Die Schweiz hat ihre erste unabhängige Bug-Bounty-Firma

18. August 2020 um 13:34
image

Die Leiter der Bug-Bounty-Programme der Post und der Swisscom gründen eine Firma, um dem Ansatz hierzulande zum Durchbruch zu verhelfen.

Bug-Bounty-Programme werden global immer wichtiger für die Sicherstellung der IT-Sicherheit. In der Schweiz ist der Ansatz derweil noch nicht besonders verbreitet: Vorreiter sind die Post und die Swisscom, die bereits interne Programme lanciert haben. Nun schliessen sich die Zuständigen bei den beiden Konzernen zusammen und lancieren Bug Bounty Switzerland.
Die bereits im April 2020 formell gegründete Firma hat es sich zum Ziel gesetzt, hierzulande Bug-Bounty-Programme zu etablieren. CEO des neuen Unternehmens ist Sandro Nafzger, der bei der Post als externer Spezialist das Bug-Bounty-Programm leitet. In einem kurzen Telefongespräch mit inside-it.ch erklärt er, dass man hierzulande noch viel Aufklärungsarbeit leisten müsse. "Der Ansatz ist in der Schweiz noch nicht richtig angekommen, aber längerfristig führt kein Weg daran vorbei", so der Wirtschaftsinformatiker.
Viele Firmen glaubten, dass sie genügend für die IT-Sicherheit unternehmen würden, das könne aber verhängnisvoll sein. Man sei damals, als man bei der Post das Programm aufgebaut habe, auch nicht sicher gewesen, ob es der richtige Weg sei, erklärt Nafzger. Dies habe sich nach der ersten Phase aber schlagartig geändert: Schliesslich wurden bereits 50 kritische Schwachstellen aufgedeckt. Bei der Swisscom wurden im Rahmen des Bug-Bounty-Programms insgesamt 400 Schwachstellen entdeckt. Der Zuständige für das Programm, Florian Badertscher, unterstützt nun Nafzger als CTO von Bug Bounty Switzerland.
Das neue Unternehmen ist eine private Initiative und wurde unabhängig von der Post und der Swisscom gegründet. CEO und CTO bleiben aber in ihren jeweiligen Funktionen auch bei den beiden Konzernen. Komplettiert wird das Management von Bug Bounty Switzerland von COO Matthias Jauslin sowie Lukas Heppler (Head of Customer Success) und Alessandro Casablanca (Head of Marketing).
Das Angebot der neuen Firma ist abgestuft: Kundenfirmen können etwa in einem "Reality-Check" von ethischen Hackern ihre Systeme unter die Lupe nehmen lassen. In einem "Proof of Concept" können Kunden zusammen mit Bug Bounty Switzerland ein dreimonatiges Programm entwickeln, das die Ergebnisse des Ansatzes deutlich machen soll. In der letzten Stufe schliesslich sieht die Firma ein voll ausgebautes Programm vor, das Kunden mit einer Jahreslizenz erwerben können.
Im Gegensatz zu herkömmlichen Penetration-Tests mit einer begrenzten Anzahl Security-Experten sind Bug-Bounty-Programme offen für unzählige internationale ethische Hacker. Dafür wird in der Schweiz keine eigene Plattform aufgebaut, sondern auf eine Partnerschaft mit dem Anbieter Yeswehack gesetzt.
Der Return on Investment falle um ein Vielfaches höher aus als bei herkömmlichen Pentests, auch weil man nur für gefundene Lücken bezahlen müsse, wirbt Bug Bounty Switzerland. Das genaue Pricing will man seitens der Firma noch nicht nennen, aber mit dem Reality-Check biete man einen preisgünstigen Einstieg, so Nafzger.
Das Unternehmen ist erst gerade an die Öffentlichkeit gegangen, entsprechend kann es noch keine Kunden nennen. Das Interesse sei aber riesig, erklärt der CEO, man sei mit vielen Firmen im Gespräch. Bei diesen gelte es nun weiterhin Awareness zu schaffen.

Loading

Mehr zum Thema

image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Nachfrage nach RZ-Kapazitäten wächst schneller als das Angebot

Hyperscaler nehmen einen Grossteil der verfügbaren Kapazitäten in Beschlag. Energiebeschaffung und steigende Baukosten treiben die Preise gemäss einem Report in die Höhe.

publiziert am 20.2.2024
image

Also büsst über 1 Milliarde Umsatz ein

Der Emmener Distributor muss einen Dämpfer hinnehmen: Umsatz und Gewinn sind 2023 deutlich geschrumpft.

publiziert am 20.2.2024
image

Temenos steigert Gewinn und wehrt sich gegen Vorwürfe

Der Genfer Bankensoftware-Hersteller kommt trotz guten Zahlen nicht zur Ruhe. Gegen die schweren Vorwürfe soll eine Untersuchung eingeleitet werden.

publiziert am 20.2.2024