KMUs und Gemeinden sollen Zugang zu Bug-Bounty-Programmen erhalten

Bug Bounty Switzerland und die Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) haben ein Forschungsprojekt gestartet, um Bug-Bounty-Programme für KMU und Gemeinden zugänglich zu machen. Wie Bug Bounty Switzerland mitteilt, steht im Zentrum der Frage, wie bestehende Methoden weiterentwickelt werden können, um Organisationen mit geringen Ressourcen zu befähigen. In der bereits angelaufenen Vorstudie, die von Innosuisse unterstützt wird, wird zunächst die Zielgruppe von KMUs und Gemeinden untersucht. So will man verstehen, welche Bedürfnisse diese Organisationen haben, wo Hürden liegen und wie ein passendes Bug-Bounty-Angebot ausgestaltet werden müsste.

Finanzierungsalternativen und Know-how-Beschaffung

Bug Bounty Switzerland schreibt weiter, dass es heute in erster Linie grössere Organisationen wie das Unispital Zürich, Ringier und die Valiant-Bank sind, die kontinuierliche Bug-Bounty-Programme betreiben. Gemeinsam mit der ZHAW will man nun die Komplexität reduzieren, um kleineren Unternehmen mit knappen finanziellen Möglichkeiten zu helfen. In der Vorstudie gehe es etwa darum, welche alternativen Finanzierungsmethoden denkbar sind und welche nicht-monetären Anreize man ethischen Hackern bieten könne.

Werden Schwachstellen identifiziert, stelle sich ausserdem die Frage, wie das danach benötigte Know-how bereitgestellt wird, um die Probleme anzugehen. Dabei müssten insbesondere die auch jene Dienstleister eingebunden werden, die sich als Outsourcing-Anbieter um das Management der IT-Systeme kümmern, wie es weiter heisst. Schliesslich interessiere die Forschenden auch, inwiefern eine Community von Bug-Bounty-Anwendern für den Austausch untereinander und mit ethischen Hackern von Nutzen sein könnte.

Umfassender Schutz kann KMUs nicht vernachlässigen

"Soll die digitale Transformation in der Schweiz als Ganzes gelingen, dürfen wir die KMUs – und auch den öffentlichen Sektor – sicherheitstechnisch nicht vernachlässigen", sagt Peter Heinrich von der Fachstelle für Prozessmanagement und Informationssicherheit an der ZHAW School of Management and Law. Das Aufzeigen von Sicherheitslücken reiche dabei nicht: "Wir müssen echte Handlungsfähigkeit erzeugen. Die Organisationen müssen die Mittel und das Know-how erhalten, um ihre Gefährdung richtig einschätzen zu können und sinnvolle Entscheidungen zu treffen. Wir wollen deshalb herausfinden, wo sie Hilfe zur Selbsthilfe benötigen."

Gemäss Mitteilung wollen Bug Bounty Switzerland und die ZHAW die Plattform von Bug Bounty Switzerland in einem Folgeprojekt zu einem Schweizer Ökosystem für ganzheitliches Schwachstellenmanagement machen. Es soll alle Akteure - auch etwa Behörden und Lieferanten - in einem kontinuierlichen Informationssicherheitsprozess verbinden und auch für KMUs, Kleinstorganisationen und die öffentliche Verwaltung zugänglich sowie erschwinglich sein.

"Wir leben in einer vernetzten Welt. Den Schutz des Wirtschaftsstandorts Schweiz im weltweiten Netz müssen wir gemeinsam in den Griff bekommen", sagt Sandro Nafzger, CEO von Bug Bounty Switzerland. "Als Schweizer Bug-Bounty-Pionier wollen wir einen Beitrag zur Sicherheit des Landes und zum Gelingen der digitalen Transformation leisten: Gemeinsam für eine sichere Schweiz."

Bug-Bounty-Programme kommen in der Schweiz immer häufiger zum Zug. Zudem können sie auch jungen IT-Talenten helfen. Wie, erklärt Lukas Heppler, CPO und Mitgründer von Bug Bounty Switzerland, im Interview.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.