Bug-Bounty-Programme: Ein dreifacher Einblick in die Cybersicherheit im Finanzbereich

Die jährliche Fachtagung "Sicheres E-Banking Fachtagung" an der HSLU bot dieses Jahr eine besondere Perspektive: Ein dreifacher Blick auf Bug-Bounty-Programme. Drei Experten, Matthias Jauslin, Advisory Board Mitglied bei GObugfree & Geschäftsführer der Enrol GmbH, Jens von der Haar, Head of Cyber Resilience & Response bei Raiffeisen, und Mauro Mattia Sbicego, ein langjähriger Bug Bounty Hunter, führten die Teilnehmer durch die verschiedenen Facetten dieser aufstrebenden Methode in der Cybersicherheit. Jeder von ihnen beleuchtete das Thema aus seinem eigenen, einzigartigen Blickwinkel, wodurch ein umfassendes Verständnis für die Herausforderungen und Möglichkeiten von Bug-Bounty-Programmen geschaffen wurde.

Ethik und Effizienz: Das Herzstück von Bug-Bounty-Programmen

Matthias Jauslin, Advisory Board Mitglied von GObugfree, brachte Licht in das oft missverstandene Bild des "Hackens". Während die breite Öffentlichkeit Hacker häufig als die Bösewichte wahrnimmt, haben Bug Bounty Hunter – auch Ethical Hacker genannt – eine konstruktive und wertvolle Rolle. In einem Bug-Bounty-Programm sind Ethical Hacker dazu angehalten und berechtigt, nach Schwachstellen in digitalen Systemen zu suchen. Für das Entdecken dieser Sicherheitslücken werden sie belohnt, wobei die Belohnung von der Schwere bzw. Kritikalität der Lücke abhängt.

Bug Bounty Hunter spielen eine entscheidende Rolle beim Schutz digitaler Systeme. Ihr ethischer Ansatz bietet Unternehmen eine zusätzliche Sicherheitsebene. Durch die kontinuierliche Suche nach Sicherheitslücken aus unterschiedlichen Blickwinkeln, gewährleisten sie, dass Systeme laufend geprüft und somit stets sicher gehalten werden. Matthias erklärt, "Bug-Bounty-Programme bieten den ehrlichsten und klarsten Blick auf die tatsächliche Informationssicherheit mit dem höchsten ROI – man zahlt nur für effektiv gefundene Schwachstellen."

Was treibt Ethical Hacker an

Matthias beleuchtete auch das Thema der Motivation hinter ethischem Hacken. Viele Ethical Hacker sind von einer tiefen Leidenschaft fürs Hacken angetrieben und sehen es als eine Art Rätsel, das sie lösen wollen. Es gibt jedoch auch andere Gründe, die sie auf den ethischen Pfad führen: monetäre Anreize durch Belohnungen, der Wunsch, Unternehmen zu schützen, kontinuierliche Weiterbildung, der Gemeinschaftssinn und nicht zuletzt der reine Spass an der Herausforderung. Er sagt, “Diese Kombination von Faktoren macht ethisches Hacken zu einem unschätzbaren Bestandteil der modernen Cybersicherheit.”

GObugfree, die erste Schweizer Vulnerability Management Plattform mit dem swiss made software label, hat es sich zur Aufgabe gemacht, diesen ethischen Ansatz zu fördern. Durch klare Rahmenbedingungen, motivierende Belohnungsmechanismen und gründliche Validierungsprozesse stellt GObugfree sicher, dass sowohl Unternehmen als auch Hacker von diesem System profitieren können.

Die Kundensicht: Bug-Bounty-Programm als essentielles Sicherheitswerkzeug

Mit einem Berufshintergrund als Pentester und IT-Forensiker kennt Jens von der Haar, Head of Cyber Resilliance & Response bei Raiffeisen die Bedeutung von Cybersicherheit aus erster Hand. Bei Raiffeisen, wo ein 40-köpfiges Team für operative Sicherheit sorgt, sind Proaktivität und ständige Anpassung Schlüsselstrategien. Neben zahlreicher interner Sicherheitsmassnahmen wie Codeanalysen und Vulnerability Scannern sieht Jens Pentests und Bug-Bounty-Programme als zwei komplementäre Säulen einer robusten Sicherheitsstrategie.

