Warum die Digitalisierung ohne Bug-Bounty-Programme langfristig nicht möglich ist

Bug Bounty Switzerland ist nun seit rund einem Jahr operativ tätig. Wie war das erste Geschäftsjahr?

Sandro Nafzger: Das hätte nicht besser verlaufen können. Unser Timing war perfekt. Wir kamen weder zu früh noch zu spät auf den Markt. Früh genug, um die ersten zu sein. Aber auch nicht so früh, dass der Markt noch nicht bereit war für unser Angebot.

Sie sind die Ersten. Sind Sie noch immer die ­Einzigen?

Ja, wir sind die einzigen Anbieter von ganzheitlichen Bug-Bounty-Lösungen in der Schweiz. Wir sind also Marktführer (lacht). Ich gehe davon aus, dass jedes Unternehmen, das heute Penetration Tests nutzt, auch ein Bug-Bounty-Programm braucht und künftig betreiben wird. In diesem jungen Markt wird es also schon bald etwas mehr Bewegung geben.

Sie sind nun CEO Ihrer eigenen Firma. Wie verlief diese Umstellung?

Da ich schon seit eh und je selbstständig tätig bin, war das mehr ein fliessender Übergang. Aufgrund der stetig wachsenden Nachfrage war ich als selbstständiger Berater und Projektleiter zunehmend ausgelastet. Ich wurde von verschiedenen grossen Unternehmen angefragt, aber ich hatte einfach keine Ressourcen mehr für zusätzliche Mandate. Die Gründung von Bug Bounty Switzerland und das vorhandene Know-how in der Schweiz zu bündeln, war für mich der nächste logische Schritt.

Was war für Sie der grösste Erfolg im vergangenen Jahr?

Das grösste Highlight ist für mich unser Team. Ich fühle mich total geehrt, so ein starkes Team anführen zu dürfen. Unser Team besteht aus den Experten, die sämtliche in der Schweiz bekannten Bug-Bounty-Programme aufgebaut haben. Durch den Aufbau und Betrieb dieser konzernweiten Programme verfügen wir über einen einzigartigen Erfahrungsschatz, den wir nun für die ganze Schweiz einbringen wollen.

Wie ist das Team entstanden?

Mit unserem COO Matthias Jauslin bin ich schon seit 20 Jahren befreundet. Wir haben damals die Informatiklehre zusammen gestartet. Die anderen beiden Gründungsmitglieder, Florian Badertscher und Lukas Heppler, kenne ich seit dem Public Intrustion Test (PIT) fürs E-Voting. Ich leitete das Gesamtprojekt als eigenes Mandat und Heppler war in meinem Kernteam für ein wichtiges Teilprojekt verantwortlich. Badertscher war zu dem Zeitpunkt die einzige Person in der Schweiz, die bereits ein Bug-Bounty-Programm für eine grosse Firma aufgebaut hatte – und zwar bei der Swisscom.

Das Team von Bug Bounty Switzerland: (v.l.) CTO Florian Badertscher, COO Matthias Jauslin, CSO Lukas Heppler und CEO Sandro Nafzger. (Source: zVg)

Sie und Florian Badertscher leiten weiterhin die Bug-Bounty-Programme von Post und Swisscom. Wie funktioniert dieser arbeitszeitliche Spagat?

Gut, dass Sie "arbeitszeitlich" sagten, denn inhaltlich ist es kein Spagat (lacht). Inhaltlich, also was die Erfahrung und die Expertise betrifft, ist es eine Bereicherung, von der alle drei Firmen profitieren. Zurzeit müssen wir uns zwar gut organisieren und arbeiten lange Tage. Aber wenn man tut, was man liebt, ist man im Flow und schaut dabei nicht auf die Uhr.

Gehören die Post und Swisscom ebenfalls zu Ihren Kunden?

Nein, sie sind keine Kunden von Bug Bounty Switzerland. Das ist historisch bedingt. Die Post und Swisscom sind unserer Firma gegenüber aber sehr positiv eingestellt. Marcel Zumbühl, der CISO der Post, sitzt sogar in unserem Advisory Board.

