Schweizer Firmen bezahlen Hacker dafür, Lücken in ihren IT-Systemen aufzuspüren

Wer eine Schwachstelle findet, bekommt eine Prämie. Firmen wie die Swisscom und die Post setzen auf sogenannte Bug-Bounty-Programme – mit Erfolg. Jetzt überlegt sich auch der Bund, Hacker zum Angreifen einzuladen.

Lukas Mäder
Drucken
Wer die Lücke zum Eindringen findet, erhält eine Belohnung: Was bei internationalen Tech-Firmen schon lange üblich ist, findet zunehmend auch in der Schweiz Zuspruch.

Wer die Lücke zum Eindringen findet, erhält eine Belohnung: Was bei internationalen Tech-Firmen schon lange üblich ist, findet zunehmend auch in der Schweiz Zuspruch.

Valentin Flauraud / Keystone

Das Geschäft läuft gut für den Hacker Edgar Boda-Majer. Er ist spezialisiert darauf, eine Webshop-Lösung von Adobe anzugreifen. Daneben sucht er regelmässig bei der Post oder der Swisscom nach Schwachstellen. Aber nicht illegal. Boda-Majer ist ein ethischer Hacker und jagt Schwachstellen. Dafür erhält er eine Belohnung. Boda-Majer ist ein Bug-Hunter.

Boda-Majers Tätigkeit erlebt in der Schweiz einen Aufschwung. Bug-Bounty nennt man es, wenn Firmen oder Behörden eine Prämie für gefundene Schwachstellen ausschreiben. Im letzten Jahr haben zum Beispiel die Post oder die TX Group ein eigenes Bug-Bounty-Programm gestartet. Und auch der Bund kann sich vorstellen, für die IT-Systeme der Verwaltung ein Programm für ethische Hacker zu starten.

Die Idee der Bug-Bounty ist einfach: Unternehmen laden Hacker ein, ihre Systeme anzugreifen. Wer eine Schwachstelle - einen Bug - findet, erhält eine Belohnung - die Bounty. Diese fällt je nach Schwere der Lücke unterschiedlich hoch aus. Bleiben die ethischen Angreifer erfolglos, gibt’s auch kein Geld.

Je nach Bug-Bounty-Programm gibt es Einschränkungen: Offene Programme stehen allen Hackern offen, bei geschlossenen braucht es eine Einladung. Welche Systeme angegriffen werden dürfen und mit welchen Mitteln, schränken die Unternehmen ebenfalls oft ein. Wer sich an die Spielregeln hält, bekommt im Gegenzug die Zusicherung, dass die Firma auf strafrechtliche Schritte verzichtet.

Swisscom zahlt jährlich eine halbe Million

Die Idee, Hacker zum Angreifen einzuladen, mag auf den ersten Blick ungewöhnlich erscheinen. Doch die Erfahrungen sind positiv. Schweizer Pionierin ist die Swisscom. Sie hat ihr Bug-Bounty-Programm bereits vor gut fünf Jahren gestartet, Mitte 2015, als das Konzept hierzulande noch praktisch unbekannt war.

Entsprechend stiess der Plan intern auch auf Kritik. «Wir mussten uns stark für die neue Idee einsetzen», sagt Florian Badertscher, der bei der Swisscom für das Programm zuständig ist. Die Entwickler hätten es zum Beispiel nicht nur positiv aufgenommen, dass das Unternehmen öffentlich Geld für entdeckte Fehler im System anbieten wollte.

Das Management sorgte sich in erster Linie um die Finanzen. Weil völlig unklar war, wie viel Resonanz das Bug-Bounty-Programm auslösen würde, konnten auch die Ausgaben schlecht kalkuliert werden. Badertscher sagt: «Wir behielten uns deswegen am Anfang vor, das Programm jederzeit per sofort wieder einstellen zu können.»

Gleichzeitig öffnete die Swisscom das Programm komplett: Alle konnten teilnehmen, und alle Services durften ausgetestet werden. «Wir wollten ja gerade erfahren, in welchen Bereichen wir Schwachstellen drinhaben, die wir nicht erwartet hätten.» Eine Zusammenarbeit mit einer Bug-Bounty-Plattform, die Unternehmen und Hacker zusammenbringt, gab es nicht, wie Badertscher sagt. «Wir wollten den ganzen Prozess selbst gestalten.»

Heute zahlt die Swisscom jährlich rund 500 000 Franken an Prämien aus. Diese gehen auf rund 1000 Meldungen zurück, von denen gut die Hälfte als Schwachstelle akzeptiert wird. «Für uns ist es eine effiziente Methode, Lücken im System zu finden», sagt Badertscher. Denn bezahlen muss die Swisscom ja nur, wenn die Hacker etwas finden. Bei kritischen Schwachstellen sind das bis zu 10 000 Franken.

