Anzeige

Bug Bounty

Eine steigende Anzahl an Cyberattacken, neue Angriffspunkte durch eine immer schneller werdende digitale Transformation, wachsende Kosten bei knappem Sicherheitsbudget und ein immer größer werdender Mangel an Cybersecurity-Experten: CISOs stehen heute vor großen Herausforderungen.

Um Risiken und Sicherheitslücken in einem Unternehmen dennoch frühzeitig zu erkennen und zu vermeiden, müssen CISOs immer strategischer denken und handeln. Insbesondere müssen sie dabei die Prüfmechanismen eines Unternehmens an die heutige, dynamischere IT-Entwicklung und an immer schnellere Marktveränderungen anpassen. Es gilt, ein Gleichgewicht zwischen Schnelligkeit und Sicherheit zu finden. Haben sich CISOs in der Vergangenheit vor allem auf Scan- und Penetrationstests verlassen, erweist sich dieser Ansatz in der heutigen, agilen Welt als zunehmend veraltet.

Bei Penetrationstests handelt es sich nämlich ausnahmslos um einmalige, zeitlich begrenzte Prozesse. Sie finden meist nur einmal im Jahr statt und entsprechen damit nicht dem wachsenden Bedürfnis nach Geschwindigkeit und Agilität. Zudem erweisen sich Penetrationstests im Hinblick auf die zu mobilisierenden IT-Skills begrenzt. Ein einzelner Pentester hat oft nur sehr spezifische Fähigkeiten. Gleichzeitig sehen sich CISOs vermehrt mit einer Rationalisierung und Optimierung der Ausgaben für Cybersicherheit konfrontiert. Sie testbrauchen daher ganzheitliche Sicherheitslösungen, die Transparenz, Effizienz sowie einen direkten und messbaren ROI bieten.

Ein neuartiger Ansatz für die Cybersicherheit, der all das bietet, ist Bug Bounty. Bug Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an. Das heißt: Startet ein Unternehmen ein Bug-Bounty-Programm, wird eine Gemeinschaft von ethischen Hackern mobilisiert, die IT-Systeme individuell testet. Diese Experten werden für jede entdeckte Schwachstelle belohnt.

So profitieren CISOs von Bug Bounty:

  • Effizienz dank Schwarmintelligenz: Anstelle eines einzelnen Pentesters sucht eine Gemeinschaft von White Hackern mit vielseitigem Know-how nach Schwachstellen. Das erhöht die Schnelligkeit und Testfunktionen, aber auch die Qualität und Relevanz der aufgedeckten Schwachstellen.
     
  • Kostenkontrolle: Bei Bug Bounty wird nach dem Leistungsprinzip bezahlt. Unternehmen vergüten nur die Sicherheitslücken, die sie in ihrem Bug-Bounty-Programm definiert haben. Sie zahlen also nur für Ergebnisse – und nicht schon für die Testleistung.
     
  • Flexibilität und Skalierbarkeit: Bug-Bounty-Programme können über das ganze Jahr hinweg gestartet werden und so kontinuierliche Sicherheitstests liefern. Sie sind flexibel einsetzbar und auch skalierbar. Testumfänge können jederzeit aktualisiert und verfeinert werden.
     
  • Automatisierung und Team Empowerment: Bug Bounty ermöglicht zudem automatisierte Prozesse sowie eine bessere Zusammenarbeit und Wissenstransfer zwischen den Bug-Bounty-Huntern, der Sicherheitsabteilung und der IT-Entwicklung. Auf diese Weise hilft Bug Bounty auch dabei, den Mangel an Cybersecurity-Fachkräften zu lindern. Über eine Plattform erhalten Unternehmen schnellen Zugriff auf einen unbegrenzten Pool an spezialisierten, ethischen Hackern.
     
  • Vertrauen: Kommunizieren CISOs öffentlich und transparent über ihre Sicherheitsstrategie, stärkt dies zudem das Vertrauen von Kunden, Partnern und Aktionären in das Unternehmen. Mit einem öffentlichen Bug-Bounty-Programm zeigt ein Unternehmen, dass es sich für seine IT-Strategie engagiert – über konventionelle Sicherheitslösungen hinaus.

www.yeswehack.com
 


Artikel zu diesem Thema

Mär 12, 2021

Ein Jahr COVID-19 aus CISO-Sicht

Inzwischen ist seit dem Ausbruch der COVID-19-Pandemie und dem flächendeckenden Umstieg…
Hacker
Dez 17, 2020

Wie Bug-Bounty-Programme Penetrationstests den Rang ablaufen

In den letzten Jahren hat sich die Art und Weise, wie IT entwickelt, geliefert und…
White Hacker Frau
Jan 28, 2020

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist…

Weitere Artikel

Cybersecurity

CrowdStrike und AWS bauen Partnerschaft aus

CrowdStrike kündigte heute neue Funktionen für die CrowdStrike Falcon-Plattform an, die mit den Diensten von Amazon Web Services (AWS) funktionieren und Kunden noch besser vor den wachsenden Ransomware-Bedrohungen und zunehmend komplexen Cyberangriffen…
EU Cyber Security

NIS 2 - ein Rückschritt für die Cybersicherheit der EU

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die aktuelle Cybersicherheitsituation als „angespannt bis kritisch‟ ein. „Informationssicherheit muss einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller…
DevSecOps

DevSecOps in der IT-Sicherheit: Maßnahmen zur Steigerung des Sicherheitsbewusstseins

Durch die Digitalisierung der Gesellschaft gibt es heutzutage zahllose neue Produkte und Services. Schon jetzt bieten Smartphone-Apps und Web-Services Möglichkeiten, den Alltag zu vereinfachen und neue Dinge zu erleben. Grundlage dafür sind Nutzerdaten, mit…
Cybersecurity training

Anstieg in der Nachfrage für Sicherheitstrainings

Mit schnellen Schritten nähern wir uns Halloween. Wer sich gruseln möchte, muss allerdings nicht auf den Monatswechsel warten. Denn Oktober ist Cybersecurity Awareness Month, und ein Blick auf die steigende Zahl sowie die immer gravierenderen Folgen von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.