Nun dürfen alle die Post hacken
Cyberkriminelle wenden immer neue Methoden an, um Computer und Daten ihrer Opfer anzugreifen. Aus diesem Grund entwickeln die IT-Security-Experten der Post ständig neue Methoden, um den Schutz ihrer Informatik-Infrastruktur zu verbessern. Eine effektive Möglichkeit, um Sicherheitslücken schneller aufzudecken und zu beheben, sind Bug-Bounty-Programme. Also Programme, bei denen Hacker eingeladen werden, IT-Systeme auf Sicherheitslücken zu überprüfen und pro gefundene Schwachstelle eine Belohnung erhalten. Nun geht die Post einen Schritt weiter: Statt nur auf Einladung, haben nun alle die Möglichkeit nach Schwachstellen zu suchen.
Im Mai 2020 ist die Post als eines der ersten Schweizer Unternehmen mit einem kontinuierlichen Bug-Bounty-Programm gestartet. Ein Programm, bei dem Hacker eingeladen werden bestimmte IT-Systeme auf Sicherheitslücken zu überprüfen. Im Gegenzug erhalten sie pro gefundene Schwachstelle eine Belohnung. Das Ziel der Post: Die Sicherheit ihrer digitalen Dienstleistungen verbessern. Dabei suchen wohlgesinnte Hacker, auch «Hunter» genannt, auf Einladung nach Sicherheitslücken. Für jede gefundene Schwachstelle erhalten sie eine Entschädigung – eine Bounty. Marcel Zumbühl, Chief Information Security Officer der Post ist überzeugt, dass das Bug-Bounty-Programm bestehende Sicherheitstests optimal ergänzt: «Sicherheit ist ein Prozess, kein Zustand. Dank dem Bug-Bounty-Programm können wir unsere Informationssicherheit stärken. Zudem können wir das kollektive Wissen der internationalen Hacker-Community nutzen, um unsere Sicherheitsprozesse weiter zu verbessern». Entdeckt ein Hacker eine Schwachstelle, leitet die Post Massnahmen ein, um die Sicherheitslücke zu schliessen. Auch prüfen die Spezialisten seitens Post, ob die gemeldete Schwachstelle mögliche Auswirkungen auf andere Anwendungen hat. Das heisst, wenn beispielsweise etwas manipuliert werden kann, muss man prüfen, ob das bei anderen Dienstleistung auch geht oder eben nicht. Wenn die Schwachstelle Auswirkungen hat, schliesst die Post diese Sicherheitslücken ebenfalls. «Seit Start des Programms haben wir bereits 500 Schwachstellen gefunden und rund CHF 250’000.- an Belohnungen ausbezahlt», für Zumbühl ein gutes Zeichen. «Nur aus Fehlern kann man lernen und sich in der Folge verbessern», so der Chief Information Security Officer.
Public-Bug-Bounty-Programm startet mit ausgewählten Dienstleistungen
Und nun geht die Post einen Schritt weiter. Bisher hat sie ausschliesslich ein privates Programm betrieben. Das heisst, Hacker durften nur auf Einladung nach Schwachstellen suchen – denn nur diese hatten auch Zugang zum Bug-Bounty-Programm. Neu hat jeder registrierte Hacker oder Hackerin die Möglichkeit, über die Bug-Bounty-Plattform von YesWeHack nach Schwachstellen zu suchen. Die Höhe der Bounties, also der Prämien für bestätigte Sicherheitslücken variiert je nach Kritikalität der gefundenen Lücke. Die Beträge variieren von 50 bis zu 10’000 Franken. Das Public-Bug-Bounty-Programm startet zunächst mit folgenden Dienstleistungen, welche bisher im privaten Bug Bounty Programm verbessert wurden: das Kundenlogin der Post, der Postshop, die PostApp, der Bike Sharing Dienst PubliBike sowie andere Onlinedienste wie WebStamp, Meine Sendungen, Adressverwaltungen, Empfängerleistungen und der Bezahlservice Billing Online. «Wir sind laufend daran weitere Dienstleistungen in das private Bug Bounty Programm aufzunehmen und beabsichtigen diese in Zukunft ebenfalls in das öffentliche Programm zu überführen», sagt Zumbühl.
Weitere Informationen zum Bug-Bounty-Programm gibt es auf post.ch/bug-bounty oder im aktuellen Beitrag auf post.ch/aktuell.
So sieht der rechtliche Rahmen aus
Das Hacken von IT-Systemen gilt in der Schweiz als Straftat. Daher galt es für die Post zunächst in Zusammenarbeit mit Bund und Kantonen einen rechtlichen Rahmen zu schaffen, der Hacker vor einer Strafverfolgung schützt. Dadurch ist ein sogenannter Legal Safe Harbor entstanden, wobei Hacker in einem bestimmten, klar bestimmten Rahmen entkriminalisiert werden. Im Gegenzug dafür, erhält die Post Informationen über die Vorgehensweise der Hacker. Damit kann sie daraus lernen und wo nötig Massnahmen ableiten.
Die wichtigsten Begriffe im Zusammenhang mit Bug-Bounty einfach erklärt
Bug: Eine Schwachstelle oder Sicherheitslücke in einem IT-System
Bounty: Eine Geldsumme als Belohnung, die bezahlt wird, wenn jemand eine Schwachstelle entdeckt und meldet.
Bug-Bounty-Programm: Ein Programm, bei dem Hacker eingeladen werden bestimmte IT-Systeme auf Sicherheitslücken zu überprüfen. Im Gegenzug erhalten Sie pro gefundene Schwachstelle eine Belohnung (Bounty).
Hunter: Ein Sicherheitsforscher oder ethischer Hacker der in Bug Bounty Programmen nach Sicherheitslücken sucht.
Ethische Hacker: Ein ethischer Hacker (sogenannter white-hat Hacker) ist ein hochspezialisierter Sicherheits-Experte, der IT-Systeme im Auftrag deren Eigentümer angreift. Er sucht nach Schwachstellen, die auch ein Cyberkrimineller mit bösartigen Absichten ausnutzen könnte und meldet diese dem Eigentümer.
Cyberkriminelle: Das sind bösartige Hacker (black-hat Hacker) die Sicherheitslücken in IT-Systeme für bösartige und illegale Zwecke missbrauchen.
Penetration Test / Intrusion Test: Dabei handelt es sich um eine Testform, bei welchem IT-Security Experten die Angriffsflächen einer Anwendung umfassend testen und feststellen, ob sie darin Schwachstellen finden können.
Legal Safe Harbor: Rechtliche Rahmenbedingungen für das Bug-Bounty-Programm mit dem ethische Hacker entkriminalisiert werden
Vulnerability Disclosure Policy (VDP):
Falls Hacker Schwachstellen in digitalen Dienstleistung de Post entdecken, die nicht Teil des Bug Bounty Programms sind, können diese Schwachstellen über das VDP-Programm gemeldet werden. Dafür gibt es aber keine Belohnungen. Zum VDP-Programm.
Kategorisiert in:
