Höchster Schutz beim Fundraising – dank Ethical Hacking

Spenderdaten sind Gold wert – und genau deshalb im Visier von Cyberkriminellen. RaiseNow verarbeitet täglich Zehntausende Transaktionen – Sicherheit darf dabei kein Zufallsprodukt sein. Deshalb setzt die Fundraising-Plattform auf Ethical Hacking, um Schwachstellen zu identifizieren, bevor Angreifer sie ausnutzen können. Von Bugtests über Live-Hacking-Events, Vulnerability Disclosure Programm bis zum Bug-Bounty-Programm – RaiseNow geht in Sachen Cybersicherheit einen Schritt weiter. Wie genau Ethical Hacking hilft, die Sicherheit kontinuierlich zu verbessern, haben wir mit Raphael Matile, CTO von RaiseNow, besprochen.

GBF-customer-story-RaiseNow-DE.png

Raphael, erzähl uns bitte kurz, was RaiseNow macht.

Seit seiner Gründung im Jahr 2015 in Zürich verfolgt RaiseNow das Ziel, Organisationen den Zugang zu modernem Fundraising zu erleichtern. Die Plattform ermöglicht es Non-Profit-Organisationen, Vereinen und Wohltätigkeitsorganisationen, Spenden effizient zu sammeln, Unterstützer:innen zu mobilisieren und ihre Community langfristig zu binden. Mit vielfältigen Zahlungsoptionen, darunter TWINT, Kreditkarten, PayPal und digitale Wallets, reduziert RaiseNow Hürden für Spender und erleichtert den gesamten Fundraising-Prozess. Mit über 20‘000 Kunden wickelt RaiseNow täglich Zehntausende von Spendenabwicklungen ab.

Welche Herausforderungen bringt der Schutz sensibler Spenderdaten mit sich?

Sicherheit hat für RaiseNow oberste Priorität. Neben dem Schutz sensibler Spenderdaten stehen wir vor der Herausforderung, unsere Plattform kontinuierlich weiterzuentwickeln, ohne Sicherheitslücken zu schaffen. Gleichzeitig müssen wir strenge regulatorische Vorgaben wie PCI DSS und GDPR einhalten. Drei zentrale Faktoren prägen unsere Sicherheitsstrategie:

  • Hohes Transaktionsvolumen & sensible Spenderdaten. Die Plattform verarbeitet täglich eine grosse Anzahl an Zahlungen und verwaltet hochsensible Daten. Das macht sie zu einem attraktiven Ziel für Cyberangriffe.
  • Schnelle Entwicklungszyklen. Wir entwickeln unsere Plattform kontinuierlich weiter – neue Funktionen dürfen aber keine neuen Sicherheitsrisiken mit sich bringen.
  • Strenge Compliance-Anforderungen. Als Zahlungsdienstleister unterliegen wir Vorgaben wie PCI DSS und GDPR, die laufend erfüllt und in unsere Sicherheitsstrategie integriert werden müssen.

Wie hat eure Sicherheitsreise mit Ethical Hacking begonnen?

GBF-Raphael-Matile-RaiseNow.jpg
Raphael Matile, CTO RaiseNow, beim GOhack Live Bug-Bounty-Challenge

Wir haben uns schrittweise an Ethical Hacking herangeführt. Unser Einstieg begann mit einem klassischen Bugtest, um eine erste Bestandsaufnahme unserer Sicherheitslage zu machen. Daraus konnten wir bereits wertvolle Erkenntnisse gewinnen.

Anschliessend haben wir am GOhack Live-Hacking-Event im Dezember 2023 teilgenommen, bei dem die Ethical Hacker Community von GObugfree während zwei Tagen einen bestimmten Scope von uns auf Herz und Nieren getestet hat. Auf diese Weise konnten wir erste Erfahrungen mit Bug Bounty sammelen und es hat uns weitere tiefgehende Einblicke in unsere Schwachstellen gegeben hat.

Daraufhin haben wir ein Bug-Bounty-Programm gestartet, um fortlaufend mit Sicherheitsexperten zusammenzuarbeiten und unsere Plattform kontinuierlich abzusichern. Ergänzend dazu haben wir ein Vulnerability Disclosure Program (VDP) eingeführt, um auch ausserhalb des Bug-Bounty-Scopes gemeldete Schwachstellen strukturiert zu bearbeiten.

GBF-RaiseNow-Ethical-Hacking-Activities (3).png
Bug Bounty hat uns geholfen, klare Prozesse zu definieren, effizienter zu arbeiten und unsere Sicherheitsstrategie langfristig zu verbessern.
Raphael Matile, RaiseNow CTO

Welche Vorteile bringt RaiseNow die Zusammenarbeit mit Ethical Hackern?

Durch die Zusammenarbeit mit Ethical Hackern konnten wir nicht nur unsere Sicherheit erhöhen, sondern auch Prozesse effizienter gestalten – und wertvolle neue Perspektiven gewinnen.

