Kopfgeldjäger
09.04.2020, 06:57 Uhr
Schwachstellen aufspüren, Belohnung kassieren
Bug-Bounty-Programme sollen Hacker animieren, Sicherheitslücken zu melden. Dafür zahlen die Unternehmen je nach schwere des Lecks eine beträchtliche Prämie.
Viele Webseiten von Unternehmen sind Einfallstore für Cyberkriminelle. Der deutsche Verband der Internetwirtschaft eco hat mehr als 1400 Webseiten kleiner und mittelständischer Unternehmen mit dem Sicherheits-Scanner SIWECOS untersucht und dabei zahlreiche Sicherheitslücken festgestellt. «Rund jede zweite KMU-Webseite ist potenziell angreifbar», berichtet Cornelia Schildt, SIWECOS-Projektleiterin und Sicherheitsexpertin im eco-Verband.
Würden diese Schwachstellen nicht bei einem Security-Projekt, sondern von kriminellen Hackern entdeckt, könnten in vielen Fällen vertrauliche Daten ausspioniert und Webdienste manipuliert und behindert werden. Das Ziel muss es deshalb sein, die Schwachstellen vor den Angreifern aufzuspüren und zu beheben.
Vorprogrammierte Lücken
Sicherheitslücken findet man in nahezu jeder Software. Die Ursachen dafür sieht Gartner-Analyst Dale Gardner in den Entwicklungsprozessen: «Da die Tests häufig gegen Ende des Entwicklungszyklus stattfinden, werden viele Fehler nicht behoben, weil die Teams darauf drängen, die Fristen einzuhalten.» Auch neuere Verfahren wie DevOps ändern daran wenig, so Gardner. «Während sich Programmierer und Betriebsteams zu DevOps entwickeln, fehlt den kombinierten Gruppen eine einheitliche Sicht auf die Schwachstellen. Es gibt keine Grundlage für die gemeinsame Priorisierung potenzieller Sicherheitsprobleme oder die Priorisierung von Fixes.»
“Die Verantwortlichen in vielen Unternehmen wissen oft nicht, dass ihr CMS Schwachstellen hat, und gefährden so Unternehmens-IT und Kundendaten.„
Cornelia Schildt, Projekleiterin SIWECOS im eco-Verband
Ein weiteres Problem, das der Gartner-Experte sieht: «Die Kombination von Schwachstellendaten aus mehreren Quellen überfordert Teams, die keine Ahnung haben, wo sie mit der Bewertung beginnen sollen und welche Aufgaben sie durchführen sollen.»
Dazu kommt, dass viele Unternehmen nicht über die Security-Experten verfügen, um ihre IT regelmässig auf Schwachstellen zu checken und Lücken zu schliessen. Da hilft es auch wenig, wenn in einer Umfrage des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) 71 Prozent der befragten Unternehmen und Institutionen angaben, über ein strukturiertes Patch-Management zu verfügen, um auf bekannt gewordene Sicherheitslücken schnell reagieren zu können. Viele Schwachstellen sind den Unternehmen nämlich überhaupt nicht bekannt, und unbekannte Sicherheitslücken werden nicht gepatcht. Oberstes Gebot ist also, möglichst viele Sicherheitslücken zu erkennen.
Belohnungen für Hacker
Es gibt verschiedene Ansätze, um die Anzahl an Schwachstellen in Software-Produkten zu verringern. Intensive Sicherheitsuntersuchungen oder das Ankaufen von Schwachstelleninformationen über Bug-Bounty-Programme können zur Erkennung einzelner Sicherheitslücken führen, erklärt das BSI. «Bug Bounty» steht dabei für ein «Kopfgeld», das für gemeldete Software-Schwachstellen gezahlt wird.
Bug-Bounty-Programme wenden das Prinzip des Crowdsourcings auf die Cybersicherheit an: Es wird eine Gemeinschaft von Sicherheitsexperten mobilisiert, die IT-Systeme individuell testet. Die Experten erhalten für jede entdeckte Schwachstelle eine Belohnung. Sie liefern den Unternehmen mehr oder weniger detaillierte Berichte zur jeweiligen Schwachstelle und dazu, wie man sie beseitigen kann. Und das, bevor Angreifer sich die Lücke zunutze machen.
“Nutzen Sie die Möglichkeiten von Hackern, um die Anwendungen Ihres Unternehmens zu schützen.„
Amy DeMartine, VP und Research Director bei Forrester Research
Eine Untersuchung, initiiert von der Bug-Bounty- und Penetrationstest-Plattform HackerOne, legte kürzlich offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der vergangenen Jahre durch ein solches Programm drastisch hätten gesenkt werden können. Diese Datenschutzverletzungen haben die Unternehmen kumuliert rund 307 Millionen Euro gekostet. Mit Investitionen von insgesamt lediglich gut 11'000 Euro hätten sie verhindert werden können, so die Rechnung von HackerOne. Die Schätzung basiert auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlich gravierender Schwachstellen im Rahmen eines Bug-Bounty-Programms. Bug-Bounty-Programme gibt es für jede Art von Software, insbesondere auch für mobile Apps.
