Hacken Sie Hacker, bevor Hacker Sie hacken
Im Rahmen von Bug-Bounty-Programmen werden sogenannte ethische Hacker, die legal nach Schwachstellen suchen, dazu aufgerufen, Sicherheitslecks in den IT-Systemen einer Organisation aufzuspüren.
Hacken ist heute eine milliardenschwere illegale Industrie, vergleichbar mit internationalem Drogenhandel. Schwer zu greifen, hochgradig gefährlich für Wirtschaft und Gesellschaft, die Täter werden selten zur Rechenschaft gezogen. Die Justiz hinkt der allgegenwärtigen Cyberkriminalität hinterher, weshalb man sich am besten selber Profis sucht, die einen vor folgenschweren Cyberattacken schützen. Aber wen?
Wer Hacker am besten versteht, sind Hacker selbst. Von denen gibt es auch gute – sogenannte White Hats. Das sind diejenigen Profis, welche sich auch ethische Hacker nennen. Sie scannen Ihr komplettes Netzwerk aus Sicht eines Hackers, finden Lecks, die «Black Hats» (kriminelle Hacker) als Open Door für Cyberattacken nutzen könnten.
Bug Bounty – White-Hats- vs. Black-Hats-Programm von Profis
Wahrscheinlich werden Sie das Netzwerk nicht haben und schwer einschätzen können, welche Spezialisten auf Ihrer Seite sind und was sie in Ihren Systemen machen. Die von Sandro Nafzger, Florian Badertscher und Lukas Heppler geführte Firma hat sich darauf spezialisiert, ihren Kunden «ethische Hacker» zur Verfügung zu stellen, welche alle möglichen Szenarien durchspielen – und ihnen Sicherheitslücken aufzeigen, bevor sie von «Black Hats» zur Sabotage genutzt werden. Dadurch profitieren sie von der kollektiven Intelligenz einer globalen Community hochspezialisierter Sicherheitsforscher.
Die Erfahrung zeigt, dass die bisherigen Sicherheitsmassnahmen nicht mehr ausreichen, um sich effektiv vor Cyberattacken zu schützen. Eigentlich jedes IT-System, dass Bug Bounty Switzerland mit ihren ethischen Hackern testet, weist noch Sicherheitslücken auf, die mit den bisherigen Tools wie beispielsweise Scanner und automatisierten Tests oder bewährten Methoden wie Penetrationstests und Audits nicht gefunden werden konnten – und erst in einem Bug-Bounty-Programm entdeckt werden. Dabei erweitert sich der Schutz, bestenfalls in Form eines Real-Life-Scenarios. Man setzt sich direkt mit dem feindlichen Denken auseinander und geht genau gleich vor, wie es Cyberkriminelle tun würden.
Hacker aller Arten und Gesinnungen sind in der Lage, über kombinatorisches, analytisches und technisches Denken in Unternehmensinfrastrukturen einzudringen. Der Weg dahin ist allerdings oft sehr unterschiedlich. Dazu gehört aber meist eine intensive Recherche, die Aufschluss über die Unternehmensinfrastruktur gibt.
Diese Infos können mit bekannten Schwachstellen abgeglichen – und die ersten Versuche, ins Unternehmen einzudringen, gestartet werden. Denken wie ein Hacker kann zudem heissen, tagelang Codezeilen von Webschnittstellen zu lesen, um schliesslich dort auf türöffnende Logikfehler zu stossen. Das Vorstellungsvermögen eines Hackers ist auf komplexe Zusammenhänge trainiert – und lässt aus kleinen Infos oft weite Schlüsse ziehen.
Die kürzlich publik gewordenen Schwachstellen im Log4j-Framework führten dazu, dass Firmen weltweit angreifbar geworden sind. Die Geschwindigkeit des Rennens zwischen Angreifer und potenziellem Opfer ist beeindruckend und beängstigend zugleich. Firmen, die bis dato noch kein systematisches und kontinuierliches System im Umgang mit Schwachstellen hatten, mussten sich quasi über Nacht damit auseinandersetzen. Hier hätte es geholfen, wenn sich die Betroffenen bereits früher proaktiv damit auseinandergesetzt – und entsprechende Prozesse beziehungsweise Kompetenzen besser etabliert hätten. Schwachstellen zu kennen und zu wissen, ob beziehungsweise wie diese auf die eigene Infrastruktur zutreffen, sind zweierlei. Die Log4j-Lücke hat eindrücklich aufgezeigt, dass der Umgang mit Schwachstellen ein ungelöstes Problem von zentraler Bedeutung ist. Zahlreiche Firmen haben entsprechende Versäumnisse schmerzlich zu spüren bekommen.
Das Bekanntmachen von Schwachstellen führt zudem nicht nur zu mehr Schutz, sondern auch zu einer Art «Anleitung» für «Bösgesinnte». Bug-Bounty-Programme können durch ihre kontinuierliche Ausführung zu schnellem und breit gefächertem Wissen führen, wenn sie gut aufgesetzt sind. Zudem eröffnet ein Bug-Bounty-Programm das Schaffen einer offenen und transparenten Unternehmenskultur: ein Schlüsselfaktor zum Gelingen von Digitalisierung und Transformation.
«Gute» und «Böse» gehen gleich vor
Wie erkennen wir aber, wer die sogenannt «Guten» und die «Bösen» sind?
Die Motivation von ehtischen Hackern ist heute oft wirtschaftlicher Natur – sie leben davon. Gute Hacker machen quasi das Gleiche wie die «bösen». Indem sie ihre Kräfte via Crowdsourcing verbinden, erlangen sie Vielseitigkeit und bessere Erkenntnisse. Das machen Untergrundorganisationen auch so. Je nach Hack trommeln sie Resourcen zusammen und strukturieren ihre Projekte dem Ziel entsprechend. Genau diese kollektive Intelligenz, die sich aus der Kombination von individuellem Background, Skillsets und Erfahrungen der ethischen Hacker ergibt, macht den Erfolg der Programme aus.