Hacker haben sich Update-Termin angestrichen

Für die Hacker steht meist nicht der finanzielle Gewinn im Vordergrund – sondern die Herausforderung. Das war früher auch bei Edgar Boda-Majer so. Er nahm, wie viele ethische Hacker, in der Freizeit an Bug-Bounty-Programmen teil, abends oder am Wochenende.

Hauptberuflich war Boda-Majer damals noch Penetration-Tester: Er suchte als Angestellter einer Sicherheitsfirma einen Weg ins Innere der Computernetzwerke der Kunden. Doch irgendwann wurde ihm dieser Job zu langweilig. Boda-Majer machte das Bug-Hunting zum Beruf.

Zusammen mit drei Arbeitskollegen gründete der 30-Jährige vor gut einem Jahr seine eigene Firma. «Wir wollten das tun, was uns interessiert.» Immer die gleichen Netzwerkscans durchzuführen, bis man eine Lücke findet, gehört nicht dazu. Stattdessen kann Boda-Majer sich nun Zeit nehmen, neue Systeme anzuschauen und sich in Technologien einzulesen.

Zu Boda-Majers Spezialgebiet gehört die Analyse von Quellcode. Etwas, das nicht alle Bug-Hunter können. Er hat sich unter anderem auf das Webshop-System Magento von Adobe spezialisiert. Dieses Produkt ist «open source», das heisst, der Quellcode der Anwendung ist öffentlich.

«Am Anfang haben wir uns über einen Monat lang eingelesen», sagt Boda-Majer. Das war die Grundlage für die heutige Expertise. Die Tage, an denen Adobe ein Update zum System veröffentlicht, haben sich Boda-Majer und seine Arbeitskollegen im Kalender angestrichen. Denn ein Bug-Hunter muss schnell sein. Nur wer eine Schwachstelle als Erster findet, bekommt die Prämie. Die anderen gehen leer aus.

Für Boda-Majer und seine Geschäftspartner lohnt sich die Selbständigkeit. «Wir verdienen besser als früher», sagt er. Allerdings schwankten die Einnahmen stark - und es spiele auch der Zufall mit. «Im letzten Jahr hatten wir vielleicht nur Glück.»

Doch damit untertreibt Boda-Majer. Er und seine Geschäftspartner sind spezialisiert und fokussieren auf lukrative Bug-Bounty-Programme. Zudem, so sagt er, könne es ein Vorteil sein, dass ihre Firma in der Schweiz sitze. Viele Unternehmen hätte Vorbehalte, wenn Informationen gerade im sensiblen Sicherheitsbereich ins Ausland abflössen.

Experten wollen Bug-Bounty in der Schweiz populär machen

Noch gibt es keine Schweizer Bug-Bounty-Plattform, auf der Unternehmen ihre Programme ausschreiben könnten. Doch das kann sich ändern. Im August haben fünf Experten die Firma Bug Bounty Switzerland gegründet. Ihr Ziel ist es, die Idee des kontrollierten Hackens in die Schweiz zu bringen.

Einer der Gründer ist Florian Badertscher, der Bug-Bounty zur Swisscom brachte. «Wir sind fest davon überzeugt, dass es Bug-Bounty-Programme in der Schweiz braucht», sagt Badertscher. Denn IT-Systeme haben immer Lücken - und die zu schliessen, würde Bug-Bounty helfen.

Mitgründer und CEO der neuen Firma ist Sandro Nafzger, der das Bug-Bounty-Programm bei der Post eingeführt hat. Mit ihrer gemeinsamen Expertise wollen sie interessierten Unternehmen den Einstieg erleichtern, wie Badertscher sagt: «Wir wollen den Firmen Bug-Bounty ermöglichen, ohne dass sie dieselben Fehler machen müssen, die wir schon gemacht haben.» Unternehmen könnten etwa einen Versuch starten, bei dem sie nur das Budget vorgeben - den Rest organisiert Bug Bounty Switzerland.

Bei der technischen Umsetzung arbeitet die Schweizer Firma mit YesWeHack zusammen. Dieses französische Unternehmen wurde 2013 gegründet und betreibt eine Bug-Bounty-Plattform – als europäische Konkurrenz zu amerikanischen Anbietern wie HackerOne. Auf solchen Plattformen können Unternehmen ihre Programme ausschreiben, Hacker einladen und die Meldungen über Schwachstellen sortieren lassen.

Den Unternehmen sei oft wichtig, die Identität der Hacker zu kennen, sagt Badertscher. Denn fast immer kommen bei Interessierten Sicherheitsbedenken zur Sprache – etwa die Befürchtung, dass ein Angreifer, der eine Schwachstelle entdeckt, diese für eigene Zwecke verwendet, statt sie zu melden. Badertscher kennt von der Swisscom keinen solchen Fall – und dies, obwohl das Unternehmen die illegalen Marktplätze für solche Angebote im Darknet relativ intensiv überwacht.

