammenhang auch von «Digital Trust». Dieses Vertrauen ist jedoch gefährdet, wenn wöchentlich neue Datenlecks entstehen und Sicherheitslücken ausgenutzt werden können. Dabei geraten heute auch KMUs und Gemeinden vermehrt in die Fänge von Cyberkriminellen.
«Soll die digitale Transformation in der Schweiz als Ganzes gelingen, dürfen wir die KMUs – und auch den öffentlichen Sektor – sicherheitstechnisch nicht vernachlässigen», gibt Peter Heinrich von der Fachstelle für Prozessmanagement und Informationssicherheit an der ZHAW School of Management and Law zu bedenken. Dabei reiche es nicht, bloss Sicherheitslücken aufzuzeigen: «Wir müssen echte Handlungsfähigkeit erzeugen. Die Organisationen müssen die Mittel und das Know-how erhalten, um ihre Gefährdung richtig einschätzen zu können und sinnvolle Entscheidungen zu treffen. Wir wollen deshalb herausfinden, wo sie Hilfe zur Selbsthilfe benötigen.»
Ein Schweizer Ökosystem für den Umgang mit Schwachstellen
In einem Folgeprojekt wollen Bug Bounty Switzerland und die ZHAW an der Weiterentwicklung von Bug Bounty Switzerlands Plattform zu einem Schweizer Ökosystem für ganzheitliches Schwachstellenmanagement arbeiten. Dieses soll alle Akteure (neben den ethischen Hackern z. B. auch Behörden und Lieferanten) in einem kontinuierlichen Informationssicherheitsprozess verbinden und auch für KMUs, Kleinstorganisationen und die öffentliche Verwaltung zugänglich und erschwinglich sein. «Wir leben in einer vernetzten Welt. Den Schutz des Wirtschaftsstandorts Schweiz im weltweiten Netz müssen wir gemeinsam in den Griff bekommen», erklärt Sandro Nafzger, CEO von Bug Bounty Switzerland. «Als Schweizer Bug-Bounty-Pionier wollen wir einen Beitrag zur Sicherheit des Landes und zum Gelingen der digitalen Transformation leisten: Gemeinsam für eine sichere Schweiz.»
Quelle und weitere Informationen: www.bugbounty.ch
