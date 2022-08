Der Security-Penetrationstest ist eine beliebte Methode, um die aktuellen Schwachstellen einer IT-Infrastruktur aufzudecken. Doch das ist zu wenig, denn die Bedrohungslage und die IT-Systeme sind nicht statisch. Gefordert sind heute viele parallele Dauertests, um sich stets über alle vorhandenen Sicherheitslücken im Klaren zu sein. Dazu aber fehlt es vielfach an Ressourcen und qualifizierten Experten. Eine aktuelle Studie der Information Systems Security Association (ISSA) kommt zu dem Ergebnis, dass 38 Prozent der Stellen im Bereich Cybersicherheit unbesetzt sind. Und dieses Problem wird sich in naher Zukunft noch verschärfen.

Crowdsourcing von ethischen Hackern

Eine besonders effiziente Lösung ist das Crowdsourcing von "ethischen Hackern". Dabei handelt es sich um eine Community von hochqualifizierten Experten, die ihr Penetrations-Knowhow für das Gute einsetzen. Das heißt, sie versuchen in einem Unternehmen Sicherheitslücken aufzuspüren, um es dann davor zu warnen. Wer eine solche Lücke (Bug) entdeckt, bekommt eine Prämie, ein so genanntes Bug-Bounty. Diese Prämie kann aus Geld oder Reputationspunkten bestehen, aber auch aus Geschenken wie Goodies und Swag. Durch diese Belohnungen entstehen leistungsorientierte Anreize, die immer mehr Security-Experten anlocken und die beteiligten Unternehmen kontinuierlich auf dem neuesten Security-Stand halten.

Intigriti: 300 Firmen, 50.000 Experten

Als Basis für eine solche Crowdsourcing-Lösung dient eine Plattform, so wie sie vom Bug-Bounty-Anbieter Intigriti bereitgestellt wird. Basierend auf den Plattform-Aktivitäten werden jedem Unternehmen dann individuelle Schwachstellenberichte geliefert, die genauestens dokumentieren, wo ein Sicherheitsproblem in ihrer IT vorliegt. Auch die Vulnerabilität und das damit verbundene Risikoniveau wird dargestellt. Die Berichte zeigen den eigenen Security-Mitarbeitern, wie die Fehler entdeckt wurden und wie sie behoben werden könnten. Falls möglich werden auch qualifizierte Vorschläge zur allgemeinen Risikominderung erstellt, sodass die Mitarbeiter in puncto Security stets auf dem Laufenden sind. Besonders wichtig ist hierbei das Triage-Handling der Berichte, was gewährleistet, dass wirklich nur wichtige Meldungen in dem Bericht enthalten sind.

Auf der Intigriti-Plattform werden derzeit über 300 Firmen von mehr als 50.000 Researchern beobachtet. Im vergangenen Jahr hat das Unternehmen vier Millionen Dollar an Prämien für das Finden von Schwachstellen ausbezahlt. Und die Plattform wächst: Seit der Veröffentlichung des Ethical Hacker Insights Report 2021 ist die Zahl der Experten um 43 Prozent gestiegen und die durchschnittliche Anzahl der Meldungen zu Schwachstellen pro Monat ist ebenfalls um 43 Prozent gestiegen.

Kunden sind begeistert

Die vielen Intigriti-Kunden sind vom Nutzen der Teilnahme an deren Bug-Bounty-Programm überzeugt. Einer davon ist Showpad, das Unternehmen bietet eine Sales-Enablement-Software an, die von über 1.200 Kunden in mehr als 50 Ländern genutzt wird. Das Vertrauen in eine solche datenintensiven App ist von entscheidender Bedeutung, sodass ein höchstmögliches Security-Niveau erreicht werden muss. Ein besonderes Problem ist dabei, dass sich die Plattform dank einer agilen Softwareentwicklung ständig weiterentwickelt. Aus diesem Grunde entscheid man sich für die Bug-Bounty-Lösung von Intigriti. "Der Vergleich von Bug Bounty mit einem Penetrationstest ist wie der Vergleich eines Fotos mit einem Film", lautet die anschauliche Metapher von Bram D’hooghe, Direktor für Sicherheit, Datenschutz und Compliance bei Showpad.

Ein anderer Referenzkunde ist der Hafen von Antwerpen. "Ich kann die Bedeutung und den Wert des Triage-Teams nicht hoch genug einschätzen", sagt Yannick Herrebaut, Cyber Resilience Manager & CISO des Hafens von Antwerpen. "Für unsere Entwickler bedeutet es, dass jede Schwachstelle, die es durch die Triage-Schritte geschafft hat, wichtig ist und behoben werden muss", erläutert er den Einsatz und den Nutzen.

Fazit

Immer mehr Unternehmen nutzen Bug-Bounty-Programme, um ihre Sicherheitstests zu skalieren, Risiken genauer einzuschätzen und Abhilfemaßnahmen zu priorisieren. Das geht einher mit dem Trend, dass sich immer mehr Sicherheitstalente den interessanten und lukrativen Möglichkeiten eines Bug-Bounty-Programmes zuwenden.