Wie Bug Bounty die Sicherheit im Finanzsektor verbessert
Unique, ein Pionier in der Entwicklung generativer KI-Lösungen für den Finanzsektor, navigiert geschickt zwischen schneller Entwicklung und den strengen Compliance- und Sicherheitsanforderungen seiner hochregulierten und risikoscheuen Kunden. Wie passt ein Bug-Bounty-Programm in dieses Szenario?
In einer Branche, die gleichermassen von Innovation und strengen Regulierungen geprägt ist, setzt Unique mit seinen KI-basierten Lösungen neue Massstäbe. Die Balance zwischen rascher Entwicklung und den strengen Sicherheits- und Compliance-Anforderungen der risikoscheuen Finanzwelt ist eine Herausforderung. Um zu verstehen, wie Unique diese meistert und welche Rolle ein Bug-Bounty-Programm dabei spielt, sprachen wir mit Michael Dreher, CISO bei Unique.
Michael, ihr habt das Ziel, eine visionäre Unique FinanceGPT-Plattform für das digitale Zeitalter zu entwickeln. Kannst du uns mehr über euren Ansatz erzählen?
Unique ist ein Schweizer Startup, das sich auf generative KI-Lösungen für die Finanzbranche spezialisiert. Wir sind Pioniere in der Schweiz und in Europa, wenn es um die Implementierung von generativen KI-Lösungen mit Fokus auf Sicherheit und Compliance geht. Unsere Produkte umfassen ein Chat, der Banken dabei hilft, Wissen hochzuladen und dagegen zu chatten wie man es von ChatGPT kennt, sowie eine Gesprächsplattformen zum Transkribieren und Zusammenfassen von Gesprächen. Das kann hochsensible Bankkundendaten betreffen, die den höchsten Sicherheitsstufen der FINMA-Regulierung unterliegen.
Unsere B2B SaaS-Plattform ist speziell für Banken und Versicherungen konzipiert, die in einem stark regulierten Umfeld agieren und sehr risikoavers sind. Wir legen grossen Wert auf Sicherheit und Compliance und haben unsere Lösungen von Anfang an darauf ausgelegt, möglichst sicher und compliant zu sein. Die Datenhaltung kann flexibel auf einem Multi-Tenant-System, einem vollständig separaten Enterprise-Tenant oder, wenn gewünscht, in der Umgebung der Bank (Tenant oder On-Premises) erfolgen, um den höchsten Sicherheitsstandards gerecht zu werden.
Wir stellten schnell fest, dass einmalige Tests, sei es durch die Community oder formale Penetrationstests, nicht mit unserem schnellen Entwicklungszyklus Schritt halten konnten.
Wie seid ihr auf die Idee eines Bug-Bounty-Programms gekommen?
Ursprünglich planten wir, traditionelle Penetrationstests durchzuführen und starteten im September 2022 mit einem GObugtest, den wir im September 2023 wiederholten. Dies war unser erster Schritt, um die Sicherheit unserer Plattform zu evaluieren. Allerdings stellten wir schnell fest, dass jährliche Tests, sei es durch die Community oder formale Penetrationstests, nicht mit unserem schnellen Entwicklungszyklus Schritt halten konnten. Ein prägnantes Beispiel hierfür ist unsere Erfahrung vom September letztes Jahr, als ein Pentest durchgeführt wurde und bereits im Januar eine komplett neue Plattform online ging. Die Ergebnisse des Tests waren daher nur wenige Monate später bereits veraltet. Das Bug-Bounty-Programm erlaubt es uns, wesentlich flexibler auf Veränderungen zu reagieren. Wir können den Scope unserer Sicherheitsüberprüfungen schnell und flexibel anpassen.
Wie haben eure Kunden auf die Umstellung reagiert?
Anfangs waren die Banken über den Wechsel von traditionellen Pentests zu einem Bug-Bounty-Programm besorgt, da sie befürchteten, dass es zu wenig kontinuierliche Aktivität geben könnte. Um diese Bedenken auszuräumen, haben wir eine transparente Kommunikation eingeführt, einschliesslich monatlicher öffentlicher Statistiken auf unserer Website, die die Anzahl abgelehnter Berichte und die Schwere der gefundenen Schwachstellen zeigen. Diese Transparenz hat das Vertrauen unserer Kunden gestärkt, da sie sehen können, dass kontinuierlich an der Sicherheit gearbeitet wird.
Trotz regelmässiger statischer und dynamischer Scans gibt es immer wieder Schwachstellen, die nur erfahrene Researcher identifizieren können – Fehler, die von automatisierten Systemen übersehen werden.
