Im Jahr 2015 stellte die Swisscom als erstes Unternehmen in der Schweiz ein eigen finanziertes Bug Bounty Programm vor. Seitdem wurden Tausende Schwachstellen an das Unternehmen gemeldet – und auch sehr gut entlohnt. Bug Hunting ist seitdem auch in der Alpenrepublik mehr als nur ein „Sport“ für Hacker und IT-Experten.
Einer der Vorreiter für Bug Bounty Programme ist Florian Badertscher von Swisscom, der für die Idee spricht: „Wir sind fest davon überzeugt, dass es Bug-Bounty-Programme in der Schweiz braucht“. Denn Schwachstellen in Systemen und Netzwerken wird es immer geben. Bug Bounty ist eine adäquate Lösung bei der Beseitigung der Schwachstellen.
Das sehen auch weitere Unternehmen in der Schweiz so, wie die TX Group, die seit einem Jahr mit einer US Bug Bounty Plattform arbeitet und schrittweise kleinere geschlossene Programme auflegt. Auch die Schweizer Post macht kleinere Schritte in Richtung der Programme und arbeitet mit festen Hackern zusammen. Deren Chief Information Security Officer Marcel Zumbühl ist von den ersten Erfolgen positiv überrascht: „Wir haben festgestellt, dass das Programm funktioniert und dass wir dadurch kritische Schwachstellen aufdecken und rasch schließen können“,
Bug Bounty Plattformen fehlen
Um das „Hacken“ in kontrollierte Bahnen zu lenken, fehlen jedoch spezielle Plattformen, die den ambitionierten Hackern eine Übersicht über laufende Programme und deren Besonderheiten geben.
Aus diesem Grund haben Florian Badertscher und vier weitere IT-Experten im August 20202 ein eigenes Unternehmen, die „Bug Bounty Switzerland“ gegründet. Sandro Nafzger, Mitgründer und CEO hat im vergangenen Jahr ein Bug Bounty Programm der Post aufgelegt. Gemeinsam treiben sie nun ihre Coaching-Idee voran.
Badertscher erklärt: „Wir wollen den Firmen Bug-Bounty ermöglichen, ohne dass sie dieselben Fehler machen müssen, die wir schon gemacht haben“. Bug Bounty Switzerland organisiert gemeinsam mit der französischen Firma „YesWeHack“ die Tests für Unternehmen und übernehmen den gesamten Ablauf und die Services. YesWeHack ist seit 2013 auf dem europäischen Markt aktiv und betreibt eine Bug Bounty Plattform, auf der Unternehmen bereits seit Jahren Programme ausschreiben können und Hacker die Meldungen über Schwachstellen abgeben.
Positiv: Austausch zwischen Experten und Hackern
Um Bug Bounty Programme zum Erfolg zu führen, ist eine Zusammenarbeit zwischen Hackern und IT-Entwicklern sehr wichtig. Ein Austausch nutzt beiden Seite, wie Zumbühl sagt: «Die Hacker erwarten zu Recht, dass wir eine Rückmeldung geben.Die Hacker sind mit großer Kreativität am Werk, was ganz in unserem Sinne ist.“ Ziel ist immer die Beseitigung der Schwachstellen.
Auch die Bundesverwaltung hat an den neuen Programmen Interesse. Florian Schütz, verantwortlich ist für das Cyberrisiko im Bund, sieht Potenzial: „Ich sehe die Möglichkeit eines Bug-Bounty-Programms für die gesamte Bundesverwaltung.“ Es gibt bereits erste Gespräche mit „Bug Bounty Switzerland“