«Apps sind weiterhin die beste Angriffsmethode für Cyberkriminelle. Leider erkennen die Vorab-Scan- und Penetrationstest-Services nur bekannte Sicherheitslückenmuster oder verwenden eine begrenzte Anzahl von Angriffsmustern», erklärt Amy DeMartine, Vice President und Research Director bei Forrester Research. «Bug-Bounty-Programme laden geprüfte Sicherheitsforscher ein, Sicherheitslücken zu entdecken. Da diese Sicherheitsforscher auf der Basis der Ergebnisse bezahlt werden, finden Bug-Bounty-Programme erfolgreich schwerwiegendere und schwerer fassbare Sicherheitslücken als andere Sicherheitstests.»
Datenschutzverletzung vs. Schwachstellenaufdeckung
Datenschutzverletzung | Kosten/Strafe | Ausgenutzte Schwachstelle | Bug-Bounty-Marktwert |
British Airways | 212 Millionen Euro | JavaScript-Schwachstelle bei externem Dritten | 4634–9300 Euro |
Carphone Warehouse | 463'400 Euro | Veraltete WordPress-Schnittstelle | 94–9300 Euro |
TicketMaster | 5,8 Millionen Euro | JavaScript-Schwachstelle bei externem Dritten | 4634–9300 Euro |
TalkTalk | 89 Millionen Euro | SQL Injection | 1850–9300 Euro |
Datenschutzverletzung vs. Schwachstellenaufdeckung
Datenschutzverletzung | Kosten/Strafe | Ausgenutzte Schwachstelle | Bug-Bounty-Marktwert |
British Airways | 212 Millionen Euro | JavaScript-Schwachstelle bei externem Dritten | 4634–9300 Euro |
Carphone Warehouse | 463'400 Euro | Veraltete WordPress-Schnittstelle | 94–9300 Euro |
TicketMaster | 5,8 Millionen Euro | JavaScript-Schwachstelle bei externem Dritten | 4634–9300 Euro |
TalkTalk | 89 Millionen Euro | SQL Injection | 1850–9300 Euro |
Bug-Bounty-Beispiele
Die Bandbreite von Bug-Bounty-Programmen veranschaulichen die folgenden Beispiele:
EU: Die Europäische Kommission etwa ruft Sicherheitsforscher dazu auf, Sicherheitslücken in 15 Open-Source-Software-Projekten zu finden, die von den EU-Institutionen in grossem Umfang genutzt werden. Die Prämien reichen von 3000 bis 25'000 Euro. Für die Behebung der erkannten Sicherheitslücken wird ein zusätzlicher Bonus von 20 Prozent angeboten.
Apple: Der IT-Konzern betreibt das Programm Apple Security Bounty. Dabei bietet Apple je nach Art und Schwere des gemeldeten Sicherheitsproblems Belohnungen zwischen 100'000 Dollar (Maximum für eine Schwachstelle, die einen nicht autorisierten Zugriff auf iCloud-Kontodaten auf Apple-Servern ermöglicht) und einer Million Dollar für besondere Sicherheitslücken, die eine Netzwerkattacke ohne Beteiligung des Nutzers möglich machen.
Um solche Belohnungen zu erhalten, sind allerdings eine Reihe von Bedingungen zu erfüllen, die von Apple vorgegeben werden. Dazu gehört unter anderem:
- Der Forscher muss das Problem als Erster an die Apple Product Security melden
- Er muss einen klaren Bericht liefern, der einen funktionierenden Exploit enthält (für den Bericht macht Apple ebenfalls genaue Vorgaben)
- Das Problem darf nicht öffentlich bekannt gegeben werden, bevor Apple die Sicherheitsempfehlung für den Bericht veröffentlicht hat.
Huawei: Der chinesische Telekommunikationsausrüster Huawei lädt Sicherheitsforscher ein, am Huawei-Mobile-Phone-Bug-Bounty-Programm teilzunehmen, und vergibt Prämien von bis zu 200'000 Euro pro eingereichter Schwachstelle – je nach Schweregrad. «Bug-Bounty-Programme sind seit einigen Jahren weit verbreitet und werden von Unternehmen eingesetzt, um die Sicherheit ihrer Produkte zu verbessern», erläutert Gordon Muehl, Global CTO Security & Privacy Protection bei Huawei. «Es gibt viele unabhängige Sicherheitsforscher und dies ist ein Weg, um Zugang zu ihrem Wissen zu erhalten, mit ihnen zusammenzuarbeiten und die Sicherheit und Privatsphäre von Huawei- und Honor-Endgeräten zu verbessern.»
