Thought Leadership
Eine steigende Anzahl an Cyberattacken, neue Angriffspunkte durch eine immer schneller werdende digitale Transformation, wachsende Kosten bei knappem Sicherheitsbudget und ein immer größer werdender Mangel an Cybersecurity-Experten: CISOs stehen heute vor großen Herausforderungen.
Um Risiken und Sicherheitslücken in einem Unternehmen dennoch frühzeitig zu erkennen und zu vermeiden, müssen CISOs immer strategischer denken und handeln. Insbesondere müssen sie dabei die Prüfmechanismen eines Unternehmens an die heutige, dynamischere IT-Entwicklung und an immer schnellere Marktveränderungen anpassen. Es gilt, ein Gleichgewicht zwischen Schnelligkeit und Sicherheit zu finden. Haben sich CISOs in der Vergangenheit vor allem auf Scan- und Penetrationstests verlassen, erweist sich dieser Ansatz in der heutigen, agilen Welt als zunehmend veraltet.
Bei Penetrationstests handelt es sich nämlich ausnahmslos um einmalige, zeitlich begrenzte Prozesse. Sie finden meist nur einmal im Jahr statt und entsprechen damit nicht dem wachsenden Bedürfnis nach Geschwindigkeit und Agilität. Zudem erweisen sich Penetrationstests im Hinblick auf die zu mobilisierenden IT-Skills begrenzt. Ein einzelner Pentester hat oft nur sehr spezifische Fähigkeiten. Gleichzeitig sehen sich CISOs vermehrt mit einer Rationalisierung und Optimierung der Ausgaben für Cybersicherheit konfrontiert. Sie testbrauchen daher ganzheitliche Sicherheitslösungen, die Transparenz, Effizienz sowie einen direkten und messbaren ROI bieten.
Ein neuartiger Ansatz für die Cybersicherheit, der all das bietet, ist Bug Bounty. Bug Bounty, also ein „Kopfgeld“ für Software-Bugs, wendet das Prinzip des Crowdsourcing auf die Cybersicherheit an. Das heißt: Startet ein Unternehmen ein Bug-Bounty-Programm, wird eine Gemeinschaft von ethischen Hackern mobilisiert, die IT-Systeme individuell testet. Diese Experten werden für jede entdeckte Schwachstelle belohnt.
So profitieren CISOs von Bug Bounty:
- Effizienz dank Schwarmintelligenz: Anstelle eines einzelnen Pentesters sucht eine Gemeinschaft von White Hackern mit vielseitigem Know-how nach Schwachstellen. Das erhöht die Schnelligkeit und Testfunktionen, aber auch die Qualität und Relevanz der aufgedeckten Schwachstellen.
- Kostenkontrolle: Bei Bug Bounty wird nach dem Leistungsprinzip bezahlt. Unternehmen vergüten nur die Sicherheitslücken, die sie in ihrem Bug-Bounty-Programm definiert haben. Sie zahlen also nur für Ergebnisse – und nicht schon für die Testleistung.
- Flexibilität und Skalierbarkeit: Bug-Bounty-Programme können über das ganze Jahr hinweg gestartet werden und so kontinuierliche Sicherheitstests liefern. Sie sind flexibel einsetzbar und auch skalierbar. Testumfänge können jederzeit aktualisiert und verfeinert werden.
- Automatisierung und Team Empowerment: Bug Bounty ermöglicht zudem automatisierte Prozesse sowie eine bessere Zusammenarbeit und Wissenstransfer zwischen den Bug-Bounty-Huntern, der Sicherheitsabteilung und der IT-Entwicklung. Auf diese Weise hilft Bug Bounty auch dabei, den Mangel an Cybersecurity-Fachkräften zu lindern. Über eine Plattform erhalten Unternehmen schnellen Zugriff auf einen unbegrenzten Pool an spezialisierten, ethischen Hackern.
- Vertrauen: Kommunizieren CISOs öffentlich und transparent über ihre Sicherheitsstrategie, stärkt dies zudem das Vertrauen von Kunden, Partnern und Aktionären in das Unternehmen. Mit einem öffentlichen Bug-Bounty-Programm zeigt ein Unternehmen, dass es sich für seine IT-Strategie engagiert – über konventionelle Sicherheitslösungen hinaus.
www.yeswehack.com
