«Wichtig ist der Dialog mit dem ethischen Hacker»
Ethische Hacker greifen an
CW: Sie haben vor Kurzem ein Bug-Bounty-Programm lanciert. Ethische Hacker dürfen Sie in dessen Rahmen angreifen, um Schwachstellen zu finden. Was waren die Beweggründe, dieses Programm zu starten?
Zumbühl: Wir sind überzeugt, dass ein solches Programm ein zusätzlicher Gewinn in Sachen Informationssicherheit sein kann. Hier wird nämlich eine Dienstleistung nicht nur von innen betrachtet, sondern auch von aussen. Wir arbeiten hier mit sogenannten «ethischen Hackern» zusammen, also mit Leuten, die sich wirklich für die IT-Security engagieren wollen. Diese für die eigene Sicherheit einzuspannen und als Partner zu gewinnen, war uns wichtig. Allerdings wussten wir zunächst nicht, wie gut das Ganze funktionieren würde. Daher haben wir die Idee erst einmal getestet. Mittlerweile kann ich aber sagen, dass das Programm sehr erfolgreich ist und dass wir es weiter ausbauen werden.
CW: Sie lassen auch Penetration Tests durchführen, bei denen ja auch Externe Ihre IT angreifen. Was ist genau der Unterschied zwischen einem Pentester und einem Bug-Bounty-Hunter?
Zumbühl: Es gibt hier mehrere Unterschiede. So kommen Pentester und Bug-Bounty-Hunter auf unterschiedlichen Entwicklungsstufen zum Einsatz. Ein Pentester klopft unsere Entwicklungen in einem früheren Stadium ab. Er kommt etwa schon in einer Testphase oder innerhalb der Entwicklungsumgebung zum Einsatz. Pentester sollen bewusst eine externe Sicht auf die Entwicklungen werfen. Dadurch vermeiden wir es einerseits, betriebsblind zu werden, andererseits erhalten wir auf diese Weise auch zusätzliches Know-how bereits in der Entwicklungsphase. Es ist immer wieder interessant zu sehen, wie Pentester an ihre Aufgabe herangehen. Der Pentester kommt mit eigenen Tools und er besitzt Unterlagen von uns über den Aufbau der Systeme. Über all dies verfügt der Bug-Bounty-Hunter nicht. Denn beim Bug-Bounty-Programm wird ein fertiges Produkt angegriffen, das von aussen so auch für die Kunden erreichbar ist, wie beispielsweise der Online-Postshop. Für den Bug-Bounty-Hunter ist unser System eine «Black Box». Er sieht nur das Login oder eine Eingabemaske im Web – genauso wie jeder Kunde der Post. Wir informieren ihn auch bewusst nicht näher darüber.
Es ist somit viel Kreativität seitens des Angreifers gefragt. Sinn und Zweck ist schliesslich, dass er wie ein
Hacker an die Aufgabe herangehen muss. Das heisst, dass er nicht nur ins Produkt einbrechen kann, sondern dass er bei der ganzen Aktion auch noch unerkannt bleibt. Daher finden Bug-Bounty-Hunter auch andere Schwachstellen heraus als Pentester und wir sehen gleichzeitig, ob wir den Angriff auch rechtzeitig als solchen erkennen.
Hacker an die Aufgabe herangehen muss. Das heisst, dass er nicht nur ins Produkt einbrechen kann, sondern dass er bei der ganzen Aktion auch noch unerkannt bleibt. Daher finden Bug-Bounty-Hunter auch andere Schwachstellen heraus als Pentester und wir sehen gleichzeitig, ob wir den Angriff auch rechtzeitig als solchen erkennen.
Zur Firma
Die Schweizerische Post
ist als Mischkonzern im Kommunikations-, Logistik-, Retailfinanz- und Personenverkehrsmarkt tätig. Die Post ist in rund 25 Ländern präsent. Sie beschäftigt weltweit mehr als 55 000 Mitarbeitende aus rund 140 Nationen in mehr als 100 Berufen. 2019 erwirtschaftete die Schweizerische Post einen Umsatz von über 7,1 Milliarden Franken.