Thought Leadership
In einer immer schneller und komplexer agierenden Welt muss die Unternehmenssicherheit als kontinuierlicher Prozess und nicht als punktuelle Bewertung betrachtet werden. Es ist wichtig, die geschäftlichen Sicherheitsmaßnahmen regelmäßig zu überprüfen und zu verbessern. Angreifer sind hartnäckig und kreativ: Stetig finden sie neue Wege, um Schwachstellen auszunutzen, was bedeutet, dass die Lösungen von gestern möglicherweise morgen nicht mehr funktionieren.
Eine Möglichkeit, potenziellen Sicherheitsbedrohungen einen Schritt voraus zu sein, sind Validierungsmethoden wie Pentests und Bug Bounty Programme. Das Softwareunternehmen Grammarly, das den gleichnamigen Schreibassistenten entwickelt, führt seit über fünf Jahren ein eigenes Bug Bounty Programm durch und hat erhebliche Vorteile aus der Zusammenarbeit mit ethischen Hackern gezogen. Suha Can, Chief Information Security Officer bei Grammarly, erklärt, warum Programme zur Erkennung von Schwachstellen für Softwareunternehmen unerlässlich sind, um die Sicherheitsanstrengungen von Unternehmen zu maximieren – und wie man damit beginnt.
Ein Bug Bounty Programm ist ein Ansatz, bei dem Unternehmen und ethische Hacker zusammenarbeiten, um die Sicherheit ihrer Software zu verbessern. In diesen Programmen suchen Hacker aktiv nach Schwachstellen in den Systemen und Produkten des Unternehmens und melden diese, um die Sicherheitslücken zu schließen. Im Gegenzug erhalten sie Belohnungen (“Bounty”), je nach Schweregrad der gefundenen Schwachstellen. Doch was genau verbirgt sich hinter einem Bug Bounty Programm und wie funktioniert es? Suha Can, Chief Information Security Officer bei Grammarly, wirft einen genaueren Blick auf diese Programme und zeigt, wie Unternehmen private und öffentliche Bug Bounty Programme betreiben, indem sie sich die fünf wichtigsten W-Fragen rund um das Thema stellen: Er erläutert, wie diese Programme dazu beitragen, die Sicherheit von Produkten zu gewährleisten, das Vertrauen der Kund:innen zu stärken und die Zusammenarbeit zwischen Unternehmen und ethischen Hackern zu fördern, denn er ist sich sicher: “Ein kollaborativer Sicherheitsansatz und Branchenpartnerschaften, einschließlich der Zusammenarbeit mit ethischen Hackern über vertrauenswürdige Plattformen, können den Schutz der Unternehmenssysteme und der Daten von Kundinnen und Kunden kontinuierlich verbessern.”
Was ist ein Bug Bounty Programm?
Bug Bounty ist ein allgemeiner Name für Programme, bei denen Unternehmen mit White-Hat-Hackern zusammenarbeiten. “Ethische Hacker untersuchen ein Produkt und berichten über gefundene Fehler. Diese Schwachstellen dürfen vor ihrer Behebung nicht öffentlich gemacht werden”, erklärt Suha Can, CISO bei Grammarly, und fährt fort: “Die Unternehmen wiederum müssen schnell auf die Berichte der Forscher reagieren und die gefundenen Schwachstellen schließen.” Bug Bounty kann in einem privaten und öffentlichen Modus funktionieren. Im ersten Fall ist es für einen selektiven Kreis von Hackern auf einer ausgewählten Plattform offen. Im Falle eines öffentlichen Programms kann jeder Forschende seinen Bericht einreichen und eine Belohnung beanspruchen. “Bug Bounty Programme sind ein zusätzliches Instrument, um Ad-hoc-Penetrationstests durch ein kontinuierliches Programm zu ergänzen, das dazu beiträgt, möglichst sichere Produkte bereitzustellen, die Daten der Nutzer zu schützen, das Vertrauen zu erhalten und Kundinnen und Kunden gegenüber Transparenz zu zeigen”, so der Sicherheitsexperte Can.
Wie betreibt man ein privates Bug Bounty Programm?
Zunächst muss das Unternehmen eine geeignete Plattform für die Arbeit wählen und festlegen, was genau es für die Tests zur Verfügung stellen wird. Im Jahr 2017 entschied sich Grammarly für HackerOne, eine der größten Plattformen für die Zusammenarbeit mit White-Hat-Hackern, die von einigen der größten Unternehmen der Welt genutzt wird, wie Adobe, IKEA, GitHub, PayPal, Lufthansa und anderen. Der Sicherheitsexperte Suha Can rät Unternehmen nach der Auswahl der Plattform und des Plans zu drei wichtigen nächsten Schritten, die es zu beachten gilt: Das Definieren der Regeln, die Auswahl der Teilnehmenden und die Vorbereitung auf den ersten Zustrom von Berichtenden.
Beim Start eines privaten Bug Bounty Programms ist es wichtig, klare Richtlinien für die Zusammenarbeit zwischen dem Unternehmen und den Hackern aufzustellen. Diese Regeln sollten umreißen, was getestet wird, wie Berichte eingereicht werden sollten und wie das Belohnungssystem aussieht. Die Plattform sendet persönliche Einladungen an Forschende mit entsprechenden Profilen. “Nach dem Start des privaten Programms bei Grammarly war der erste Monat aufgrund des Zustroms von Berichten, von denen viele doppelt vorhanden waren, eine Herausforderung”, berichtet Can über den ersten Testlauf. Auf Empfehlung der Plattform wurde ein Rotationssystem für Ingenieur:innen eingeführt, um Berichte effizient zu verarbeiten und an die Entwicklungsteams zu verteilen.
