Aufrufe
vor 9 Monaten

Cybersecurity 2021

  • Text
  • Unternehmen
  • Schweiz
  • Schweizer
  • Mitarbeitenden
  • Sicherheit
  • Angreifer
  • Schwachstellen
  • Malware
  • Firmen
  • Opfer

MARKET Das Team von Bug

MARKET Das Team von Bug Bounty Switzerland: (v.l.) CTO Florian Badertscher, COO Matthias Jauslin, CSO Lukas Heppler und CEO Sandro Nafzger. profitiert man von der Expertise zahlreicher Spezialisten weltweit. Und bezahlen muss man nur diejenigen, die als Erstes einen kritischen Fehler finden. Verglichen mit dem möglichen Schadens ausmass der gefundenen Schwachstellen sind die ausbezahlten Bountys zudem meistens lächerlich gering. Wer etwa eine Lücke bei einer Bank findet, mit der man beliebigen Code ausführen und das ganze System herunterfahren könnte, bekommt vielleicht 5000 Franken. Der Return on Investment für die Firmen ist also riesig. Was verstehen Unternehmen häufig falsch, wenn es um Bug Bountys geht? Im Gespräch mit möglichen Kunden merken wir oft, dass diese Bug-Bounty-Programme mit Cyberkriminellen assoziieren. Das eine hat mit dem anderen aber überhaupt nichts zu tun. Ein Cyberkrimineller würde sich nämlich nie bei einem Bug-Bounty- Programm anmelden. Dort muss er sich ausweisen und an Spielregeln halten. Warum auch? Die IT-Systeme stehen ja im Internet und werden von Cyberkriminellen direkt angegriffen. Der Umweg über ein Bug-Bounty-Programm ergibt also keinen Sinn. Mit einem Bug-Bounty-Programm geht man also kein zusätzliches Risiko ein – wie viele Unternehmen anfänglich befürchten. Ganz im Gegenteil, man erhält endlich eine realistische Risikoeinschätzung und kann diese Risiken dann sehr schnell und nachhaltig beseitigen. Denn jeder Bug Bounty Hunter meldet nicht nur eine gefundene Schwachstelle, sondern auch eine ganz genaue und ausführliche Schritt-für-Schritt-Anleitung, wie er vorgegangen ist. So kann eine Schwachstelle sofort reproduziert und behoben werden. Vom Topmanagement bis zum Entwickler weiss also jeder sofort, was Sache ist und was getan werden muss, um das Problem zu lösen. Wie misst man den Erfolg eines Bug-Bounty-Programms? Entweder man investiert viel Geld und findet nichts, oder man investiert viel Geld, um herauszufinden, dass das eigene IT-System nicht sicher ist und auch wieder Investitionen benötigt. Also es wäre natürlich sehr schön, wenn wir nichts finden würden (lacht). Aber das habe ich bis heute noch nicht erlebt. Falls nichts gefunden wird, lädt man einfach mehr ethische Hacker ein. Bei einem Bug-Bounty-Programm bezahlt man ja nur für valide und relevante Schwachstellen. Man kann also theoretisch unendlich viele ethische Hacker engagieren. Sollte dann immer noch nichts gefunden werden, kostet das Ganze praktisch nichts und man hat wirklich einen handfesten Beweis für das Sicherheitslevel des getesteten Systems. Der offensichtlichste Nutzen eines Bug-Bounty-Programms ist also, dass man endlich eine realistische Risikoeinschätzung hat und die gefundenen Schwachstellen schnell beheben kann. So kann man das Risiko von Cyberattacken signifikant senken. Und mittel- bis langfristig? Bug-Bounty-Programme fördern die digitale Transformation enorm; langfristig ist sie ohne gar nicht möglich. Jedes IT-System verfügt über kritische Schwachstellen und lässt sich daher meist sofort hacken. Es ist völlig egal, wie digital ein Unternehmen ist. Wenn die Firmendaten gestohlen oder verschlüsselt werden, verliert man nicht nur das Vertrauen der Kunden. Dann ist auch die digitale Transformation gescheitert. Somit ändert sich auch die Rolle der Informationssicherheit. Der CISO nimmt eine Schlüsselrolle ein und wird zum Treiber von Innovation und Geschäftserfolg. Was sind die nächsten Schritte für Bug Bounty Switzerland? Wir haben im ersten Jahr gezeigt, dass unser weltweit einzigartiges Bug-Bounty-Modell funktioniert und die Schweiz bereit ist dafür. Bei uns stehen nun einige spannende Themen an, zum Beispiel werden wir in diesem Jahr die Umwandlung in eine AG vornehmen. Auch sind wir daran, unser Team zu vergrössern, um der steigenden Nachfrage gerecht zu werden. Wir sind daran, uns gut aufzustellen für die Zukunft. Das vollständige Interview finden Sie online www.swisscybersecurity.net 32

WIR VERPASSEN IHREN DATEN EIN STARKES UND UNÜBERWINDBARES IMMUNSYSTEM DIE WICHTIGSTEN ZUTATEN FÜR UNANTASTBARE DATEN Ihr Schweizer Partner für den vollumfänglichen Schutz Ihrer Daten. Immer und überall. RELAX. YOUR DATA IS SAFE. PREWEN.CH

Archiv

Specials