Schwachstellen aufspüren, Belohnung kassieren

Viele Webseiten von Unternehmen sind Einfallstore für Cyberkriminelle. Der Verband der Internetwirtschaft eco e. V. hat mehr als 1.400 Webseiten kleiner und mittelständischer Unternehmen mit dem Sicherheits-Scanner SIWECOS untersucht und dabei zahlreiche Sicherheitslücken festgestellt. „Rund jede zweite KMU-Webseite ist potenziell angreifbar“, berichtet Cornelia Schildt, SIWECOS-Projektleiterin und Sicherheitsexpertin im eco-Verband.

Würden diese Schwachstellen nicht bei einem Security-Projekt, sondern von kriminellen Hackern entdeckt, könnten in vielen Fällen vertrauliche Daten ausspioniert und Webdienste manipuliert und behindert werden. Das Ziel muss es deshalb sein, die Schwachstellen vor den Angreifern aufzuspüren und zu beheben.

Sicherheitslücken findet man in nahezu jeder Software. Die Ursachen dafür sieht Gartner-Analyst Dale Gardner in den Entwicklungsprozessen: „Da die Tests häufig gegen Ende des Entwicklungszyklus stattfinden, werden viele Fehler nicht behoben, weil die Teams darauf drängen, die Fristen einzuhalten.“ Auch neuere Verfahren wie DevOps ändern daran wenig, so Gardner. „Während sich Programmierer und Betriebs­teams zu DevOps entwickeln, fehlt den kombinierten Gruppen eine einheitliche Sicht auf die Schwachstellen. Es gibt keine Grundlage für die gemeinsame Priorisierung potenzieller Sicherheitsprobleme oder die Priorisierung von Fixes.“

Ein weiteres Problem, das der Gartner-Experte sieht: „Die Kombination von Schwachstellendaten aus mehreren Quellen überfordert Teams, die keine Ahnung haben, wo sie mit der Bewertung beginnen sollen und welche Aufgaben sie durchführen sollen.“

Dazu kommt, dass viele Unternehmen nicht über die Security-Experten verfügen, um ihre IT regelmäßig auf Schwachstellen zu checken und Lücken zu schließen. Da hilft es auch wenig, wenn in einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) 71 Prozent der befragten Unternehmen und Institutionen angaben, über ein strukturiertes Patch-Management zu verfügen, um auf bekannt gewordene Sicherheitslücken schnell reagieren zu können. Viele Schwachstellen sind den Unternehmen nämlich überhaupt nicht bekannt, und unbekannte Sicherheits­lücken werden nicht gepatcht. Oberstes Gebot ist also, möglichst viele Sicherheitslücken zu erkennen.

Es gibt verschiedene Ansätze, um die Anzahl an Schwachstellen in Software-Produkten zu verringern. Intensive Sicherheitsuntersuchungen oder das Ankaufen von Schwachstelleninformationen über Bug-Bounty-Programme können zur Erkennung einzelner Sicherheitslücken führen, erklärt das BSI. „Bug Bounty“ steht dabei für ein „Kopfgeld“, das für gemeldete Software-Schwachstellen gezahlt wird.

Bug-Bounty-Programme wenden das Prinzip des Crowdsourcings auf die Cybersicherheit an: Es wird eine Gemeinschaft von Sicherheitsexperten mobilisiert, die IT-Systeme individuell testet. Die Experten erhalten für jede entdeckte Schwachstelle eine Belohnung. Sie liefern den Unternehmen mehr oder weniger detaillierte Berichte zur jeweiligen Schwachstelle und dazu, wie man sie beseitigen kann. Und das, bevor Angreifer sich die Lücke zunutze machen.

Eine Untersuchung, initiiert von der Bug-Bounty- und Penetrationstest-Plattform HackerOne, legte kürzlich offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der vergangenen Jahre durch ein solches Programm drastisch hätten gesenkt werden können. Diese Datenschutzverletzungen haben die Unternehmen kumuliert rund 307 Millionen Euro gekostet. Mit Investitionen von insgesamt lediglich gut 11.000 Euro hätten sie verhindert werden können, so die Rechnung von HackerOne. Die Schätzung basiert auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlich gravierender Schwachstellen im Rahmen eines Bug-Bounty-Programms. Bug-Bounty-Programme gibt es für jede Art von Software, insbesondere auch für mobile Apps.

