Thought Leadership
Während sechs Wochen griffen IT-Hacker des amerikanischen Start-ups HackerOne eine Kopie des Swisscom Kundencenters an. Dabei wurden Schwachstellen identifiziert, die meisten davon im unkritischen Bereich. Die Erkenntnisse des Stresstests unterstützen Sicherheitsexperten von Swisscom bei der Umsetzung noch effektiverer Schutzmassnahmen für das Kundencenter.
98 IT-Sicherheitsexperten (sogenannte “White-Hat”-Hacker) aus aller Welt prüften während sechs Wochen eine anonymisierte Testinstanz des Swisscom Kundencenters auf Herz und Nieren. Echte Kundendaten waren zu keiner Zeit exponiert. Rund ein Fünftel der Hacker wurde fündig und identifizierte insgesamt 48 Schwachstellen im Kundencenter. Swisscom belohnte die Experten von HackerOne für das erfolgreiche Aufdecken von Sicherheitslücken mit entsprechenden Prämien, sogenannten Bounties. Die einzelnen Beträge reichten von 100 bis 1’250 Schweizer Franken, je nach Ausmass und Schweregrad der Schwachstelle und Dokumentationsqualität des Rapports. Insgesamt wurden rund 10’000 Schweizer Franken an Bounties ausbezahlt.
Schwachstellen lassen sich nur schwer reproduzieren
“Keine der gefundenen Schwachstellen stellt für sich alleine ein ernsthaftes Sicherheitsrisiko dar. Eine Verknüpfung der Sicherheitslücken könnte aber zu einer potenziellen Gefährdung schützenswerter Daten führen”, fasst Michel Summermatter, betrieblicher Leiter des Kundencenters, die Ergebnisse des Stresstests zusammen. In den vergangenen Wochen konsolidierten die Sicherheitsexperten von Swisscom die Analysen zu den Schwachstellen und leiteten unverzüglich deren Behebung ein. Swisscom ist überzeugt, mit dem Crowd-Security-Ansatz, wie hier in der Zusammenarbeit mit HackerOne, einen lohnenswerten Schritt in eine sichere, digitale Welt zu gehen.
HackerOne ist ein in San Francisco domiziliertes Unternehmen, das sich auf das Aufspüren von IT-Sicherheitslecks spezialisiert hat. Für HackerOne arbeiten auf Basis einer Bug Bounty (Prämie für gefundene Lücken) IT-Sicherheitsexperten aus aller Welt. HackerOne ist das erste Unternehmen, das den innovativen Ansatz gewählt hat, Hacker weltweit in seine Dienste zur Optimierung der IT-Sicherheit zu stellen.
