Interview mit Marcel Zumbühl 18.11.2020, 06:27 Uhr

«Wichtig ist der Dialog mit dem ethischen Hacker»

Seit Kurzem lässt die Schweizerische Post sich von ethischen Hackern im Rahmen eines Bug-Bounty-Programms angreifen. Was das für die IT-Security des gelben Riesen bringt, erklärt Post-CISO Marcel Zumbühl im Interview.
Marcel Zumbühl engagiert ethische Hacker, um die Sicherheit der Systeme weiter zu erhöhen
(Quelle: Jens Stark/NMGZ)
Die Schweizerische Post ist eine der grössten Arbeitgeberinnen in der Schweiz. Entsprechend bedeutend ist die Informatik-Infrastruktur des gelben Riesen. Um deren Schutz laufend zu verbessern, ent­wickeln die IT-Security-Experten ständig neue Methoden. Frisch im Repertoire ist seit Kurzem ein Bug-Bounty-Programm, in dessen Rahmen sich die Post von sogenannten ethischen Hackern angreifen lässt. Hierüber und über die aktuellen Bedrohungen sprach Computerworld mit Marcel Zumbühl, Chief Information Security Officer (CISO) der Schweizerischen Post.
Computerworld: Die Corona-Krise wurde bekanntlich von Hackern und Cyberkriminellen ausgenutzt. Welche Erfahrungen haben Sie mit Lockdown und Home Office gemacht?
Marcel Zumbühl: Die Situation, dass unsere Mitarbeitenden auch aus dem Home Office arbeiten, ist nichts Un­gewöhnliches für uns. Speziell war diesen Frühsommer hauptsächlich die Anzahl Angestellte, die sich von zu Hause aus einloggten. Dabei haben wir einerseits darauf geachtet, dass unsere Daten gut geschützt bleiben. Andererseits haben wir die Mitarbeitenden sensibilisiert und ihnen mitgeteilt, welche Tools sie am besten verwenden und – genauso wichtig: welche lieber nicht –, um im Home Office sicher zu bleiben. So haben wir beispielsweise vorgeschlagen, auf Zoom zu verzichten und stattdessen auf bereits etablierte Kommunikationslösungen wie Skype und Teams zu setzen.
CW: Welche speziellen Sicherheitsvorkehrungen haben Sie während dieser Zeit getroffen?
Zumbühl: Wir haben keine speziellen Vorkehrungen treffen müssen. Schon vor der Krise war es wichtig, dass die Geräte der Mitarbeitenden sicher genutzt werden können, sei es im Büro, unterwegs oder von zu Hause aus.
CW: Sie mussten also keine Anpassungen vornehmen?
Zumbühl: Nein, höchstens in Sachen Kapazität mussten wir nachjustieren, sodass auch 12 000 Angestellte sich sicher von extern einloggen konnten.
CW: Gemäss IT-Sicherheitsexperten haben Hacker aber sehr wohl versucht, die Situation auszunutzen. Haben Sie mehr Aktivitäten festgestellt, wurde Ihr Unternehmen mehr angegriffen?
Zumbühl: Ich kann Sie beruhigen. Letzteres ist nicht geschehen. Allerdings haben wir schon beobachten können, dass während der Krise das Thema E-Commerce in den Vordergrund gerückt ist und somit Postunternehmen weltweit in den Fokus der Hacker gerieten. Besonders sind Phishing-Versuche mit bekannten Markennamen im Logistikumfeld vermehrt zu beobachten gewesen. Die Gefahr bestand somit, dass Anwender auf angeblich vertrauenswürdige Links klicken. Umso wichtiger war es von unserer Seite, Kunden und Öffentlichkeit zu sensibilisieren, bei solchen Mails kritisch zu bleiben.
CW: Welche Angriffsstrategien der Cyberkriminellen beobachten Sie derzeit besonders?
Zumbühl: Phishing ist sicher ein grosser Trend, den wir bei den aktiven Angriffen beobachten. Daneben sieht man auch immer mehr Erpressungsversuche wie auch Versuche, Identitäten von Kunden oder Mitarbeitenden zu stehlen.
Zur Person
Marcel Zumbühl
arbeitet seit August 2018 als Chief Information Security Officer (CISO) bei der Post und ist zuständig für die Informations­sicherheit im Konzern.
Der 50-Jährige hat einen Masterabschluss in Informatik mit Nebenfach BWL. Nach seinem Studium an der Uni Bern arbeitete er sowohl im In- als auch im Ausland für verschiedene Unternehmen wie Accenture, Swisscom oder Credit Suisse. Seit 2009 ist Zumbühl darüber hinaus als Gastdozent für Risiko­management sowie Risikokommunikation an der ETH Zürich tätig und seit Sommer 2020 amtiert er als Co-Präsident des Branchen­verbands Information Security Society Switzerland (ISSS).

