Bug-Bounty-Jäger spüren Sicherheitslücken auf und werden dafür erst noch bezahlt. Denn damit helfen die «guten Hacker» Unternehmen, ihre IT-Sicherheit zu verbessern. Doch es geht nicht nur ums Geld.
Text: Andreas Heer, Bilder: Adobe Stock, 25
Unternehmen investieren einen erheblichen Teil ihres IT-Budgets in Sicherheitsmassnahmen, um Daten, Anwendungen und Systeme zu schützen. Doch funktioniert dieser Schutz auch, und wie resistent ist die Infrastruktur gegen Cyberangriffe? Ein effizientes Mittel, um dies zu prüfen, sind Sicherheitstests. Gezielte und beabsichtigte Angriffe auf die eigene Infrastruktur zeigen, wie sicher diese wirklich ist – bevor Cyberkriminelle zuschlagen.
Solche kontrollierten Angriffe können nicht nur die eigenen Security-Experten durchführen. Das verfügbare Know-how und damit die Vielfalt der Angriffsformen solcher Penetration Tests lässt sich beträchtlich erweitern, wenn zusätzlich externe Spezialisten ins Spiel kommen. Das ist der Zweck sogenannter Bug-Bounty-Programme, eigentlicher Wettbewerbe mit Preisgeldern für das erfolgreiche Aufdecken von Sicherheitslücken.
Natürlich müssen diese Angriffe in einem vertraglich kontrollierten Rahmen erfolgen. Dabei geht es einerseits darum, die Angriffe zu legitimieren und damit die Teilnehmenden zu schützen. Und andererseits benötigt das angegriffene Unternehmen Zeit, um die Lücke zu stopfen. Als Belohnung winken den Bug Bounty Huntern Prämien, deren Höhe vom Aufwand für eine Attacke und der Schwere der Sicherheitslücke abhängen kann. «Bug Bounties helfen uns, Schwachstellen zu finden und zu schliessen, die trotz aller Massnahmen noch vorhanden sein können», beschreibt Florian Badertscher, verantwortlich fürs , Bug-Bounty-Programm von Swisscom Ziel und Nutzen.
Badertscher musste letztes Jahr öfters ins Portemonnaie greifen. Rund 350’000 Franken hat er den Teilnehmenden ausgezahlt. Im Gegenzug konnten gut 400 Lücken geschlossen werden. Das lohnt sich. Denn die Kosten und der Reputationsschaden bei einem erfolgreichen Angriff von Cyberkriminellen dürfte ein Vielfaches höher liegen.
Doch wer sind diese Bug-Bounty-Jäger, oft auch als «gute Hacker» oder «White Hats» bezeichnet? Und was motiviert sie, an solchen Programmen mitzumachen? Die Antworten geben zwei Teilnehmer der Swisscom Bug Bounty gleich selbst. Der eine von ihnen will nicht so recht ins Bild passen, das sich die Öffentlichkeit von einem «Hacker» macht (ein Ausdruck, der im Gespräch mit diesen Personen übrigens nicht fällt): Ein 18-jähriger Student aus Ungarn namens Patrik Fábián, der mit Kurzhaarfrisur und Hemd zum Interview erscheint. Und doch letztes Jahr mit seinem Wissen und den aufgedeckten Schwachstellen bei Swisscom über einen Drittel der gesamten Bounty-Summe verdient hat. Natürlich ist Geld ein Anreiz, aber nicht die einzige Motivation: «Ich kann Unternehmen helfen, ihre Kundendaten besser zu schützen, was immer wichtiger wird.» Daneben unterstützt Fábián ehrenamtlich Open-Source-Projekte, um deren Software sicherer zu machen.
Ähnlich tönt es bei Raphaël Arrouas: «Ich kann damit helfen, die Sicherheit eines Unternehmens steigern. Und bei Swisscom betrifft es auch unsere Daten.» Arrouas, der seine berufliche Laufbahn als professioneller Penetration-Tester begonnen hatte, arbeitet mittlerweile hauptberuflich als selbständiger Bug-Bounty-Jäger.
