Die Post lädt ethische Hacker zu sich ein
Post-IT als Black Box
Das Bug-Bounty-Programm soll die bisherigen Sicherheitsmassnahmen der Post ergänzen. So werde man weiter die Systeme zunächst intern auf Herz und Nieren testen sowie externe Pentester engagieren, meinte Zumbühl. Der Mehrwert von den Bug-Huntern sei, dass sie nicht wie Pentester mit ihren Tools bekannte Systeme untersuchen, sondern wie echte Hacker ohne Vorwissen von draussen die Systeme angehen müssen. «Wir sagen den Bug-Bounty-Teilnehmern nicht, wie unsere Produkte aufgebaut sind und wie sie funktionieren», sagt Zumbühl.
Die IT der Post sei für sie «quasi eine Black Box», die sie so attackieren wie ein Cyberkrimineller. «Sie müssen also anhand der Reaktion der Systeme herausfinden, wie sie eindringen könnten», fügt er an. «Dadurch lernen aber auch wir bei der Post, wie Hacker wirklich mit Systemen umgehen und diese anzugreifen versuchen», so Zumbühl.
Rechtliche Rahmenbedingungen
Nach wie vor ist das Hacken von IT-Systemen eine Straftat. Daher musste die Post zur Vorbereitung des Bug-Bounty-Programms erst in Zusammenarbeit mit Bund und Kantonen einen rechtlichen Rahmen schaffen. «So ist ein sogenannter Legal Safe Harbor entstanden, den wir jetzt nutzen», berichtet Zumbühl. «Wir entkriminalisieren somit Hacker in einem bestimmten engen Rahmen», betont er. Im Gegenzug erhält die Post Informationen über die Vorgehensweise der Hacker und kann selbst daraus lernen.
11.07.2020