Einsatz von Bug-Bounty-Plattformen

Sicherheitsrisiko neu definieren – Hacker engagieren

IT-Sicherheit ist ein wichtiges Thema für jedes Unternehmen. Denn kommt es zu einem erfolgreichen Angriff kann dies teuer werden. Durch die Nutzung sogenannter Bug-Bounty-Plattformen können Unternehmen kriminellen Hackern vorgreifen.

(Bild: ©alphaspirit/fotolia.de)

Dabei versuchen sogenannte White-Hat-Hacker (ethische Hacker) in das entsprechende System zu gelangen, um Schwachstellen aufzuzeigen. Cyberkriminelle nutzen die gegenwärtige Krise, um Anwender in Unternehmen, aber auch private User digital zu attackieren. Regelmäßig haben die Angreifer damit auch Erfolg. So waren bereits 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, 13 Prozent der knapp 1.000 befragten Geschäftsführer und Sicherheitsverantwortlichen vermuteten darüber hinaus einen Angriff, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Die Angst, von einem Hackerangriff betroffen zu sein, beschäftigt viele CEOs, CISOs und IT-Admins. Genau diese Angst ist es jedoch, die Innovationen in Unternehmen hemmt, davon sind 80 Prozent der europäischen CISOs überzeugt. Die Furcht besteht dabei trotz des Einsatzes moderner IT-Security-Systeme. Dabei gibt es durchaus Möglichkeiten, die Sicherheit weiter zu verbessern. Eine sinnvolle Option ist sicherlich die unabhängige Überprüfung der Sicherheitslösungen, des Webauftritts, der Anwendungen (seien es die selbstentwickelten oder erworbene), der Apps oder anderer Elemente der IT. Optimalerweise findet dieser Check statt, bevor eventuell bestehende Sicherheitslücken gefunden und ausgenutzt oder an den Meistbietenden versteigert werden. Unternehmen können die Bedeutung dieses Themas nicht hoch genug einschätzen, bedeutet doch die zunehmende Vernetzung von IT und OT auch eine wachsende Gefährdung der Produktion durch das illegale Eindringen Krimineller in die IT-Landschaft. Hierbei geht es auch um die Sicherheit von Überwachungssystemen oder Maschinen – und Anlagen. Denn gerade Industrie 4.0 beschert uns eine immer stärker vernetzte Welt mit vielen versteckten und unbeachteten Einfallstoren. Die Vernetzung an sich, aber auch die immer komplexer werdenden Infrastrukturen sowie gegebenenfalls die Größe eines Unternehmens stellen die IT-Teams vor große Herausforderungen. Für sie wird es zunehmend schwieriger, außerhalb der Installation traditioneller Sicherheitslösungen und des Pentesting in Sachen IT-Security den Überblick zu behalten – es fehlt oftmals an Ressourcen. Dabei wäre es von Vorteil, wenn Organisationen die Taktiken und Strategien der Hacker kennen, um ihr IT-Umfeld verstärkt abzusichern. An diesem Punkt kommen Bug-Bounty-Plattformen ins Spiel. Sie helfen Unternehmen dabei, mittels eines Prämiensystems mit sogenannten White-Hat-Hackern zusammenzuarbeiten, also Hackern, die ihr Können nicht für kriminelle Zwecke einsetzen. Über Plattformen wie beispielsweise der von Hackerone können Unternehmen auf ein Netzwerk an sogenannten White-Hats zurückgreifen. Dies bietet einen neuen strategischen Ansatz, um Schwachstellen sichtbar zu machen. Bei dieser Vorgehensweise gestatten die Unternehmen den Hackern Anwendungen, Websites, Apps, Infrastrukturen oder gerade in der wachsenden Welt der OT auch Sensoren, Edge-Computing-Systeme und die Übertragungswege nach Schwachstellen zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit diese zeitnah beseitigt werden können. Ferner ist diese Herangehensweise eine sehr skalierbare Methode, seine Ausgaben und Kosten stets im Blick zu behalten. Es wird kein zusätzliches Personal benötigt, sondern Unternehmen vergeben die Tasks an externe Experten.

Um beide Parteien rechtlich abzusichern, werden vorab Vereinbarungen darüber getroffen, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Letztere sind zudem Bestandteil des Vertrags. Darüber hinaus sollte es selbstverständlich sein, dass neben dem Vertrag auch ein an der Realität orientierter Ansatz der Hacker umgesetzt wird. Das bedeutet, dass die ‚White-Hat-Hacker‘ keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch im Unternehmen die Expertise um diese Schwachstellen und was die Unternehmen tun können, um diese potenziellen Einfallstore für Kriminelle zu schließen.

Und genau diese Expertise können sich Unternehmen jeder Größenordnung zusätzlich zunutze machen. Denn zum einen beschließen Gesetzgeber, Verbände und Organisationen aller Branchen regelmäßig neue Standards und Vorgaben zur Beschaffung und dem Betrieb von Anlagen und Maschinen, und zum anderen lässt sich eine stete technische Weiterentwicklung beobachten. Beides erfordert permanente Updates in Sachen digitaler Sicherheit und Produktstabilität. Dadurch ergeben sich Richtlinien durch unterschiedliche Zertifikate unterschiedlicher Länder und Behörden – insbesondere für die Lieferanten kann dies oft eine Herausforderung darstellen.

