IT-Sicherheit auf dem Prüfstand – Kopfgeldjagd im Netz
Publiziert am
Cyberattacken sind zum grössten Unternehmensrisiko geworden und nehmen auch in der Schweiz stark zu. Weil herkömmliche Sicherheitstest mit dem digitalen Wandel nicht mehr Schritt halten können, bleiben viele kritische Sicherheitslücken in IT-Systemen unentdeckt. Viele Unternehmen, unabhängig der Firmengrösse, sind sich dessen nicht bewusst. Sie verfügen deshalb über eine unrealistische Risikoeinschätzung und sind nicht mehr ausreichend vor Cyberattacken geschützt.
Wie «Bug Bounty» funktioniert
Gemäss dem Motto «Entweder hacken Sie sich selbst – oder Sie werden gehackt» gab der führende Schweizer Cybersecurity-Experte Sandro Nafzger am 2. und 3. Dezember insgesamt rund 150 interessierten Mitgliedern einen Einblick in die Welt der Cybersecurity von morgen.
Die Teilnehmenden des Webinars erfuhren so aus erster Hand, wie die Zusammenarbeit zwischen Schweizer Unternehmen und einer globalen Community von ethischen Hackern genau funktioniert und welche Herausforderungen es dabei gibt. Nafzger beleuchtete die heutigen Prüfmethoden und zeigte Erfahrungen, Nutzen und Grenzen auf.
Eine neue und sehr effektive Methode, um solche verborgenen Sicherheitslücken proaktiv zu finden und zu beheben, sind sogenannte Bug-Bounty-Programme. Bei dieser virtuellen Kopfgeldjagd werden ethische Hacker dazu eingeladen, das eigene Unternehmen in guten Absichten zu hacken und gefundene Schwachstellen zu melden.
Viele von uns haben beim Begriff «Hacker» eine negative Assoziation wie beispielsweise «Einbrecher». Sandro Nafzger erklärte uns, dass es auch ethische Hacker gibt, also IT-Profis, die Unternehmen vor den erwähnten Einbrechern schützen. Ethische Hacker arbeiten nicht weniger hartnäckig, zielstrebig und präzise als kriminelle Hacker. Auch sie suchen sich einen passenden Weg, um die IT-Systeme der Unternehmen zu kapern. Sie notieren und dokumentieren ihr Vorgehen jedoch, ohne etwas zu beschädigen, und machen die Erkenntnisse für die Unternehmen zugänglich, damit diese sich vor solchen Risiken künftig schützen können. Und die ethischen Hacker können via «Bug Bounty» gleichwohl ihrer Leidenschaft frönen, sich aber legal austoben.
Erkenntnisreich – auch ohne Apéro
Obwohl die allermeisten Teilnehmenden sich wohl täglich mit der Digitalisierung des Einkaufs auseinandersetzen, war «Bug Bounty» doch für einige noch Neuland, wie diverse Rückmeldungen erahnen lassen: «Die Frage ist nicht, ob und ab wann Unternehmen Bug-Bounty-Programme starten sollen, sondern eher, ob es nicht schon zu spät ist.» Oder: «Ich hätte nicht gedacht, dass so viele Schweizer Unternehmen so schlecht vor Cyber-Attacken geschützt sind.» Ein anderer Teilnehmer zeigte sich beeindruckt vom Beispiel der Bernerland Bank: «Es zeigt auf, dass Firmen, die ihr Risikomanagement in diese Richtung komplettieren, momentan noch mutige Vorreiter sind.»
Mehr aus der Region:
Drucken