Ethische Hacker greifen an

CW: Sie haben vor Kurzem ein Bug-Bounty-Programm lanciert. Ethische Hacker dürfen Sie in dessen Rahmen angreifen, um Schwachstellen zu finden. Was waren die Beweggründe, dieses Programm zu starten?
Zumbühl: Wir sind überzeugt, dass ein solches Programm ein zusätzlicher Gewinn in Sachen Informationssicherheit sein kann. Hier wird nämlich eine Dienstleistung nicht nur von innen betrachtet, sondern auch von aussen. Wir arbeiten hier mit sogenannten «ethischen Hackern» zusammen, also mit Leuten, die sich wirklich für die IT-Security engagieren wollen. Diese für die eigene Sicherheit einzuspannen und als Partner zu gewinnen, war uns wichtig. Allerdings wussten wir zunächst nicht, wie gut das Ganze funktionieren würde. Daher haben wir die Idee erst einmal getestet. Mittlerweile kann ich aber sagen, dass das Programm sehr erfolgreich ist und dass wir es weiter ausbauen werden.
CW: Sie lassen auch Penetration Tests durchführen, bei denen ja auch Externe Ihre IT angreifen. Was ist genau der Unterschied zwischen einem Pentester und einem Bug-Bounty-Hunter?
Zumbühl: Es gibt hier mehrere Unterschiede. So kommen Pentester und Bug-Bounty-Hunter auf unterschiedlichen Entwicklungsstufen zum Einsatz. Ein Pentester klopft unsere Entwicklungen in einem früheren Stadium ab. Er kommt etwa schon in einer Testphase oder innerhalb der Entwicklungsumgebung zum Einsatz. Pentester sollen bewusst eine externe Sicht auf die Entwicklungen werfen. Dadurch vermeiden wir es einerseits, betriebsblind zu werden, andererseits erhalten wir auf diese Weise auch zusätz­liches Know-how bereits in der Entwicklungsphase. Es ist immer wieder interessant zu sehen, wie Pentester an ihre Aufgabe herangehen. Der Pentester kommt mit eigenen Tools und er besitzt Unterlagen von uns über den Aufbau der Systeme. Über all dies verfügt der Bug-Bounty-Hunter nicht. Denn beim Bug-Bounty-Programm wird ein fertiges Produkt angegriffen, das von aussen so auch für die Kunden erreichbar ist, wie beispielsweise der Online-Postshop. Für den Bug-Bounty-Hunter ist unser System eine «Black Box». Er sieht nur das Login oder eine Ein­gabemaske im Web – genauso wie jeder Kunde der Post. Wir informieren ihn auch bewusst nicht näher darüber.
Es ist somit viel Kreativität seitens des Angreifers gefragt. Sinn und Zweck ist schliesslich, dass er wie ein
Hacker an die Aufgabe herangehen muss. Das heisst, dass er nicht nur ins Produkt einbrechen kann, sondern dass er bei der ganzen Aktion auch noch unerkannt bleibt. Daher finden Bug-Bounty-Hunter auch andere Schwachstellen he­raus als Pentester und wir sehen gleichzeitig, ob wir den Angriff auch rechtzeitig als solchen erkennen.
Zur Firma
Die Schweizerische Post
ist als Mischkonzern im Kommunikations-, Logistik-, Retailfinanz- und Personenverkehrsmarkt tätig. Die Post ist in rund 25 Ländern präsent. Sie beschäftigt weltweit mehr als 55 000 Mitarbeitende aus rund 140 Nationen in mehr als 100 Berufen. 2019 erwirtschaftete die Schweizerische Post einen Umsatz von über 7,1 Milliarden Franken.

