ZKB erkundet Bug-Bounty-Programm mit GOHack Challenge
Vertrauen ist ein zentraler Wert der Zürcher Kantonalbank und Cybersicherheit spielt dabei eine entscheidende Rolle. Sarah Plocher, Security Analyst bei der ZKB, schildert, wie die Bank gemeinsam mit GObugfree in der GOHack Challenge die Möglichkeiten eines Bug-Bounty-Programms erkundet hat. Ziel dieser Untersuchung war es, erforderliche Vorbereitungen und interne Prozesse für eine mögliche Einführung zu evaluieren, um die Sicherheitsmassnahmen der Bank zu stärken und proaktiv Schwachstellen zu adressieren.
Vertrauen und Cybersicherheit sind für die Zürcher Kantonalbank zentral. Sarah Plocher, Security Analyst, erklärt, wie die ZKB die GOHack Challenge als Gelegenheit nutzte, um erste Erfahrungen mit Bug-Bounty-Programmen zu sammeln.
Sarah, was ist deine jetzige Aufgabe bei der ZKB und was gefällt dir besonders an dieser Rolle?
Ich arbeite im Cyber Defense Team als Security Analyst. Meine Hauptaufgabe besteht darin, die IT-Systeme der Zürcher Kantonalbank zu überwachen, verdächtige Aktivitäten zu erkennen und falls notwendig zu reagieren. Zudem bieten sich diverse Möglichkeiten, in internen Projekten mitzuwirken. Das Beste an meiner Arbeit ist, dass ein vielfältiger Aufgabenbereich, ein sympathisches Team und stetige Weiterbildung feste Bestandteile davon sind.
Wie bist du zur Cybersicherheit gekommen? Was hat dich dazu inspiriert?
Während meines Informatikstudiums habe ich angefangen, mich auf das Thema Informationssicherheit zu spezialisieren. Für mich ist Loganalyse ähnlich wie Detektivarbeit. Ich finde es spannend, Vorgänge zu rekonstruieren, die richtigen Fragestellungen zu finden und das Vorgehen von Malware nachzuvollziehen.
Mit einem Bug-Bounty-Programm lässt sich eine breite Expertencommunity erschliessen, die im besten Fall für einen unbegrenzten Zeitraum, auf kreative, individuelle Art und Weise die eigene Applikation testen kann. Dies hilft, das Risiko von Sicherheitsschwachstellen zu senken.
Die ZKB erkundet gerade die Möglichkeit eines Bug-Bounty-Programms. Was macht diese Option für euch interessant?
Als Bank ist Vertrauen eines der wichtigsten Güter. Dazu gehört selbstverständlich auch das Vertrauen in die Cybersicherheit. Die ZKB verwendet etablierte Tools und Massnahmen, um die Sicherheit der IT-Applikationen von Anfang an zu gewährleisten und kontinuierlich zu überprüfen. Auch investieren wir in die Entwicklung unserer Mitarbeiter, dazu gehört auch die die Förderung der Security Awareness bei unseren Entwickler:innen, analog wie man es von den Phishing Awareness Trainings kennt. Ein Bug Bounty ist eine effektive, ergänzende Massnahme. Mit einem Bug-Bounty-Programm lässt sich eine breite Expertencommunity erschliessen, die im besten Fall für einen unbegrenzten Zeitraum, auf kreative, individuelle Art und Weise die eigene Applikation testen kann. Dies hilft, das Risiko von Sicherheitsschwachstellen zu senken.
Wir wissen, dass die Einrichtung eines solchen Programms nicht immer einfach ist und interne Hürden überwunden werden müssen. Wie sind deine Erfahrungen damit gewesen? Welche Tipps würdest du anderen in ähnlicher Position geben?
Das etablieren eines Bug-Bounty-Programms hat Schnittstellen zu vielen Bereichen: Softwareentwicklung, Vulnerability Management, Rechtsabteilung, Management. Es ist essenziell, gemeinsame Erwartungen zu schaffen, die Vorteile und die Limitationen zu erörtern und daraus resultierend, stimmige Prozesse zu etablieren.
Wie hast du den Onboarding-Prozess empfunden?
Dank des strukturierten Vorgehens und der unkomplizierten Kommunikation verlief der Onboarding-Prozess sehr angenehm. Sowohl in den geplanten Meetings sowie bei spontanen Anfragen per E-Mail konnten Fragen umfassend und zügig beantwortet werden. Die professionelle und effiziente Zusammenarbeit mit GObugfree bestätigte unser Vertrauen und trug zur erfolgreichen Durchführung unserer Hacking Challenge bei.
Die aktive Vorbereitung auf die GOHack Challenge führte zur Verbesserung der internen Prozesse und Verständnis zum Vorhaben.
Welche ersten Ergebnisse oder Einsichten konntet ihr aus der Bug-Bounty-Challenge gewinnen?
Für uns war es wichtig, Erfahrungen aus erster Hand zu sammeln. Die aktive Vorbereitung auf die GOHack Challenge führte zur Verbesserung der internen Prozesse und Verständnis zum Vorhaben. Auch wenn die Erfahrung eindeutig zeigt, dass in jeder Software früher oder später Sicherheitslücken gefunden werden, ist es auch anspornend zu sehen, dass die bereits etablierten Sicherheitsmassnahmen ihre Bewährungsprobe bestehen konnten.
Welchen Rat würdest du anderen Unternehmen geben, die ein Bug-Bounty-Programm in Erwägung ziehen?
Es gibt verschiedene Möglichkeiten, erste Erfahrungen zu sammeln: Ein zeitlich limitiertes Programm, ein Programm mit einem geschlossenen Teilnehmerkreis oder ein Vulnerability Disclosure Program (VDP). Somit ist es nicht notwendig, den Sprung ins eiskalte Wasser zu forcieren und von heute auf morgen ein vollumfängliches Bug-Bounty-Programm zu etablieren. Es ist möglich und empfehlenswert, verschiedene Optionen zu erwägen und davon eine passende auszuwählen.