Penetration Testing & Bug Bounty: Schlüsselelemente Ihres Cyber-Security Werkzeugkastens

Täglich werden neue Fälle von Datenlecks und Sicherheitslücken gemeldet. Es ist nicht eine Frage ob, sondern wann ein Unternehmen von Cyberkriminellen angegriffen wird. Kritische Schwachstellen haben alle. Bei der Cyber-Security geht es darum, sich dessen bewusst zu sein und die für das eigene Unternehmen wichtigsten Risiken zu minimieren. Im Rahmen der Cyber Expert Panel-Diskussion am 27.10.2022 diskutierten Sicherheitsexperten Sophus Siegenthaler, Managing Partner und IT Security Engineer bei cyllective; Michael Schläpfer, Sicherheitsexperte und Chief Hacking Officer beim Bug Bounty Anbieter GObugfree und Antoine Neuenschwander, Head of Bug Bounty bei der Swisscom über zwei Werkzeuge, die zu erhöhter Cyber-Resilienz führen: Pentesting und Bug Bounty.

Cybersicherheit einfach erklärt

Der Anlass wurde von cybero, einer Initiative der Mobiliar, aufgegleist. Cybero will Kleinunternehmen, die vermehrt ins Visier von Hackern genommen werden, im Bereich von Cyber-Sicherheit unterstützen. Nicolas Germiquet, Initiative Leader bei cybero sagt: “Das Thema Cybersicherheit ist komplex. Wir bemühen uns, das Thema zu vereinfachen und zu demokratisieren, damit es für alle zugänglich ist.” Durch einfach verständliche Analysewerkzeuge wie den cybero Check und cybero Score können KMU eine Standortbestimmung durchführen und ihr Risikoprofil ermitteln. Danach werden erste Massnahmen vorgeschlagen und bedürfnisgerechte sowie kostengünstige Dienstleistungspakete angeboten.

Entsprechend ihrem Ziel, die Cybersicherheit zu entmystifizieren, unterstützt cybero den Wissensaustausch durch Veranstaltungen wie die Cybero Experts Serie. Am 27.10. wurden hierbei Pentesting und Bug Bounty unter die Lupe genommen.

Penetrationstests: Eine tiefe und fundierte Untersuchung

Bei einem Penetrationstest (auch Pentest genannt) handelt es sich um eine aktive Prüfung der Sicherheit. Eine Testmethode, bei der die Tester auf einzelne Komponenten oder die Anwendung als Ganzes abzielen, um festzustellen, ob Schwachstellen innerhalb oder zwischen Komponenten ausgenutzt werden können, um die Anwendung, ihre Daten oder ihre Umgebungsressourcen zu gefährden.

Sophus Siegenthaler, Managing Partner und IT Security Engineer bei der Firma cyllective erläuterte die verschiedenen Ausprägungen von Pentests und deren Anwendungsphasen. Unter dem White-Box Ansatz haben die Experten viele Informationen (wie Konfigurationen, Quellcode und Diagramme) über das Zielsystem, während sie bei einem Black-Box-Ansatz keine Informationen haben. Der White-Box-Ansatz ist ideal für ein initiales Testing. Dadurch kann sich der Pentester viel effizienter einen ganzheitlichen Überblick verschaffen, was zu einem besseren Kosten-Nutzen-Verhältnis führt. Ein Grey-Box Test (mit einigen Informationen über das System) ist für das selektive Testen von einzelnen Aspekten ausgezeichnet. Ein Black-Box-Ansatz ist sehr realitätsnah, da der Pentester dasselbe Szenario antrifft wie ein richtiger Angreifer.

Die Vorteile von Pentests sind Kundennähe und eine Vielzahl von Anwendungsmöglichkeiten. Durch die umfangreichen Gespräche mit dem Kunden lernt man deren Bedürfnisse genau kennen und kann effektiv und strukturiert testen. Siegenthaler sagt, “Wir arbeiten eng mit den Kunden zusammen und schaffen soein gemeinsames Verständnis über die Risiken”. Diese Art von Tests sind universell anwendbar; man kann alle Begebenheiten damit prüfen, sei es firmenintern, oder auch die Firma mit all ihren Umsystemen und externen Partner.

Bug Bounty: ein bewährtes Werkzeug

Beim Security Testing gibt es einige Punkte, wo traditionelle Ansätze an ihre Grenzen kommen. In solchen Fällen kann ein Bug-Bounty-Programm helfen. Schon vor 20 Jahren hat Netscape (damals für ihr Web-Browser Navigator bekannt) ein internes Bug Bounty Programm lanciert. Sie luden ihre Mitarbeitenden ein, das System näher anzuschauen, Fehler mitzuteilen und erhielten dafür eine Belohnung. Es war ein interessanter und effektiver Approach, der erst Jahre später Momentum aufnahm.

