Kopfgeldjäger
14.04.2020, 08:57 Uhr
Schwachstellen aufspüren, Belohnung kassieren
Bug-Bounty-Programme sollen Hacker animieren, Sicherheitslücken zu melden. Dafür zahlen die Unternehmen je nach schwere des Lecks eine beträchtliche Prämie.
Viele Webseiten von Unternehmen sind Einfallstore für Cyberkriminelle. Der deutsche Verband der Internetwirtschaft eco hat mehr als 1400 Webseiten kleiner und mittelständischer Unternehmen mit dem Sicherheits-Scanner SIWECOS untersucht und dabei zahlreiche Sicherheitslücken festgestellt. «Rund jede zweite KMU-Webseite ist potenziell angreifbar», berichtet Cornelia Schildt, SIWECOS-Projektleiterin und Sicherheitsexpertin im eco-Verband.
Würden diese Schwachstellen nicht bei einem Security-Projekt, sondern von kriminellen Hackern entdeckt, könnten in vielen Fällen vertrauliche Daten ausspioniert und Webdienste manipuliert und behindert werden. Das Ziel muss es deshalb sein, die Schwachstellen vor den Angreifern aufzuspüren und zu beheben.
Vorprogrammierte Lücken
Sicherheitslücken findet man in nahezu jeder Software. Die Ursachen dafür sieht Gartner-Analyst Dale Gardner in den Entwicklungsprozessen: «Da die Tests häufig gegen Ende des Entwicklungszyklus stattfinden, werden viele Fehler nicht behoben, weil die Teams darauf drängen, die Fristen einzuhalten.» Auch neuere Verfahren wie DevOps ändern daran wenig, so Gardner. «Während sich Programmierer und Betriebsteams zu DevOps entwickeln, fehlt den kombinierten Gruppen eine einheitliche Sicht auf die Schwachstellen. Es gibt keine Grundlage für die gemeinsame Priorisierung potenzieller Sicherheitsprobleme oder die Priorisierung von Fixes.»
“Die Verantwortlichen in vielen Unternehmen wissen oft nicht, dass ihr CMS Schwachstellen hat, und gefährden so Unternehmens-IT und Kundendaten.„
Cornelia Schildt, Projekleiterin SIWECOS im eco-Verband
Ein weiteres Problem, das der Gartner-Experte sieht: «Die Kombination von Schwachstellendaten aus mehreren Quellen überfordert Teams, die keine Ahnung haben, wo sie mit der Bewertung beginnen sollen und welche Aufgaben sie durchführen sollen.»
Dazu kommt, dass viele Unternehmen nicht über die Security-Experten verfügen, um ihre IT regelmässig auf Schwachstellen zu checken und Lücken zu schliessen. Da hilft es auch wenig, wenn in einer Umfrage des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) 71 Prozent der befragten Unternehmen und Institutionen angaben, über ein strukturiertes Patch-Management zu verfügen, um auf bekannt gewordene Sicherheitslücken schnell reagieren zu können. Viele Schwachstellen sind den Unternehmen nämlich überhaupt nicht bekannt, und unbekannte Sicherheitslücken werden nicht gepatcht. Oberstes Gebot ist also, möglichst viele Sicherheitslücken zu erkennen.