Bug-Bounty-Programm
10.07.2020, 11:36 Uhr
Die Post lädt ethische Hacker zu sich ein
Die Post ist ein beliebtes Angriffsziel für Hacker. Um ihre Systeme besser zu schützen, hat der Gelbe Riese nun ein Bug-Bounty-Programm aufgegleist. In einer ersten Phase wurden so 50 kritische Schwachstellen entdeckt, bevor Cyberkriminelle diese ausnützen konnten.
Post-CISO Marcel Zumbühl will, dass ethische Hacker die Systeme des Gelben Riesen angreifen
(Quelle: pd)
Künftig sollen auch ethische Hacker ausgewählte Anwendungen der Schweizerischen Post bewusst angreifen und so Schwachstellen aufdecken. Dies zumindest erhofft sich Marcel Zumbühl, der als Chief Information Security Officer (CISO) für die Cybersecurity des Gelben Riesen zuständig ist. Dabei kann er bereits erste Erfolge feiern, wie er in einem Hintergrundgespräch mit der Presse erklärte.
Das Bug-Bounty-Programm der Post, das bereits 2019 in einer Proof-of-Concept-Phase getestet und ab Mai 2020 offiziell gestartet ist, habe bereits 50 Schwachstellen in den Systemen und Online-Diensten der Post zu Tage gefördert, so Zumbühl. Durch das gezielte Hackenlassen wurden sie entdeckt und konnten gefixt werden, bevor Cyberkriminelle von ihnen Kenntnis erhalten hätten.
Derzeit hat die Post 50 externe IT-Security-Forscher für das Bug-Bounty-Programm akkreditieren können, die derzeit hauptsächlich den Online-Shop der Post und das Kunden-Login attackieren. Ende Jahr will Zumbühl sogar 250 ethische Hacker verpflichtet haben und diese für gefundene Schwachstellen bezahlen.
In Zukunft sei auch ein öffentliches Bug-Bounty-Programm geplant, so der Post-CISO. Derzeit setzt man noch auf ein privates Verfahren. Ethische Hacker können sich bei der Post melden und werden «gescreent», um dann ans Werk gehen zu können.
Mit dem Vorgehen beschreitet die Post relativ frisches Terrain. «Wir sind wohl fast die einzige Firma in der Schweiz, die auf Bug Bounty zur zusätzlichen Absicherung setzt», erklärt er.
Post-IT als Black Box
Das Bug-Bounty-Programm soll die bisherigen Sicherheitsmassnahmen der Post ergänzen. So werde man weiter die Systeme zunächst intern auf Herz und Nieren testen sowie externe Pentester engagieren, meinte Zumbühl. Der Mehrwert von den Bug-Huntern sei, dass sie nicht wie Pentester mit ihren Tools bekannte Systeme untersuchen, sondern wie echte Hacker ohne Vorwissen von draussen die Systeme angehen müssen. «Wir sagen den Bug-Bounty-Teilnehmern nicht, wie unsere Produkte aufgebaut sind und wie sie funktionieren», sagt Zumbühl.
Die IT der Post sei für sie «quasi eine Black Box», die sie so attackieren wie ein Cyberkrimineller. «Sie müssen also anhand der Reaktion der Systeme herausfinden, wie sie eindringen könnten», fügt er an. «Dadurch lernen aber auch wir bei der Post, wie Hacker wirklich mit Systemen umgehen und diese anzugreifen versuchen», so Zumbühl.
Rechtliche Rahmenbedingungen
Nach wie vor ist das Hacken von IT-Systemen eine Straftat. Daher musste die Post zur Vorbereitung des Bug-Bounty-Programms erst in Zusammenarbeit mit Bund und Kantonen einen rechtlichen Rahmen schaffen. «So ist ein sogenannter Legal Safe Harbor entstanden, den wir jetzt nutzen», berichtet Zumbühl. «Wir entkriminalisieren somit Hacker in einem bestimmten engen Rahmen», betont er. Im Gegenzug erhält die Post Informationen über die Vorgehensweise der Hacker und kann selbst daraus lernen.
11.07.2020