Anzeige

Bug Bounty

Eine steigende Anzahl an Cyberattacken, neue Angriffspunkte durch eine immer schneller werdende digitale Transformation, wachsende Kosten bei knappem Sicherheitsbudget und ein immer größer werdender Mangel an Cybersecurity-Experten: CISOs stehen heute vor großen Herausforderungen.

Um Risiken und Sicherheitslücken in einem Unternehmen dennoch frühzeitig zu erkennen und zu vermeiden, müssen CISOs immer strategischer denken und handeln. Insbesondere müssen sie dabei die Prüfmechanismen eines Unternehmens an die heutige, dynamischere IT-Entwicklung und an immer schnellere Marktveränderungen anpassen. Es gilt, ein Gleichgewicht zwischen Schnelligkeit und Sicherheit zu finden. Haben sich CISOs in der Vergangenheit vor allem auf Scan- und Penetrationstests verlassen, erweist sich dieser Ansatz in der heutigen, agilen Welt als zunehmend veraltet.

Bei Penetrationstests handelt es sich nämlich ausnahmslos um einmalige, zeitlich begrenzte Prozesse. Sie finden meist nur einmal im Jahr statt und entsprechen damit nicht dem wachsenden Bedürfnis nach Geschwindigkeit und Agilität. Zudem erweisen sich Penetrationstests im Hinblick auf die zu mobilisierenden IT-Skills begrenzt. Ein einzelner Pentester hat oft nur sehr spezifische Fähigkeiten. Gleichzeitig sehen sich CISOs vermehrt mit einer Rationalisierung und Optimierung der Ausgaben für Cybersicherheit konfrontiert. Sie testbrauchen daher ganzheitliche Sicherheitslösungen, die Transparenz, Effizienz sowie einen direkten und messbaren ROI bieten.

Ein neuartiger Ansatz für die Cybersicherheit, der all das bietet, ist Bug Bounty. Bug Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an. Das heißt: Startet ein Unternehmen ein Bug-Bounty-Programm, wird eine Gemeinschaft von ethischen Hackern mobilisiert, die IT-Systeme individuell testet. Diese Experten werden für jede entdeckte Schwachstelle belohnt.

So profitieren CISOs von Bug Bounty:

  • Effizienz dank Schwarmintelligenz: Anstelle eines einzelnen Pentesters sucht eine Gemeinschaft von White Hackern mit vielseitigem Know-how nach Schwachstellen. Das erhöht die Schnelligkeit und Testfunktionen, aber auch die Qualität und Relevanz der aufgedeckten Schwachstellen.
     
  • Kostenkontrolle: Bei Bug Bounty wird nach dem Leistungsprinzip bezahlt. Unternehmen vergüten nur die Sicherheitslücken, die sie in ihrem Bug-Bounty-Programm definiert haben. Sie zahlen also nur für Ergebnisse – und nicht schon für die Testleistung.
     
  • Flexibilität und Skalierbarkeit: Bug-Bounty-Programme können über das ganze Jahr hinweg gestartet werden und so kontinuierliche Sicherheitstests liefern. Sie sind flexibel einsetzbar und auch skalierbar. Testumfänge können jederzeit aktualisiert und verfeinert werden.
     
  • Automatisierung und Team Empowerment: Bug Bounty ermöglicht zudem automatisierte Prozesse sowie eine bessere Zusammenarbeit und Wissenstransfer zwischen den Bug-Bounty-Huntern, der Sicherheitsabteilung und der IT-Entwicklung. Auf diese Weise hilft Bug Bounty auch dabei, den Mangel an Cybersecurity-Fachkräften zu lindern. Über eine Plattform erhalten Unternehmen schnellen Zugriff auf einen unbegrenzten Pool an spezialisierten, ethischen Hackern.
     
  • Vertrauen: Kommunizieren CISOs öffentlich und transparent über ihre Sicherheitsstrategie, stärkt dies zudem das Vertrauen von Kunden, Partnern und Aktionären in das Unternehmen. Mit einem öffentlichen Bug-Bounty-Programm zeigt ein Unternehmen, dass es sich für seine IT-Strategie engagiert – über konventionelle Sicherheitslösungen hinaus.

www.yeswehack.com
 


Artikel zu diesem Thema

Mär 12, 2021

Ein Jahr COVID-19 aus CISO-Sicht

Inzwischen ist seit dem Ausbruch der COVID-19-Pandemie und dem flächendeckenden Umstieg…
Hacker
Dez 17, 2020

Wie Bug-Bounty-Programme Penetrationstests den Rang ablaufen

In den letzten Jahren hat sich die Art und Weise, wie IT entwickelt, geliefert und…
White Hacker Frau
Jan 28, 2020

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.