Strukturierte Prozesse und klare Abläufe: Durch das Bug-Bounty-Programm haben wir nicht nur Sicherheitslücken schneller gefunden, sondern auch unseren gesamten Umgang mit Sicherheitsmeldungen professionalisiert. Früher erhielten wir Hinweise auf potenzielle Schwachstellen über verschiedene Kanäle – oft unkoordiniert und ohne klare Struktur. Heute haben wir einen definierten Prozess mit validierten Reports, einem klar abgesteckten Scope und einer transparenten Vergütungsstruktur.

Neue Perspektiven durch Ethical Hacker: Ethical Hacker bringen eine völlig neue Perspektive auf unsere Plattform. Sie denken anders als unsere internen Teams und identifizieren oft Sicherheitslücken, die durch klassische automatisierte Tests nicht gefunden werden. Die Kreativität und Vielfalt der Community helfen uns, Schwachstellen zu entdecken, an die wir selbst nie gedacht hätten.

Effiziente Behebung von Sicherheitslücken: Unsere Entwickler profitieren von präzisen Reports mit klaren Reproduktionsschritten, sodass Probleme schneller nachvollzogen und behoben werden können. Sicherheitslücken werden frühzeitig erkannt und direkt in den agilen Entwicklungsprozess integriert.

Gestärktes Sicherheitsbewusstsein im Unternehmen: Teams wie Sales und Customer Success profitieren ebenfalls, da sie durch unsere transparente Sicherheitsstrategie gegenüber Kunden glaubwürdig auftreten können. Gerade im Austausch mit grossen Organisationen, die strenge Compliance-Anforderungen haben, ist das ein entscheidender Vorteil.

Testing in der Produktionsumgebung: Durch 'on Request' Tests stellen wir realistische Sicherheitsprüfungen sicher – ohne den laufenden Betrieb zu beeinträchtigen. Dank GObugfrees starkem Verifizierungsprozess wissen wir genau, wer testet, und können den Scope gezielt einschränken. Wir haben die Möglichkeit in einem privaten Programm, nur ausgewählte, vertrauenswürdige Hacker einzuladen und unseren Scope zugänglich zu machen.

Durch unser Bug-Bounty-Programm erfüllen wir nicht nur regulatorische Anforderungen – wir sind auch potentiellen Angreifern einen Schritt voraus, indem wir Sicherheitslücken proaktiv schliessen.
Raphael Matile, RaiseNow CTO

Wie hilft euch das Bug-Bounty-Programm dabei, regulatorische Anforderungen zu erfüllen?

Unser Bug-Bounty-Programm und VDP helfen uns, regulatorische Vorgaben wie GDPR und PCI DSSfrühzeitig zu erfüllen. Durch die enge Zusammenarbeit mit der Security-Community haben wir Compliance-Anpassungen proaktiv umgesetzt, anstatt auf regulatorischen Druck zu reagieren. Dadurch können wir nicht nur unsere Sicherheitsstandards kontinuierlich verbessern, sondern auch das Vertrauen unserer Kunden langfristig stärken.

Welche Bedeutung hat ein starkes Sicherheitskonzept für eure Kunden und Partner?

Sicherheit spielt für unsere Kunden und Partner eine entscheidende Rolle. Viele Organisationen, insbesondere grosse NGOs, haben strenge Compliance-Anforderungen und erwarten ein hohes Mass an Datenschutz. Ein transparentes Sicherheitskonzept, wie wir es mit Bug Bounty und VDP etabliert haben, stärkt ihr Vertrauen in unsere Plattform und erleichtert ihnen die eigene Compliance.

Wie sieht die Zukunft des Bug-Bounty-Programms bei RaiseNow aus?

Unser Bug-Bounty-Programm hat sich als äusserst wertvoll erwiesen. Wir evaluieren laufend, wie wir den Scope erweitern können und neue Sicherheitsanforderungen frühzeitig integrieren können. Unser Ziel: Security-by-Design für alle neuen Produktfeatures von Anfang an.

Fazit: Warum Ethical Hacking ein zentraler Bestandteil der Sicherheitsstrategie ist

RaiseNow hat sich von klassischen Sicherheitstests zu einem umfassenden Ethical-Hacking-Ansatz entwickelt.

  • Bugtests, GOhack, Bug Bounty und VDP sorgen für kontinuierliche Sicherheit.
  • Regulatorische Anforderungen werden frühzeitig erfüllt, nicht erst durch Druck von aussen.
  • Die Zusammenarbeit mit Ethical Hackern ermöglicht neue Perspektiven und hilft Entwicklern, sicherer zu programmieren.
  • Testing in der produktiven Umgebung stellt sicher, dass reale Risiken effektiv behandelt werden.

Möchten Sie erfahren, wie Ethical Hacking Ihr Unternehmen sicherer machen kann?

Lassen Sie uns gemeinsam herausfinden, wie Sie von Bug Bounty, Live-Hacking-Events oder einem Vulnerability Disclosure Program (VDP) profitieren können.

Kontaktieren Sie uns – wir beraten Sie gerne!