„Apps sind weiterhin die beste Angriffsmethode für Cyberkriminelle. Leider erkennen die Vorab-Scan- und Penetrationstest-Services nur bekannte Sicherheitslückenmuster oder verwenden eine begrenzte Anzahl von Angriffsmustern“, erklärt Amy DeMartine, Vice President und Research Director bei Forrester Research. „Bug-Bounty-Programme laden geprüfte Sicherheitsforscher ein, Sicherheitslücken zu entdecken. Da diese Sicherheitsforscher auf der Basis der Ergebnisse bezahlt werden, finden Bug-Bounty-Programme erfolgreich schwerwiegendere und schwerer fassbare Sicherheitslücken als andere Sicherheitstests.“

---

Die Bandbreite von Bug-Bounty-Programmen veranschaulichen die folgenden Beispiele:

EU: Die Europäische Kommission etwa ruft Sicherheitsforscher dazu auf, Sicherheits­lücken in 15 Open-Source-Software-Projekten zu finden, die von den EU-Institutionen in großem Umfang genutzt werden. Die Prämien reichen von 3000 bis 25.000 Euro. Für die Behebung der erkannten Sicherheitslücken wird ein zusätzlicher Bonus von 20 Prozent angeboten.

Apple: Der IT-Konzern betreibt das Programm Apple Security Bounty. Dabei bietet Apple je nach Art und Schwere des gemeldeten Sicherheitsproblems Belohnungen zwischen 100.000 Dollar (Maximum für eine Schwachstelle, die einen nicht autorisierten Zugriff auf iCloud-Kontodaten auf Apple-Servern ermöglicht) und einer Million Dollar für besondere Sicherheitslücken, die eine Netzwerkattacke ohne Beteiligung des Nutzers möglich machen.

Um solche Belohnungen zu erhalten, sind allerdings eine Reihe von Bedingungen zu erfüllen, die von Apple vorgegeben werden. Dazu gehört unter anderem:

Huawei: Der chinesische Telekommunikationsausrüster Huawei lädt Sicherheitsforscher ein, am Huawei-Mobile-Phone-Bug-Bounty-Programm teilzunehmen, und vergibt Prämien von bis zu 200.000 Euro pro eingereichter Schwachstelle – je nach Schweregrad. „Bug-Bounty-Programme sind seit einigen Jahren weit verbreitet und werden von Unternehmen eingesetzt, um die Sicherheit ihrer Produkte zu verbessern“, erläutert Gordon Muehl, Global CTO Security & Privacy Protection bei Huawei. „Es gibt viele unabhängige Sicherheitsforscher und dies ist ein Weg, um Zugang zu ihrem Wissen zu erhalten, mit ihnen zusammenzuarbeiten und die Sicherheit und Privatsphäre von Huawei- und Honor-Endgeräten zu ver­bessern.“

Im April 2018 hatte Huawei das Bug-Bounty-Programm testweise in China gestartet. Seit November vergangenen Jahres kooperiert Huawei nun mit der Amsterdamer Bug-Bounty-Plattform Zerocopter, um das Programm offiziell in Europa einzuführen.

OnePlus: Der Smartphone-Hersteller OnePlus hat kürzlich ebenfalls ein Bug-Bounty-Programm gestartet und ist dafür eine Partnerschaft mit der Sicherheitsplattform HackerOne eingegangen. HackerOne verspricht Zugriff auf ein umfangreiches Netzwerk von Security-Experten, die Sicherheitslücken aufspüren, bevor diese von externen Akteuren ausgenutzt werden können.

Gleichzeitig will das OnePlus Security Response Center, die eigene Bug-Bounty-Plattform, bei der Aufdeckung, Offenlegung und Behebung von Problemen, die die Sicherheit der OnePlus-Systeme beeinträchtigen könnten, mit Wissenschaftlern und Sicherheitsspezialisten zusammenarbeiten. Sicherheitsforscher aus der ganzen Welt können mit Hilfe des neuen Bug-Bounty-Programms nach OnePlus-bezogenen Sicherheitsproblemen suchen und diese melden. Die Belohnungen für qualifi­zierte Fehlerberichte bewegen sich zwischen 50 und 7000 Dollar, abhängig von der möglichen Auswirkung der Bedrohung.

Lufthansa: Auch die Lufthansa betreibt ein Bug-Bounty-Programm, und das schon seit geraumer Zeit. „Unsere Webpräsenzen sind interessant für Kriminelle im Netz. Datenklau und -handel sind ein lu­kratives Geschäft geworden. Die Sicherheit unserer Kundendaten hat seit jeher oberste Priorität. Wir haben bereits sehr hohe Standards, um Kundendaten zu schützen, und möchten diese mit Hilfe des Bug-Bounty-Programms noch weiter verbessern“, erklärte Andreas Dürkop, Vice President IT Security der Lufthansa Group, schon 2017.