Welchen Nutzen hat das Bug-Bounty-Programm?
Das Bug-Bounty-Programm hat uns wesentlich dabei geholfen, Schwachstellen schneller zu finden und zu beheben. Die Flexibilität des Programms erlaubt es uns, auf veränderte Sicherheitsanforderungen schnell zu reagieren. Trotz regelmässiger statischer und dynamischer Scans gibt es immer wieder Schwachstellen, die nur erfahrene Researcher identifizieren können – Fehler, die von automatisierten Systemen übersehen werden.
Da wir keine interne Sicherheitsforschung betreiben, ist die externe Validierung unserer Sicherheitsmassnahmen, wie sie die ISO 27001-Zertifizierung verlangt, entscheidend. Das Bug-Bounty-Programm erfüllt diese Anforderung umfassend und flexibel. Unser Ziel geht dabei über reine Compliance hinaus; wir wollen unsere Software wirklich sicher machen.
Die professionelle Triage von GObugfree entlastet unser Team, indem irrelevante oder fehlerhafte Meldungen herausgefiltert werden. Dadurch können wir uns auf tatsächliche Bedrohungen konzentrieren. Zudem nutzen wir die Daten aus dem Programm, um Trends zu erkennen und unsere Sicherheitsmassnahmen proaktiv anzupassen, was unsere Abwehrstrategien stetig verbessert.
Welche weiteren Pläne habt ihr in Bezug auf Cybersicherheit?
Seit der Einführung eines privaten Bug-Bounty-Programms mit einer Handvoll Researchern im Oktober 2023 haben wir es kontinuierlich erweitert. Unser Ziel ist es, das Programm bis Ende 2024 weiter auszubauen und schliesslich für eine breitere Öffentlichkeit zugänglich zu machen. Wir planen, die Bounties zu erhöhen, um das Programm für die Researcher attraktiver zu machen und somit die Qualität und Quantität der eingehenden Sicherheitsreports zu steigern. Dies unterstreicht unser Engagement für höchste Sicherheitsstandards und zeigt unser Bestreben, immer am Puls der Zeit zu bleiben und proaktiv auf Sicherheitsbedrohungen zu reagieren.
Ein Bug-Bounty-Programm ermöglicht eine fortlaufende Sicherheitsüberwachung und -anpassung, die entscheidend ist, um mit der dynamischen Landschaft der Cyberbedrohungen Schritt zu halten.
Was würdest du anderen Organisationen empfehlen, die ein Bug-Bounty-Programm starten wollen?
Ich empfehle kleinen und mittleren Unternehmen, die Einführung eines Bug-Bounty-Programms ernsthaft in Betracht zu ziehen. Es ergänzt traditionelle Sicherheitsmassnahmen und passt besser zur schnellen Entwicklung der Technologiebranche. Ein Bug-Bounty-Programm ermöglicht eine kontinuierliche Sicherheitsüberwachung und -anpassung, die entscheidend ist, um mit der dynamischen Landschaft der Cyberbedrohungen Schritt zu halten. Besonders in einer Zeit, in der neue Bedrohungen schnell entstehen, bietet es eine effiziente und effektive Methode, um Sicherheitslücken proaktiv anzugehen und zu schliessen.
Mit einem Bug-Bounty-Programm profitieren wir von einer breiten Masse an Security Researchern, die eine Vielfalt von Spezialisierungen mitbringen. Dies hat die Qualität unserer Sicherheitsberichte signifikant verbessert und Schwachstellen aufgedeckt, die bei vorherigen Penetrationstests übersehen wurden.
Gibt es etwas, das ihr rückblickend anders hätten machen sollen?
Im Rückblick hätten wir vielleicht früher auf ein Bug-Bounty-Programm umsteigen sollen. Die Umstellung war zunächst mit einigen Diskussionen über das Budget und die Kundenakzeptanz verbunden, was uns zögern liess. Bei traditionellen Penetrationstests wird die Software von ein oder zwei spezialisierten Forschern untersucht, die zwar Experten in bestimmten Bereichen sind, aber nicht alle potenziellen Schwachstellen abdecken können. Mit einem Bug-Bounty-Programm profitieren wir von einer breiten Masse an Security Researchern, die eine Vielfalt von Spezialisierungen mitbringen. Dies hat die Qualität unserer Sicherheitsberichte signifikant verbessert und Schwachstellen aufgedeckt, die bei vorherigen Penetrationstests übersehen wurden.
Sind Sie auf der Suche nach einer Testmethode, die mit dem rasanten Tempo Ihrer Softwareentwicklung Schritt halten kann? Erfahren Sie noch heute mehr über Bug-Bounty-Programme.