Bug-Bounty-Programme werden global immer wichtiger für die Sicherstellung der IT-Sicherheit. In der Schweiz ist der Ansatz derweil noch nicht besonders verbreitet: Vorreiter sind die Post und die Swisscom, die bereits interne Programme lanciert haben. Nun schliessen sich die Zuständigen bei den beiden Konzernen zusammen und lancieren Bug Bounty Switzerland.

Die bereits im April 2020 formell gegründete Firma hat es sich zum Ziel gesetzt, hierzulande Bug-Bounty-Programme zu etablieren. CEO des neuen Unternehmens ist Sandro Nafzger, der bei der Post als externer Spezialist das Bug-Bounty-Programm leitet. In einem kurzen Telefongespräch mit inside-it.ch erklärt er, dass man hierzulande noch viel Aufklärungsarbeit leisten müsse. "Der Ansatz ist in der Schweiz noch nicht richtig angekommen, aber längerfristig führt kein Weg daran vorbei", so der Wirtschaftsinformatiker.

Viele Firmen glaubten, dass sie genügend für die IT-Sicherheit unternehmen würden, das könne aber verhängnisvoll sein. Man sei damals, als man bei der Post das Programm aufgebaut habe, auch nicht sicher gewesen, ob es der richtige Weg sei, erklärt Nafzger. Dies habe sich nach der ersten Phase aber schlagartig geändert: Schliesslich wurden bereits 50 kritische Schwachstellen aufgedeckt. Bei der Swisscom wurden im Rahmen des Bug-Bounty-Programms insgesamt 400 Schwachstellen entdeckt. Der Zuständige für das Programm, Florian Badertscher, unterstützt nun Nafzger als CTO von Bug Bounty Switzerland.

Das neue Unternehmen ist eine private Initiative und wurde unabhängig von der Post und der Swisscom gegründet. CEO und CTO bleiben aber in ihren jeweiligen Funktionen auch bei den beiden Konzernen. Komplettiert wird das Management von Bug Bounty Switzerland von COO Matthias Jauslin sowie Lukas Heppler (Head of Customer Success) und Alessandro Casablanca (Head of Marketing).

Das Angebot der neuen Firma ist abgestuft: Kundenfirmen können etwa in einem "Reality-Check" von ethischen Hackern ihre Systeme unter die Lupe nehmen lassen. In einem "Proof of Concept" können Kunden zusammen mit Bug Bounty Switzerland ein dreimonatiges Programm entwickeln, das die Ergebnisse des Ansatzes deutlich machen soll. In der letzten Stufe schliesslich sieht die Firma ein voll ausgebautes Programm vor, das Kunden mit einer Jahreslizenz erwerben können.

Im Gegensatz zu herkömmlichen Penetration-Tests mit einer begrenzten Anzahl Security-Experten sind Bug-Bounty-Programme offen für unzählige internationale ethische Hacker. Dafür wird in der Schweiz keine eigene Plattform aufgebaut, sondern auf eine Partnerschaft mit dem Anbieter Yeswehack gesetzt.

Der Return on Investment falle um ein Vielfaches höher aus als bei herkömmlichen Pentests, auch weil man nur für gefundene Lücken bezahlen müsse, wirbt Bug Bounty Switzerland. Das genaue Pricing will man seitens der Firma noch nicht nennen, aber mit dem Reality-Check biete man einen preisgünstigen Einstieg, so Nafzger.

Das Unternehmen ist erst gerade an die Öffentlichkeit gegangen, entsprechend kann es noch keine Kunden nennen. Das Interesse sei aber riesig, erklärt der CEO, man sei mit vielen Firmen im Gespräch. Bei diesen gelte es nun weiterhin Awareness zu schaffen.