Die finanziellen und reputativen Risiken von Cyberangriffen

Ein Angriff durch Cyberkriminelle kann für Finanzinstitute wie Raiffeisen katastrophal sein. Jens betont, “Die meisten erfolgreichen Angriffe erfordern Stunden oder gar Tage bis zur Erkennung und vollständigen Wiederherstellung. Da Bug-Bounty-Programme bestehende Sicherheitslücken aufdecken, bieten sie einen unschlagbar hohen ROI”. Abgesehen von den direkten Wiederherstellungskosten sind die potenziellen finanziellen und Reputationsverluste immens. Obwohl Investitionen in Sicherheitsmassnahmen zunächst hoch erscheinen mögen, machen sie im Vergleich zu den Kosten eines einzigen erfolgreichen Cyberangriffs nur einen Bruchteil aus. Bug-Bounty-Programme sind somit eine präventive Massnahme, die sich auf lange Sicht definitiv auszahlt.

Schrittweiser Ansatz von Raiffeisen zum Bug-Bounty-Programm

Für ihr Bug-Bounty-Programm vertraut Raiffeisen auf GObugfree. Dei Bank verfolgt einen strategischen und schrittweisen Ansatz. Anfangs startete Raiffeisen mit einem privaten Programm und einer begrenzten Anzahl von Hackern die durch GObugfree koordiniert werden. Sicherheitslücken wurden systematisch an interne Teams weitergeleitet, wobei besonderer Wert auf eine effektive Kommunikation und Verwaltung gelegt wurde. Mit der Zeit und nachdem die internen Prozesse fest etabliert waren, wurde der Umfang erweitert, um mehr Anwendungen abzudecken. Dieser Ansatz stellt sicher, dass die Entwickler und das Sicherheitsteam nicht überfordert werden und zusammen wachsen können.

Die Vorteile vom GObugfree Bug-Bounty-Programm für Raiffeisen

Bei Raiffeisen hat sich das GObugfree Bug-Bounty-Programm als wertvoll erwiesen und bietet zahlreiche Vorteile:

• Erweiterter Blickwinkel: Durch die Vielfalt der beteiligten Ethical Hacker erhält Raiffeisen einen umfassenderen Überblick über potenzielle Sicherheitslücken.
• Spezialisierung der Tester: Jeder Tester hat seine eigenen Fachgebiete, was zu einer tiefergehenden und spezialisierten Prüfung führt.
• Kontinuierliche Prüfung: Im Gegensatz zu zeitlich begrenzten Pentests bietet das Bug-Bounty-Programm eine fortlaufende Überwachung.
• Rasche Verfügbarkeit der Tester: Bei Bedarf können schnell qualifizierte Tester hinzugezogen werden.
• Erfolgsbasierte Vergütung: Es werden nur tatsächlich gefundene Schwachstellen vergütet, was das Modell effizient und kosteneffektiv macht.
• Konstruktive Zusammenarbeit mit den Security Researchern: Dies fördert ein positives und produktives Umfeld für beide Seiten.
• Lerneffekt für Entwickler und internes Security Personal: Die Erkenntnisse aus den gefundenen Schwachstellen können direkt in die Schulung und Weiterentwicklung interner Teams einfliessen.

Als Bank trägt Raiffeisen eine tiefgreifende Verantwortung, ihre Kunden und deren Daten sicher zu schützen. In einer digital vernetzten Welt muss Raiffeisen alle verfügbaren Werkzeuge nutzen, um dieser Verantwortung gerecht zu werden. Bug-Bounty-Programme gehören einfach dazu, um das höchste Mass an Sicherheit zu gewährleisten und das Vertrauen der Kunden stetig zu stärken.

