Anzeige
Anzeige

Einsatz von Bug-Bounty-Plattformen

Sicherheitsrisiko neu definieren – Hacker engagieren

Beitrag drucken

IT-Sicherheit ist ein wichtiges Thema für jedes Unternehmen. Denn kommt es zu einem erfolgreichen Angriff kann dies teuer werden. Durch die Nutzung sogenannter Bug-Bounty-Plattformen können Unternehmen kriminellen Hackern vorgreifen.

(Bild: ©alphaspirit/fotolia.de)

Dabei versuchen sogenannte White-Hat-Hacker (ethische Hacker) in das entsprechende System zu gelangen, um Schwachstellen aufzuzeigen. Cyberkriminelle nutzen die gegenwärtige Krise, um Anwender in Unternehmen, aber auch private User digital zu attackieren. Regelmäßig haben die Angreifer damit auch Erfolg. So waren bereits 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, 13 Prozent der knapp 1.000 befragten Geschäftsführer und Sicherheitsverantwortlichen vermuteten darüber hinaus einen Angriff, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Die Angst, von einem Hackerangriff betroffen zu sein, beschäftigt viele CEOs, CISOs und IT-Admins. Genau diese Angst ist es jedoch, die Innovationen in Unternehmen hemmt, davon sind 80 Prozent der europäischen CISOs überzeugt. Die Furcht besteht dabei trotz des Einsatzes moderner IT-Security-Systeme. Dabei gibt es durchaus Möglichkeiten, die Sicherheit weiter zu verbessern. Eine sinnvolle Option ist sicherlich die unabhängige Überprüfung der Sicherheitslösungen, des Webauftritts, der Anwendungen (seien es die selbstentwickelten oder erworbene), der Apps oder anderer Elemente der IT. Optimalerweise findet dieser Check statt, bevor eventuell bestehende Sicherheitslücken gefunden und ausgenutzt oder an den Meistbietenden versteigert werden. Unternehmen können die Bedeutung dieses Themas nicht hoch genug einschätzen, bedeutet doch die zunehmende Vernetzung von IT und OT auch eine wachsende Gefährdung der Produktion durch das illegale Eindringen Krimineller in die IT-Landschaft. Hierbei geht es auch um die Sicherheit von Überwachungssystemen oder Maschinen – und Anlagen. Denn gerade Industrie 4.0 beschert uns eine immer stärker vernetzte Welt mit vielen versteckten und unbeachteten Einfallstoren. Die Vernetzung an sich, aber auch die immer komplexer werdenden Infrastrukturen sowie gegebenenfalls die Größe eines Unternehmens stellen die IT-Teams vor große Herausforderungen. Für sie wird es zunehmend schwieriger, außerhalb der Installation traditioneller Sicherheitslösungen und des Pentesting in Sachen IT-Security den Überblick zu behalten – es fehlt oftmals an Ressourcen. Dabei wäre es von Vorteil, wenn Organisationen die Taktiken und Strategien der Hacker kennen, um ihr IT-Umfeld verstärkt abzusichern. An diesem Punkt kommen Bug-Bounty-Plattformen ins Spiel. Sie helfen Unternehmen dabei, mittels eines Prämiensystems mit sogenannten White-Hat-Hackern zusammenzuarbeiten, also Hackern, die ihr Können nicht für kriminelle Zwecke einsetzen. Über Plattformen wie beispielsweise der von Hackerone können Unternehmen auf ein Netzwerk an sogenannten White-Hats zurückgreifen. Dies bietet einen neuen strategischen Ansatz, um Schwachstellen sichtbar zu machen. Bei dieser Vorgehensweise gestatten die Unternehmen den Hackern Anwendungen, Websites, Apps, Infrastrukturen oder gerade in der wachsenden Welt der OT auch Sensoren, Edge-Computing-Systeme und die Übertragungswege nach Schwachstellen zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit diese zeitnah beseitigt werden können. Ferner ist diese Herangehensweise eine sehr skalierbare Methode, seine Ausgaben und Kosten stets im Blick zu behalten. Es wird kein zusätzliches Personal benötigt, sondern Unternehmen vergeben die Tasks an externe Experten.

Um beide Parteien rechtlich abzusichern, werden vorab Vereinbarungen darüber getroffen, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Letztere sind zudem Bestandteil des Vertrags. Darüber hinaus sollte es selbstverständlich sein, dass neben dem Vertrag auch ein an der Realität orientierter Ansatz der Hacker umgesetzt wird. Das bedeutet, dass die ‚White-Hat-Hacker‘ keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch im Unternehmen die Expertise um diese Schwachstellen und was die Unternehmen tun können, um diese potenziellen Einfallstore für Kriminelle zu schließen.

