Kopfgeldjäger

Schwachstellen aufspüren, Belohnung kassieren

von - 03.04.2020
Hacker
Foto: Glebstock / shutterstock.com
Bug-Bounty-Programme sollen Hacker animieren, Sicherheitslücken zu melden. Dafür zahlen die Unternehmen je nach schwere des Lecks eine beträchtliche Prämie.
Viele Webseiten von Unternehmen sind Einfallstore für Cyberkriminelle. Der Verband der Internetwirtschaft eco e. V. hat mehr als 1.400 Webseiten kleiner und mittelständischer Unternehmen mit dem Sicherheits-Scanner SIWECOS untersucht und dabei zahlreiche Sicherheitslücken festgestellt. „Rund jede zweite KMU-Webseite ist potenziell angreifbar“, berichtet Cornelia Schildt, SIWECOS-Projektleiterin und Sicherheitsexpertin im eco-Verband.
Würden diese Schwachstellen nicht bei einem Security-Projekt, sondern von kriminellen Hackern entdeckt, könnten in vielen Fällen vertrauliche Daten ausspioniert und Webdienste manipuliert und behindert werden. Das Ziel muss es deshalb sein, die Schwachstellen vor den Angreifern aufzuspüren und zu beheben.

Vorprogrammierte Lücken

Sicherheitslücken findet man in nahezu jeder Software. Die Ursachen dafür sieht Gartner-Analyst Dale Gardner in den Entwicklungsprozessen: „Da die Tests häufig gegen Ende des Entwicklungszyklus stattfinden, werden viele Fehler nicht behoben, weil die Teams darauf drängen, die Fristen einzuhalten.“ Auch neuere Verfahren wie DevOps ändern daran wenig, so Gardner. „Während sich Programmierer und Betriebs­teams zu DevOps entwickeln, fehlt den kombinierten Gruppen eine einheitliche Sicht auf die Schwachstellen. Es gibt keine Grundlage für die gemeinsame Priorisierung potenzieller Sicherheitsprobleme oder die Priorisierung von Fixes.“
Cornelia Schildt
Cornelia Schildt
Projekleiterin SIWECOS im eco-Verband
www.eco.de
Foto: eco
„Die Verantwortlichen in vielen Unternehmen wissen oft nicht, dass ihr CMS Schwachstellen hat, und gefährden so Unternehmens-IT und Kundendaten.“
Ein weiteres Problem, das der Gartner-Experte sieht: „Die Kombination von Schwachstellendaten aus mehreren Quellen überfordert Teams, die keine Ahnung haben, wo sie mit der Bewertung beginnen sollen und welche Aufgaben sie durchführen sollen.“
Dazu kommt, dass viele Unternehmen nicht über die Security-Experten verfügen, um ihre IT regelmäßig auf Schwachstellen zu checken und Lücken zu schließen. Da hilft es auch wenig, wenn in einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) 71 Prozent der befragten Unternehmen und Institutionen angaben, über ein strukturiertes Patch-Management zu verfügen, um auf bekannt gewordene Sicherheitslücken schnell reagieren zu können. Viele Schwachstellen sind den Unternehmen nämlich überhaupt nicht bekannt, und unbekannte Sicherheits­lücken werden nicht gepatcht. Oberstes Gebot ist also, möglichst viele Sicherheitslücken zu erkennen.
Verwandte Themen