---

Das Belohnen von Sicherheitsforschern für das Erkennen von Sicherheitslücken in Software und deren verantwortungsvolle Offenlegung gegenüber dem Unternehmen ist eine gute Investition für Unternehmen, bestätigt die EU-Agentur für Cybersicherheit ENISA. Die ENISA weist in diesem Zusammenhang allerdings auf etwas Wichtiges hin: Ein Bug-Bounty-Programm könne von Vorteil sein, das Unternehmen müsse aber über die richtigen Prozesse verfügen, um es unter­stützen zu können.

„Grundsätzlich ist ein Bug-Bounty-Programm eine gute Idee“, meint auch Tim Berghoff, Security Evangelist beim IT-Sicherheitsunternehmen G-Data CyberDefense. Und auch er gibt zu bedenken: „Wie in allen Bereichen, in denen es um Sicherheit geht, stellt sich unausweichlich die Frage nach einem entsprechenden Prozess. Die entscheidenden Fragen sind hier: Wie kann jemand von extern eventuelle Bugs oder Sicherheitslücken melden? Wer bekommt diese Meldungen und wie werden sie priorisiert? Wenn diese und andere Fragen nicht geklärt sind, dann hilft ein Bug-Bounty-Programm nicht nur nicht weiter, sondern verursacht Verwirrung.“

Viele Unternehmen seien dazu übergegangen, ein Bug-Bounty-Programm an einen externen Dienstleister zu geben, so Tim Berghoff. Alle Berichte würden über diese Plattform gesammelt, sodass dieser Aufwand für die angeschlossenen Unternehmen entfalle. Damit werde jedoch nur ein Teilaspekt verlagert. Ein Unternehmen, das eine solche externe Plattform nutzt, müsse die darüber gesammelten Reports immer noch verarbeiten. Es sei also nicht damit getan, einfach nur eine Seite auf der Homepage zu erstellen und eine Mailbox einzurichten.

Berghoff warnt: „Fehlen die darunterliegenden Prozesse und Zuständigkeiten, ist das Unternehmen organisatorisch einfach nicht bereit für ein Bug-Bounty-Programm. Mehr noch: Es ist gängige Praxis, eine an einen Hersteller gemeldete Sicherheits­lücke nach Verstreichen einer Frist von 90 Tagen öffentlich zu machen. Hat es ein Unternehmen bis zu diesem Zeitpunkt nicht geschafft, eine Lösung oder zumindest einen Work­around bereitzustellen, ist es
jedem möglich, der die Motivation und das Fachwissen hat, die Sicherheitslücke auszunutzen. Dass dies kaum im Sinne der betroffenen Unternehmen ist, versteht sich von selbst.“

Daraus folgt: Unternehmen, die selbst ein Bug-Bounty-Programm aufsetzen möchten, sollten zuerst ein Verfahren etablieren, wie Externe Sicherheits­lücken an das Sicherheitsteam des Unternehmens melden können. Dazu gehört ein sicherer Kommunikationskanal, damit die Meldungen nicht in falsche Hände gelangen.

Um die gemeldeten Sicherheitslücken gefahrlos überprüfen zu können, braucht man zudem im Unternehmen entsprechende Testumgebungen. Und es müssen die Kapazitäten für eine zeitnahe Reaktion auf die gemeldeten Sicherheitslücken vorhanden sein. Alle relevanten Stellen wie Unternehmensleitung, Security-Team, Rechtsabteilung, eigene Entwickler und die Kommunikationsabteilung müssen involviert werden. Und schließlich müssen der Umfang des Programms und die Höhe der möglichen Belohnungen klar kommuniziert werden.

So hilfreich gut gemachte Bug-Bounty-Programme für die Cybersicherheit auch sein können, sie reichen bei Weitem nicht aus, um wirklich fehlerfreie Software zu gewährleisten. Da einem Angreifer im Regelfall schon eine einzige Schwachstelle in einem Software-Produkt genügt, um sie auszunutzen, ein Hersteller oder Verteidiger hingegen alle Schwachstellen eliminieren muss, ist die Suche und Beseitigung von Schwachstellen zwar notwendig, aber nicht hinreichend, wie das BSI betont.

Trotz Bug-Bounty-Programm muss ein Unternehmen also davon ausgehen, dass immer Schwachstellen vorhanden sind, die früher oder später erfolgreich ausgenutzt werden können. Für einen angemessenen Schutz sind daher weitere Maßnahmen notwendig. Cybersicherheit ist und bleibt ein umfangreiches Paket an Verfahren, Standards, Lösungen und Expertenwissen. Was alles zur Vermeidung von Schwachstellen gehört, zeigen zum Beispiel die Empfehlungen der EU-Agentur für Cybersicherheit ENISA unter www.enisa.europa.eu/publications/info-notes/effective-patch-management.