Im April 2018 hatte Huawei das Bug-Bounty-Programm testweise in China gestartet. Seit November vergangenen Jahres kooperiert Huawei nun mit der Amsterdamer Bug-Bounty-Plattform Zerocopter, um das Programm offiziell in Europa einzuführen.
OnePlus: Der Smartphone-Hersteller OnePlus hat kürzlich ebenfalls ein Bug-Bounty-Programm gestartet und ist dafür eine Partnerschaft mit der Sicherheitsplattform HackerOne eingegangen. HackerOne verspricht Zugriff auf ein umfangreiches Netzwerk von Security-Experten, die Sicherheitslücken aufspüren, bevor diese von externen Akteuren ausgenutzt werden können.
Gleichzeitig will das OnePlus Security Response Center, die eigene Bug-Bounty-Plattform, bei der Aufdeckung, Offenlegung und Behebung von Problemen, die die Sicherheit der OnePlus-Systeme beeinträchtigen könnten, mit Wissenschaftlern und Sicherheitsspezialisten zusammenarbeiten. Sicherheitsforscher aus der ganzen Welt können mit Hilfe des neuen Bug-Bounty-Programms nach OnePlus-bezogenen Sicherheitsproblemen suchen und diese melden. Die Belohnungen für qualifizierte Fehlerberichte bewegen sich zwischen 50 und 7000 Dollar, abhängig von der möglichen Auswirkung der Bedrohung.
Lufthansa: Auch die Lufthansa betreibt ein Bug-Bounty-Programm, und das schon seit geraumer Zeit. «Unsere Webpräsenzen sind interessant für Kriminelle im Netz. Datenklau und -handel sind ein lukratives Geschäft geworden. Die Sicherheit unserer Kundendaten hat seit jeher oberste Priorität. Wir haben bereits sehr hohe Standards, um Kundendaten zu schützen, und möchten diese mit Hilfe des Bug-Bounty-Programms noch weiter verbessern», erklärte Andreas Dürkop, Vice President IT Security der Lufthansa Group, schon 2017.
Bug-Bounty-Plattformen (Auswahl)
Plattform | Referenzen und Beispiele |
Bugcrowd | Mastercard, Netgear, Cisco Meraki, Tesla, FiatChrysler, Concur |
HackenProof | Kuna, everiToken, Codex Exchange |
HackerOne | AT&T, Equifax, TomTom, Capital One, Ford, Flickr, PayPal, IBM, MediaMarktSaturn, Toyota, Goldman Sachs, Sony, Starbucks |
Hacktrophy | TrustPay, Daybyme, Mall.sk, Marketlocator |
Intigriti | OneSpan Mobile, UZ Leuven, De Volkskrant, Base, Randstad |
YesWeHack | OVH, Deezer, BlaBlaCar, der Flughafen Paris und das französische Verteidigungsministerium |
Zerocopter | WeTransfer, AirFrance, KLM, Malengo, Stedin |
Bug-Bounty-Plattformen (Auswahl)
Plattform | Referenzen und Beispiele |
Bugcrowd | Mastercard, Netgear, Cisco Meraki, Tesla, FiatChrysler, Concur |
HackenProof | Kuna, everiToken, Codex Exchange |
HackerOne | AT&T, Equifax, TomTom, Capital One, Ford, Flickr, PayPal, IBM, MediaMarktSaturn, Toyota, Goldman Sachs, Sony, Starbucks |
Hacktrophy | TrustPay, Daybyme, Mall.sk, Marketlocator |
Intigriti | OneSpan Mobile, UZ Leuven, De Volkskrant, Base, Randstad |
YesWeHack | OVH, Deezer, BlaBlaCar, der Flughafen Paris und das französische Verteidigungsministerium |
Zerocopter | WeTransfer, AirFrance, KLM, Malengo, Stedin |
(Quelle: HackerOne )
Umgang mit Schwachstellen
Das Belohnen von Sicherheitsforschern für das Erkennen von Sicherheitslücken in Software und deren verantwortungsvolle Offenlegung gegenüber dem Unternehmen ist eine gute Investition für Unternehmen, bestätigt die EU-Agentur für Cybersicherheit ENISA. Die ENISA weist in diesem Zusammenhang allerdings auf etwas Wichtiges hin: Ein Bug-Bounty-Programm könne von Vorteil sein, das Unternehmen müsse aber über die richtigen Prozesse verfügen, um es unterstützen zu können.
