Bug Bounty aus CISO-Sicht: Mehrwert, Verantwortung und Zusammenarbeit
Christophe Monigadon, Chief Information Security Officer beim Schweizerischen Nationalfonds (SNF), spricht über seine Erfahrungen mit Bug-Bounty-Programmen, interne Herausforderungen und warum sich der Aufwand lohnt.
Christophe, erzähl uns zum Einstieg kurz etwas über den Schweizerischen Nationalfonds. Was genau macht eure Organisation?
Der Schweizerische Nationalfonds (SNF) ist eine privatrechtliche Stiftung, die mit Bundesmitteln finanziert wird. Unsere Aufgabe ist es, Forschung in der Schweiz zu fördern. Forschende reichen bei uns Gesuche ein, die von internen und externen Expertinnen und Experten begutachtet werden. Auf dieser Grundlage entscheiden die zuständigen Gremien des SNF über die Vergabe der Fördermittel. Das läuft über ein digitales Portal, das wir laufend weiterentwickeln.
Warum habt ihr euch für Bug Bounty entschieden?
Bug Bounty ist für uns eine wertvolle Ergänzung zu den klassischen Penetrationstests. Ein Penetrationstest ist immer sehr fokussiert und zeitlich begrenzt. Im Bug-Bounty-Programm ist man dagegen kontinuierlich dran.
Gleichzeitig haben wir Zugriff auf Experten, die im Unterschied zu einem klassischen Penetrationstest sehr explorativ nach Findings suchen. Dadurch entstehen Erkenntnisse, auf die man sonst vielleicht nicht kommen würde.
Für uns ist das eine sehr wertvolle Ergänzung zu den bestehenden Massnahmen.
Was war für euch die grösste Herausforderung beim Start?
Man schlägt eine neue Methode vor, zusätzlich zu den klassischen Penetrationstests, die man ohnehin regelmässig durchführt. Das muss man intern gut verkaufen.
Wenn das Verständnis für den Mehrwert einmal da ist, wird vieles einfacher.
Ein Penetrationstest ist immer zeitlich begrenzt. Im Bug-Bounty-Programm ist man kontinuierlich dran.
Welche Rolle spielt ihr als Kunde im Programm?
Man darf nicht unterschätzen, dass man auch intern Verantwortung trägt. Wir haben eine Mitwirkungspflicht, die Befunde zu prüfen und abzuarbeiten. GObugfree übernimmt die Validierung und Triage der Findings. Die Verantwortung für die interne Bewertung und Umsetzung liegt aber bei uns als Kunde. Diese Aufgabe kann man nicht delegieren.
Und weil das Programm kontinuierlich läuft, muss man auch die entsprechenden Ressourcen dauerhaft einplanen.
Wie funktioniert die Zusammenarbeit im Alltag?
Wir nutzen eine gemeinsame Plattform und werden über neue Findings informiert. Nach der Vorvalidierung durch GObugfree prüfen unsere Experten die Meldungen und entscheiden über das weitere Vorgehen.
Dank der Vorarbeit von GObugfree bekommen wir nur Findings, bei denen es sich lohnt, genauer hinzuschauen. Das erleichtert uns den Alltag enorm.
Wir haben einen gemeinsamen Nenner. Wir reden vom Gleichen. Die Methode schafft eine gemeinsame Basis und erleichtert mir als CISO die Zusammenarbeit mit den Entwicklern enorm.
Welche konkreten Vorteile bringt euch das Programm im Alltag?
Das Programm bringt uns im Alltag einige konkrete Vorteile. Es hilft mir zum Beispiel, direkt mit unseren Entwicklern zusammenzuarbeiten. Wir haben einen gemeinsamen Nenner und reden vom Gleichen. Die Methode schafft eine gemeinsame Basis und das erleichtert mir das Leben wahnsinnig.
Warum habt ihr euch für die Zusammenarbeit mit GObugfree entschieden?
Ein wichtiger Punkt war für uns der Rundum-Service. Wir können uns auf das Validieren der Befunde fokussieren und der restliche Prozess wird für uns übernommen. Was würdest du Organisationen raten, die überlegen, ein Bug-Bounty-Programm einzuführen?
Ein Bug-Bounty-Programm sollte gut vorbereitet sein. Man muss bereit sein, die nötigen internen Ressourcen laufend zur Verfügung zu stellen und Befunde auch wirklich abzuarbeiten. Unter diesen Voraussetzungen bringt das Bug-Bounty-Programm einen grossen Mehrwert, gerade weil man auf explorative Art zu neuen Erkenntnissen kommt und Dinge entdeckt, die möglicherweise verborgen bleiben würden.