Wie arbeitet man mit ethischen Hackern?
Der Erfolg des Bug Bounty Programms hängt weitgehend davon ab, wie man die Arbeit mit Forschenden organisiert. Auch hier hat der CISO des Softwareunternehmens Grammarly Ratschläge, die sein Unternehmen befolgt: “Wir halten die Kommunikation aufrecht, reagieren prompt und schaffen Anreize zur Teilnahme”, so Suha Can. Es ist wichtig, auf Nachrichten von Hackern schnell zu antworten: Die Reaktionsgeschwindigkeit ist für Forschende oft ein entscheidender Faktor, um am Programm eines Unternehmens teilzunehmen. “Um eine kontinuierliche Teilnahme zu fördern, ist es ratsam, die Autoren von erstklassigen Berichten zu belohnen, selbst wenn sie keine kritischen Schwachstellen aufdecken”, so der CISO von Grammarly.
Dies sei etwa der Fall, wenn beispielsweise Forschende komplexe Angriffsszenarien erstellen. Die effektive Kommunikation mit den Hackern hat Grammarly noch einen weiteren unerwarteten Vorteil gebracht: Das Team war beeindruckt von der Qualität und der Detailgenauigkeit der Berichte eines der White-Hat-Hacker der Plattform. Insgesamt hat das Team 15 seiner Berichte bearbeitet, die sich als sehr hilfreich erwiesen haben. “Nach einer Zeit produktiver Zusammenarbeit haben wir diesen hochrangigen Bug Bounty Hacker eingeladen, sich unserem Sicherheitsteam als Application Security Engineer anzuschließen”, berichtet der CISO von Grammarly und fährt fort: “Er ist bereits seit über vier Jahren im Unternehmen und leitet unser öffentliches Bug Bounty Programm, wobei er direkt mit den Hackern zusammenarbeitet.”
Wie setzt man das öffentliche Bug Bounty Programm um?
“Die Arbeit mit Hackern in einem privaten Bug Bounty Programm bestärkte uns in der Überzeugung, dass Sicherheit ein kontinuierlicher Prozess sein muss”, erklärt der Sicherheitsexperte des Unternehmens Grammarly, Suha Can, und fährt fort: “Unser Team verbrachte die ersten Monate damit, Erkenntnisse zu sammeln und die internen Prozesse zur Annahme und Behebung von Schwachstellen zu verfeinern.” Aufgrund der limitierten Anzahl an Teilnehmenden ist ein Rückgang der Berichte allerdings bei einem privaten Bug Bounty Programm mit der Zeit unvermeidlich. Um die Skalierbarkeit zu erhöhen und die Transparenz sowie das Vertrauen zu steigern, beschloss das Team daher, auf ein öffentliches Programm umzustellen. Dadurch erhöhte sich die potenzielle Teilnehmerzahl um das 150-fache, von 2.000 auf 300.000 Hacker, die zu diesem Zeitpunkt auf der Plattform registriert waren.
Womit sorgt man für den langfristigen Erfolg und Nutzen?
Nach dem erfolgreichen Start des öffentlichen Programms ist es wichtig, nicht nachzulassen und das Effizienzniveau aufrechtzuerhalten. Einer der Faktoren dabei ist die regelmäßige Aktualisierung der Programmbeschreibung, damit sie relevant bleibt und die Teilnehmenden wissen, welche Berichte für das Unternehmen im Moment höhere Priorität haben. Auftraggebende können beispielsweise die Aufmerksamkeit von Forschenden auf ihre neuen Produktveröffentlichungen lenken, indem sie vorübergehend die Auszahlungen für die Berichte über sie erhöhen. “Solche Incentives helfen, schneller hochwertige Berichte für Bereiche mit hoher Priorität zu erhalten. So bieten wir z.B. derzeit einen zweifachen “Bounty Bonus” mit bis zu 100.000 Dollar für relevante Berichte über Schwachstellen mit hohem und kritischem Schweregrad in unserem neuen Authentifizierungs- und Autorisierungsdienst”, erklärt Suha Can, CISO bei Grammarly.
Bis heute hat Grammarly über 260.000 Dollar an Prämien an ethische Hacker gezahlt, mit dem größten Bounty von 10.500 Dollar. Der ROI des Programms erwies sich als erfolgreich: Mit dieser Investition erhielt das Unternehmen etwa 190 wertvolle Berichte von Top-Sicherheitsforschenden. Fünf Jahre nach dem Start des Bug Bounty Programms sieht Suha Can es als integralen Bestandteil eines mehrschichtigen Sicherheitsansatzes, von dem ein Softwareentwicklungsunternehmen wie Grammarly erheblich profitieren kann: “Ein kollaborativer Sicherheitsansatz und Branchenpartnerschaften, einschließlich der Zusammenarbeit mit ethischen Hackern über vertrauenswürdige Plattformen, können den Schutz der Unternehmenssysteme und der Daten von Kundinnen und Kunden kontinuierlich verbessern”, so der Experte abschließend.