Aus erster Hand: Einblick in das Ethical Hacking

Um das dreidimensionale Bild vollständig zu machen, brachte Mauro Mattia Sbicego die Perspektive des ethischen Hackings ein. Als ethischer Hacker und Student ist Mauro seit fünf Jahren in der Bug-Bounty-Szene aktiv. Seine Leidenschaft für Sicherheit hat ihn an die ETH Lausanne geführt, wo er sich ab Herbst weiter auf das Thema spezialisieren wird. Er schätzt die Tiefe, die Bug-Bounty-Programme bieten – im Vergleich zu herkömmlichen Tests können Hacker wie er intensiver und unter realen Bedingungen eintauchen. Diese Tiefe zeigt sich in den unterschiedlichen Angriffsarten, mit denen er sich auseinandersetzt, von SQL-Injections über Command Injections bis hin zu Buffer Overflows. Für Mauro ist es nicht nur der finanzielle Anreiz, der das Bug-Hunting attraktiv macht. Die Möglichkeit, ständig neue Systeme, Geräte und Techniken zu erkunden, und die Freiheit, dies ohne zeitlichen Druck zu tun, ist für ihn von unschätzbarem Wert. Aber noch wichtiger ist die Zusammenarbeit: Eine gute Beziehung zum Auftraggeber und klare Kommunikationskanäle, beispielsweise durch spezialisierte Hacker-Dashboards, sind entscheidend.

Das Wunder des Live-Hacks: Geld vermehren mittels "Race Conditions"

In einer eindrucksvollen Demonstration führte Mauro einen "live hack" vor, bei dem er mithilfe von "Race Conditions" einen eShop trickste. Das Prinzip dahinter: Er war schneller als das System und gab Befehle oder Codes ein, bevor das System registrieren konnte, dass ein Wert bereits verwendet wurde – und dies nicht in Sekunden, sondern in Millisekunden. Durch dieses Vorgehen gelang es ihm, Geld quasi "aus dem Nichts" zu vermehren, etwa indem er mit einem Gutschein exponentielles Wachstum erzielte und damit weitere Gutscheine kaufte. Die Problematik: solche Schwachstellen sind schlecht erkennbar, werden selten getestet und sind schwierig zu beheben. Manchmal könnte es sogar notwendig sein, die gesamte Architektur neu zu bauen. Wie Mauro treffend bemerkte: "So lange man nicht genau weiss, wie es funktioniert, kann man das nicht erfolgreich beheben." Denn nur mit diesem Verständnis können solche Lücken effektiv geschlossen werden.

Ganzheitliche Sicherheit

In der anschliessenden Podiumsdiskussion waren sich die drei Referenten einig: Sicherheit muss ganzheitlich betrachtet werden. Es reicht nicht aus, nur Schwachstellen zu kennen – entscheidend ist, dass das Wissen um diese Schwachstellen dort vorhanden ist, wo sie behoben werden können. Selbst der gründlichste Test deckt nur einen Bruchteil der möglichen Angriffsvektoren ab. Und selbst nach der Entdeckung einer Schwachstelle endet die Arbeit nicht. Es geht darum, sie korrekt zu beheben und die daraus gewonnenen Erkenntnisse in den Entwicklungsprozess zu integrieren. Für Unternehmen wie Raiffeisen hat dies höchste Priorität, denn die Verantwortung gegenüber ihren Kunden ist enorm.

Die Vorträge stiessen auf grosses Interesse, und es gab zahlreiche Fragen an die Referenten. Es war offensichtlich, dass das Thema einen Nerv getroffen hatte und tiefgreifende Diskussionen und Gedankenaustausch auslöste. Diese angeregten Gespräche setzten sich dann bei strahlendem Sonnenschein während des Apéros fort. Es bot sich eine hervorragende Gelegenheit zum Networking und zur Vertiefung der Diskussionen in einem entspannten Umfeld.