Wie viele Kunden bedient Bug Bounty Switzerland bereits?

Wir haben zurzeit rund 20 Grosskunden. Darunter sind ein paar bekannte Namen aus dem Bankensektor. Ferner bedienen wir auch Versicherungen, Spitäler, Medienunternehmen und Betreiber von kritischen Infrastrukturen.

Wie reagieren potenzielle Kunden auf Ihr Angebot?

Die Reaktionen sind sehr unterschiedlich. Grundsätzlich wartet natürlich niemand darauf, dass wir ihnen sagen, dass sie vermutlich mir nichts, dir nichts gehackt werden könnten. Die Unternehmen brauchen ein wenig Zeit, um diese Botschaft zu verarbeiten. Wir suchen unsere Ansprechpartner daher auch sehr gezielt aus und reden nur mit CISOs und CIOs, von denen wir ausgehen, dass sie empfänglich sind dafür.

Wie bauen Sie das benötigte Vertrauen zu möglichen neuen Kunden auf?

Unsere Devise lautet: Tue Gutes und rede darüber. Indem wir Erfolgsgeschichten und positive Erfahrungen streuen, schaffen wir zunehmend Vertrauen. Zudem sind die Entscheidungsträger in der Schweiz gut vernetzt – unsere Ergebnisse haben sich schnell herumgesprochen. Auch wollen wir unsere Kunden ermutigen, selbst über ihre Bug-Bounty-Programme zu reden und diese als Differenzierungsmerkmal zu nutzen, auch um Digital Trust aufzubauen. Was natürlich auch hilft, ist, dass wir schon einige Programme aufbauen konnten für bekannte Marken, denen man in der Schweiz vertraut.

Fokussieren Sie sich nur auf den Schweizer Markt?

Ja, und zwar sehr bewusst. Wir sehen hierzulande einen gros­sen Bedarf und auch eine Dringlichkeit. Im Ausland existieren solche Programme teilweise schon seit Jahren. In der Schweiz ist man sich dem latenten Risiko vor Cyberattacken noch zu wenig bewusst. Auch dass Bug-Bounty-Programme die effektivste und auch effizienteste Art sind, IT-Systeme zu testen, ist noch zu wenig bekannt.

Wer braucht alles ein Bug-Bounty-Programm?

Jedes Unternehmen, das ein IT-System betreibt, das für den Unternehmenserfolg relevant ist.

Wie beurteilen Sie die Sicherheitslage in der Schweiz?

Schweizer Firmen investieren viel in Cybersecurity. Darum geht man davon aus, dass wir hierzulande sicher sind. Aber das ist ein Trugschluss. Herkömmliche Testmethoden wie etwa Penetration Tests können viele kritische Schwachstellen nicht finden. So kommt es denn auch, dass wir in sämtlichen Systemen, die wir testen, binnen weniger Stunden zahlreiche kritische Sicherheitslücken finden. Ernstzunehmende Sicherheitslücken, die etwa das Ausführen von beliebigem Code oder das Abfliessen von Daten ermöglichen. Das heisst, die Risikoeinschätzung der meisten Schweizer Firmen ist heutzutage oft komplett unrealistisch.

Wie etabliert sind Bug Bountys in der Schweiz?

Schweizer Unternehmen kommen langsam auf den Geschmack. Mittlerweile gibt es hierzulande ein paar Vorzeigefirmen und -projekte, die Stolz sind auf ihre Bug-Bounty-Programme und den Sicherheitsvorsprung, den sie dadurch erzielen. Auch der dafür notwendige partizipative Ansatz – also die Zusammenarbeit mit ethischen Hackern – etabliert sich langsam in der Schweiz.

Warum nur langsam?

