Chief Security Officers (Ciso) kämpfen ständig darum, die ständig zunehmenden und immer komplexer werdenden Angriffe auf die IT-Systeme ihrer Unternehmen abzuwehren. Jetzt bekommen sie vielleicht Hilfe aus der Crowd. Security-Dienstleister fangen an, Crowd-Plattformen aufzubauen, die IT-Security aus Communities heraus anbieten. Max Hille, Analyst bei Crisp Research, berichtet, wie das Konzept funktioniert und bewertet die Erfolgsaussichten.
Banken sind schon seit über 100 Jahren ein oft anvisiertes Ziel von Verbrechern gewesen. In Anlehnung an die Filme über den Bankräuber Thomas Crown haben große Banken Dienstleister angeheuert, die einen Bankraub bis ins letzte Detail planen und unter leicht modifizierten Bedingungen auch durchführen, um den Banken die Schwachstellen der eigenen Sicherheitsmaßnahmen aufzuzeigen. Im Jahr 2001, also zu einer sehr frühen Zeit des Online Bankings, wurde von der Bundesregierung eine Gruppe von Hackern beauftragt, in die Online-Banking-Systeme einzudringen, um mögliche Schwachstellen rechtzeitig zu identifizieren. Ähnliches betreiben große Banken heute ebenfalls für ihre Online-Banking-Systeme oder auch für die lokalen Niederlassungen. Die regelmäßige mediale Berichterstattung zeigt allerdings, dass derartige Maßnahmen zwar Wirkung zeigen, aber letztendlich immer wieder neue, kreative Wege entdeckt werden, an das Vermögen in den Banken zu gelangen.
IT-Sicherheit ist hochgradig brisant für Unternehmen
Das Pendant zum zeitlosen Bankraub heißt in der IT Malware, DDoS-Attacke oder Datendiebstahl. Das Thema Sicherheit in der IT ist aktuell ein Wettbewerbsfaktor für die Anbieter und ein absoluter Stressfaktor auf der Agenda der CIOs beziehungsweise der CISOs. Eine Befragung im Rahmen einer aktuellen Studie von Crisp Research hat gezeigt, dass fast zwei Drittel der IT-Entscheider (63 Prozent) bei der Auswahl einer Cloud-Plattform besonders großen Wert auf ein hohes Sicherheitsniveau legen. Anbieter von Security-Software und -Services haben bei der Realisierung von IT-Projekten längst ihre Neben- gegen Hauptrollen getauscht. Sie sind heute wesentlicher Bestandteil und nicht mehr nur Ad-on. Dies liegt an der weiter steigenden Abhängigkeit von IT-Systemen. Die Digitalisierung der Geschäftsprozesse schreitet rasant voran. Die Reaktionsgeschwindigkeit der Unternehmen auf standardisierte Anforderungen liegt heute nahe der Echtzeit.
Die Relevanz der Sicherheits-Debatten nimmt weiter zu. Dies zeigen auch die Aufschreie, die durch die Angriffe auf private iCloud-Accounts von Hollywood-Stars ausgelöst wurden. Aktuelle Ergebnisse aus dem Global Attack Report für das zweite Quartal in 2014 der Akamai-Tochter Prolexic zeigen, dass die Angriffe auf IT-Systeme weiter zunehmen. So haben DDoS-Attacken (Distributed Denial of Service) im Vergleich zum Vorjahr um 22 % zugenommen. Dabei zählt Prolexic 21 verschiedene Wege eine solche Attacke über die Infrastruktur- oder Applikations-Schicht durchzuführen.
Beschränkte Technologie und der Crowdsourcing-Ansatz
Große Anbieter für Security Software und Services, wie zum Beispiel WebSense oder Trend Micro, die vor allem hinsichtlich Cloud Security ein breites Portfolio besitzen, stehen vor der Herausforderung, den vielseitigen und immer wieder neuen Möglichkeiten solcher Cyber-Angriffe zuvor zu kommen. Nach dem Vorbild der Großbanken und deren Sicherheits-Dienstleistern hat das amerikanische Start UpHackerOne eine neue Art des Service für IT-Sicherheit entwickelt. Mittels einer Crowdsourcing-Plattform, bestehend aus einer Community von mehreren hundert Hackern und Entwicklern (Anzahl stark steigend) werden im Kundenauftrag gezielt Schwachstellen in den jeweiligen Systemen gesucht und offengelegt. Je nach Kunde und Relevanz des gefundenen Fehlers sind diese auch mal mehrere 100 $ wert. Damit bricht HackerOne als eines der ersten Unternehmen die traqditionelle Vorgehensweise zur Absicherung der IT. Denn bisher werden Sicherheitssysteme oftmals als statische Technologie-Appliances implementiert, die zwar eine Art autonome Erweiterungs-Engine besaßen, aber nicht vielseitig und erweiterungsfähig genug sind, um der stark wachsenden Anzahl von Angriffen Stand halten zu können. Die individuelle Form der Identifikation von Sicherheitslücken erlaubt es, gänzlich neue Schwachstellen frühzeitig und deutlich flexibler zu erkennen und zu schützen.
Glaubt man den Angaben des Unternehmens, gibt Ihnen der Erfolg auch Recht. So besteht die HackerOne-Community mittlerweile aus 825 aktiven Hackern, die insgesamt über 3.800 Fehler im Wert von 1.200.000 $ für 65 namhafte Kunden wie Yahoo!, METRO Group oder Twitter identifiziert haben. Hinter HackerOne steht ursprünglich eine Gruppe von Sicherheitsexperten von Microsoft, Facebook und Google, die das Projekt erstmals im Herbst 2013 initiierten. Diese Unternehmen waren es auch, die HackerOne in den ersten Projekten maßgeblich finanzierten.
Crowdsourcing-Security als Geschäftsmodell
Dieses sogenannte Bug-Bounty-Programm scheint ein Vorreiter für die kommende Generation der Sicherheits-Services zu sein. Es ist davon auszugehen, dass große Anbieter für IT-Sicherheit solche Services in den nächsten Jahren in das eigene Portfolio aufnehmen bzw. entsprechend spezialisierte Startups akquirieren werden. Die Umsetzung kann nach dem Vorbild von HackerOne ebenfalls im Crowdsourcing-Ansatz erfolgen, sodass sichergestellt ist, dass eine möglichst umfangreiche Expertengruppe das Projekt fördert. Die Anbieter werden nicht in der Lage sein, ein solches Projekt mit den eigenen Ressourcen gewinnbringend aufzubauen, da es dazu noch zu sehr Startup-Charakter besitzt und die Etablierung eines solchen Angebots sehr kostspielig ist. Am Ende des Tages kann die Flut von Cyberkriminellen nur von einer Armee pflichtbewusster Hacker eingedämmt werden.