Anzeige

Hacker

In den letzten Jahren hat sich die Art und Weise, wie IT entwickelt, geliefert und gewartet wird, radikal verändert. Ob Cloud, API oder IoT – all diese Trends führen zu einer umfassenden Erweiterung der Angriffsfläche von Informationssystemen, für die CISOs verantwortlich sind.

Immer schneller aufeinander folgende IT-System-Releases führen zu einer Vielzahl neuer Angriffspunkte. Konventionelle Sicherheitslösungen wie Pentesting sind oft zu punktuell und schwerfällig, um diese veränderten Sicherheitsanforderungen abzudecken, und verfehlen oft ihre Wirkung.

CISOs stehen vor einer großen Herausforderung. Sie müssen ihre Prüfmechanismen an diese neue, dynamischere IT-Entwicklung anpassen, können dafür meist aber kein zusätzliches Personal einstellen, um Schwachstellen zu entdecken und zu beheben.

Die Lösung? Kontinuierliche Überprüfung durch Schwarmintelligenz.

Bug-Bounty-Programme bringen mehr Agilität, Flexibilität und Effizienz in die Schwachstellenprüfung. Rayna Stamboliyska, VP Governance and Public Affairs bei YesWeHack, zeigt sechs Vorteile auf, die Bug Bounty im Gegensatz zu Pentesting bietet.

1. Effizienz dank Crowdsourcing

Bug Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an. Das heißt: Startet ein Unternehmen ein Bug-Bounty-Programm, wird eine Gemeinschaft von White Hackern mobilisiert, die IT-Systeme individuell testet. Diese Experten werden für jede entdeckte Schwachstelle je nach Schwere des Bugs und der Qualität des Berichts belohnt. Unternehmen profitieren dabei von der „Crowd-Power“: Anstelle eines generischen Pentesters sucht eine Gemeinschaft von White Hackern mit spezifischen Kompetenzen nach Schwachstellen. Das erhöht die Schnelligkeit und Testfunktionen, aber auch die Quantität, Qualität, Relevanz und Vielfältigkeit der aufgedeckten Schwachstellen.

2. Flexibilität und Skalierbarkeit

Im Gegensatz zu Pentests finden Bug-Bounty-Programme nicht in einem beschränkten Zeitraum, zum Beispiel einmal im Jahr, statt. Bug-Bounty-Programme können jederzeit gestartet, ausgesetzt oder gestoppt werden – und so über das ganze Jahr hinweg kontinuierlich, zum Beispiel nach Systemupdates oder jedem neuen Release, Feedback zu möglichen Schwachstellen geben. Hunter können sich dabei ohne Druck Zeit nehmen, um komplexe und tief eingebettete Schwachstellen aufzuspüren und einen detaillierten Bericht zu verfassen. Ein weiterer Vorteil von Bug-Bounty: Während bei einem Pentest der Testumfang im Vorhinein festgelegt wird, können Bug-Bounty-Programme jederzeit aktualisiert und verfeinert und damit auf neue Anforderungen im Unternehmen angepasst werden.

3. Automatisierung

Bug Bounty ermöglicht zudem automatisierte Prozesse. Während man bei Penetrationstests oftmals ein statisches Dokument (z.B. ein PDF) als Ergebnis erhält, übermitteln Hunter bei Bug Bounty ihre Berichte auf standardisierte Weise direkt über die Plattform. Erhält der Reportmanager auf Kundenseite diese Berichte, aktualisiert und prüft er die Informationen. Das Ergebnis sind sowohl strukturierte als auch validierte Daten. Diese können dann über ein Ticketing-System direkt in die Arbeitsprozesse und den Workflow eines Unternehmens integriert werden. Aufgaben, die sonst manuell ausgeführt werden müssten, werden so automatisiert. Wertvolle Zeit wird eingespart.