«Grundsätzlich ist ein Bug-Bounty-Programm eine gute Idee», meint auch Tim Berghoff, Security Evangelist beim IT-Sicherheitsunternehmen G-Data CyberDefense. Und auch er gibt zu bedenken: «Wie in allen Bereichen, in denen es um Sicherheit geht, stellt sich unausweichlich die Frage nach einem entsprechenden Prozess. Die entscheidenden Fragen sind hier: Wie kann jemand von extern eventuelle Bugs oder Sicherheitslücken melden? Wer bekommt diese Meldungen und wie werden sie priorisiert? Wenn diese und andere Fragen nicht geklärt sind, dann hilft ein Bug-Bounty-Programm nicht nur nicht weiter, sondern verursacht Verwirrung.»
“Bug Bounties sind nicht das Allheilmittel, als welches sie oftmal präsentiert werden„
Tim Berghoff, Securtiy Evangelist bei G DATA CyberDefense
Viele Unternehmen seien dazu übergegangen, ein Bug-Bounty-Programm an einen externen Dienstleister zu geben, so Tim Berghoff. Alle Berichte würden über diese Plattform gesammelt, sodass dieser Aufwand für die angeschlossenen Unternehmen entfalle. Damit werde jedoch nur ein Teilaspekt verlagert. Ein Unternehmen, das eine solche externe Plattform nutzt, müsse die darüber gesammelten Reports immer noch verarbeiten. Es sei also nicht damit getan, einfach nur eine Seite auf der Homepage zu erstellen und eine Mailbox einzurichten.
Berghoff warnt: «Fehlen die darunterliegenden Prozesse und Zuständigkeiten, ist das Unternehmen organisatorisch einfach nicht bereit für ein Bug-Bounty-Programm. Mehr noch: Es ist gängige Praxis, eine an einen Hersteller gemeldete Sicherheitslücke nach Verstreichen einer Frist von 90 Tagen öffentlich zu machen. Hat es ein Unternehmen bis zu diesem Zeitpunkt nicht geschafft, eine Lösung oder zumindest einen Workaround bereitzustellen, ist es
jedem möglich, der die Motivation und das Fachwissen hat, die Sicherheitslücke auszunutzen. Dass dies kaum im Sinne der betroffenen Unternehmen ist, versteht sich von selbst.»
jedem möglich, der die Motivation und das Fachwissen hat, die Sicherheitslücke auszunutzen. Dass dies kaum im Sinne der betroffenen Unternehmen ist, versteht sich von selbst.»
Daraus folgt: Unternehmen, die selbst ein Bug-Bounty-Programm aufsetzen möchten, sollten zuerst ein Verfahren etablieren, wie Externe Sicherheitslücken an das Sicherheitsteam des Unternehmens melden können. Dazu gehört ein sicherer Kommunikationskanal, damit die Meldungen nicht in falsche Hände gelangen.
Um die gemeldeten Sicherheitslücken gefahrlos überprüfen zu können, braucht man zudem im Unternehmen entsprechende Testumgebungen. Und es müssen die Kapazitäten für eine zeitnahe Reaktion auf die gemeldeten Sicherheitslücken vorhanden sein. Alle relevanten Stellen wie Unternehmensleitung, Security-Team, Rechtsabteilung, eigene Entwickler und die Kommunikationsabteilung müssen involviert werden. Und schliesslich müssen der Umfang des Programms und die Höhe der möglichen Belohnungen klar kommuniziert werden.
Kein Allheilmittel
So hilfreich gut gemachte Bug-Bounty-Programme für die Cybersicherheit auch sein können, sie reichen bei Weitem nicht aus, um wirklich fehlerfreie Software zu gewährleisten. Da einem Angreifer im Regelfall schon eine einzige Schwachstelle in einem Software-Produkt genügt, um sie auszunutzen, ein Hersteller oder Verteidiger hingegen alle Schwachstellen eliminieren muss, ist die Suche und Beseitigung von Schwachstellen zwar notwendig, aber nicht hinreichend, wie das BSI betont.
Trotz Bug-Bounty-Programm muss ein Unternehmen also davon ausgehen, dass immer Schwachstellen vorhanden sind, die früher oder später erfolgreich ausgenutzt werden können. Für einen angemessenen Schutz sind daher weitere Massnahmen notwendig. Cybersicherheit ist und bleibt ein umfangreiches Paket an Verfahren, Standards, Lösungen und Expertenwissen. Was alles zur Vermeidung von Schwachstellen gehört, zeigen zum Beispiel die Empfehlungen der EU-Agentur für Cybersicherheit ENISA unter www.enisa.europa.eu/publications/info-notes/effective-patch-management.