Unternehmen zu zögerlich im Umgang mit professionellen Hackern

CISOs: Softwareprojekte aus Angst vor Sicherheitsproblemen nicht umgesetzt.

Bei einer Umfrage [1] zur Zusammenarbeit zwischen Unternehmen und Hackern wurde deutlich, dass die Sicherheitsverantwortlichen (CISO, Chief Information Security Officer) im Unternehmen zwar einerseits beklagen, dass Softwareprojekte aus Angst vor Sicherheitslücken gar nicht erst umgesetzt werden. Andererseits nutzen diese CISOs jedoch noch zu selten die Möglichkeit, ihre Software professionell von Hackern testen zu lassen.

Anzeige

Die jetzt veröffentlichte Umfrage sollte die Frage beantworten, mit welchen Herausforderungen CISOs beim Umgang mit Softwarelücken in selbstentwickelter Software konfrontiert sind. Betrachtet wurde auch die Offenheit der Verantwortlichen gegenüber Hackern zur Beseitigung dieser Fehler. Für die Umfrage hat HackerOne die Experten von Opinion Matters beauftragt, CISOs in Deutschland, Frankreich und Großbritannien zu den oben genannten Themen zu befragen – mehr als 600 beteiligten sich in der Folge daran.

Anzeige

Eine der erschreckendsten Erkenntnisse daraus ist, dass fast neun von zehn CISOs (88 Prozent) in Deutschland, Softwareprojekte aus Angst vor Sicherheitslücken im Produkt nicht umsetzen. In Frankreich liegt dieser Wert bei etwa 87 Prozent und in Großbritannien bei knapp 83 Prozent. Dabei spielt für viele das Thema »Geschwindigkeit« in der Qualitätssicherung eine große Rolle. So gaben 60 Prozent der Befragten aus Deutschland an, dass das Entwicklungstempo ihrer Organisation die Ressourcen ihres Sicherheitsteams übersteigt. Im europäischen Vergleich waren es sogar 63 Prozent.

White-Hat-Hacker

Dabei gäbe es für die Unternehmen durchaus Möglichkeiten, die Sicherheit ihrer Software trotz dieser Herausforderungen zu verbessern. Dazu gehört beispielsweise die Einbindung sogenannter White-Hat-Hacker, die die Software umfassend auf Schwachstellen prüfen. Diese White Hats sind keine Hacker, die sich auf kriminelle Weise in Unternehmen hacken und diese erpressen wollen oder Daten stehlen. Im Gegenteil, ihr Interesse ist es, die Sicherheit von Software und Websites durch ihre Arbeit, durch ihr Hobby und Engagement zu steigern. Doch noch stehen viele Organisationen einer uneingeschränkten Zusammenarbeit mit Hackern kritisch gegenüber: Lediglich 36 Prozent der deutschen CISOs zeigen sich offen dafür, Meldungen zu Bugs in ihrer Software aus der gesamten Hacker-Community zu berücksichtigen, wohingegen ein Viertel auch Berichte zu Bugs akzeptieren würden, welche nicht von zuvor überprüften Hackern stammen.

Genau an dieser Stelle setzt HackerOne an. Das Unternehmen bietet eine globale Plattform, auf der sich Organisationen und Hacker virtuell treffen können. Diese Organisationen können Hacker zur Prüfung ihrer Websites, XaaS-Angebote und Software engagieren. Die gefundenen und nach Vorgaben dokumentierten Lücken werden dann an den Auftraggeber gemeldet. Für diese Meldungen erhalten die Hacker eine Prämie, bekannt als »Bug Bounty«.

