Kaum ist die eine Sicherheitslücke gestopft, tut sich schon wieder eine andere auf. Der Wettkampf zwischen Cybersecurity und Cyberkriminellen gleicht dem sprichwörtlichen Wettrennen zwischen Hase und Igel – unfair und einfach nicht zu gewinnen. Um endlich für gleichlange Spiesse zu sorgen und potenzielle Sicherheitsrisiken schon im Vorfeld auszuschliessen hat die Group Security der BKW ein Pilot-Programm mit sogenannten ethischen Hackern gestartet.

Hacker
Bild: Maksim Shmeljov / stock.adobe.com

Kopfgeld für Sicherheitslücken

Ethische Hackerinnen und Hacker, auch als «White Hats» bekannt, gehen mit den gleichen Methoden vor wie die kriminellen «Black Hats» auf der Suche nach kritischen Schwachstellen in der Unternehmens-IT und -OT (Operational Technology, Industrielle Prozessverarbeitung). Statt aber eine gefundene Lücke oder einen gekaperten Account für einen Cyberangriff oder andere kriminelle Zwecke auszunutzen oder zu veröffentlichen, berichten sie jede Schwachstelle umgehend an die Sicherheitsverantwortlichen in den Unternehmen. Weil sie für jede neu entdeckte Gefahrenquelle Geld bekommen, heisst diese Methode «Bug Bounty» - von Englisch «Bug» für Fehler und «Bounty» für Kopfgeld. 

Manuel Häfliger, Leiter Cyber Security und CISO der BKW
«Nichts ist effektiver, als sich kontrolliert angreifen zu lassen und die Erkenntnisse daraus kontinuierlich in die Cyber-Resilienz zu investieren. Die Zusammenarbeit mit ethischen Hackern ist ein wichtiger Pfeiler in unserer Sicherheitsstrategie. »
Manuel Häfliger, Leiter Cyber Security und CISO der BKW

Fünf Hacker sollen das System in acht Tagen knacken

Um für sichere Rahmenbedingungen zu sorgen, arbeitet die BKW Group Security dabei mit einem renommierten Dienstleister, der Bug Bounty Switzerland GmbH, zusammen. Ähnlich wie eine Influencer-Agentur vermittelt der Dienstleister ein Team von Spezialisten, in diesem Fall für das Hacken, legt die rechtlichen Rahmenbedingungen fest und sorgt für ein aussagekräftiges Reporting. Für einen ersten «Reality-Check» wurden für die BKW zunächst vier wichtige Unternehmenslösungen und eine Testlaufzeit von zwei Wochen vereinbart.

Florian Badertscher, CTO & Founder Bug Bounty Switzerland
«Die Systeme der BKW zeigten sich gut geschützt. Erste Schwachstellen wurden rasch identifiziert, bis zum erfolgreichen Angriff waren aber fünf Hacker, 20'000 CHF an Bounties und acht Tage Aufwand nötig – im Schweizer Vergleich sehr gute Werte.»
Florian Badertscher, CTO & Founder Bug Bounty Switzerland

Gut ist nicht gut genug ...

Die Suche nach Schwachstellen erwies sich aufgrund der gut überwachten und gehärteten Infrastrukturen der BKW als zeitaufwändig – das Angreiferteam musste sogar auf 10 Spezialisten verdoppelt werden. Gefunden haben die Auftrags-Hackerinnen und -Hacker trotzdem einige Sicherheitslücken – auch kritische. Selbstverständlich sind inzwischen alle beseitigt und gesichert.

Immer auf der Hut

Insgesamt hat der «Reality Check» gezeigt, dass die Infrastrukturen und Lösungsplattformen der BKW ein sehr gutes Schutzniveau aufweisen - aber eben auch nicht unverwundbar sind. Um potenzielle Gefahren und kritische Sicherheitslücken so schnell wie möglich aufzudecken und zu entschärfen, wird jetzt die Weiterführung des Programms evaluiert. Geplant ist eine Expansion auf die Operational Technology (OT), also Infrastrukturen, Netze und Produktionsanlagen, welche für die Energiegewinnung, -übertragung und den -Handel zum Einsatz kommen und prozessgesteuert sind. Die Integration und zunehmende Vernetzung der OT- mit den IT-Infrastrukturen sowie die vielen Fernzugriffe macht Industrieunternehmen nicht nur smarter, sondern auch verwundbarer. Es sind neue Schutzkonzepte notwendig und Bug Bounty-Programme sind ein wichtiger Baustein darin.

Nachgefragt

Florian Bardertscher, was liegt bei Hackern aktuell im Trend – in welchen Bereichen ist die Gefahr also derzeit am grössten?

Hacker mögen alle Systeme, die mit viel Tempo und Druck online gestellt wurden, ohne dafür bereit zu sein - das sind Goldgruben für sie. Aktuell gibt es davon ja genügend und das zeigt auch ein grosses Problem auf: erfolgreiche Digitalisierung lässt sich nicht einfach so erzwingen, viele Firmen und Organisationen müssen dazu zuerst ihre Altlasten aufarbeiten und dafür bereit werden. Das braucht Zeit, Know-how und viel Ressourcen - bis dahin sind es gute Zeiten für Hacker, egal ob gut oder böse.

Der Reality-Check bei der BKW lief in einem geschützten, nicht öffentlichen Rahmen ab. Es gibt aber auch ein öffentliches Programm, bei dem quasi alle mithacken können. Ist das nicht gefährlich?

Vertrauen ist eine Voraussetzung für eine erfolgreiche Zusammenarbeit mit Hackern und muss aufgebaut werden. Bug Bounty Switzerland kann da helfen, die Brücke zu bauen und Risiken zu minimieren. Schlussendlich ist das Risiko mit einem öffentlichen Bug Bounty Programm aber nicht grösser, im Gegenteil - Angriffsversuche finden statt, ob man will oder nicht. Die Frage ist lediglich, werden Erfolge dabei verantwortungsvoll gemeldet oder für bösartige Zwecke missbraucht. Der mutige Schritt ist, ein System ins Internet zu stellen.

Das Gründer-Team von Bug Bounty Switzerland (v.l.): Florian Badertscher (CTO), Lukas Heppler (CPO), Sandro Nafzger (CEO)
Das Gründer-Team von Bug Bounty Switzerland (v.l.): Florian Badertscher (CTO), Lukas Heppler (CPO), Sandro Nafzger (CEO)

Contatto

Weitere Auskünfte gibt Manuel Häfliger, Leiter Cyber Security und CISO der BKW.