Die dafür nötige Fehler- und Lernkultur fehlt irgendwie in der DNA der perfekten Schweiz. Bei einem Bug-Bounty-Programm geht es darum, proaktiv Sicherheitslücken zu finden und eine konstruktive und schnelle Lernkultur zu etablieren. Dabei geht es gar nicht darum, dass irgendwer irgendetwas falsch gemacht hat. Es geht darum, dass man eine neue Erkenntnis gewinnen konnte. Das erfordert aber dennoch Mut. Glücklicherweise haben wir aktuell durchaus ein paar Schweizer CISOs, die öffentlich über diesen Kulturwechsel reden. Und ich bin davon überzeugt, dass auch wir einen wichtigen Beitrag dazu leisten. Darum ist Bug Bounty Switzerland mehr als nur eine Firma.

Als was sehen Sie Bug Bounty Switzerland denn dann?

Wir sind eine Bewegung. Ein Bug-Bounty-Programm ist nicht einfach ein weiterer inkrementeller Schritt, sondern ein richtiger Game-Changer. Binnen kürzester Zeit bringt man die Informa­tionssicherheit auf ein komplett neues Level. Und etabliert eine sehr agile und effektive Unternehmenskultur. Wir sehen uns selbst als Aufklärer, die versuchen, eine völlig neue Art der Zusammenarbeit in der Schweiz zu etablieren. Das geht aber nicht alleine. Darum spannen wir ein Netzwerk zwischen den Firmen, die bereits so arbeiten, und denen, die umstellen wollen. Mit dieser wachsenden Community können wir bewirken, dass es zu einem Dominoefffekt kommt und Bug-Bounty-Programme schnell zum neuen Standard für Sicherheitstest werden.

Wo muss bei Schweizer Firmen noch ein ­Umdenken stattfinden?

Sicherheit ist ein kontinuierlicher Lern- und Verbesserungsprozess, an dem man täglich arbeiten muss. Früher baute man ein System, prüfte dieses ein- bis zweimal pro Jahr mit einem Penetration Test und beurteilte es aufgrund dessen als sicher. Dieses Vorgehen funktioniert aber nicht mehr in unserer heutigen, vernetzten und dynamischen Welt. Hier muss die Sicherheit eines IT-Systems beinahe täglich überprüft und verbessert werden. Dieses Verständnis ist in der Schweiz aber nur selten vorhanden. Somit verfügt eigentlich jedes IT-System – das noch kein Bug-Bounty-Programm hat – über kritische Sicherheitslücken, die von Cyberkriminellen sofort ausgenutzt werden könnten. Hinzu kommt, dass die interne Innovationsfähigkeit einer Organisation sehr begrenzt ist. Aus anderen Unternehmensbereichen weiss man das schon lange. Bug Bounty ist eigentlich nichts anderes als Open-Innovation. Es geht darum, mit einer globalen Community von herausragenden Experten zusammenzuarbeiten und deren kollektive Intelligenz zu nutzen. Also durch einen konstruktiven Dialog mit ethischen Hackern täglich von ihnen etwas Neues zu lernen. Ohne ein Bug-Bounty-Programm könnte man sich das gar nicht leisten.

Warum?

Selbst die erfolgreichste Firma kann nur eine ­gewisse Anzahl hochbezahlter IT-Sicherheitsexperten­ einstellen. Mit einem Bug-Bounty-Programm hingegen profitiert man von der Expertise zahlreicher Spezialisten weltweit. Und bezahlen muss man nur diejenigen, die als Erstes einen kritischen Fehler finden. Verglichen mit dem möglichen Schadens­ausmass der gefundenen Schwachstellen sind die ausbezahlten Bountys zudem meistens lächerlich gering. Wer etwa eine Lücke bei einer Bank findet, mit der man beliebigen Code ausführen und das ganze System herunterfahren könnte, bekommt vielleicht 5000 Franken. Der Return on Investment für die Firmen ist also riesig.

Was verstehen Unternehmen häufig falsch, wenn es um Bug Bountys geht?

Im Gespräch mit möglichen Kunden merken wir oft, dass diese Bug-Bounty-Programme mit Cyberkriminellen assoziieren. Das eine hat mit dem anderen aber überhaupt nichts zu tun. Ein Cyberkrimineller würde sich nämlich nie bei einem Bug-Bounty-Programm anmelden. Dort muss er sich ausweisen und an Spielregeln halten. Warum auch? Die IT-Systeme stehen ja im Internet und werden von Cyberkriminellen direkt angegriffen. Der Umweg über ein Bug-Bounty-Programm ergibt also keinen Sinn. Mit einem Bug-Bounty-Programm geht man also kein zusätzliches Risiko ein – wie viele Unternehmen anfänglich befürchten. Ganz im Gegenteil, man erhält endlich eine realistische Risikoeinschätzung und kann diese Risiken dann sehr schnell und nachhaltig beseitigen. Denn jeder Bug Bounty Hunter meldet nicht nur eine gefundene Schwachstelle, sondern auch eine ganz genaue und ausführliche Schritt-für-Schritt-Anleitung, wie er vorgegangen ist. So kann eine Schwachstelle sofort reproduziert und behoben werden. Vom Topmanagement bis zum Entwickler weiss also jeder sofort, was Sache ist und was getan werden muss, um das Problem zu lösen.

Was gehört zu einem Bug-Bounty-Programm alles zwingend dazu?

Ein Bug-Bounty-Programm ist eigentlich nichts anderes als eine Sammlung von Spielregeln für Sicherheitsforscher und ethische Hacker, die Firmen konstruktiv unterstützen wollen. Ohne dass sie sich dafür von diesen Firmen anstellen lassen wollen. Oder strafbar machen.

Was wird in diesen Spielregeln definiert?

Das Programm legt beispielsweise ganz genau fest, welche Teile eines Systems die Bug-Jäger testen dürfen und welche nicht, über welche Schwachstellen man informiert werden möchte und wie dies belohnt wird. Zudem legt man Responsible-Disclosure- oder Coordinated-Vulnerability-Disclosure-Bedingungen fest. Diese definieren, wie und unter welchen Bedingungen man gefundene Schwachstellen veröffentlichen darf. Was übrigens in privaten Bug-Bounty-Programmen so gut wie nie der Fall ist. Etwa 80 Prozent aller Bug-Bounty-Programme geschehen unter Ausschluss der Öffentlichkeit. Sehr wichtig ist auch der sogenannte Legal Safe Harbor. Das Unternehmen muss sich dazu verpflichten, den Bug Hunter zu entkriminalisieren und die Tests als einen genehmigten Zugriff zu interpretieren. Dazu gehört, dass man den Hunter beschützt, wenn eine Drittinstanz versucht, rechtliche Schritte einzuleiten.

Wie arbeiten Sie mit diesen Bug-Jägern zusammen?

Wir bauen zwar eine gute, freundschaftliche Beziehung mit unseren ethischen Hackern auf. Wir versuchen aber nicht, sie an uns zu binden. Als Hunter muss man sich zunächst auf unserer Bug-Bounty-Plattform registrieren. Bei diesem Schritt muss man seine Identität uns gegenüber komplett preisgeben und eine Know-your-Customer-Verifizierung durchlaufen. Ein Cyberkrimineller würde das nie machen. Die Berichte der Community-Mitglieder werden zudem von uns bewertet. So kann man schnell sagen, wer sich schon seit Jahren in der Szene engagiert oder wer die beste Reputation hat. Kunden können so gezielt mit diesen Huntern zusammenarbeiten.

Gibt es in der Schweiz überhaupt genügend ethische Hacker, um ein Bug-Bounty-Programm sinnvoll betreiben zu können?

Die Bug-Jäger, die wir hier haben, sind so gut, dass es uns an nichts fehlt. Einige sind sogar so gut, dass sie ihre regulären Jobs gekündigt haben und hauptberuflich Bugs jagen – echte Profis also. Wir führen unsere ersten Tests vorwiegend mit Schweizer Huntern durch. Zunächst sind das meist nur eine Handvoll unserer besten Hacker. Später, wenn ein Kunde sich mit dem neuen Modell angefreundet hat, erhöhen wir sukzessive die Anzahl Bug-Jäger und holen gerne auch internationale Talente hinzu.

