Sicherheitslücken gibt es immer wieder. Im schlimmsten Fall werden diese auf digitalen Schwarzmärkten gehandelt und verbreitet. Das gibt es unter allen Umständen zu vermeiden. Eine sehr beliebte und bemerkenswert effektive Methode ist der Einsatz von Bug Bounty Programmen.
Einordnung zum Thema (Audio 🎧)
Wer hat sowas?
Die größte Plattform für Bug Bounties ist hackerone. Auswahl von Kunden bei Hackerone1:
- Paypal
- Department of Defense (DoD, USA)
- Lufthansa
- Spotify
- Amazon (AWS)2
Viele Unternehmen betreiben auch ihre eigene Plattform für Bug Bounties:
Wie häufig gibt es Schwachstellen?
Schwachstellen und Sicherheitslücken passieren immer wieder. Softwareentwickler sind auch nur Menschen und Menschen machen Fehler.
Es gibt keine Software ohne Fehler. Selbst Projekte von Riesen wie Google, Facebook, Microsoft und Amazon sind nicht ohne Fehler. Der Linux-Kernel ist auch nicht ohne Fehler. Seit über 20 Jahren wird am Linux-Kernel entwickelt. Das Projekt umfasst deutlich über 1.000.000 Änderungen mit fast 30.000.000 Zeilen an Code. Tausende Individuen und spezialisierte Unternehmen inspizieren den Quelloffenen (Open Source) Code und begutachten jede Änderung. Dennoch gibt es immer wieder Schwachstellen. Selbst der niedrigste Code von Computerprozessoren von Intel, AMD und ARM ist nicht ohne Fehler. Die ersten medial signifikanten Schwachstellen in Prozessoren der letzten Jahre waren die Spectre-Attacken, mit denen Sicherheitsmechanismen auf CPU-Ebene umgangen werden konnten.
Wer ernsthaft davon überzeugt ist, dass Software 100%ig Fehlerfrei und ohne Schwachstellen sein kann, sollte seine Risiko-Analysen nochmals überdenken. Es gibt keine Software ohne Fehler.
Vergleich KMU und Riesenkonzerne
KMU haben grundsätzlich ein höheres Potenzial Sicherheitslücken zu erfahren, als Riesenkonzerne. Das liegt daran, dass KMU keine riesigen dedizierten Security-Teams haben.
Deswegen ist unsere Empfehlung möglichst viel quelloffene Software (Open Source) zu nutzen. Zu dem Thema und Gründe werden wir noch einen ganzen Artikel dedizieren.
Was ist ein White Hat Hacker?
Hacker werden gerne in 3 Gruppen unterteilt:
- White Hat Hacker
- Grey Hat Hacker
- Black Hat Hacker
Ein White Hat Hacker ist ein Hacker, der ethisches Hacking betreibt. Das steht im Gegensatz zu Black Hats, die gefundene Sicherheitslücken ausnutzen und missbrauchen und dabei keineswegs Wert auf Moral, Schaden oder geltendes Recht legen. Grey Hats liegen zwischen White und Black Hats. Weiß und Schwarz miteinander vermischt.
Wie geht man korrekt mit einem White Hat Hacker um?
Ein White Hat Hacker will keinen Schaden anrichten. Er will Ihrem Unternehmen aus Überzeugung und gutem Willen helfen, indem er Sie über eine gefundene Sicherheitslücke informiert. Mit ihm sollte unter keinen Umständen respektlos umgegangen werden.
Zudem sollte nochmals wiederholt werden, dass der White Hat Hacker sich explizit dagegen entschieden hat, die Sicherheitslücke illegal an den höchstbietenden über Treuhand-Foren zu verkaufen.
Warum haben Unternehmen sowas?
Mit Bug Bounties wird minimiert, dass sich gefundene Sicherheitslücken unreguliert und vom betroffenen Softwareunternehmen unwissend weiter verbreiten. Gemeldete Sicherheitslücken werden dann je nach Schweregrad unterschiedlich hoch belohnt. Dabei beläuft sich der Umfang der Belohnungen nicht nur auf den reinen Zeitaufwand für das Finden der Lücke, sondern auch auf den vermeintlichen Schaden, den Wert, den es auf dem Schwarzmarkt gegeben hätte und Vergütung für die Ehrlichkeit des Hackers.
Giganten wie Tesla, Google, Apple und Co. zahlen im Rahmen von Bug Bounties teilweise Summen in Millionenhöhe aus.
Warum ergibt das Sinn auch für kleinere Unternehmen?
Ein kleineres Unternehmen hat nicht das Kapital um Bug Bounties mit 7-stelliger Belohnung auszuzahlen. Aber darum geht es auch nicht. Vielmehr muss das illegale Verkaufen der Sicherheitslücken weniger attraktiv sein, als das Melden an das betroffenen Unternehmen. Auch ist eine Form von öffentlichen Danksagungen sinnvoll. Es muss dabei keineswegs ein dediziertes Leaderboard sein, wie es Google und viele andere größere Unternehmen machen: https://bughunters.google.com/leaderboard
Full Disclosure und Responsible Disclosure
Ein Full Disclosure bezeichnet die Praxis, dass ein Hacker eine gefundene Sicherheitslücke nicht (zuvor) an das betroffene Unternehmen meldet, sondern direkt an die Öffentlichkeit trägt. Mit den veröffentlichten Informationen entsteht dann ein Wettrennen. Unternehmen gegen alle anderen Hacker. Kann die Lücke schnell genug behoben werden, oder wird sie plötzlich von vielen missbraucht?
Und genau dieses Risiko gibt es unter allen Umständen zu vermeiden. Deswegen gibt es Bug Bounties. Mit Responsible Disclousures wird zwischen Hacker und dem betroffenen Unternehmen abgesprochen, wann diese Informationen veröffentlicht werden. Üblich ist dabei, dass der Hacker eine Zeitspanne von 30 oder 90 Tagen gibt, damit die Lücke behoben und überall ausgeliefert werden kann.
Fazit
- Sicherheitslücken passieren in jeder Software.
- Softwareentwickler sind auch nur Menschen und Menschen machen Fehler.
- Ein White Hat Hacker will keinen Schaden anrichten, sondern helfen.
- White Hat Hacker gehen ein gewisses Risiko ein, indem sie eine Sicherheitslücke an das betroffenen Unternehmen melden.
- Es sollte unter keinen Umständen respektlos mit dem White Hat Hacker umgegangen werden.
- Bug Bounties sind für alle Unternehmensgrößen sinnvoll.