Anzeige

Cybercrime Tastatur

Kriminelle lieben Sicherheitslücken in Software. So können sie in Unternehmensnetze eindringen, Passwörter entwenden, Sicherheitsmaßnahmen überwinden oder Mitarbeiter manipulieren.

Aus diesem Grund existiert ein großer Markt für Sicherheitssoftware, IT-Sicherheitsconsulting oder Software- und Patchmanagement. Dies sind alles sehr wichtige Mosaiksteine einer umfassenden Cybersicherheitsstrategie, denn der potenzielle Schaden, den Cyberkriminelle verursachen können, kann sehr hoch sein. Daher sind Unternehmen, die Software entwickeln, äußerst bestrebt, keine Schwachstellen in ihren Produkten zuzulassen.

Sicherheitsverantwortliche mit wichtiger Rolle bei der Softwareentwicklung

Eine wichtige Rolle in diesem Prozess spielt der oberste Sicherheitsverantwortliche – auch unter dem Titel CISO (Chief Information Security Officer) bekannt. Er entscheidet mit, ob die erstellten Anwendungen beziehungsweise Betriebssysteme auf den Markt kommen. Jedoch können sie die Veröffentlichung neuer Software auch verzögern oder behindern, wenn Sicherheitsaspekte dagegensprechen. Zu diesem Thema hat HackerOne das Marktforschungsinstitut Opinion Matters beauftragt, eine Umfrage durchzuführen, an der sich mehr als 600 IT-Sicherheitsbeauftragten in Deutschland, Frankreich und Großbritannien beteiligten.

Furcht behindert Entwicklung

Das Ergebnis war recht eindeutig. Nahezu neun von zehn deutschen CISOs (89 Prozent) gaben hier an, dass Softwareprojekte aus Angst vor unvermeidlichen Sicherheitsproblemen nicht umgesetzt werden. In Großbritannien lag dieser Wert bei knapp 83 Prozent, Frankreich lag hier mit 87 Prozent dazwischen. Von der Geschwindigkeit der Entwicklung überrollt, zeigten sich immerhin 60 Prozent der deutschen Befragten, die sagten, dass dieses Tempo die Ressourcen ihres Sicherheitsteams übersteigt. Europaweit waren sogar 63 Prozent dieser Meinung.

Dabei gestaltet es sich für Entwickler oft schwierig, ihre eigenen Anwendungen auf Angriffe von Cyberkriminellen effizient zu testen. Zu gut sind sie mit ihnen vertraut – und zu wenig mit den Methoden der Angreifer. So gaben 39 Prozent der Befragten zu, dass Penetration Tests nicht genügend Ergebnisse liefern, um mit der Geschwindigkeit, in der Software entwickelt wird, Schritt zu halten.

White-Hat-Hacker bieten Lösung

Zur Lösung dieses Problems, sollten Unternehmen darüber nachdenken, mit sogenannten White-Hat-Hackern zusammenzuarbeiten. Diese Hacker fungieren dann sozusagen als legale Angreifer. Sie verfügen über dasselbe Instrumentarium wie kriminelle Hacker, nur dass sie in den Diensten des Softwareentwicklers stehen und versuchen, die in Fertigstellung begriffene Anwendung sicherheitstechnisch zu überlisten. Besteht die Software sämtliche Angriffsversuche, dürfte sie auch gegen die Attacken von Kriminellen weitestgehend gefeit sein. Finden die Hacker hingegen eine Schwachstelle, wird dies dokumentiert und das Unternehmen kann die Probleme beheben.

Zwar ist die Inanspruchnahme von White-Hat-Hackern ein sinnvoller Schritt, um einen realistischen Härtetest durchzuführen, diese Erkenntnis hat sich allerdings bei den Sicherheitsverantwortlichen noch nicht allgemein herumgesprochen. Lediglich 36 Prozent der befragten deutschen CISOs würden sich dafür entscheiden, White Hats eine Chance zu geben und deren Meldungen zu Bugs und Schwachstellen in ihrer Software aus der Hacker-Community in die Produktentwicklung einfließen zu lassen. Immerhin ein Viertel der deutschen Befragten würden sogar Feedback von noch nicht überprüften Hackern akzeptieren.

