In den USA ist es schon länger üblich, auf Hackercontests oder „per Auftrag“ die Systeme von Unternehmen oder Behörden auf Schwachstellen untersuchen zu lassen. Die Hacker, die Fehlerquellen finden, erhalten dann meist Prämien – und natürlich positives Feedback.
Unternehmen können heute nicht mehr nur auf die eigenen IT-Experten vertrauen, denn aufgrund der immer komplexeren Systeme wird es deutlich schwieriger, Schwachstellen zu finden. Es sind die Hacker, die ihre Arbeitsweisen auf diese Sicherheitslücken ausgerichtet haben und sie deshalb finden können.
Deshalb geht man in der Schweiz seit einiger Zeit neue Wege bei der Überprüfung der Netzwerke großer Unternehmen und setzt Bug Bounty Programme ein. Es wurden bereits hohe Prämien für relevante Schwachstellen gezahlt.
Jetzt werden die unterschiedlichen Bug Bounty Programme auf einer neuen Plattform zentriert. Diese Plattform der Firma „Bug Bounty Switzerland“ wurde von Schweizer Experten gegründet, um die Idee bekannter zu machen. Geschäftsführer Sandro Nafzger hat bisher gute Erfahrungen mit den Programmen gemacht und holte weitere Spezialisten, Microsoft sowie der französischen Plattform „YesWeHack“ ins Boot. Das hat auch das Interesse des Bundes geweckt und das Nationale Zentrum für Cybersicherheit (NCSC) hat sich mit der Idee befasst.
Bund plant Test mit Hackern
Das Nationale Zentrum für Cybersicherheit (NCSC) reagiert positiv auf die Idee der Bug Bounty Programme. Der Delegierte für Cybersicherheit, Florian Schütz wurde bereits Mitglied im Beirat von Bug Bounty Switzerland. Der Bundesrat hat Mitte Februar in einer ersten Diskussion die Förderung der Programme angeregt. Der NCSC hat dazu eine klare Meinung, wie Pascal Lamia sagt: „Wir wollen in erster Linie Anreize und gute Bedingungen schaffen, damit die IT-Leistungserbringer des Bundes freiwillig auf Bug Bounty setzen.“ Das würde ein staatliches Förderprogramm verdeutlichen.
Um die Wirksamkeit von Bug Bounty Programmen zu testen, will der Bund in diesem Frühjahr einen „Pilotversuch“ starten. Eine wichtige Voraussetzung ist, dass die Plattform von Bug Bounty Switzerland ausschließlich auf Schweizer Servern läuft. Laut Plan dürfen im April 2021 einige ausgewählte Schweizer Hacker eine im Voraus festgelegte, intern betriebene Applikation der Bundesverwaltung angreifen. Finden sie innerhalb von 14 Tagen Schwachstellen, erhalten sie Prämien. Das Pilotprojekt soll bis zu den Sommerferien Ergebnisse liefern. Der Bund wird danach entscheiden, ob und wie das Pilotprojekt ausgeweitet wird, ist aber optimistisch.
Für den Bund und andere Unternehmen sind Bug Bounty Programme gleich doppelt interessant, denn die Hacker finden Schwachstellen – erhalten aber nur bei entsprechenden Erfolgen die Prämien.
Bug Bounty Switzerland bietet Tests an
Sandro Nafzger ist von der Idee seines Unternehmens überzeugt und sieht Zukunftsperspektiven: „Wenn bei einer Firma plötzlich konkrete kritische Schwachstellen auf dem Tisch liegen, die mit anderen Methoden nicht gefunden wurden, handeln sie meist sehr rasch.“ Es wird immer kritische Schwachstellen geben, die aufgedeckt werden müssen und es ist sicherer, Hacker dafür zu entlohnen, bevor sie die Lücken für kriminelle Zwecke ausnutzen. Die Unternehmen kommen im Gegenzug schneller auf ein besseres Sicherheitslevel und sind in einer Win-win-Situation.