Spielt es eine grosse Rolle, woher die Hacker kommen?

Wenn man es mit ein paar wenigen Schweizer Hackern ausprobiert, merkt man, wie einfach und sicher das Ganze ist und dass es auch Spass macht. Die Frage, woher die Hacker eigentlich kommen, ist dann in der Regel schon vom Tisch.

Welche Fehler machen Unternehmen häufig, wenn sie so ein Programm auf die Beine stellen?

Das ist immer derselbe: Sie starten zu spät mit einem Bug-Bounty-Programm – wenn überhaupt. Das sehe ich bei sehr vielen Firmen. Manchmal setzt man sich zwar mit dem Thema auseinander. Aber dann versandet es in langen Debatten über die Risiken und Nutzen eines solchen Programms. Aus dem Grund haben wir auch unser Einstiegsprodukt, den Reality Check, entwickelt.

Was beinhaltet so ein Check?

Das Angebot ermöglicht es Firmen, die Vorteile eines Bug-Bounty-Programms einfach auszuprobieren – ohne irgendwelche Vorkenntnisse haben zu müssen. Wir führen den Check durch für die Kunden. Alles, was wir von ihnen brauchen, sind ein halbe Stunde Zeit für ein Beratungsgespräch und 29'000 Franken, die wir für die Belohnungen der Hacker verwenden. Man weiss also genau, was man erhält für sein Geld, nämlich kritische Sicherheitslücken zum noch sehr günstigen Marktpreis. In dem Gespräch klären wir etwa, welche Systeme wir testen dürfen. Der Kunde erhält im Gegenzug ein kleines, privates und zeitlich begrenztes Bug-Bounty-Programm, das komplett von uns gemanagt wird. Diese Checks haben bislang in 100 Prozent der Fälle zu einem riesigen Aha-Erlebnis bei den Kunden geführt.

Wie meinen Sie das?

Der Erkenntnisgewinn nach nur einem halben Tag ist meist massiv. Wenn man bloss über mögliche IT-Risiken spricht, ist das oft sehr theoretisch. Aber wenn man dem Kunden klar und reproduzierbar aufzeigt, wie man unbefugt auf dessen Kundendaten zugreifen kann oder ein System übernehmen oder manipulieren könnte, ist das etwas ganz anderes. Dem Kunden wird schnell klar, dass er gerade tatsächlich gehackt wurde. Einfach ohne all die negativen Konsequenzen, die man hat, wenn ein Cyberkrimineller dafür verantwortlich ist. Die ethischen Hacker wissen genau, was Sie tun, und sind sich ihrer Verantwortung sehr wohl bewusst. Daher ist es bisher noch kein einziges Mal zu einem durch unseren Test bedingten Problem- oder sogar Ausfall eines Systems gekommen. Dies obschon 99 Prozent der Test direkt auf den produktiven Systemen – unter wirklich realistischen Bedingungen eben – vorgenommen werden. Denn nur so erhält man wirklich eine korrekte und unverfälschte Risikoeinschätzung.

Und was kommt nach dem Reality Check?

Der nächste Schritt ist ein Proof of Concept. Während etwa 2 bis 3 Monaten zeigen wir dem Kunden, wie man ein Bug-Bounty-Programm aufsetzt, betreibt und laufend optimiert Das Programm wird gemeinsam mit den Kunden erarbeitet. Dieser erhält Zugriff auf unsere Bug-Bounty-Plattform. In der Regel binden wir die Plattform auch gleich an das Ticketing-System des Kunden an. Der letzte Schritt ist der Ausbau zu einem kontinuierlichen Programm mit einer Jahreslizenz. Denn ein Bug-Bounty-Programm setzt man nicht einfach auf und lässt es dann laufen. Man muss es kontinuierlich weiterentwickeln und die Erkenntnisse, die man gewinnt, wieder zurück hineinfliessen lassen. Zudem startet man eigentlich immer klein und privat und baut das Programm dann sukzessive aus, bis es öffentlich ist und alle IT-Systeme eines Unternehmens umfasst.

