Wo Schatten ist, ist auch Licht – im Falle von Cyberattacken darf das Bonmot durchaus in umgekehrter Reihenfolge verwendet werden. Denn aufgrund der immer zahlreicher werdenden Angriffe auf Server, Systeme und Netzwerke von Unternehmen und öffentlichen Institutionen hat sich neben den «bösen» Hackern und Cyberkriminellen eine neue Berufsgattung entwickelt: die ethischen Hacker. Im Auftrag von Firmen hacken sie IT-Systeme, um Schwachstellen aufzuspüren, damit die internen IT-Verantwortlichen Schutzmassnahmen gegen unberechtigte Zugriffe aufbauen können.
Reality Check als einfacher Einstieg
Am Anfang einer Zusammenarbeit mit ethischen Hackern steht der in vielen Fällen der Reality Check. Bei diesem geht es um den unkomplizierten und einfachen Einstieg in die Zusammenarbeit mit ehtischen Hackern im Rahmen eines privaten Bug Bounty Programmes. «Dabei werden zuerst die Ziele definiert, die mit diesem Auftragshack gelöst werden sollen. Dazu gehört zum Beispiel die Definition der zum Angriff freigegebenen Systeme», erklärt Sandro Nafzger, CEO & Mitgründer der ersten Schweizer Bug-Bounty-Plattform.
Ist die Auftragslage geklärt, wird das Projekt auf der Plattform ausgeschrieben und die digitalen Einbrecher machen sich auf die Suche nach möglichen virtuellen Einfallspforten ins Unternehmen. Bezahlt werden sie in «Bounties» für das Auffinden von Schwachstellen, die Bezahlung fällt je nach deren Schweregrad höher aus. Dabei übernimmt die Firma von Nafzger die gesamte Organisation und Interaktion mit den ethischen Hackern. «So können interessierte Firmen dies einfach mal ausprobieren und erhalten schnell eine realistische Risikoeinschätzung sowie konkrete Empfehlungen, wie sie ihre Sicherheit verbessern sollten.»
Denken wie ein Dieb
Das Prinzip ist einfach: Um Diebe fangen zu können, muss man denken wie ein Dieb. Oder anders gesagt: In dem Mass, wie «böse» Hacker ihre Kenntnisse erweitern, sollten dies auch Unternehmen bzw. für sie beauftrage ethische Hacker tun. «Die Sicherheitsmassnahmen der Vergangenheit reichen aufgrund der zunehmenden Vernetzung und der damit einhergehenden Komplexität nicht mehr aus», konstatiert Sandro Nafzger. Er ist überzeugt, dass das ganze IT-System holistisch angeschaut werden müsse, und der Sicherheit mit statischen und oft einmaligen Audits und Sicherheitstests sowie der Installation der aktuellsten Patches kaum Genüge getan sei.
Schwachstellen zu finden, ist aber nur der eine Aspekt, wenn sich ein Unternehmen bewusst hacken lässt. Mit den gefundenen Schwachstellen und Lücken gut umzugehen, diese nachhaltig zu beheben und sicherzustellen, dass die ganze Organisation von diesen Erkenntnissen profitiert, der andere. «Es geht um viel mehr als nur Sicherheitslücken zu finden», betont Sandro Nafzger, «es geht um eine mutige, transparente und agile Kultur, die es ermöglicht, Sicherheit als kontinuierlichen Verbesserungsprozess zu leben.»
Sich über Fehler freuen
Das hat auch die Baloise festgestellt, die ihre IT-Landschaft seit vergangenem Oktober von ethischen Hackern erforschen lässt. «Unsere Sicherheitsstrategie ist Teil unserer Simply Safe Geschäftsstrategie und in dieser verankert», betont Marc Etienne Cortesi, Chief Information Security Officer der Baloise. Die vergangenen Monate hätten gezeigt, dass in Sachen IT-Sicherheit ein Paradigmenwechsel stattfinde. «Anstatt Fehler zu verstecken oder uns vor diesen zu fürchten, bezahlen wir nun Spezialisten, die Fehler bei uns finden, und freuen uns darüber, weil wir daraus sehr viel lernen.»
Nach rund einem halben Jahr hat die Baloise sowohl den Reality Check als auch den drei Monate dauernden Proof of Concept durchlaufen. «In diesem haben wir die volle Transparenz über die Funktionsweisen und die Integrationsmöglichkeiten des Bug-Bounty-Programms gelernt», blickt Marc Etienne Cortesi zurück. Aktuell befindet sich die Baloise in der Übergangsphase zu einer kontinuierlichen Zusammenarbeit mit den externen Sicherheitsforschern. Der Feedback-Loop zwischen der internen IT und den Hackern funktioniert immer besser. Und Marc Etienne Cortesi stellt fest, dass sich dadurch auch die wahrgenommene Sicherheit verstärkt habe. Und nicht nur dies. Als Anbieterin von Cyberversicherungen für KMU ist die Baloise zurzeit am Evaluieren, ob und wie der Aspekt «Prävention» künftig Bestandteil des Cyberproduktes werden könnte.
Dass trotz aller Präventionsmassnahmen ein hohes Mass an Vorsicht und ständiger Beobachtung im Thema Cyber unabdingbar ist, hat die Baloise aufgrund eines Cyberangriffs kürzlich wieder erlebt. Der Angriff auf die Baloise und andere Grossunternehmen hat gezeigt, dass eine Attacke selbst mit grossflächigen und sich auf dem neuesten Stand der Technik befindenden Sicherheitsvorkehrungen nicht selbstverständlich abwehrbar ist.