Bug Bounty Switzerland (BBS) hat zusammen mit der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) eine neue Studie lanciert. Ziel sei, herauszufinden, wie vor allem KMU und kleinere Gemeinden "mit geringen Ressourcen und IT-Know-how" ein einfacherer Zugang zu Bug-Bounty-Programmen ermöglicht werden kann, schreiben die Beteiligten. Die Studie werde von der schweizerischen Innovationsförderung Innosuisse unterstützt.

BBS habe mit seiner in der Schweiz gehosteten Plattform Bug-Bounty-Programme mehr Firmen zugänglich machen können. Bis jetzt seien es aber vor allem grössere Unternehmen wie Ringier, Valiant Bank, die Baloise Group oder die BKW, welche solche Programme einsetzen. Dazu Organisationen wie das Universitätsspital Zürich, das gute Erfahrungen gemacht hat und Bug Bountys ausbauen will, wie Security Officer Franziska Fink kürzlich gegenüber inside-it.ch erklärte.

Für die neue Studie sei nun ein erstes Vorprojekt angelaufen. Damit soll zunächst die Zielgruppe von KMU und Gemeinden untersucht werden, um zu verstehen, welche speziellen Bedürfnisse diese haben und wie ein passendes Angebot ausgestaltet werden müsste. "Angesichts der oft knappen finanziellen IT-Ressourcen in kleinen Organisationen geht es in der Vorstudie darum, herauszufinden, welche alternativen Finanzierungsmodelle denkbar sind und welche nicht-monetären Anreize man den ethischen Hackern bieten könnte", so BBS und die ZHAW.

Darüber hinaus stelle sich die Frage nach der Bereitstellung des Know-hows, das benötigt wird, um mit den identifizierten Schwachstellen umzugehen. Dabei müssten insbesondere auch jene externen Dienstleister eingebunden werden, die sich als Outsourcing-Anbieter um das Management der IT-Systeme kümmern. Weiter interessiere die Forscher, inwiefern eine Community von Bug-Bounty-Anwendern für den Austausch untereinander und mit den ethischen Hackern von Nutzen sein könnte.

"Soll die digitale Transformation in der Schweiz als Ganzes gelingen, dürfen wir die KMUs – und auch den öffentlichen Sektor – sicherheitstechnisch nicht vernachlässigen", hält Peter Heinrich von der Fachstelle für Prozessmanagement und Informationssicherheit an der ZHAW School of Management and Law in der Mitteilung fest. "Wir müssen echte Handlungsfähigkeit erzeugen. Die Organisationen müssen die Mittel und das Know-how erhalten, um ihre Gefährdung richtig einschätzen zu können und sinnvolle Entscheidungen zu treffen. Wir wollen deshalb herausfinden, wo sie Hilfe zur Selbsthilfe benötigen."

In einem Folgeprojekt wollen BBS und die ZHAW an der Weiterentwicklung von Bug Bounty Switzerlands Plattform zu einem Schweizer Ökosystem für ganzheitliches Schwachstellenmanagement arbeiten. "Dieses soll alle Akteure (neben den ethischen Hackern zum Beispiel auch Behörden und Lieferanten) in einem kontinuierlichen Informationssicherheitsprozess verbinden und auch für KMU, Kleinstorganisationen und die öffentliche Verwaltung zugänglich und erschwinglich sein."

Mit dem Zürcher Startup Gobugfree hat ein weiteres Unternehmen gezielt den Bug-Bounty-Markt für Schweizer KMU im Visier. Wie uns CEO Pawel Kowalski kürzlich erklärte, wolle man kleineren Unternehmen und Organisationen das öffentliche Penetrationstesting zugänglich machen. Gobugfree will dazu eine eigene Plattform anbieten, mit der sich die Firma ein gutes Stück des wachsenden Marktes verspricht.