Unterschiede zu den Pentestern

CW: Welches sind hier die Unterschiede?
Zumbühl: Der Pentester findet systembezogene Dinge, da er auch Einblicke in die Dokumentation des Systems hat. So hat er einen Überblick über die Beschaffenheit einer Software und kann zum Beispiel ein Versatzstück der App­likation identifizieren, das veraltet ist und deshalb eine Schwachstelle sein könnte. Der Pentester kann mit seinem Know-how somit die Struktur und den Aufbau des Produkts bereits in der Entwicklungsphase beurteilen. Dies alles sieht der Bug-Bounty-Hunter nicht. Er wird lediglich mit dem fertigen Produkt konfrontiert und versucht, anhand der Funktionsweisen Schwachstellen und Fehler zu entdecken.
CW: Wie viele Leute sind derzeit an dem Bug-Bounty-Programm beteiligt?
Zumbühl: Derzeit etwa 200.
CW: Wie wählen Sie diese aus?
Zumbühl: Hier arbeiten wir mit unserem Partner «Yes­WeHack» zusammen, dem euro­päischen Branchen-Leader in diesem Bereich. Dabei handelt es sich um eine Plattform, auf der ethische Hacker sich anmelden können und die sie dann an Bug-Bounty-Programme wie unseres vermittelt. Wir kennen somit die Teilnehmer. Das ist uns auch wichtig, da wir ein Vertrauens­verhältnis zu ihnen aufbauen möchten. Schlussendlich müssen wir auch wissen, auf welches Konto wir das Preisgeld für die gefundenen Bugs überweisen müssen.
“Für ethische Hacker ist unser System eine Black Box„
Marcel Zumbühl, CISO der Post
CW: Wie überprüfen Sie, dass die ethischen Hacker wirklich «ethisch» einwandfrei sind?
Zumbühl: Wir haben Rahmen­bedingungen aufgestellt, deren Einhaltung wir überprüfen können. So erhält der ethische Hacker einen dedizierten Zugang auf unsere Produkte, der von aussen betrachtet gleich aussieht. Dadurch können wir schluss­endlich auch erkennen, wer uns angreift, ob es sich bei dem Angriff um Teilnehmer des Bug-Bounty-Programms handelt oder um Cyber­kriminelle, von denen wir ebenfalls permanent attackiert werden. Leider machen die ja in der Zwischenzeit keine Pause. Zudem treten wir nach der Meldung einer Schwachstelle mit dem Bug-Bounty-Hunter in Kontakt und entwickeln gemeinsam eine Lösung, welche die Lücke schliesst. Auch dieser Dialog vertieft das Ver­trauensverhältnis.
CW: Wäre es nicht theoretisch möglich, dass ein Bug-Bounty-Hunter die gefundene Schwachstelle auch noch im Darknet feilbietet und somit zweimal abkassiert?
Zumbühl: Theoretisch schon, allerdings würden wir das herausfinden und ihn womöglich in der Folge verklagen. Schliesslich ist Hacking nach wie vor ein Offizialdelikt.

So viel kostet ein Bug

CW: Sie bezahlen die Hacker ja für die gefundenen Schwachstellen, und zwar je nach Schwere der Lücke. Können Sie etwas zur «Preisgestaltung» sagen?
Marcel Zumbühl plant ein öffentliches Bug-Bounty-Programm
Quelle: Jens Stark/NMGZ
Zumbühl: Durchschnittlich sind es etwa 750 Franken, die wir für eine Schwachstelle bezahlen. Allerdings kommt es auf die Gefährlichkeit der gefundenen Lücke an. Die Preisspanne bewegt sich zwischen 50 und mehreren Tausend Franken pro gefundener Schwachstelle.
CW: Ist das mehr, als was man dafür im Darknet erzielen könnte?
Zumbühl: Die Beträge lassen sich nicht direkt vergleichen. Aber der Preis ist ja nicht matchentscheidend. Vielmehr geht es um die Motivation. Will ich als Hacker einem Unternehmen helfen, die IT-Sicherheit zu verbessern, oder bin ich ein Krimineller? Das eigene ethische Korsett ist hier schon noch wichtig.
CW: Wie halten Sie die ethischen Hacker bei der Stange?
Zumbühl: Wir bieten ihnen zusammen mit weiteren europäischen Firmen einen Marktplatz an, auf dem sie sich legal betätigen und gleichzeitig einer spannenden Arbeit nachgehen können. Das ist meines Erachtens wesentlich attraktiver als die Cyberkriminalität, wo man die Straf­verfolgung fürchten muss.
Zahlen zur Information Security der Post
Die Schweizerische Post beschäftigt 1200 Mitarbeitende in der IT. Im ganzen Unternehmen sind über 80 Personen in der Informationssicherheit für Post und PostFinance im Einsatz.
Diese sehen sich einigen Attacken und Angriffs­versuchen gegenüber:
  • 10 Millionen Spam- und Phishing-Attacken werden pro Monat registriert.
  • 10 000 Viren werden pro Monat abgefangen.
  • 100 aktive Angriffe auf die eigene Infrastruktur werden pro Monat abgewehrt.

