Thought Leadership
Kriminelle lieben Sicherheitslücken in Software. So können sie in Unternehmensnetze eindringen, Passwörter entwenden, Sicherheitsmaßnahmen überwinden oder Mitarbeiter manipulieren.
Aus diesem Grund existiert ein großer Markt für Sicherheitssoftware, IT-Sicherheitsconsulting oder Software- und Patchmanagement. Dies sind alles sehr wichtige Mosaiksteine einer umfassenden Cybersicherheitsstrategie, denn der potenzielle Schaden, den Cyberkriminelle verursachen können, kann sehr hoch sein. Daher sind Unternehmen, die Software entwickeln, äußerst bestrebt, keine Schwachstellen in ihren Produkten zuzulassen.
Sicherheitsverantwortliche mit wichtiger Rolle bei der Softwareentwicklung
Eine wichtige Rolle in diesem Prozess spielt der oberste Sicherheitsverantwortliche – auch unter dem Titel CISO (Chief Information Security Officer) bekannt. Er entscheidet mit, ob die erstellten Anwendungen beziehungsweise Betriebssysteme auf den Markt kommen. Jedoch können sie die Veröffentlichung neuer Software auch verzögern oder behindern, wenn Sicherheitsaspekte dagegensprechen. Zu diesem Thema hat HackerOne das Marktforschungsinstitut Opinion Matters beauftragt, eine Umfrage durchzuführen, an der sich mehr als 600 IT-Sicherheitsbeauftragten in Deutschland, Frankreich und Großbritannien beteiligten.
Furcht behindert Entwicklung
Das Ergebnis war recht eindeutig. Nahezu neun von zehn deutschen CISOs (89 Prozent) gaben hier an, dass Softwareprojekte aus Angst vor unvermeidlichen Sicherheitsproblemen nicht umgesetzt werden. In Großbritannien lag dieser Wert bei knapp 83 Prozent, Frankreich lag hier mit 87 Prozent dazwischen. Von der Geschwindigkeit der Entwicklung überrollt, zeigten sich immerhin 60 Prozent der deutschen Befragten, die sagten, dass dieses Tempo die Ressourcen ihres Sicherheitsteams übersteigt. Europaweit waren sogar 63 Prozent dieser Meinung.
Dabei gestaltet es sich für Entwickler oft schwierig, ihre eigenen Anwendungen auf Angriffe von Cyberkriminellen effizient zu testen. Zu gut sind sie mit ihnen vertraut – und zu wenig mit den Methoden der Angreifer. So gaben 39 Prozent der Befragten zu, dass Penetration Tests nicht genügend Ergebnisse liefern, um mit der Geschwindigkeit, in der Software entwickelt wird, Schritt zu halten.
White-Hat-Hacker bieten Lösung
Zur Lösung dieses Problems, sollten Unternehmen darüber nachdenken, mit sogenannten White-Hat-Hackern zusammenzuarbeiten. Diese Hacker fungieren dann sozusagen als legale Angreifer. Sie verfügen über dasselbe Instrumentarium wie kriminelle Hacker, nur dass sie in den Diensten des Softwareentwicklers stehen und versuchen, die in Fertigstellung begriffene Anwendung sicherheitstechnisch zu überlisten. Besteht die Software sämtliche Angriffsversuche, dürfte sie auch gegen die Attacken von Kriminellen weitestgehend gefeit sein. Finden die Hacker hingegen eine Schwachstelle, wird dies dokumentiert und das Unternehmen kann die Probleme beheben.
Zwar ist die Inanspruchnahme von White-Hat-Hackern ein sinnvoller Schritt, um einen realistischen Härtetest durchzuführen, diese Erkenntnis hat sich allerdings bei den Sicherheitsverantwortlichen noch nicht allgemein herumgesprochen. Lediglich 36 Prozent der befragten deutschen CISOs würden sich dafür entscheiden, White Hats eine Chance zu geben und deren Meldungen zu Bugs und Schwachstellen in ihrer Software aus der Hacker-Community in die Produktentwicklung einfließen zu lassen. Immerhin ein Viertel der deutschen Befragten würden sogar Feedback von noch nicht überprüften Hackern akzeptieren.
Dabei würde sich das Engagement von Hackern durchaus lohnen. Diese betreiben ihre Tätigkeit meist als Hobby und kommen zu erstaunlichen Ergebnissen. So finden diese White-Hat-Hacker in 77 Prozent aller Fälle die erste Schwachstelle innerhalb der ersten vierundzwanzig Stunden. Eines der befragten Unternehmen konnte sogar über 150.000 US-Dollar Entwicklungskosten und über 380.000 US-Dollar an sonst notwendigen Aufwendungen für IT-Sicherheit im Verlauf von drei Jahren einsparen. HackerOne hatte dazu einen externen Studienpartner beauftragt.
Koordination wichtig
Jedoch ist die Anwerbung von White-Hat-Hackern schwierig. Sie bewerben sich üblicherweise nicht bei der Personal- oder Fachabteilung und sind schwer zu finden – zumal sie kein Interesse an einer dauerhaften, sondern eher einer punktuellen Zusammenarbeit haben. Hier kommen spezialisierte Plattformen wie HackerOne ins Spiel. Diese Plattformen bringen White-Hat-Hacker und Sicherheitsbeauftragte zusammen. In einem teilweise anonymisierten Verfahren nehmen White-Hat-Hacker die entwickelte Software genau unter die Lupe. Das beauftragende Unternehmen kann über die Plattform eine Belohnung für die Entdeckung von Schwachstellen ausloben.
Ein prominentes Beispiel für ein Unternehmen, das die Dienste einer White-Hat-Plattform in Anspruch genommen hat, ist Spotify. Über HackerOne können White Hats nun direkt Rückmeldungen an den Musik-Streamingdienst geben. Sobald eine Schwachstelle eliminiert ist, erhält der Hacker eine Prämie, die der Schwere des Problems entspricht – sie wird entsprechend dem branchenüblichen Common Vulnerability Scoring System (CVSS) gewertet.
Bei Betrachtung der Investitionen, die ein Softwareentwickler für seine Sicherheitsmaßnahmen und zusätzlichen Testzyklen aufwenden muss, ist die Zusammenarbeit mit einer White-Hat-Hacker-Plattform ein sinnvolles zusätzliches Element. So sollten Entwicklungsteams und Sicherheitsverantwortliche die Möglichkeiten eruieren, die ein solches Portal bieten kann. Das spart Zeit, Geld und Nerven in der Software-Entwicklung und dem Betrieb.
Russell Coleman, Bug Bounty Advisor HackerOne, www.hackerone.com/de