4. Kosteneffizienz

Für Bug Bounty spricht auch die Kosteneffizienz. Bezahlt wird nach dem Leistungsprinzip: Unternehmen vergüten nur die Sicherheitslücken, die sie in ihrem Bug-Bounty-Programm definiert haben und entdeckt haben wollen. Unternehmen zahlen also nur für Ergebnisse, die sich nach ihren Prioritäten richten – und nicht schon für die Testleistung. Darüber hinaus wird nur der Hunter belohnt, der den ersten gültigen Bericht eingereicht hat. Die Vergütung richtet sich dabei nach einem für jedes ausgeschriebene Programm vordefinierten Raster: Der Schweregrad der Schwachstelle bestimmt die Höhe des Lohns.

5. Team Empowerment

Bug-Bounty-Programme führen außerdem zu einer höheren Security Awareness und besseren Security Kompetenzen direkt in der Organisation. Über eine Plattform wie YesWeHack können IT-Entwickler eines Unternehmens direkt mit den Huntern, die eine Sicherheitslücke gefunden haben, kommunizieren und sich austauschen. Diese Interaktion schafft zum einen ein höheres Sicherheitsbewusstsein, ermöglicht zum anderen aber auch einen Transfer von Wissen und Kompetenzen zwischen Huntern und Entwicklern. So können direkt im Unternehmen Fortschritte im Bereich Security erzielt werden.

6. Vertrauen

Mit Transparenz sorgen öffentliche Bug-Bounty-Programme zudem für Vertrauen bei Kunden. Sie zeigen, dass sich ein Unternehmen für seine IT-Sicherheit engagiert – über konventionelle Sicherheitslösungen hinaus. Unternehmen können damit werben, dass sie nicht nur jährliche, halbjährliche oder periodische Sicherheitstests durchführen, sondern mit Bug Bounty kontinuierlich nach möglichen Schwachstellen suchen, um diese zu beheben.

Rayna Stamboliyska, VP Governance and Public Affairs
Rayna Stamboliyska
VP Governance and Public Affairs, YesWeHack

Artikel zu diesem Thema

Kristallkugel
Dez 10, 2020

Cybersicherheit 2021: Fünf Prognosen zeigen neue Risiken auf

In Unternehmen kontinuierlich für Cybersicherheit zu sorgen, ist eine herausfordernde…
Schwachstelle
Dez 08, 2020

Eine Reihe von Sicherheitslücken gefährdet Internet der Dinge

Die Schwachstellen, die unter dem Namen «Amnesia:33» zusammengefasst werden, seien…
Hacker
Dez 08, 2020

Penetrationstests: Hacking per Auftrag

Sie haben es auf Server und Netzwerke von Unternehmen, Behörden und Regierungen…

Weitere Artikel

Cybersicherheit

Nach der Bundestagswahl – „Die Verantwortung für Cyber-Sicherheit verbleibt auch nach der Wahl bei den Unternehmen”

CyberDirekt – eine digitale Vertriebsplattform für Cyber-Versicherungen – hat anlässlich der bevorstehenden Bundestagswahl am 26. September in einer aktuellen Untersuchung die Inhalte der Wahlprogramme der großen Parteien – CDU/CSU, SPD, Bündnis90/Die Grünen,…
Cyberwar

Neue Cybersicherheitsstrategie: Gemischte Gefühle in der IT-Sicherheit

Am Mittwoch hat das Bundeskabinett den Vorschlag des Innenministeriums für eine neue deutsche Cybersicherheitsstrategie verabschiedet. Dieser stieß – naturgemäß – im politischen Raum auf ein geteiltes Echo.
Cybersicherheit

VOICE fordert stärkere Haftung der Softwarehersteller und Cloudprovider

VOICE – Bundesverband der IT-Anwender begrüßt die Weiterentwicklung der Cybersicherheitsstrategie (CSS) der Bundesregierung. VOICE fordert aber die Konkretisierung der strategischen Ziele in Bezug auf die Verpflichtung der Software- und…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.