Anzeige

Bug Bounty

Eine steigende Anzahl an Cyberattacken, neue Angriffspunkte durch eine immer schneller werdende digitale Transformation, wachsende Kosten bei knappem Sicherheitsbudget und ein immer größer werdender Mangel an Cybersecurity-Experten: CISOs stehen heute vor großen Herausforderungen.

Um Risiken und Sicherheitslücken in einem Unternehmen dennoch frühzeitig zu erkennen und zu vermeiden, müssen CISOs immer strategischer denken und handeln. Insbesondere müssen sie dabei die Prüfmechanismen eines Unternehmens an die heutige, dynamischere IT-Entwicklung und an immer schnellere Marktveränderungen anpassen. Es gilt, ein Gleichgewicht zwischen Schnelligkeit und Sicherheit zu finden. Haben sich CISOs in der Vergangenheit vor allem auf Scan- und Penetrationstests verlassen, erweist sich dieser Ansatz in der heutigen, agilen Welt als zunehmend veraltet.

Bei Penetrationstests handelt es sich nämlich ausnahmslos um einmalige, zeitlich begrenzte Prozesse. Sie finden meist nur einmal im Jahr statt und entsprechen damit nicht dem wachsenden Bedürfnis nach Geschwindigkeit und Agilität. Zudem erweisen sich Penetrationstests im Hinblick auf die zu mobilisierenden IT-Skills begrenzt. Ein einzelner Pentester hat oft nur sehr spezifische Fähigkeiten. Gleichzeitig sehen sich CISOs vermehrt mit einer Rationalisierung und Optimierung der Ausgaben für Cybersicherheit konfrontiert. Sie testbrauchen daher ganzheitliche Sicherheitslösungen, die Transparenz, Effizienz sowie einen direkten und messbaren ROI bieten.

Ein neuartiger Ansatz für die Cybersicherheit, der all das bietet, ist Bug Bounty. Bug Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an. Das heißt: Startet ein Unternehmen ein Bug-Bounty-Programm, wird eine Gemeinschaft von ethischen Hackern mobilisiert, die IT-Systeme individuell testet. Diese Experten werden für jede entdeckte Schwachstelle belohnt.

So profitieren CISOs von Bug Bounty:

  • Effizienz dank Schwarmintelligenz: Anstelle eines einzelnen Pentesters sucht eine Gemeinschaft von White Hackern mit vielseitigem Know-how nach Schwachstellen. Das erhöht die Schnelligkeit und Testfunktionen, aber auch die Qualität und Relevanz der aufgedeckten Schwachstellen.
     
  • Kostenkontrolle: Bei Bug Bounty wird nach dem Leistungsprinzip bezahlt. Unternehmen vergüten nur die Sicherheitslücken, die sie in ihrem Bug-Bounty-Programm definiert haben. Sie zahlen also nur für Ergebnisse – und nicht schon für die Testleistung.
     
  • Flexibilität und Skalierbarkeit: Bug-Bounty-Programme können über das ganze Jahr hinweg gestartet werden und so kontinuierliche Sicherheitstests liefern. Sie sind flexibel einsetzbar und auch skalierbar. Testumfänge können jederzeit aktualisiert und verfeinert werden.
     
  • Automatisierung und Team Empowerment: Bug Bounty ermöglicht zudem automatisierte Prozesse sowie eine bessere Zusammenarbeit und Wissenstransfer zwischen den Bug-Bounty-Huntern, der Sicherheitsabteilung und der IT-Entwicklung. Auf diese Weise hilft Bug Bounty auch dabei, den Mangel an Cybersecurity-Fachkräften zu lindern. Über eine Plattform erhalten Unternehmen schnellen Zugriff auf einen unbegrenzten Pool an spezialisierten, ethischen Hackern.
     
  • Vertrauen: Kommunizieren CISOs öffentlich und transparent über ihre Sicherheitsstrategie, stärkt dies zudem das Vertrauen von Kunden, Partnern und Aktionären in das Unternehmen. Mit einem öffentlichen Bug-Bounty-Programm zeigt ein Unternehmen, dass es sich für seine IT-Strategie engagiert – über konventionelle Sicherheitslösungen hinaus.

www.yeswehack.com
 


Artikel zu diesem Thema

Mär 12, 2021

Ein Jahr COVID-19 aus CISO-Sicht

Inzwischen ist seit dem Ausbruch der COVID-19-Pandemie und dem flächendeckenden Umstieg…
Hacker
Dez 17, 2020

Wie Bug-Bounty-Programme Penetrationstests den Rang ablaufen

In den letzten Jahren hat sich die Art und Weise, wie IT entwickelt, geliefert und…
White Hacker Frau
Jan 28, 2020

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist…

Weitere Artikel

Identity Security

„Leaver“ eine der größten Gefahren für die IT-Sicherheit von deutschen Unternehmen

SailPoint, Anbieter aus dem Bereich Identity Security, stellt heute die Ergebnisse seiner Studie „Herausforderungen und Chancen beim Einsatz von Identity Security - der Leaver als Gefahrenquelle“ vor. Die Erhebung entstand in Kooperation mit demAnalystenhaus…
Internetsicherheit

Status Quo Internetsicherheit 2021

Wir leben in einer Zeit, da die Schlagzeilen suggerieren, dass alles immer nur schlimmer und bedrohlicher geworden ist. Das gilt auch für die Sicherheit der Internetnutzer:innen. Ich bin überzeugt, dass hier schon vieles erreicht wurde. Hier ein Rückblick auf…
Backup

Nachholbedarf bei Backups als Vorsorge für Ransomware-Angriffe

Rubrik hat die Ergebnisse seiner Studie „Immutable back-ups: Separating hype from reality“ bekannt gegeben. Hierzu befragte das Unternehmen 150 IT-Führungskräfte in der EU und Großbritannien zu unveränderlichen Backups vor dem Hintergrund zunehmender…
Hackerangriff

Schutz des IT-Netzwerkes

„An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Ein Hackerangriff? … In seinem Roman „Black Out“ skizziert Marc Elsberg die Folgen einer Manipulation von Endgeräten im Stromnetz, ganz Europa ist ohne…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.