Heutzutage sehen viele Firmen Bug-Bounty-Programme als effektive Ergänzung zu ihren bestehenden Sicherheitsansätzen. Friendly Hacker testen anhand von vordefinierten Spielregeln einen definierten Scope, ihre bestätigten Funde werden mit einer Geldzahlung, einem Bounty, belohnt.

Michael Schläpfer, Chief Hacking Officer von GObugfree beschreibt zwei grosse Vorteile von Bug-Bounty-Programmen. Einerseits finden die Tests fortlaufend statt. Somit gibt diese Methode anstelle eines einmaligen Snapshots einen kontinuierlichen Überblick ins System und die aktuellen Gefahren. Firmen gewinnen auf diese Weise einen fortlaufenden Einblick über allfällige Schwachstellen in ihren Systemen und können entsprechend die richtigen Massnahmen ableiten.

Der zweite Aspekt ist die Schwarmintelligenz. Hunderte von Spezialisten mit speziellen Tooling Sets suchen in der Tiefe nach Problemen. Es ist kein holistisches Vorgehen; das Holistische entsteht durch die gesamte Community. Je mehr Blickwinkel, je mehr Chancen, mögliche Schwachstellen zu finden. Und nicht zu vergessen, erklärt Michael, “Ein Bug-Bounty-Programm steigert das interne Bewusstsein für Cybersicherheit. Sowohl bei Entwicklern als auch bei Lieferanten.”

Aus Sicht eines Hackers

Antoine Neuenschwander ist selber Friendly Hacker, sowie auch Tech Lead Bug Bounty und Security Incident Responder bei Swisscom. Swisscom hat das älteste und grösste Bug Bounty Programme der Schweiz und hat aber auch Pentesters. Für Antoine ist IT-Sicherheit ein bisschen wie Zauberei. Inspiriert von James Bachs Beschreibung von Tester, sagt Antoine, “Hacker brechen nicht den Code, sie brechen Ihre Illusionen über den Code”. Somit vertreten Entwickler und Friendly Hacker entgegengesetzte Ansichten: Bei Entwicklung steht Bauen im Vordergrund, der Friendly Hacker auf der anderen Seite will alles auseinandernehmen.

Das Bild des Hackers als kriminelle Figur im Kapuzenpulli tut Antoine schnell ab. Der Familienvater und begeisterte Friendly Hacker behauptet, “Es gibt viele Leute mit den Fähigkeiten, in Systeme einzudringen, ohne kriminell zu werden.” Die schlechte Art von Hacking ist organisierte Kriminalität. Auf dem Schwarzmarkt bekommt man etwa das 10-fache, als wenn man eine Sicherheitslücke über ein Bug-Bounty-Programm rapportiert. Trotzdem sollten Hacker ethisch sein. “Wir sollten nicht von ethischen Hackern sprechen müssen. Nicht ethische Hacker sind Kriminelle”, meint er.

Wann Pentesting, Wann Bug Bounty? Kurz gesagt, die Maturität ist entscheidend. Wurden noch keine Sicherheitstests gemacht und es fehlt es an Prozessen, sollte man nicht gleich als Erstes ein Bug-Bounty-Programm einführen. Hierfür gibt es bessere Werkzeuge, wie zum Beispiel eine Standortbestimmung. Nachdem die Prozesse stehen und die ersten Findings aus einem Vulnerability Scan oder Pentest abgearbeitet wurden, kann man ein Bug-Bounty-Programm als zusätzliche Sicherheitsmassnahme einsetzen.

Pentesting kann auch für firminterne Applikationen genutzt werden; Bug-Bounty-Programme werden normalerweise nur für das Testen von öffentlich zugänglichen Systemen eingesetzt. Beim Testen der internen Systeme ist Vorsicht geraten.

Bug-Bounty-Programme und Pentesting sind keine “stand-alone” Lösungen, sondern eine Ergänzung zu einer robusten Sicherheitslandschaft. Gemäss Michael Schläpfer, “Ein Bug-Bounty-Programm ist komplementär; man findet damit Vulnerabilities, die man noch nicht gefunden hat”.

Wie weiter?

Wie anfangs erwähnt: Kritische Schwachstellen haben alle. Als Firma muss man sich nicht fragen, “Wie wichtig bin ich für Hacker?", sondern "Wie wichtig sind die Daten für meine Organisation?" und “Wie bin ich vorbereitet, wenn ein Angriff kommt?”

Bug Bounty und Pentests sind zwei Werkzeuge, die helfen, Klarheit über die eigene Risikosituation zu schaffen. Das muss aber nicht gleich heissen, alle Risiken abschaffen. Vielmehr geht es darum, sich damit bewusst auseinanderzusetzen und ein klares Risikomanagement zu treffen.

In Zeiten von Continuous Deployment und mit dem Druck, ständig neue Features zu veröffentlichen, macht es Sinn, regelmässige Pentests zu machen und komplementär dazu ein Bug-Bounty-Programm zu führen.