Die globale Bug-Bounty-Plattform HackerOne hat die Ergebnisse einer Umfrage zur Zusammenarbeit zwischen Unternehmen und Hackern veröffentlicht. Dabei wurde deutlich, dass die Sicherheitsverantwortlichen (CISO, Chief Information Security Officer) im Unternehmen zwar einerseits beklagen, dass Software-Projekte aus Angst vor Sicherheitslücken gar nicht erst umgesetzt werden. Andererseits nutzen diese CISOs jedoch noch zu selten die Möglichkeit, ihre Software professionell von Hackern testen zu lassen.

 

Die Umfrage sollte die Frage beantworten, mit welchen Herausforderungen CISOs beim Umgang mit Softwarelücken in selbstentwickelter Software konfrontiert sind. Betrachtet wurde auch die Offenheit der Verantwortlichen gegenüber Hackern zur Beseitigung dieser Fehler. Für die Umfrage hat HackerOne die Experten von Opinion Matters beauftragt, CISOs in Deutschland, Frankreich und Großbritannien zu den oben genannten Themen zu befragen – mehr als 600 beteiligten sich in der Folge daran.

 

Eine der erschreckendsten Erkenntnisse daraus ist, dass fast neun von zehn CISOs (88 Prozent) in Deutschland, Software-Projekte aus Angst vor Sicherheitslücken im Produkt nicht umsetzen. In Frankreich liegt dieser Wert bei etwa 87 Prozent und in Großbritannien bei knapp 83 Prozent. Dabei spielt für viele das Thema „Geschwindigkeit“ in der Qualitätssicherung eine große Rolle. So gaben 60 Prozent der Befragten aus Deutschland an, dass das Entwicklungstempo ihrer Organisation die Ressourcen ihres Sicherheitsteams übersteigt. Im europäischen Vergleich waren es sogar 63 Prozent.

 

Dabei gäbe es für die Unternehmen durchaus Möglichkeiten, die Sicherheit ihrer Software trotz dieser Herausforderungen zu verbessern. Dazu gehört beispielsweise die Einbindung sogenannter White-Hat-Hacker, die die Software umfassend auf Schwachstellen prüfen. Diese White Hats sind keine Hacker, die sich auf kriminelle Weise in Unternehmen hacken und diese erpressen wollen oder Daten stehlen. Im Gegenteil, ihr Interesse ist es, die Sicherheit von Software und Websites durch ihre Arbeit, durch ihr Hobby und Engagement zu steigern. Doch noch stehen viele Organisationen einer uneingeschränkten Zusammenarbeit mit Hackern kritisch gegenüber: Lediglich 36 Prozent der deutschen CISOs zeigen sich offen dafür, Meldungen zu Bugs in ihrer Software aus der gesamten Hacker-Community zu berücksichtigen, wohingegen ein Viertel auch Berichte zu Bugs akzeptieren würden, welche nicht von zuvor überprüften Hackern stammen.

 

Genau an dieser Stelle setzt HackerOne an. Das Unternehmen bietet eine globale Plattform, auf der sich Organisationen und Hacker virtuell treffen können. Diese Organisationen können Hacker zur Prüfung ihrer Websites, XaaS-Angebote und Software engagieren. Die gefundenen und nach Vorgaben dokumentierten Lücken werden dann an den Auftraggeber gemeldet. Für diese Meldungen erhalten die Hacker eine Prämie, bekannt als „Bug Bounty“. „Wir sehen einen großen Mehrwert für Organisationen darin, externe Experten für die Qualitätssicherung zu engagieren“, erklärt Laurie Mercer, Security Engineer bei HackerOne, den Ansatz. „Hacker sind getrieben von der Leidenschaft zur Jagd nach Sicherheitslücken. Die Möglichkeit für Unternehmen, sich diese Leidenschaft in Zusammenarbeit mit den Hackern zunutze zu machen und deren Erfolg, also das Auffinden einer Schwachstelle, zu belohnen, ist für alle nur von Vorteil. Die Hacker verdienen Geld, die Unternehmen können sicherere Plattformen anbieten und wir alle profitieren von verbesserter Sicherheit in der Software und den Websites, die wir tagtäglich nutzen.“

 

Auf der Plattform von HackerOne sind mittlerweile mehr als 600.000 Hacker registriert. Um an Bug-Bounty-Programmen teilnehmen zu können, müssen sie sich mit ihrem Namen, Adresse und anderen nachprüfbaren Details eindeutig zu erkennen geben und müssen sich verpflichten, im Sinne einer Verbesserung der Sicherheit zu arbeiten. Auf Grund der eindeutigen Identifizierung und der Verpflichtung zur Kooperation mit HackerOne und deren Kunden, stehen den Organisationen hier viele Möglichkeiten offen.

 

Die wichtigsten Ergebnisse der Umfrage im Überblick:

* 88 Prozent der deutschen CISOs beklagen, dass Software-Projekte aufgrund der Angst vor unvermeidlichen Sicherheitsproblemen nicht umgesetzt werden

 

* Rund ein Drittel dieser Verantwortlichen ist der Meinung, dass ihre Organisation zu viel Zeit damit verbringt, sicherheitsrelevante Schwachstellen im Code zu schließen

 

* 39 Prozent geben zu, dass Penetration Tests nicht genügend Ergebnisse liefern, um mit dem Entwicklungstempo Schritt zu halten

 

* 60 Prozent sagen, dass das Entwicklungstempo ihrer Organisation die Ressourcen ihres Sicherheitsteams übertrifft

 

* 59 Prozent der deutschen CISOs würden lieber das Risiko von Software-Schwachstellen akzeptieren, als unbekannte Hacker zu engagieren

* Nur 36 Prozent sind bereit, Meldungen zu Bugs aus der gesamten Hacker-Community zu akzeptieren

 

Siehe auch:

https://www.hackerone.com/

https://www.hackerone.com/product/challenge