Expert Views

Published on Sep 15, 2014

Sicherheit aus der Crowd – CISOs entdecken neue Wege

Die Abwehr gegen versierte Formen des Angriffs auf die eigenen Systeme ist kein neues Thema. Möglicherweise erlebt das Thema Sicherheit in der IT aber gerade den Hochpunkt seines Interesses. Unternehmen ernennen Chief-Information-Security- (CISOs) oder Cyberwar-Officers zum Schutz der eigenen Daten. Diese haben schlichtweg die Aufgabe, sich nach Wegen umzuschauen, den Datenschutz und den fortlaufenden Geschäftsprozess des Unternehmens zu gewährleisten. Dabei ist der Weg stets das Ziel, denn es gibt immer neue Wege, in Systeme einzudringen und neue Schwachstellen im Unternehmen, die identifiziert werden müssen.

Sicherheitsstrategien großer Banken machen es vor

Banken sind schon seit über 100 Jahren ein oft anvisiertes Ziel von Verbrechern gewesen. In Anlehnung an die Filme über den Bankräuber Thomas Crown haben große Banken Dienstleister angeheuert, die einen Bankraub bis ins letzte Detail planen und unter leicht modifizierten Bedingungen auch durchführen, um den Banken die Schwachstellen der eigenen Sicherheitsmaßnahmen aufzuzeigen. Im Jahr 2001, also zu einer sehr frühen Zeit des Online Bankings, wurde von der Bundesregierung eine Gruppe von Hackern beauftragt, in die Online-Banking-Systeme einzudringen, um mögliche Schwachstellen rechtzeitig zu identifizieren. Ähnliches betreiben große Banken heute ebenfalls für ihre Online-Banking-Systeme oder auch für die lokalen Niederlassungen. Die regelmäßige mediale Berichterstattung zeigt allerdings, dass derartige Maßnahmen zwar Wirkung zeigen, aber letztendlich immer wieder neue, kreative Wege entdeckt werden, an das Vermögen in den Banken zu gelangen.

IT-Sicherheit ist hochgradig brisant für Unternehmen

Das Pendant zum zeitlosen Bankraub in der IT heißt Malware, DDoS-Attacke oder Datendiebstahl. Das Thema Sicherheit in der IT ist aktuell ein Wettbewerbsfaktor für die Anbieter und ein absoluter Stressfaktor auf der Agenda der CIOs beziehungsweise der CISOs. Eine Befragung im Rahmen einer aktuellen Studie von Crisp Research hat gezeigt, dass fast zwei Drittel der IT-Entscheider (63 Prozent) bei der Auswahl einer Cloud-Plattform besonders starken Wert auf ein hohes Sicherheitsniveau legen. Anbieter von Security Software und Services haben ihre Position auf dem Nebenschauplatz nun also abgegeben und sind heute ein wesentlicher Bestandteil bei der Realisierung der IT-Projekte in Unternehmen. Dies liegt daran, dass die Abhängigkeit von IT-Systemen immer weiter steigt. Die Digitalisierung der Geschäftsprozesse befindet sich aktuell auf einem Hochpunkt. Die Reaktionsgeschwindigkeit der Unternehmen auf standardisierte Anforderungen liegt heute nahe der Echtzeit. Ein Ausfall der Systeme, der vor einigen Jahren zumindest kurzfristig recht gut verkraftet werden konnte, ist heute mitunter teuer und hinsichtlich der Öffentlichkeitsdarstellung des Unternehmens auch sehr bedrohlich.

Die Relevanz der Sicherheits-Debatten nimmt weiter zu. Dies zeigen auch die Aufschreie, die durch die Angriffe auf private iCloud-Accounts von Hollywood-Stars ausgelöst wurden. Aktuelle Ergebnisse aus dem Global Attack Report für das zweite Quartal in 2014 der Akamai-Tochter Prolexic zeigen, dass die Angriffe auf IT-Systeme weiter zunehmen. So haben DDoS-Attacken (Distributed Denial of Service), also mutwillige Angriffe zur Überlastung einzelner Websites und des daraus resultierenden Ausfalls, im Vergleich zum Vorjahr um 22 Prozent zugenommen. Dabei zählt Prolexic 21 verschiedene Wege über die Infrastruktur- oder Applikations-Schicht eine solche Attacke durchzuführen.

Beschränkte Technologie und der Crowdsourcing-Ansatz

Große Anbieter für Security Software und Services, wie zum Beispiel WebSense oder Trend Micro, die vor allem hinsichtlich Cloud Security ein breites Portfolio besitzen, stehen vor der Herausforderung, den vielseitigen und immer wieder neuen Möglichkeiten solcher Cyber-Angriffe zuvor zu kommen. Nach dem Vorbild der Großbanken und deren Sicherheits-Dienstleistern hat das amerikanische Start Up HackerOne eine neue Art des Service für IT-Sicherheit entwickelt. Mittels einer Crowdsourcing-Plattform, bestehend aus einer Community von mehreren hundert Hackern und Entwicklern (Anzahl stark steigend) werden im Kundenauftrag gezielt Schwachstellen in den jeweiligen Systemen gesucht und offengelegt. Je nach Kunde und Relevanz des gefundenen Fehlers sind diese auch mal mehrere 100 US-$ wert. Damit bricht HackerOne als eines der ersten Unternehmen die Vorgehensweise zur Sicherstellung der IT. Denn bisher wurden Sicherheitssysteme oftmals als statische Technologie-Appliances implementiert, die zwar eine Art autonome Erweiterungs-Engine besaßen, aber nicht vielseitig und erweiterungsfähig genug waren, um der stark wachsenden Anzahl von Angriffen Stand halten zu können. Die individuelle Form der Identifikation von Sicherheitslücken erlaubt es, gänzlich neue Schwachstellen frühzeitig und deutlich flexibler zu erkennen und zu schützen.

Glaubt man den Angaben des Unternehmens, gibt Ihnen der Erfolg auch Recht. So besteht die HackerOne-Community mittlerweile aus 825 aktiven Hackern, die insgesamt über 3.800 Fehler im Wert von 1.200.000 US-$ für 65 namhafte Kunden wie Yahoo!, METRO Group oder Twitter identifiziert haben. Hinter HackerOne steht ursprünglich eine Gruppe von Sicherheitsexperten von Microsoft, Facebook und Google, die das Projekt erstmals im Herbst 2013 initiierten. Diese Unternehmen waren es auch, die HackerOne in den ersten Projekten maßgeblich finanzierten.

Crowdsourcing-Security als Geschäftsmodell

Dieses sogenannte Bug-Bounty-Programm scheint ein Vorreiter für die kommende Generation der Sicherheits-Services zu sein. Es ist davon auszugehen, dass große Anbieter für IT-Sicherheit wie WebSense, Trend Micro und andere solche Services in den nächsten Jahren in das eigene Portfolio aufnehmen bzw. entsprechend spezialisierte Startups akquirieren werden. Die Umsetzung kann nach dem Vorbild von HackerOne ebenfalls im Crowdsourcing-Ansatz erfolgen, sodass sichergestellt ist, dass eine möglichst umfangreiche Expertengruppe das Projekt fördert. Die Anbieter werden nicht in der Lage sein, ein solches Projekt mit den eigenen Ressourcen gewinnbringend aufzubauen, da es dazu noch zu sehr einen Start Up-Charakter besitzt und die Etablierung eines solchen Angebots sehr kostspielig ist. Am Ende des Tages kann die Flut von Cyberkriminellen nur von einer Armee pflichtbewusster Hacker wirklich bewältigt werden.