»Wir sehen einen großen Mehrwert für Organisationen darin, externe Experten für die Qualitätssicherung zu engagieren«, erklärt Laurie Mercer, Security Engineer, den Ansatz. »Hacker sind getrieben von der Leidenschaft zur Jagd nach Sicherheitslücken. Die Möglichkeit für Unternehmen, sich diese Leidenschaft in Zusammenarbeit mit den Hackern zunutze zu machen und deren Erfolg, also das Auffinden einer Schwachstelle, zu belohnen, ist für alle nur von Vorteil. Die Hacker verdienen Geld, die Unternehmen können sicherere Plattformen anbieten und wir alle profitieren von verbesserter Sicherheit in der Software und den Websites, die wir tagtäglich nutzen.«

Anzeige

Auf der Plattform sind mittlerweile mehr als 600.000 Hacker registriert. Um an Bug-Bounty-Programmen teilnehmen zu können, müssen sie sich mit ihrem Namen, Adresse und anderen nachprüfbaren Details eindeutig zu erkennen geben und müssen sich verpflichten, im Sinne einer Verbesserung der Sicherheit zu arbeiten. Auf Grund der eindeutigen Identifizierung und der Verpflichtung zur Kooperation mit HackerOne und deren Kunden, stehen den Organisationen hier viele Möglichkeiten offen.

Die wichtigsten Ergebnisse der Umfrage im Überblick:

  • 88 Prozent der deutschen CISOs beklagen, dass Softwareprojekte aufgrund der Angst vor unvermeidlichen Sicherheitsproblemen nicht umgesetzt werden
  • Rund ein Drittel dieser Verantwortlichen ist der Meinung, dass ihre Organisation zu viel Zeit damit verbringt, sicherheitsrelevante Schwachstellen im Code zu schließen
  • 39 Prozent geben zu, dass Penetration Tests nicht genügend Ergebnisse liefern, um mit dem Entwicklungstempo Schritt zu halten
  • 60 Prozent sagen, dass das Entwicklungstempo ihrer Organisation die Ressourcen ihres Sicherheitsteams übertrifft
  • 59 Prozent der deutschen CISOs würden lieber das Risiko von Software-Schwachstellen akzeptieren, als unbekannte Hacker zu engagieren
  • Nur 36 Prozent sind bereit, Meldungen zu Bugs aus der gesamten Hacker-Community zu akzeptieren

 

[1] HackerOne, eine globale Bug-Bounty-Plattform, hat die Ergebnisse einer Umfrage zur Zusammenarbeit zwischen Unternehmen und Hackern bekannt gegeben.

 

KI und Ethik – Wunsch kontra Wirklichkeit

Studie zeigt: Mehrheit hält ethische Auseinandersetzung mit künstlicher Intelligenz für wichtig. Ethische Richtlinien in Unternehmen sind aber noch in den Kinderschuhen. Künstliche Intelligenz (KI) verändert die Unternehmenswelt. Dem stimmen die meisten der 600 befragten Unternehmensvertreter aus dem aktuellen »Digitalisierungsmonitor 2020« der Management- und Technologieberatung BearingPoint zu. Dass bei weltverändernden Innovationen auch immer die Frage der…

Datenethik für KI wird zur Top-Priorität

CIOs müssen die ethische Nutzung von Daten zu einer Top-Priorität machen, um mit der sich schnell entwickelnden Regulierungslandschaft Schritt zu halten. Wir befinden uns inmitten der vierten industriellen Revolution. Daten sind zu einem der wertvollsten Güter geworden, nicht zuletzt deshalb, weil künstliche Intelligenz stark von ihnen abhängt. KI und maschinelles Lernen werden derzeit in vielen…

Keine Mails sind auch keine Lösung

In Behörden und Verwaltungen finden sich in hohem Umfang vertrauliche Daten von Bürgerinnen und Bürgern. Zudem können sie eigentlich weder den Empfang von E-Mail-Anhängen noch den Zugriff auf Webseiten strikt reglementieren, da sie berechtigte Anliegen enthalten können. Jedenfalls war das der bisherige Ansatz: Niedersachsens Finanzbehörden blockieren nun Mails mit Linkadressen oder Office-Anhängen und gehen damit…

Teamarbeit – Welche Typen braucht ein erfolgreiches Team?