Nichtsdestoweniger spielt der Sicherheitsaspekt bei allen Beteiligten mitunter die größte Rolle. Dabei geht es auch um die Anpassbarkeit der IT-Komponenten an die Migrationsprozesse der Industrie 4.0. Zu den festgelegten Anforderungen einer Beschaffung gehört beispielsweise auch eine detaillierte Risikoanalyse für jeden Maschinentyp bzw. Anlage. Speziell geht es darum, Sicherheitslücken frühzeitig zu erkennen und zu schließen. Genau an diesem Punkt setzt die alternative Sicherheitsmaschinerie an. ‚White-Hat-Hacker‘ versuchen – analog zu einem kriminellen Hacker – in das System einzudringen und Schwachstellen zu entdecken, die von den internen IT-Profis übersehen wurden. Unternehmen können sich also mehrfach absichern und sich dadurch die als Folge eines erfolgreichen Hackerangriffs drohenden Kosten ersparen. Darüber hinaus wird nicht nur die eigene IT-Infrastruktur geschützt, sondern auch Kunden und Partner profiteiren. Dadurch wird das Vertrauen gestärkt und eine größere Kundenbindung entsteht. Die Zusammenarbeit mit White-Hat-Hackern liefert somit eine sinnvolle Ergänzung der eigenen Sicherheitsstrategie, um sich im harten Wettbewerb durch besonders sichere Lösungen gegenüber anderen Anbietern zu positionieren.

Das könnte Sie auch interessieren:

Cloud-basierte Werkzeugverwaltung von Oerlikon Balzers

Im Werkzeugmanagement eröffnet das Kennzeichnen von Assets mit Data Matrix Codes die Möglichkeit, Werkzeuge zu tracken und mit ihren Lebenslaufdaten zu verheiraten.‣ weiterlesen

Google Cloud bündelt produktionsnahe Tools

Google Cloud gab kürzlich die Einführung der beiden Lösungen Manufacturing Data Engine und Manufacturing Connect bekannt. Mit den Tools lassen sich Assets einer Fertigungsumgebung vernetzen, Daten verarbeiten und standardisieren.‣ weiterlesen

Virtualisierte IT-Infrastruktur
Plattform für weltweites Datenmanagement

Virtuelle multicloudfähige Plattformen können in Fertigungsbetrieben das Fundament bilden, um IT-Infrastruktur und Betriebsabläufe zu modernisieren und effizient zu betreiben. Denn das nahtlose Zusammenspiel von Cloud-Anwendungen, Softwarebereitstellung sowie Remote Work lassen sich mit digitalen Plattformen vergleichsweise einfach und global orchestrieren.‣ weiterlesen

Forschungsprojekt KoMiK
Auf was es bei Kooperationssystemen ankommt

Wibu-Systems ist Anwendungspartner im Projekt KoMiK. Im Mai wurde das Projekt abgeschlossen und der Karlsruher Lizensierungsspezialist hat zusammen mit den Projektpartnern aus Wirtschaft und Wissenschaft Empfehlungen zur Auswahl eines digitalen Kooperationssystems erarbeitet, inklusive eines Screening-Tools.‣ weiterlesen

Anwendungen aus der Rechenwolke
Manufacturing Execution Systems passgenau erweitern

MES-Lösungen verfügen über unterschiedliche Erweiterungsmodule, etwa für das Qualitätsmanagement. Der Ausbau der Basisfunktionen sorgt jedoch oft für Aufwand. Eine Alternative versprechen Cloudlösungen.‣ weiterlesen

SAP-Software für die Fertigung
Cloud von Maschine bis After Sales

Bei ihrer digitalen Transformation adaptieren Fertigungsunternehmen Technologien wie künstliche Intelligenz, Machine Learning und digitale Zwillinge. Cloud Computung hilft, dafür erforderliche Kapazitäten skaliert bereitzustellen.‣ weiterlesen

ZetVisions erweitert Partnernetzwerk

Mit mehreren neuen Partnern erweitert der Softwareanbieter ZetVisions sein Partnerangebot. Unter anderem sollen Pikon und People Consolidated das Beratungsangebot des Heidelberger Unternehmens ergänzen.‣ weiterlesen

486.800 neue Einheiten
Industrieroboter-Absatz erreicht Rekordwert

Die Zahl der weltweit installierten Industrieroboter hat im vergangenen Jahr einen neuen Rekordwert erreicht. Laut International Federation of Robotics wurden 486.800 Einheiten installiert.
‣ weiterlesen

Hochleistungs-Embedded-Server mit KI-Befehlssätzen

Viele Deep-Learning- und Machine-Vision-Anwendungen stellen hohe Ansprüche an die eingesetzten Industrie-Rechner. Für den Einsatz in diesem Umfeld hat Hardware-Spezialist Spectra die PowerBox 4000AC C621A ins Programm genommen.‣ weiterlesen

Partner für IT-Outsourcing
Komplexität im Hybrid Cloud-Betrieb reduzieren

Mit Hybrid Cloud-Lösungen wollen Firmen die Vorteile des privaten und öffentlichen Cloud-Betriebs erschließen. Managed Cloud Service Provider sind darin geschult, Fallstricke bei der Cloud-Nutzung solcher Infrastrukturen zu bewältigen.‣ weiterlesen

Low-Code-Ansatz auf Werksebene
In Eigenregie zum MES

Per Low-Code-Tool können Anwender Prozesskonfigurationen selbst umsetzen. Im MES-Bereich ist dieser Ansatz noch selten zu finden, doch einige Lösungen gibt es bereits.‣ weiterlesen