Und genau diese Expertise können sich Unternehmen jeder Größenordnung zusätzlich zunutze machen. Denn zum einen beschließen Gesetzgeber, Verbände und Organisationen aller Branchen regelmäßig neue Standards und Vorgaben zur Beschaffung und dem Betrieb von Anlagen und Maschinen, und zum anderen lässt sich eine stete technische Weiterentwicklung beobachten. Beides erfordert permanente Updates in Sachen digitaler Sicherheit und Produktstabilität. Dadurch ergeben sich Richtlinien durch unterschiedliche Zertifikate unterschiedlicher Länder und Behörden – insbesondere für die Lieferanten kann dies oft eine Herausforderung darstellen.

Nichtsdestoweniger spielt der Sicherheitsaspekt bei allen Beteiligten mitunter die größte Rolle. Dabei geht es auch um die Anpassbarkeit der IT-Komponenten an die Migrationsprozesse der Industrie 4.0. Zu den festgelegten Anforderungen einer Beschaffung gehört beispielsweise auch eine detaillierte Risikoanalyse für jeden Maschinentyp bzw. Anlage. Speziell geht es darum, Sicherheitslücken frühzeitig zu erkennen und zu schließen. Genau an diesem Punkt setzt die alternative Sicherheitsmaschinerie an. ‚White-Hat-Hacker‘ versuchen – analog zu einem kriminellen Hacker – in das System einzudringen und Schwachstellen zu entdecken, die von den internen IT-Profis übersehen wurden. Unternehmen können sich also mehrfach absichern und sich dadurch die als Folge eines erfolgreichen Hackerangriffs drohenden Kosten ersparen. Darüber hinaus wird nicht nur die eigene IT-Infrastruktur geschützt, sondern auch Kunden und Partner profiteiren. Dadurch wird das Vertrauen gestärkt und eine größere Kundenbindung entsteht. Die Zusammenarbeit mit White-Hat-Hackern liefert somit eine sinnvolle Ergänzung der eigenen Sicherheitsstrategie, um sich im harten Wettbewerb durch besonders sichere Lösungen gegenüber anderen Anbietern zu positionieren.


Das könnte Sie auch interessieren:

Die Eclipse Foundation präsentiert in ihrem ’IoT & Edge Developer Survey 2022‘ Entwicklertrends mit Schwerpunkt auf Edge Computing, KI und Sicherheit. Die Ergebnisse sollen Aufschluss über die Nutzung von Plattformen, Bedenken von Entwicklern, Zielmärkte und mehr geben.‣ weiterlesen

Der digitale Zwilling zählt für viele zu einem Kernelement der industriellen Digitalisierung, obwohl solche Integrationen oft noch sehr komplex sind. Für eine schrittweise Einführung gilt es, die unterschiedlichen Ausprägungsformen des digitalen Zwillings zu verstehen.‣ weiterlesen

Mit Andreas Montag und Nikas Schröder hat der ERP-Spezialist AMS.Solution zwei neue Vorstandsmitglieder. Zudem wird Simone Schiffgens neue Vorstandsvorsitzende und folgt auf Manfred Deues, der in den Aufsichtsrat wechselt.‣ weiterlesen

Björn Goerke verstärkt die Führungsetage beim ERP-Anbieter ProAlpha. Als Chief Technology Officer soll er die weitere Transformation des Unternehmens in die Cloud-Ära gestalten.‣ weiterlesen

Mehr Netzwerkausfälle und längere Wiederherstellungszeit: Davon berichten CIOs und Netzwerktechniker in einer Befragung des Netzwerkspezialisten Opengear. Demnach liegt die durchschnittliche Downtime um 2 Stunden höher als 2020.‣ weiterlesen

Wie können oft verwässerte ESG-Berichte der Vergangenheit angehören? Während sich auf politischer Ebene in puncto nachhaltiges Wirtschaften einiges bewegt, kann insbesondere die technologische Seite einen Beitrag zu einer transparenteren Produktion leisten. Den Grundgedanken der Industrie 4.0 zu implementieren, ist dabei ein wichtiger Schritt.‣ weiterlesen

Mit 100,4 Punkten liegt das IAB-Arbeitsmarktbarometer auf dem tiefsten Stand seit 2020 und somit noch knapp über der neutralen Marke. Demnach sendet der Frühindikator noch leicht positive Signale.‣ weiterlesen

Die Senkung der Betriebskosten ist ein Trend bei IIoT-Installationen, was auch als Zeichen einer reifen Branche zu verstehen ist. Dabei stellen Betreiber schon bei der Architektur-Planung sicher, keine unnötigen Kostentreiber einzurichten. Das bedeutet auch, Lösungen auch mal ohne das beliebte MQTT-Protokoll durchzudenken.‣ weiterlesen

Ein Abrasivwasserstrahl bearbeitet Bauteile effektiv und fast verschleißfrei. Doch die komplexe Prozessführung und -steuerung verhinderte bislang den Durchbruch dieser Technologie in der Fertigung. Am Fraunhofer IPT entstanden jetzt ein neuer Wasserstrahlkopf und eine Software, um diese Fertigungstechnik besser und zugänglicher zu machen.‣ weiterlesen