CyberSecurity-Sourcing im Einkauf: Das Bug-Bounty-Verfahren

CyberSecurity-Sourcing im Einkauf: Das Bug-Bounty-Verfahren

Seit Jahren ist Cyberkriminalität schon auf dem Vormarsch, doch seit Beginn der Coronakrise häufen sich die Angriffe krimineller Hacker auf IT-Landschaften auch im Mittelstand. In Deutschland ist Cyberkriminalität laut aktuellem Risiko-Barometer der Allianz weiterhin eins der Top-3-Geschäftsrisiken, neben Betriebsunterbrechungen (inkl. Unterbrechungen der Lieferketten) und dem Pandemie-Ausbruch. Die Unternehmen sind daher gut beraten, sich nach alternativen Methoden zur Eindämmung der Cyberrisiken umzusehen. Dabei können Einkäufer beim Sourcing von professionellen Dienstleistungen unterstützen. Einer der strategischen Sourcing-Ansätze ist das bislang noch nicht landläufig bekannte Bug-Bounty-Verfahren.

Offene Einfallstore schließen

Selbstverständlich wird Software, seien es Betriebssysteme, E-Mail-Programme oder das neuste Videokonferenz-Tool, vor Veröffentlichung auf Herz und Nieren getestet – doch über die letzten Jahre hat sich die Art und Weise, wie Software bereitgestellt wird, stark verändert. Ob Cloud oder Internet of Things – all diese Trends führen zu einer größeren Angriffsfläche. Release-Zyklen haben an Geschwindigkeit gewonnen. All das trägt dazu bei, dass letztlich in jedem System noch Lücken und Bugs vorzufinden sind. Allein standardisierte Testverfahren wie Pentesting im eigenen Team sind nicht hinreichend, um den immer kreativeren Attacken Cyberkrimineller nachhaltig standzuhalten. Eine bessere und naheliegende Idee ist es da, die Besten und Ethischen unter den Hackern stattdessen für sich einzubinden.

Bug Bounty: Software-Profis auf Prämienfang

Genau dieses Prinzip macht sich das „Bug Bounty“-Verfahren zunutze: Eine Reihe von hochspezialisierten Hackern wird darauf angesetzt, Systeme kreativ auf Lücken zu prüfen – mit der vertraglichen Verpflichtung, keinerlei Schaden anzurichten. Als Anreiz zur Fehlersuche werden erfolgsbasierte Geldprämien (engl. „Bounty“) ausgeschrieben, die für ethische Hacker lukrativ sind. Für die Unternehmen sind diese Bug-Bounty-Programme effizient und die Prämien machen nur den Bruchteil eines potenziellen Schadens aus, sollte der Zugang kriminellen Hackern gelingen. Auf diese Weise lässt die Cyberkriminalität trotz voranschreitender Digitalisierung eindämmen.

Mit Crowdsourcing Schritt für Schritt zu maximaler Sicherheit

Dabei folgt man dem Prinzip des Crowdsourcings: Die Aufgabe der Sicherheitsprüfung wird über das Internet auf externe Freiwillige (die „Crowd“) verteilt. Da jedes getestete System bei Neueinführung unentdeckte Lücken haben wird, wird zunächst nur eine kleinere Gruppe von ethischen Hackern beauftragt. So können die offensichtlichsten Fehler rasch identifiziert und die kritischsten Lücken rasch geschlossen werden. Je schwieriger es wird, weitere Angriffspunkte zu finden, umso größer sollte die einbezogene Crowd werden – mit entsprechend höherer Geldprämie. So lässt sich schrittweise die Cybersecurity erhöhen. Kontinuierliche Programme dienen der nachhaltigen Absicherung.

CyberSec – auch für den Mittelstand!

Zu den deutschen Unternehmen, die bereits ein Angebot an Bug-Hunter richten, gehören BASF, die Deutsche Telekom und SAP. Doch auch für den Mittelstand eignet sich der Ansatz – sofern er richtig aufgezogen wird. Hierzu gehört, das Vorgehen, die richtigen Partner und den Zugang zur CyberSec-Community zu erschließen. Viele Mittelständler haben zunächst Vorbehalte, Externe bewusst nach Schwachstellen suchen zu lassen – Vertrauen und offengelegte Identitäten spielen eine erhebliche Rolle. Eine verhandlungserfahrene IT-Sourcing-Beratung wie Kloepfel Consulting kann hierbei durch die richtige Methodik und ein breites Netzwerk unterstützen.

Sie wollen IT-Dienstleistungen wie ein Bug-Bounty-Programm für Ihr Unternehmen sourcen? Dann unterstützen wir Sie gerne!

Von Marc Röver, Senior Manager Kloepfel Consulting

 

Kontakt:

Christopher Willson
Kloepfel Group
Tel.: 0211 875 45323
Mail: rendite@kloepfel-consulting.com