Hacker erwarten einen Austausch mit den Entwicklern

Auf geschlossene Programme, bei denen nur ausgewählte Hacker mitmachen können, setzen etwa die Schweizerische Post oder das Zürcher Medienhaus TX Group. Die TX Group hat vor einem Jahr begonnen, gewisse Services für Bug-Jäger freizugeben. Dazu gehören die Websites von «20 Minuten», des «Tages-Anzeigers» oder der Immobilienplattform Immogate. Der Verantwortliche für IT-Sicherheit, Andreas Schneider, bezeichnet die Bug-Bounty-Programme als sehr erfolgreich.

Die TX Group arbeitet mit der amerikanischen Plattform BugCrowd zusammen und öffnet ihre Programme schrittweise. Zu Beginn wird eine begrenzte Anzahl von 25 Hackern zugelassen. Die Zahl wird laufend erhöht, bis das Programm innerhalb der BugCrowd-Community komplett öffentlich ist. Dies ist etwa für 20min.ch bereits der Fall.

Die Post hat ebenfalls ein vorsichtiges Vorgehen gewählt. Ende 2019 hat der bundeseigene Betrieb einen ersten Versuch mit 40 ausgewählten ethischen Hackern durchgeführt. «Wir haben festgestellt, dass das Programm funktioniert und dass wir dadurch kritische Schwachstellen aufdecken und rasch schliessen können», sagt Marcel Zumbühl, der Chief Information Security Officer der Post.

Den Anstoss bei der Post gab nicht zuletzt auch die Erfahrung mit der E-Voting-Software. Diese war Anfang 2019 gemäss den Vorgaben des Bundes einem öffentlichen Test unterzogen worden - mit dem Resultat, dass mehrere gravierende Schwachstellen im Quellcode gefunden wurden. «Danach haben wir uns überlegt, ob wir dieses Modell auf andere Dienste anwenden können», sagt Zumbühl.

Für ein erfolgreiches Bug-Bounty-Programm braucht es auch intern die richtigen Prozesse. Zumbühl sagt: «Wir mussten zuerst herausfinden, wie unsere Abläufe zur Bearbeitung der Meldungen aussehen sollten und wie viele Leute wir dazu brauchen würden.»

Dabei sei der Dialog zwischen den Hackern und den IT-Entwicklern sehr wichtig. «Die Hacker erwarten zu Recht, dass wir eine Rückmeldung geben», sagt Zumbühl. Daraus könne zum Beispiel ein neuer Ansatz zur Lösung eines Problems entstehen. «Die Hacker sind mit grosser Kreativität am Werk, was ganz in unserem Sinne ist.» Denn die Post wolle jede mögliche Schwachstelle finden und schliessen.

Bundesverwaltung hat Interesse

Die Kreativität der Hacker könnte sich schon bald auch die Bundesverwaltung zunutze machen. Florian Schütz, der als Delegierter für Cybersicherheit verantwortlich ist für das Cyberrisiko im Bund, findet die Idee interessant: «Ich sehe die Möglichkeit eines Bug-Bounty-Programms für die gesamte Bundesverwaltung.» Er glaubt, die IT-Leistungserbringer des Bundes würden davon profitieren.

Bereits haben diesbezüglich Gespräche mit der neuen Firma Bug Bounty Switzerland stattgefunden, wie Schütz sagt. «Wir haben aber die Bedingung, dass wir nur mit einem Schweizer Anbieter zusammenarbeiten, der die Bug-Bounty-Plattform auf Servern in der Schweiz betreibt.» Denn die Beschreibungen der IT-Sicherheitslücken der Bundesverwaltung sollen nicht im Ausland liegen.

Dass der Bund ein Bug-Bounty-Programm einführen oder zumindest prüfen soll, fordert auch die grünliberale Nationalrätin Judith Bellaïche. Das Potenzial von ethischem Hacking werde in der Schweiz «bislang zu wenig ausgeschöpft», so begründet sie ihren Vorstoss vom Dezember. Bellaïche, die auch Geschäftsführerin des IT-Branchenverbands Swico ist, sieht den Bund und die bundesnahen Betriebe in einer Vorbildrolle gegenüber der Wirtschaft.

Dass die Idee der Bug-Bounty sich in der Schweiz verbreitet, kommt dem Hacker Boda-Majer zugute. Zusammen mit seinen Geschäftspartnern konnte er Anfang Februar den ersten Mitarbeiter anstellen. Die wichtigste Qualifikation neben den technischen Fähigkeiten? «Wir suchten jemanden, der Spass an Bug-Bounty hat.»

Weitere Themen