Dabei würde sich das Engagement von Hackern durchaus lohnen. Diese betreiben ihre Tätigkeit meist als Hobby und kommen zu erstaunlichen Ergebnissen. So finden diese White-Hat-Hacker in 77 Prozent aller Fälle die erste Schwachstelle innerhalb der ersten vierundzwanzig Stunden. Eines der befragten Unternehmen konnte sogar über 150.000 US-Dollar Entwicklungskosten und über 380.000 US-Dollar an sonst notwendigen Aufwendungen für IT-Sicherheit im Verlauf von drei Jahren einsparen. HackerOne hatte dazu einen externen Studienpartner beauftragt.

Koordination wichtig

Jedoch ist die Anwerbung von White-Hat-Hackern schwierig. Sie bewerben sich üblicherweise nicht bei der Personal- oder Fachabteilung und sind schwer zu finden – zumal sie kein Interesse an einer dauerhaften, sondern eher einer punktuellen Zusammenarbeit haben. Hier kommen spezialisierte Plattformen wie HackerOne ins Spiel. Diese Plattformen bringen White-Hat-Hacker und Sicherheitsbeauftragte zusammen. In einem teilweise anonymisierten Verfahren nehmen White-Hat-Hacker die entwickelte Software genau unter die Lupe. Das beauftragende Unternehmen kann über die Plattform eine Belohnung für die Entdeckung von Schwachstellen ausloben.
Ein prominentes Beispiel für ein Unternehmen, das die Dienste einer White-Hat-Plattform in Anspruch genommen hat, ist Spotify. Über HackerOne können White Hats nun direkt Rückmeldungen an den Musik-Streamingdienst geben. Sobald eine Schwachstelle eliminiert ist, erhält der Hacker eine Prämie, die der Schwere des Problems entspricht – sie wird entsprechend dem branchenüblichen Common Vulnerability Scoring System (CVSS) gewertet.

Bei Betrachtung der Investitionen, die ein Softwareentwickler für seine Sicherheitsmaßnahmen und zusätzlichen Testzyklen aufwenden muss, ist die Zusammenarbeit mit einer White-Hat-Hacker-Plattform ein sinnvolles zusätzliches Element. So sollten Entwicklungsteams und Sicherheitsverantwortliche die Möglichkeiten eruieren, die ein solches Portal bieten kann. Das spart Zeit, Geld und Nerven in der Software-Entwicklung und dem Betrieb.

 Russell Coleman, Bug Bounty Advisor HackerOne, www.hackerone.com/de
 


Weitere Artikel

Hacker

Wie sich Hacker in der Pandemie Sozialleistungen erschleichen

Im Zuge von COVID-19 stellt der Staat zahlreiche finanzielle Hilfen für Unternehmen, Selbstständige und Familien bereit. Doch diese locken auch Betrüger und Cyberkriminelle an. In Deutschland fehlt häufig die nötige Infrastruktur zur Betrugsbekämpfung – auch…
CyberCrime

Die Pandemie des Internets: Rekordhoch des Bot-Traffics in 2020

Imperva, Inc., ein Unternehmen im Bereich Cybersecurity, mit dem Ziel, Daten und alle Zugriffswege auf diese zu schützen, verzeichnete im Jahr 2020 den höchsten Bad Bot-Traffic (25,6 %) seit der Einführung des Imperva Bad Bot Reports im Jahr 2014. Die…
Hackerangriff

Erkenntnisse aus Hunderten unterschiedlicher Hackerangriffe

FireEye, das Intelligence-basierte Sicherheitsunternehmen, hat den FireEye Mandiant M-Trends-Bericht 2021 veröffentlicht.
Facebook Datenleak

Facebook Datenleak: Das steckt hinter dem Angriff

Die persönlichen Daten von insgesamt 533 Millionen Facebook-Usern stehen derzeit auf diversen cyberkriminellen Foren im Dark Web zum kostenlosen Download. Wie konnte es zu dem Datenleak kommen? Wer steckt hinter dem Angriff? Und wie hoch ist das Risiko für…
Exploit

Bisher unbekannter Zero-Day-Exploit in Desktop Window Manager

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit im Desktop Window Manager. Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung…
Malware

Malware-Angriffe: 648 neue Bedrohungen pro Minute

Für die April-Ausgabe des Quarterly Threats Reports untersuchten die McAfee Labs die Malware-Aktivitäten von Cyber-Kriminellen sowie die Entwicklung von Cyber-Bedrohungen im dritten und vierten Quartal 2020. Durchschnittlich registrierten die Forscher von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.