Bug Bounty findet Sicherheitslücken

Hacker verbessern IT-Sicherheit

Freie Mitarbeiter der Security-Plattform HackerOne haben während sechs Wochen Sicherheitslücken im Swisscom-Kundencenter gesucht. Ganz legal. Denn mit der Bug Bounty will sich Swisscom noch besser gegen Cyber-Kriminalität schützen.

Christoph Widmer (Text), 19. Dezember 2016

Swisscom befand sich in den letzten Wochen unter digitalem Beschuss. Ein Team von Hackern aus der ganzen Welt hatte es auf Sicherheitslücken im Swisscom-Kundencenter abgesehen, die man für Cyber-Angriffe ausnutzen könnte. Die Hacker machen Swisscom aber nichts aus, das Unternehmen bezahlt sie sogar.

 

 

HackerOne: Hacker-Plattform für Bug Bounties

 

Es braucht sich niemand Sorgen um seine Daten zu machen. Im Gegenteil: Dank der engagierten Hacker soll Swisscom noch sicherer werden. Die Hacker arbeiten für das 2014 gegründete US-Startup HackerOne – eine Plattform, über die Sicherheitsforscher an sogenannten Bug Bounties teilnehmen – also an Kopfgeldjagden auf Sicherheitslücken: Gutartige Angreifer suchen für Unternehmen Schwachstellen in deren Sicherheitssystem. Anschliessend können die Firmen die Lücken beheben und so ihre Cyber-Sicherheit erhöhen.

Das Unternehmen misst im Schnitt 30'000 Attacken – pro Sekunde.

Für Sophus Siegenthaler, CEO vom Berner Security-Dienstleister cyllective und Teilnehmer verschiedener Bug Bounties, ist Netzsicherheit wichtiger denn je: «Momentan tobt im Netz der totale Cyber-Krieg», hält er fest. «Attacken finden überall und andauernd statt.» Diese Angriffsflut demonstriert er mit einer Online-Weltkarte vom Sicherheitsdienstleister Norse, wo Cyber-Angriffe in Echtzeit visualisiert werden. Ununterbrochen rauschen die Attacken durch die ganze Welt. Und die Karte macht laut Norse nur 0,1 Prozent aller Angriffe sichtbar. In Wirklichkeit misst das Unternehmen im Schnitt 30'000 Attacken – pro Sekunde.

 

 

Der Netzsicherheitsexperte Sophus Siegenthaler analysiert Cyber-Attacken. Foto: Jonas Weibel.

 

 

Dank Crowd-Security zum sicheren Kundencenter

 

Während herkömmliche Sicherheitstests von einzelnen Experten einer Firma durchgeführt werden, setzte Swisscom zusätzlich auf den «Crowd-Security»-Ansatz: Bei HackerOne angemeldete, gutartige Hacker («White Hat Hacker») aus der ganzen Welt durften während sechs Wochen eine Kopie des Swisscom-Kundencenters, allerdings ohne echte Kundendaten, auf Schwachstellen testen.

 

Die Methode ist effizient und günstig: «Bei Bug Bounties sind viel mehr Sicherheitsforscher beauftragt, und es werden nur jene bezahlt, die auch Lücken im System finden», erklärt Stephan Rickauer, Sicherheitsexperte bei Swisscom und Leiter des Programms.

Je gefährlicher der Fund, desto höher ist das Entgelt. Trotzdem wäre der illegale Handel für Hacker am lukrativsten.

Je gefährlicher der Fund, desto höher ist das Entgelt. Trotzdem wäre der illegale Handel für Hacker am lukrativsten: «Unternehmen müssen viel für gefundene Lücken bezahlen, da der Schwarzmarkt noch viel mehr bezahlt», erklärt Sophus Siegenthaler. «1 Million Dollar für gravierende iOS-Sicherheitslücken sind dort übliche Summen.»  