Ein gut funktionierendes Team ist ein Schlüsselfaktor, um Vorhaben zum Erfolg zu führen – das gilt im Sport genauso wie in der Wissenschaft oder Wirtschaft. Millionen brillanter Entwicklungen haben nie den Weg in die Produktion oder den Verkauf gefunden, weil dem genialen Techniker jemand fehlte, der Geldgeber finden, das Management überzeugen oder das Marktpotenzial aufschlüsseln…

KI mit Byte und Siegel? Eine Einschätzung zu den KI-TÜV-Plänen der Bundesregierung

  Jetzt macht Deutschland in künstliche Intelligenz (KI): mit Formularen, Verordnungen und Prüfplaketten. Diesen Eindruck erwecken einige Überschriften der letzten Tage. Die Pläne des sogenannten KI-TÜVs der Bundesregierung machten die Runde. Im Bundesministerium für Arbeit und Soziales angesiedelt, soll das KI-Observatorium – so die offizielle, etwas altbackene Bezeichnung – das Thema KI voranbringen. Der Zwischenbericht…

»Nightmare Before Christmas« oder wie Sie verhindern, dass Saisonkräfte zum Sicherheitsalbtraum werden

Viele Einzelhändler sind in der Weihnachtszeit mehr denn je auf Saisonkräfte angewiesen. Eine bewährte Praxis. Allerdings ist sich die Branche oftmals nicht ausreichend bewusst, welche Sicherheits- und Datenschutzrisiken sie sich quasi mit einkauft. Im vergangenen Jahr haben Einzelhändler in den USA über 757.000 Zeitarbeiter eingestellt. Auch europäische Unternehmen suchen nicht zuletzt in der Logistik- und…

Den Mythen der IT-Sicherheit auf der Spur

Rund um das Thema IT-Sicherheit kursieren immer noch zahlreiche falsche Vorstellungen.   Die hohe Bedeutung von IT-Sicherheit stellt kaum jemand mehr in Frage. Doch wer ist dafür verantwortlich und wie ist sie realisierbar? Hier gibt es nach wie vor viele Irrtümer. Bromium räumt mit fünf gängigen auf. Cyber-Security ist in erster Linie ein Thema für…

Bug-Bounty-Programme erfolgreich aufsetzen, aber wie?

Cyberangriffe beherrschen weiterhin die Schlagzeilen. Nicht zuletzt, weil Datenschutzverletzungen zunehmend schwerwiegende Auswirkungen auf Geschäftsprozesse und Unternehmen haben. Und wo in einem Netzwerk Schwachstellen sind, da werden sie vermutlich auch irgendwann ausgenutzt. Man muss allerdings nicht tatenlos zusehen bis es tatsächlich passiert. Eine Methode, die sich inzwischen etabliert hat, sind sogenannte Bug-Bounty-Programme. Darüber werden erfahrene White-Hat-Hacker…

Wenn Cyberkriminelle die Seiten wechseln – Der Einsatz von Ethical Hacker

Unternehmen stehen ständig vor der Herausforderung, mit der wachsenden Bedrohungslandschaft Schritt zu halten. Eine Möglichkeit, um Sicherheitslücken in Systemen frühzeitig zu identifizieren, ist der Einsatz sogenannter Ethical Hackers. Zu ihren Aufgabengebieten gehören etwa Penetrationstests von Netzwerken, Rechnern, webbasierten Anwendungen und anderen Systemen, um potenzielle Bedrohungen aufzudecken. Oft handelt es sich bei diesen Mitarbeitern um Hacker,…

Was uns ein US-Präsidentschaftskandidat über Hacker lehrt

Im letzten Monat wurde ein nicht ganz uninteressanter Fakt publik gemacht. Beto O’Rourke, der neueste Kandidat im Wettlauf um die US-Präsidentschaft und potenzieller Gegner von Donald Trump, ist ein ehemaliges Mitglied einer der ältesten Hackergruppierungen in den USA, den – Cult of the Dead Cow. Eine Gruppierung, die insbesondere dafür bekannt war, sich gegen staatliche…

Bundesamt für Sicherheit in der Informationstechnik untersucht Sicherheitseigenschaften von Windows 10

Das Betriebssystem Windows 10 sendet umfangreiche System- und Nutzungsinformationen an Microsoft. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für Anwender aber nur schwer umzusetzen.   Das ist das Ergebnis einer Untersuchung der zentralen Telemetriekomponente von Windows 10, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt hat.…