Wie misst man den Erfolg eines Bug-Bounty-Programms? Entweder man investiert viel Geld und findet nichts, oder man investiert viel Geld, um herauszufinden, dass das eigene IT-System nicht sicher ist und auch wieder Investitionen benötigt.

Also es wäre natürlich sehr schön, wenn wir nichts finden würden (lacht). Aber das habe ich bis heute noch nicht erlebt. Falls nichts gefunden wird, lädt man einfach mehr ethische Hacker ein. Bei einem Bug-Bounty-Programm bezahlt man ja nur für valide und relevante Schwachstellen. Man kann also theoretisch unendlich viele ethische Hacker engagieren. Sollte dann immer noch nichts gefunden werden, kostet das Ganze praktisch nichts und man hat wirklich einen handfesten Beweis für das Sicherheitslevel des getesteten Systems. Der offensichtlichste Nutzen eines Bug-Bounty-Programms ist also, dass man endlich eine realistische Risikoeinschätzung hat und die gefundenen Schwachstellen schnell beheben kann. So kann man das Risiko von Cyberattacken signifikant senken.

Und mittel- bis langfristig?

Bug-Bounty-Programme fördern die digitale Transformation enorm; langfristig ist sie ohne gar nicht möglich. Jedes IT-System verfügt über kritische Schwachstellen und lässt sich daher meist sofort hacken. Es ist völlig egal, wie digital ein Unternehmen ist. Wenn die Firmendaten gestohlen oder verschlüsselt werden, verliert man nicht nur das Vertrauen der Kunden. Dann ist auch die digitale Transformation gescheitert. Somit ändert sich auch die Rolle der Informationssicherheit. Der CISO nimmt eine Schlüsselrolle ein und wird zum Treiber von Innovation und Geschäftserfolg.

Haben Sie schon mal ein System getestet und gar keine Schwachstellen finden können?

Nein, ein IT-System, in dem mit ethischen Hackern keine kritischen Schwachstellen gefunden werden konnten, ist mir nicht bekannt. Schwachstellen sind etwas Normales und gehören zur IT. Es geht darum, den Mut zu haben, diese Tatsache nicht zu verstecken und zu lernen, möglichst kompetent und transparent damit umzugehen.

Was sind die nächsten Schritte für Bug Bounty ­Switzerland?

Wir haben im ersten Jahr gezeigt, dass unser weltweit einzigartiges Bug-Bounty-Modell funktioniert und die Schweiz bereit ist dafür. Bei uns stehen nun einige spannende Themen an, zum Beispiel werden wir in diesem Jahr die Umwandlung in eine AG vornehmen. Auch sind wir daran, unser Team zu vergrössern, um der steigenden Nachfrage gerecht zu werden. Wir sind da­ran, uns gut aufzustellen für die Zukunft.

Wie lautet Ihr Top-Tipp für mehr IT-Sicherheit?

Genauso viel Zeit, wie man benötigt, um dieses Interview zu lesen, sollte man nun auch investieren, um mit uns einen Reality Check zu starten. Die Dringlichkeit wird nämlich komplett falsch eingeschätzt. Bug-Bounty-Programme sind kein Nice-to-have, sondern absolut notwendig. Nur so kann man latente Risiken mit potenziell sehr ernsten Konsequenzen im eigenen System aufdecken und mitigieren. Aus meiner Sicht gehört das einfach zur unternehmerischen Sorgfaltspflicht dazu.

Persönlich: Sandro Nafzger ist der führende Experte für Bug-Bounty-Programme und Crowdsourced Cybersecurity in der Schweiz. Er hilft Schweizer Organisationen, ihre IT-Sicherheit auf das nächste Level zu bringen – damit ihre digitale Transforma­tion gelingt. Er hat als Gesamtprojektleiter den Public Intrusion Test (PIT) für E-Voting geleitet und hat als externer Mitarbeiter das konzernweite Bug-Bounty-Programm der Schweizerischen Post aufgebaut. (Source: Bug Bounty Switzerland)