 

 

Die Karte von Norse zeigt einen kleinen Teil der weltweiten Hacker-Angriffe. Quelle: map.norsecorp.com

 

 

Trotzdem bleiben Bug Bounties bei Hackern beliebt – wegen Ruhm und Ehre: HackerOne listet die Teilnehmer ihrer Bug Bounties auf. Und wer Sicherheitslücken findet, erhält Punkte für den eigenen «Reputation score». Anhand dieses Punktestands führt HackerOne eine Rangliste der erfolgreichsten Hacker.

 

 

Wenig Lecks und kleine Bounties

 

Die Reputation zahlte sich bei der Swisscom-Bounty aus: Die zehn HackerOne-Freelancer mit dem höchsten Renommee erhielten für zwei Wochen exklusiv Zugang auf das Kundencenter. Die anderen Teilnehmer kamen erst später dazu. Das Resultat der sechswöchigen Kampagne: 98 Sicherheitsforscher, 48 Funde – ein für die Dauer und Teilnehmerzahl guter Wert.

Gravierende Lücken wurden keine gefunden. Solche wären rund 10'000 Dollar wert gewesen.

Swisscom stellte dabei eine Höchstbelohnung von bloss 1250 Dollar aus, da die meisten Schwachstellen nicht oder nur wenig kritisch waren. Gravierende Lücken wurden keine gefunden. Solche wären rund 10'000 Dollar wert gewesen – so viel, wie Swisscom insgesamt an Belohnungsgeldern zahlte. Reibungslos verlief das Programm aber nicht: Die HackerOne-Server für den Zugang auf die Testinstanz des Kundencenters waren zeitweise überlastet.

 

 

Stephan Rickauer leitet das Bug-Bounty-Programm bei Swisscom. Foto: Markus Lamprecht

 

 

Belohnungen für «gute Hacker»


Bug Bounties sind in der Schweiz eher die Ausnahme, für Rickauer tendiert man hier noch stark zur klassischen Security-Beratung. Schliesslich können bei Bounties Lücken gefunden, den Auftraggebern aber nicht mitgeteilt werden. Doch die Gefahr, gehackt zu werden, besteht immer. Daher ist für Rickauer die Frage, wie mit Hackern umzugehen ist, wichtiger.

 

Bug Bounties sind da die bessere Wahl: «Entweder versucht man, rechtlich gegen Hacker vorzugehen, was bei ausländischen Angreifern praktisch chancenlos ist. Oder man wählt die moderne Lösung und belohnt sie für gute Taten.»

 

 

Mit diesen 5 Tipps schützen Sie sich vor Cyber-Kriminalität

 

Nicht nur Unternehmen, sondern auch Privatanwender können Hacker-Angriffen zum Opfer fallen. Sie können Ihre Daten aber mit wenigen Massnahmen besser schützen:

  • Halten Sie Betriebssystem und Anwendungen auf dem neuesten Stand. Machen Sie stets Updates – solange Sie sich in einer sicheren Netzumgebung befinden.
  • Erstellen Sie regelmässig ein Backup Ihres Computers auf externe Medien, sei es auf Harddisks oder mit einer sicheren Cloud-Lösung.
  • Ändern Sie vordefinierte Passwörter. Das neue Kennwort sollte mindestens 8 Zeichen lang sein und Buchstaben, Zahlen, Sonderzeichen sowie Gross- und Kleinschreibung enthalten. Verwenden Sie niemals dieselben Passwörter für verschiedene Dienste und Geräte.
  • Installieren Sie einen Virenscanner auf dem PC.
  • Surfen Sie vorsichtig im Netz. Ein Angebot, das zu gut klingt, um wahr zu sein, ist meistens auch schlecht. Öffnen Sie keine Mails von unbekannten Absendern. Ignorieren und Löschen Sie Anfragen nach Ihren Login-Daten oder Aufforderungen, Anhänge zu öffnen.

 

 

Bug Bounty bei Swisscom

Privatpersonen und Organisationen können beim Bug-Bounty-Programm von Swisscom mitmachen und entdeckte Schwachstellen melden.  

 

 

 

 

 

Diskutieren Sie mit

 

Finden Sie es eine gute Idee, Auftragshacker zu engagieren?

 

Nutzungsbedingungen

Vielen Dank für Ihren Beitrag. Wir publizieren Leserkommentare von Montag bis Freitag.