Wichtiger Rechtsrahmen

CW: Das Bug-Bounty-Konzept stammt ja aus den USA und Sie sind eines der ersten Schweizer Unternehmen, das ein solches Programm aufzieht. Haben Sie die Idee eins zu eins übernommen oder haben Sie eigene Elemente eingebaut?
Zumbühl: Wir haben uns sicherlich zunächst daran orientiert, welche Erfahrungen internationale Firmen in diesem Bereich gemacht haben. Daneben gibt es den Schweizer Kontext. Hier geht es vornehmlich um rechtliche Aspekte. Sie können nämlich keine ethischen Hacker engagieren, wenn Sie ihnen keine Rechtsfreiheit garantieren können. Wichtig war es daher, zusammen mit dem Bund und den Kantonen einen sogenannten «Legal Safe Harbor» zu etablieren.
CW: Wie funktioniert dieser Rechtsrahmen?
Zumbühl: Wir geben dabei vor, unter welchen Bedingungen wir auf eine Anzeige verzichten. Wer sich daran hält, kann auf diesen Schutz zählen. Denn der Angriff des ethischen Hackers ist gewollt: Schliesslich sollen Schwach­stellen aufgedeckt und die Sicherheit der Systeme erhöht werden.
CW: Noch ist das Programm ja auf eine gewisse Anzahl Teilnehmer beschränkt, die Hacker dürfen nur auf Einladung angreifen. Warum diese Beschränkung und kein öffentliches Programm?
Zumbühl: Wir sehen den Beginn des Bug-Bounty-Programms als Prozess. Wir lassen jedes Produkt zunächst im kleinen Rahmen testen, also mit einer relativ kleinen Community von Hackern und erweitern den Rahmen sukzessive. Ein öffentliches Programm wird folgen.
Das öffentliche unterscheidet sich vom privaten Programm hauptsächlich in der Teilnehmerzahl. Denn auch bei einem öffentlichen Programm müssten sich die ethischen Hacker registrieren und wären bekannt. Allerdings könnten dann statt wie jetzt nur 200 Leute, 1000 oder gar 10 000 Teilnehmer sich die Software anschauen.
CW: Finden mehr Hacker mehr Schwachstellen?
Zumbühl: Das ist natürlich die Hoffnung. Allerdings ist unsere Erfahrung, dass es auch bei der Anzahl entdeckter Lücken eine Kurve gibt, die bei einer gewissen Anzahl Teilnehmer abflacht. Wenn also 250 Leute eine Software in­spiziert haben, ist die Wahrscheinlichkeit eher gering, dass noch sehr schwerwiegende Fehler entdeckt werden, wenn man das Programm ganz öffnet. Die grössten Benefits hat man schon beim Start. Auch eine recht kleine Community kann die schwerwiegendsten Lücken finden.
CW: Welche Bugs konnten die Hacker bislang finden? Und welche waren am schlimmsten?
Zumbühl: Am ärgerlichsten für uns sind Fehler, bei denen eine Remote Code Execution möglich ist, wenn also unser System dazu gebracht werden kann, etwas auszuführen, was von uns nicht gewollt ist. Wichtig ist dabei aber für uns, dass wir schnell herausfinden, ob die Lücke schon vorher von jemanden genutzt wurde und wie schnell man sie schliessen kann. Hier spielt dann eben der Dialog zwischen Entwickler und Bug-Bounty-Hunter eine grosse Rolle. Darin liegt die eigentliche Stärke des Programms.

