Kaum ist die eine Sicherheitslücke gestopft, tut sich schon wieder eine andere auf. Der Wettkampf zwischen Cybersecurity und Cyberkriminellen gleicht dem sprichwörtlichen Wettrennen zwischen Hase und Igel – unfair und einfach nicht zu gewinnen. Um endlich für gleichlange Spiesse zu sorgen und potenzielle Sicherheitsrisiken schon im Vorfeld auszuschliessen hat die Group Security der BKW ein Pilot-Programm mit sogenannten ethischen Hackern gestartet.
Kopfgeld für Sicherheitslücken
Ethische Hackerinnen und Hacker, auch als «White Hats» bekannt, gehen mit den gleichen Methoden vor wie die kriminellen «Black Hats» auf der Suche nach kritischen Schwachstellen in der Unternehmens-IT und -OT (Operational Technology, Industrielle Prozessverarbeitung). Statt aber eine gefundene Lücke oder einen gekaperten Account für einen Cyberangriff oder andere kriminelle Zwecke auszunutzen oder zu veröffentlichen, berichten sie jede Schwachstelle umgehend an die Sicherheitsverantwortlichen in den Unternehmen. Weil sie für jede neu entdeckte Gefahrenquelle Geld bekommen, heisst diese Methode «Bug Bounty» - von Englisch «Bug» für Fehler und «Bounty» für Kopfgeld.
Fünf Hacker sollen das System in acht Tagen knacken
Um für sichere Rahmenbedingungen zu sorgen, arbeitet die BKW Group Security dabei mit einem renommierten Dienstleister, der Bug Bounty Switzerland GmbH, zusammen. Ähnlich wie eine Influencer-Agentur vermittelt der Dienstleister ein Team von Spezialisten, in diesem Fall für das Hacken, legt die rechtlichen Rahmenbedingungen fest und sorgt für ein aussagekräftiges Reporting. Für einen ersten «Reality-Check» wurden für die BKW zunächst vier wichtige Unternehmenslösungen und eine Testlaufzeit von zwei Wochen vereinbart.
Gut ist nicht gut genug ...
Die Suche nach Schwachstellen erwies sich aufgrund der gut überwachten und gehärteten Infrastrukturen der BKW als zeitaufwändig – das Angreiferteam musste sogar auf 10 Spezialisten verdoppelt werden. Gefunden haben die Auftrags-Hackerinnen und -Hacker trotzdem einige Sicherheitslücken – auch kritische. Selbstverständlich sind inzwischen alle beseitigt und gesichert.
Immer auf der Hut
Insgesamt hat der «Reality Check» gezeigt, dass die Infrastrukturen und Lösungsplattformen der BKW ein sehr gutes Schutzniveau aufweisen - aber eben auch nicht unverwundbar sind. Um potenzielle Gefahren und kritische Sicherheitslücken so schnell wie möglich aufzudecken und zu entschärfen, wird jetzt die Weiterführung des Programms evaluiert. Geplant ist eine Expansion auf die Operational Technology (OT), also Infrastrukturen, Netze und Produktionsanlagen, welche für die Energiegewinnung, -übertragung und den -Handel zum Einsatz kommen und prozessgesteuert sind. Die Integration und zunehmende Vernetzung der OT- mit den IT-Infrastrukturen sowie die vielen Fernzugriffe macht Industrieunternehmen nicht nur smarter, sondern auch verwundbarer. Es sind neue Schutzkonzepte notwendig und Bug Bounty-Programme sind ein wichtiger Baustein darin.
Nachgefragt
Florian Bardertscher, was liegt bei Hackern aktuell im Trend – in welchen Bereichen ist die Gefahr also derzeit am grössten?
Hacker mögen alle Systeme, die mit viel Tempo und Druck online gestellt wurden, ohne dafür bereit zu sein - das sind Goldgruben für sie. Aktuell gibt es davon ja genügend und das zeigt auch ein grosses Problem auf: erfolgreiche Digitalisierung lässt sich nicht einfach so erzwingen, viele Firmen und Organisationen müssen dazu zuerst ihre Altlasten aufarbeiten und dafür bereit werden. Das braucht Zeit, Know-how und viel Ressourcen - bis dahin sind es gute Zeiten für Hacker, egal ob gut oder böse.
Der Reality-Check bei der BKW lief in einem geschützten, nicht öffentlichen Rahmen ab. Es gibt aber auch ein öffentliches Programm, bei dem quasi alle mithacken können. Ist das nicht gefährlich?
Vertrauen ist eine Voraussetzung für eine erfolgreiche Zusammenarbeit mit Hackern und muss aufgebaut werden. Bug Bounty Switzerland kann da helfen, die Brücke zu bauen und Risiken zu minimieren. Schlussendlich ist das Risiko mit einem öffentlichen Bug Bounty Programm aber nicht grösser, im Gegenteil - Angriffsversuche finden statt, ob man will oder nicht. Die Frage ist lediglich, werden Erfolge dabei verantwortungsvoll gemeldet oder für bösartige Zwecke missbraucht. Der mutige Schritt ist, ein System ins Internet zu stellen.
Kontakt
Weitere Auskünfte gibt Manuel Häfliger, Leiter Cyber Security und CISO der BKW.
BKW Management AG
Manuel Häfliger
Leiter Cyber Security und Chief Information Security Officer (CISO)
Viktoriaplatz 2
3013 Bern
Schweiz
Thomas Loosli, 11.02.2022, 10:40
Vielen Dank für diesen Beitrag. Sehr beeindruckend, wie sich die heutige Zeit entwickelt...
Gerda von Burg, 10.02.2022, 15:57
Extrem spannend! Danke für diesen interessanten Beitrag.
Kommentare (2)
BKW ist offen für einen respektvollen Onlinedialog (unsere Netiquette) und freut sich über Ihre Kommentare und Fragen. Für Fragen, die nicht zum obigen Thema passen, verwenden Sie bitte das Kontaktformular.