Die Strategie des SNF zum Schutz sensibler Daten durch Bug Bounties
Der Schweizerische Nationalfonds (SNF) fördert nicht nur Tausende von Forschungsprojekten in allen wissenschaftlichen Disziplinen, sondern ist auch führend bei der Sicherung sensibler Daten. CISO Anton Brunner erklärt, wie der SNF durch sein Bug-Bounty-Programm die Cybersicherheit seiner Portale verstärkt und einen entscheidenden Beitrag zur Sicherheit seiner Daten leistet.
Anton, erzähl uns zuerst etwas über den Schweizerischen Nationalfonds. Was macht eure Organisation?
Der Schweizerische Nationalfonds (SNF) ist eine privat-rechtliche Stiftung, die sich durch Bundesmittel finanziert. Unsere Hauptaufgabe besteht darin, die besten Forschungsprojekte und die besten Forschenden in der Schweiz zu fördern. Forschende reichen bei uns ihre Gesuche ein. Diese werden von externen Expertinnen und Experten begutachtet, und spezielle Gremien des SNF entschieden dann, wer wie viel Geld erhält. Das geschieht alles über ein digitales Portal, das wir stetig weiterentwickeln.
Ihr habt kürzlich euer Kernsystem modernisiert. Was hat das für die IT-Sicherheit bedeutet?
Wir haben unser altes Legacy-System durch eine moderne Lösung ersetzt. Die grösste Herausforderung in puncto Sicherheit liegt darin, den Zugang zu unserem System zu verwalten, auf das viele externen Leute zugreifen müssen. Wir können den Zugang nicht allzu stark einschränken, da nicht nur Nutzende aus der Schweiz darauf zugreifen. Besonders heikel ist, dass Forschende weder die aktuellen Gesuche anderer sehen dürfen, noch erfahren sollen, wie in den Gremien über die Gesuche abgestimmt wurde. Obwohl unsere Daten nicht unter die Kategorie 'besonders schützenswerte Personendaten' gemäss Datenschutzgesetz fallen, erfordern sie dennoch einen hohen Schutz. Deshalb haben wir von Anfang an auf Sicherheit gesetzt und führen seit drei Jahren regelmässige Pentests durch.
Im agilen Entwicklungszyklus bietet das Bug-Bounty-Programm den entscheidenden Vorteil, dass es schnell implementiert werden kann und kontinuierlich kosteneffiziente Sicherheitsüberprüfungen ermöglicht.
Was hat euch dazu bewogen, ein Bug-Bounty-Programm (BBP) zu starten?
Die traditionellen Penetrationstests waren mit langen Vorlaufzeiten und hohem Budget verbunden. Mit unserem Übergang zu einem agileren Entwicklungsmodell – wir haben jetzt jede Woche einen Release – wurde klar, dass die alten Methoden nicht mehr ausreichen. Das Bug-Bounty-Programm haben wir als Pilotprojekt gestartet, um zu sehen, ob es uns Vorteile bringt, und es war sehr erfolgreich. Dadurch konnten wir viele Sicherheitslücken identifizieren, die uns sonst nicht aufgefallen wären. Im agilen Entwicklungszyklus bietet das Bug-Bounty-Programm den entscheidenden Vorteil, dass es schnell implementiert werden kann und kontinuierlich kosteneffiziente Sicherheitsüberprüfungen ermöglicht.
Interessanterweise haben die Analysen der Logfiles, selbst wenn sie keine direkten Schwachstellen aufzeigen, dazu beigetragen, Angriffsmuster besser zu verstehen und unsere Alarmierungs- und Logüberwachungssysteme zu verbessern.
Kannst du ein paar spezifische Vorteile des Bug-Bounty-Programms nennen?
Unser privates Bug-Bounty-Programm, an dem rund 30 ausgewählte Ethical Hacker teilnehmen, hat uns Einsichten geliefert, die wir durch herkömmliche Tests nicht erhalten hätten. Die Diversität der Sichtweisen dieser Ethical Hacker macht unsere Abdeckung wesentlich breiter. Interessanterweise haben die Analysen der Logfiles, selbst wenn sie keine direkten Schwachstellen aufzeigen, dazu beigetragen, Angriffsmuster besser zu verstehen und unsere Systeme zur Alarmierung und Logüberwachung zu verbessern.
Ein weiteres Beispiel für den praktischen Nutzen unseres Bug-Bounty-Programms zeigte sich bei GOhack23, wo wir als Programmpartner in der Live Bug-Bounty-Challenge dabei waren. Wir haben zwei sehr interessante Befunde entdeckt, die ohne diesen Ansatz vermutlich unerkannt geblieben wären. Diese Einsichten aus der Nutzendenperspektive waren nicht nur aufschlussreich, sondern bestätigten auch die Effektivität unseres Ansatzes. Es war ein cooler Event, der uns einmal mehr die Relevanz und den Wert von Live-Tests vor Augen führte.
Organisationen sind oft besorgt, dass die Einrichtung eines Bug-Bounty-Programms neue Prozesse erfordert, was zusätzliche Ressourcen bedeutet. Wie war eure Erfahrung in dieser Hinsicht?
Ich kann verstehen, warum das eine gängige Sorge ist, aber unsere Erfahrung war sehr positiv. Wir konnten das Bug-Bounty-Programm nahtlos in unsere vorhandenen Sicherheitsprozesse integrieren. Der Sicherheitsarchitekt und ich haben direkten Zugriff auf die GObugfree Plattform, und alle Meldungen wurden intern genau wie andere Sicherheitsvorfälle behandelt. Kritische Fälle werden sofort und effektiv durch unseren etablierten Notfallprozess behandelt, was uns ermöglicht, schnell auf Sicherheitslücken zu reagieren, ohne dass wir unsere bestehenden Prozesse überarbeiten müssen.
Welche weiteren Pläne habt ihr in Bezug auf Cybersicherheit?
Wir sind ständig dabei, neue Ansätze zu erkunden. Ein aktuelles Projekt ist der Einsatz von KI-basierten Mustern zur Bedrohungserkennung, wofür wir derzeit einen Proof of Value auf unserem Azure-Tenant durchführen. Bis Ende 2025 wollen wir unsere Entwicklung in diesem Bereich weiter vorantreiben.
Zu Bug Bounty sage ich: Spring ins kalte Wasser und probiere es für drei Monate aus. Man entdeckt wirklich nur dann die verborgenen Schwachstellen, wenn man es wagt.
Zum Abschluss, was würdest du anderen Organisationen empfehlen, die ein Bug-Bounty-Programm starten wollen?
Zu Bug Bounty sage ich: Spring ins kalte Wasser und probiere es für drei Monate aus. Man entdeckt wirklich nur dann die verborgenen Schwachstellen, wenn man es wagt. Der Pilot fühlt sich vielleicht anfangs gewagt an, aber die Ergebnisse sprechen für sich.
Sind Sie interessiert an einem Bug-Bounty-Pilotprogramm? Erfahren Sie, wie Sie mit Hilfe unserer erfahrenen Sicherheitsexperten-Community Ihre IT-Sicherheit nachhaltig stärken und optimieren können.