Innert kürzester Zeit 50 Bugs entdeckt

CW: Wie viele Bugs meldeten Teilnehmer Ihnen schon?
Zumbühl: Als wir das Programm starteten, konnten die Bug-Bounty-Hunter uns innert kürzester Zeit 50 Schwachstellen aufzeigen. Da durften wir feststellen, dass die Methode offensichtlich funktioniert und wir diese fortsetzen werden.
CW: Greifen die ethischen Hacker alle Ihre Systeme an?
Zumbühl: Nein, wir haben eine Liste von Produkten erstellt, die angegriffen werden dürfen. Allerdings handelt es sich dabei um eine wachsende Liste. Die Idee ist, dass dereinst die Mehrheit unserer Anwendungen von Bug-Jägern unter die Lupe genommen werden.
CW: Gab es einen ersten Schwerpunkt an Systemen?
Zumbühl: Gestartet sind wir nicht mit Systemen, sondern mit einzelnen Produkten, die direkte Dienstleistungen nach aussen erbringen, so etwa das Kunden-Login, der Post-Shop im Web, unsere E-Commerce-Lösung oder Bezahlsysteme wie Billing Online. Danach kamen weitere Dienstleistungen wie «Meine Sendungen», bei der Kunden ihre Sendungen online verfolgen und beeinflussen können. Es kommen somit laufend neue Dienstleistungen hinzu. Und jedes neue Produkt wird zunächst von einer kleinen Teilnehmerzahl begutachtet, bevor sich der Kreis der Hacker weitet.
“Die Bug-Bounty-Hunter fanden innert kürzester Zeit 50 Schwachstellen„
Marcel Zumbühl, CISO der Post
CW: Anfang 2019 hat die Post das E-Voting-System für einen öffentlichen Instrusiontest zur Verfügung gestellt. Was sind da Ihre Erfahrungen?
Zumbühl: Wir durften vor allem feststellen, dass ein solches Programm sehr mächtig und wirksam ist, dass also Schwachstellen sehr rasch gefunden und gefixt werden können.
CW: Was passiert genau, wenn ein Bug-Jäger fündig geworden ist? Wie sieht der weitere Prozess aus?
Zumbühl: Wenn Teilnehmer etwas finden, können sie dies auf einer Plattform melden. Danach untersuchen und beurteilen wir die gemeldete Lücke. In der Folge etablieren wir einen Dialog zwischen dem Entwickler und dem Hunter, damit die Schwachstelle so schnell wie möglich geschlossen werden kann. Unser Ziel ist es also, uns so rasch wie möglich der Lösungsfindung zu widmen.
Parallel hierzu sprechen wir anhand der ursprünglichen Beurteilung der gefundenen Lücke ein Preisgeld. Schliesslich sind wir bemüht, den Dialog zwischen den Bug-Bounty-Huntern und den IT-Spezialisten auch danach aufrecht­zuhalten. Hierzu haben wir einige Mitglieder unseres Entwicklerteams zusätzlich in Aspekten der Informations­sicherheit geschult. Diese von uns als Security Champions bezeichneten Personen stehen in engem Kontakt mit den ethischen Hackern. Dieser Dialog ist übrigens nicht nur für uns wichtig, sondern auch für den Bug-Bounty-Hunter. Denn dieser möchte ja auch sehen, dass das Unternehmen mit seinen Erkenntnissen etwas anfängt und die von ihm gefundenen Schwachstellen schliesst.
CW: Ist somit Security by Design bei Ihnen ein Thema?
Zumbühl: Sicherlich. Die Erfahrungen aus dem Bug-Bounty-Programm werden in die Entwicklungsabteilung und das Produktmanagement zurückgespielt. Security wird dort als wichtiges Element neuer und bestehender Software-Produkte angesehen. Im Übrigen haben die Rück­meldungen der Hacker ein besonderes Gewicht.
CW: Sie wollen das Bug-Bounty-Programm ausweiten. Gibt es da schon einen Zeithorizont?
Zumbühl: Ja, so bald wie möglich. Allerdings bleiben wir dabei, dass wir die Hacker nur stufenweise auf unsere Produkte «loslassen». Jede Entwicklung, die zunächst 50 und danach 250 Hackern standhält, dürfte schlussendlich auch mit Tausenden Bug-Bounty-Huntern klarkommen.




Das könnte Sie auch interessieren