Bei beiden schwingt noch ein weiterer Aspekt mit: der Reiz von Herausforderungen und die Neugierde, Lücken zu finden. Oder wie sich Fábián ausdrückt: «Ich liebe es, neue Angriffsflächen zu finden, die noch nie jemand vorher genutzt hat.»
Für Fábián ist das Aufdecken von Sicherheitslücken und die anschliessende Kommunikation mit den Verantwortlichen der bevorzugte Teil eines Bug-Bounty-Programms. Dieser Austausch ist zentral, um das Vertrauen zwischen Teilnehmenden und Veranstalter zu fördern und damit entscheidend für den Erfolg und die Akzeptanz eines solchen Programms. «Ich erwarte, dass die Verantwortlichen schnell und auf Augenhöhe reagieren», sagt Arrouas.
Zudem schätze er es, wenn sich die materielle Akzeptanz nicht nur nach der Schwere der Lücke richte, sondern auch der Aufwand fürs Aufspüren honoriert werde. Und selbstverständlich er als Entdecker der Lücke gewürdigt wird. «Das hilft mir auch, meinen Ruf zu festigen». Arrouas verzichtet bei Bug Bounties auf Decknamen: «Früher war Anonymität nötig als Schutz vor Strafverfolgung, heute zum Schutz der Privatsphäre. Aber immer mehr Mitglieder der Community publizieren Artikel und entdeckte Schwachstellen unter ihrem richtigen Namen, um Vertrauen und Reputation zu vermitteln.»
Wer in fremde Computersysteme eindringt, macht sich strafbar. Gemäss Artikel 143bis des Schweizerischen Strafgesetzbuchs (StGB) drohen dafür bis zu drei Jahre Gefängnis. Umso wichtiger ist eine rechtliche Absicherung in Bug-Bounty-Programmen, die die Teilnehmenden vor Strafverfolgung schützt, wie Arrouas betont: «Weil die Schweizer Gesetzgebung sehr restriktiv ist, sorgt eine Schutzklausel im Vertrag für die nötige Sicherheit und Vertrauen.» Ansonsten könnten potenzielle Teilnehmer abgeschreckt werden. Eine solche Klausel schütze vor allem die Guten, ergänzt Arrouas: «Cyberkriminelle versuchen so oder so, in die Systeme einzudringen.»
Eine solche Absicherung sollte die Teilnehmenden auch schützen, wenn unerwünschte Nebeneffekte auftreten – etwa, wenn Systeme abstürzen. Arrouas geht bei Bug-Bounty-Programmen ohnehin vorsichtig vor: «Ich mache die Angriffsversuche manuell und nicht automatisiert», sagt er. «Ich möchte nicht, dass dabei versehentlich persönliche Daten geleakt werden.»
Sowohl Arrouas als auch Fábián sind vom Nutzen solcher Bug-Bounty-Programme für den Veranstalter überzeugt: «Ein solches ‹Crowdsourcing› der IT-Sicherheit sorgt für besseren Schutz und stärkt damit das Vertrauen der Kunden.» Damit ist ein Bug-Bounty-Programm auch ein Zeichen, dass ein Unternehmen die IT-Sicherheit ernst nimmt.
Raphaël Arrouas
Mit Cybersecurity respektive dem Hacken beschäftigte sich Raphaël Arrouas bereits in seiner Jugend. Während des Studiums vertiefte er sein Fachwissen und arbeitete anschliessend als Penetration-Tester. Seit kurzem fokussiert er sich beruflich auf die selbständige Tätigkeit als Bug-Bounty-Jäger.
Patrik Fábián
Mit Computern beschäftigt sich Fábián seit frühester Kindheit. Sein Wissen hat er sich in der Freizeit angeeignet, mit Online-Programmen und YouTube-Videos von Proofs of Concept (Beweisen, wie Sicherheitslücken ausgenutzt werden können). Nach Abschluss seiner Ausbildung will er auf dem Gebiet der Cybersecurity weiterarbeiten, unter anderem mit seinem eigenen Unternehmen für Web-Sicherheit.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
Andere Leser interessierte auch: