«Wichtig ist der Dialog mit dem ethischen Hacker»
So viel kostet ein Bug
CW: Sie bezahlen die Hacker ja für die gefundenen Schwachstellen, und zwar je nach Schwere der Lücke. Können Sie etwas zur «Preisgestaltung» sagen?
Zumbühl: Durchschnittlich sind es etwa 750 Franken, die wir für eine Schwachstelle bezahlen. Allerdings kommt es auf die Gefährlichkeit der gefundenen Lücke an. Die Preisspanne bewegt sich zwischen 50 und mehreren Tausend Franken pro gefundener Schwachstelle.
CW: Ist das mehr, als was man dafür im Darknet erzielen könnte?
Zumbühl: Die Beträge lassen sich nicht direkt vergleichen. Aber der Preis ist ja nicht matchentscheidend. Vielmehr geht es um die Motivation. Will ich als Hacker einem Unternehmen helfen, die IT-Sicherheit zu verbessern, oder bin ich ein Krimineller? Das eigene ethische Korsett ist hier schon noch wichtig.
CW: Wie halten Sie die ethischen Hacker bei der Stange?
Zumbühl: Wir bieten ihnen zusammen mit weiteren europäischen Firmen einen Marktplatz an, auf dem sie sich legal betätigen und gleichzeitig einer spannenden Arbeit nachgehen können. Das ist meines Erachtens wesentlich attraktiver als die Cyberkriminalität, wo man die Strafverfolgung fürchten muss.
Zahlen zur Information Security der Post
Die Schweizerische Post beschäftigt 1200 Mitarbeitende in der IT. Im ganzen Unternehmen sind über 80 Personen in der Informationssicherheit für Post und PostFinance im Einsatz.
Diese sehen sich einigen Attacken und Angriffsversuchen gegenüber:
- 10 Millionen Spam- und Phishing-Attacken werden pro Monat registriert.
- 10 000 Viren werden pro Monat abgefangen.
- 100 aktive Angriffe auf die eigene Infrastruktur werden pro Monat abgewehrt.