Abacus: Wie Bug Bounty für kontinuierliche Sicherheit sorgt
Abacus entwickelt seit über 40 Jahren Business-Software in der Schweiz. Mit über 250 Entwicklern und kontinuierlichen Releases ist Sicherheit ein zentrales Thema. Im Interview erklärt Stefan Schwizer, Information Security Management Lead, warum Bug Bounty für Abacus mehr ist als ein zusätzlicher Test, und wie es sich in der Praxis bewährt.
Stefan, erklär uns kurz, was macht Abacus?
Abacus ist ein inhabergeführtes Schweizer Software-Unternehmen mit Sitz in der Ostschweiz. Seit über 40 Jahren entwickeln wir ERP-Software für Finanzen, Personal, Administration, Vertrieb und Supply Chain. Heute sind wir der grösste unabhängige Schweizer Anbieter für Business Software.
Warum ist Cybersicherheit für euch besonders relevant?
Mit 250 Entwicklern produzieren wir jeden Tag neuen Code. Sicherzustellen, dass dabei nur gesunder Code entsteht, ist eine zentrale Herausforderung. Ein Beispiel dafür sind aktuelle Supply-Chain-Angriffe im NPM-Ökosystem, die besondere Vorsicht erfordern.
Abacus setzt verschiedene Teststufen ein, darunter Unit-, Integrations- und UI-Tests sowie eigens entwickelte End-to-End-Tests („Movies“), die auch kundenspezifische Funktionen abdecken. Ergänzt wird dies durch manuelle Qualitätssicherung sowie statische Codeanalyse und Peer Reviews, um kritische Codestellen gezielt zu überprüfen und Sicherheitsrisiken frühzeitig zu erkennen.
Die grösste Herausforderung bleibt jedoch, Security by Default und Security by Design kontinuierlich in jeder Funktion umzusetzen.
Wir decken mit dem Bug-Bounty-Programm Bereiche ab, die durch unsere anderen Prozesse und durch klassische Pentests schwer abzudecken sind.
Wie seid ihr auf Bug Bounty aufmerksam geworden?
Wir hatten Bug Bounty schon früh auf dem Radar als mögliche Ergänzung zu klassischen Pentests. Anfangs haben wir uns bewusst dagegen entschieden, vor allem wegen Unsicherheiten im Umgang mit der Community und den Findings.
Nachdem ein Vertriebspartner positive Erfahrungen mit GObugfree gemacht hatte, haben wir uns erneut damit auseinandergesetzt und den Schritt gewagt.
Was waren eure Erwartungen vor dem Start?
Für uns waren zwei Punkte wichtig: ein schnelles Onboarding sowie eine klare und ehrliche Kommunikation bei Findings. Für uns war es wichtig, genau zu definieren, was wir erwarten und wie die Zusammenarbeit aussehen soll. Diese Erwartungen wurden vollkommen erfüllt und haben sich in der Zusammenarbeit bestätigt.
Was war die grösste Hürde bei der Einführung?
Die Definition des Scopes. Unsere Software ist sehr umfangreich, daher mussten wir uns schrittweise an das Gesamt-Portfolio herantasten. Die Einführung verlief reibungslos. Für uns stand dabei von Anfang an der Zugang zu erfahrenen Security Researchern und deren Findings im Vordergrund.
Welche konkreten Vorteile bringt Abacus die Zusammenarbeit mit Ethical Hackern?
Das Bug-Bounty-Programm bietet Abacus eine zusätzliche Schutzschicht, indem es laufend neue Versionen prüft und Findings liefert, die durch klassische Pentests oder interne Prozesse nicht abgedeckt werden.
Ein entscheidender Vorteil ist dabei, dass Schwachstellen entdeckt werden, bevor sie beim Kunden auftreten.
Findings werden von den Entwicklern aufgenommen und in zukünftige Testszenarien integriert. Da sich solche Schwachstellen nicht immer vollständig vermeiden lassen, stellt das Programm eine wertvolle Ergänzung dar.
Wir bezahlen gerne Bounties: Jede gefundene Schwachstelle bedeutet weniger Risiko für unsere Kunden.
Welche Bedeutung hat das auf eure Kunden und Partner?
Da gibt es wohl weiterhin eine Zweiteilung.
Viele Kunden sind sehr sicherheitsaffin und schätzen den Mehraufwand, den wir hier investieren. Für andere Kunden ist aktuell nur der Funktionsumfang von Bedeutung. Die treibende Kraft für das Bug-Bounty-Programm waren wir selbst, nicht aufgrund von regulatorischem Druck oder Kundenanforderungen, sondern weil wir eine Ergänzung in unseren eigenen Sicherheitsprozessen gesucht haben.
Wie integriert ihr Bug Bounty in eure bestehende Sicherheitsstrategie?
Da der Umgang mit Schwachstellen klar geregelt ist, war die Integration von Findings aus dem Bug-Bounty-Programm nahtlos. Wir behandeln Schwachstellen aus dem Bug-Bounty-Programm genauso wie Findings, die intern entdeckt werden oder bei einem externen Pentest.
Welche nächsten Schritte plant ihr im Bereich Bug Bounty / Cybersicherheit allgemein?
Aktuell sind wir sehr zufrieden mit dem Bug-Bounty-Programm. In Zukunft könnten wir den Scope erweitern, zum Beispiel auf Mobile Apps.
Die Perspektive von Security Researchern ist ein wichtiger Baustein in der Lösung der Schwachstelle und bietet eine erfrischende zweite Meinung in einer Zeit von KI-generierten Findings.
Was würdest du anderen Unternehmen raten, die über ein Bug-Bounty-Programm nachdenken?
Unternehmen sollten sich zuerst klar werden, was sie mit einem Bug-Bounty-Programm erreichen wollen und welche Bereiche sowie welche Form der Kontinuität sie damit abdecken möchten.
Bug Bounty und Pentests haben dabei unterschiedliche Stärken. Während Pentests punktuell und mit klar definiertem Scope stattfinden, ermöglicht Bug Bounty eine kontinuierliche Prüfung über einen breiteren Angriffsbereich.
Für uns ist klar: Keines ersetzt das andere. Die beste Lösung ist eine Kombination, abgestimmt auf Risikobereitschaft, Scope und verfügbare Ressourcen.
Auch die Bereitschaft, Bounties zu bezahlen, sollte von Anfang an eingeplant werden. Für uns ist das kein Nachteil, sondern Teil der Lösung, denn jede gefundene Schwachstelle ist letztlich ein Problem, das uns sonst deutlich teurer zu stehen kommen könnte.
Die Perspektive von Security Researchern ist ein wichtiger Baustein in der Lösung der Schwachstelle und bietet eine erfrischende zweite Meinung in einer Zeit von KI-generierten Findings.
Möchten Sie prüfen, ob ein Bug-Bounty-Programm für Ihre Systeme sinnvoll ist?
Erfahren Sie, wie kontinuierliche Sicherheitsprüfung mit Bug Bounty funktioniert und welche Bereiche Sie damit zusätzlich abdecken können.