Cyberkriminelle nutzen die gegenwärtige Krise, um Anwender in Unternehmen, aber auch private User digital zu attackieren. Regelmäßig haben die Angreifer damit auch Erfolg. So waren bereits 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, 13 Prozent der knapp 1.000 befragten Geschäftsführer und Sicherheitsverantwortlichen vermuteten darüber hinaus einen Angriff, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Entscheider müssen sich also die Frage stellen: Wie kann ich meine IT-Infrastruktur künftig vor Angriffen schützen?
Alternative zu traditionellen Modellen
Die Angst, von einem Hackerangriff betroffen zu sein, beschäftigt viele CEOs, CISOs und IT-Admins. Genau diese Angst ist es jedoch, die Innovationen in Unternehmen hemmt, davon sind 80 Prozent der europäischen CISOs überzeugt. Die Furcht besteht dabei trotz des Einsatzes moderner IT-Security-Systeme. Dabei gibt es durchaus Möglichkeiten, die Sicherheit weiter zu verbessern. Eine sinnvolle Option ist sicherlich die unabhängige Überprüfung der Sicherheitslösungen, des Webauftritts, der Anwendungen (seien es die selbstentwickelten oder erworbene), der Apps oder anderer Elemente der IT. Optimalerweise findet dieser Check statt, bevor eventuell bestehende Sicherheitslücken gefunden und ausgenutzt oder an den Meistbietenden versteigert werden. Unternehmen können die Bedeutung dieses Themas nicht hoch genug einschätzen, bedeutet doch die zunehmende Vernetzung von IT und OT auch eine wachsende Gefährdung der Produktion durch das illegale Eindringen Krimineller in die IT-Landschaft. Hierbei geht es auch um die Sicherheit von Überwachungssystemen oder Maschinen – und Anlagen. Denn gerade Industrie 4.0 beschert uns eine immer stärker vernetzte Welt mit vielen versteckten und unbeachteten Einfallstoren. Die Vernetzung an sich, aber auch die immer komplexer werdenden Infrastrukturen sowie gegebenenfalls die Größe eines Unternehmens stellen die IT-Teams vor große Herausforderungen. Für sie wird es zunehmend schwieriger, außerhalb der Installation traditioneller Sicherheitslösungen und des Pentesting in Sachen IT-Security den Überblick zu behalten – es fehlt oftmals an Ressourcen. Dabei wäre es von Vorteil, wenn Organisationen die Taktiken und Strategien der Hacker kennen, um ihr IT-Umfeld verstärkt abzusichern.
Helfende Hacker
An diesem Punkt kommen Bug-Bounty-Plattformen ins Spiel. Sie helfen Unternehmen dabei, mittels eines Prämiensystems mit sogenannten White-Hat-Hackern zusammenzuarbeiten, also Hackern, die ihr Können nicht für kriminelle Zwecke einsetzen. Über Plattformen wie beispielsweise der von Hackerone können Unternehmen auf ein Netzwerk an sogenannten White-Hats zurückgreifen. Dies bietet einen neuen strategischen Ansatz, um Schwachstellen sichtbar zu machen. Bei dieser Vorgehensweise gestatten die Unternehmen den Hackern Anwendungen, Websites, Apps, Infrastrukturen oder gerade in der wachsenden Welt der OT auch Sensoren, Edge-Computing-Systeme und die Übertragungswege nach Schwachstellen zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit diese zeitnah beseitigt werden können. Ferner ist diese Herangehensweise eine sehr skalierbare Methode, seine Ausgaben und Kosten stets im Blick zu behalten. Es wird kein zusätzliches Personal benötigt, sondern Unternehmen vergeben die Tasks an externe Experten.
Hacken mit Vertrag
Um beide Parteien rechtlich abzusichern, werden vorab Vereinbarungen darüber getroffen, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Letztere sind zudem Bestandteil des Vertrags. Darüber hinaus sollte es selbstverständlich sein, dass neben dem Vertrag auch ein an der Realität orientierter Ansatz der Hacker umgesetzt wird. Das bedeutet, dass die ‚White-Hat-Hacker‘ keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch im Unternehmen die Expertise um diese Schwachstellen und was die Unternehmen tun können, um diese potenziellen Einfallstore für Kriminelle zu schließen.